El día 4 de agosto de 2016, se realizó un plenario de comisiones de la Cámara de Diputados de la Nación, en el que muchos especialistas fuimos invitados a disertar (aunque con escasos 10 minutos de tiempo) sobre la propuesta de reforma electoral elaborada por el Poder Ejecutivo. A continuación, las exposiciones de los principales críticos al sistema de voto electrónico conocido como «boleta única electrónica», dispuestas en orden cronológico y acompañadas de las versiones taquigráficas.
Actualización (marzo de 2017): Estas exposiciones han sido incluidas en el libro Voto electrónico, una solución en busca de problemas.
Dra. Delia Ferreira Rubio
Transparency International
Sra. Ferreira Rubio.– La verdad, tengo muchas cosas para decir.
En primer lugar, quiero señalar que esta discusión no pasa por “máquina sí” o “máquina no”. Esta discusión es “rápido y moderno”, estilo título de película, versus “seguro, íntegro y transparente”. Eso es lo que estamos discutiendo. Y como eso es lo que estamos discutiendo, estamos discutiendo sobre la calidad de la democracia, sobre los derechos y libertades de los ciudadanos y los electores, sobre los valores que dan sustento al sistema electoral y sobre la legitimidad de ustedes, los candidatos electos. Ese es el resultado de un proceso electoral íntegro.
La boleta única papel, de la que ya se ha hablado aquí, que usa la mayoría de los países del mundo, es más barata, ofrece muchos más proveedores, evita los monopolios y soluciona el robo de boletas igual que lo hace la boleta única electrónica.
La boleta única electrónica –y con esto ya llego a la confusión total‑ mal que le pese al señor ministro y a los funcionarios nacionales, es un sistema de voto electrónico. Hemos tenido acá el reconocimiento del doctor Lozano; si bien en una sentencia como miembro del Superior Tribunal de la Ciudad manifestó que no era voto electrónico, ahora dijo que en la ciudad se aplicó el voto electrónico. Me parece muy interesante este reconocimiento. (Aplausos.)
Además, ¿para qué vamos a decir una cosa por otra en el Congreso de la Nación, donde no tenemos las restricciones que en la Ciudad Autónoma de Buenos Aires, donde justificaron que las autoridades dijeran una cosa por otra? Porque si reconocían que era voto electrónico tenían que volver a la Legislatura. Para saltarse la Legislatura inventaron la historia de que la boleta única electrónica no era voto electrónico. Acá no necesitamos esa discusión, por lo que sincerémonos, ya que estamos sincerando tanto en el país.
¿Qué hay detrás de la decisión de adoptar este sistema de voto electrónico? Veamos los argumentos, veamos si son ciertos. Los argumentos son: es rápido y moderno. Cuidado con lo moderno, porque estamos haciendo una ley que se supone que va a durar más de seis meses, por lo cual el año que viene, sobre todo en materia tecnológica, podríamos llegar a decir que esto es una antigualla.
Me puse a mirar los estándares internacionales en materia de sistemas electorales y los tratados de derechos humanos que hablan de elecciones libres, y no encontré tratado ni ningún estándar que diga que el principio electoral madre en una democracia es “rápido y moderno”. El problema es que, si esto es moderno, no me explico cómo países mucho más desarrollados y modernos que la Argentina no utilicen el sistema a nivel nacional. Solo tres países lo hacen: la India, Brasil y Venezuela. En verdad creo que algo deben estar haciendo bien con la boleta de papel los países modernos y desarrollados que tienen mucha más tecnología que nosotros: Inglaterra, Alemania, Holanda, los países escandinavos y buena parte de los latinoamericanos. Entonces, eso de “moderno” creo que hay que ponerlo en tela de juicio.
También usa la boleta de papel Corea del Sur; menciono este país porque luego volveré sobre el tema de si tenemos un problema de privatización del sistema electoral o una cuestión en ciernes de su extranjerización. Corea del Sur es el país elegido por el Ministerio de Modernización para realizar convenios en la materia.
En segundo lugar, la gran ventaja son los resultados rápidos. Vamos a verlos, suponiendo que “rápido y furioso” fuera un valor democrático.
Si hablamos de resultados rápidos, el 5 de julio del año pasado se realizaron elecciones en la Ciudad Autónoma de Buenos Aires con boleta única electrónica y en mi provincia, Córdoba, con boleta única de papel; un modelo distinto del de Santa Fe, pero boleta única de papel. Veamos a qué hora supimos los resultados. A las 19 y 27 ‑tengo todos los documentos bajados del escrutinio‑ la CABA informaba un porcentaje escrutado de 4,7 por ciento de las mesas; Córdoba, a las 19 y 17 informaba un porcentaje de 1,4 por ciento de las mesas. Efectivamente, en la Capital iban más rápido.
A las 23 y 55 ‑hora en que en el día de la elección presidencial todavía no sabíamos nada‑ en Córdoba teníamos escrutados con boleta única papel el 65 por ciento de las mesas y la tendencia no varió hasta después. Alrededor de las 2 de la mañana del día 6 de julio, el escrutinio de Capital y de Córdoba iban cabeza a cabeza: 93,4 contra 93,5 y así.
Eso es lo de rápido y furioso. Pero a mí con “rápido y con errores” me parece que no estamos haciendo un buen negocio. En el caso del voto electrónico de la Capital Federal, ni la empresa ni las autoridades ni las auditorías detectaron algo que mencionó la diputada Stolbizer hace un rato: un error en la carga de los resultados. Estaban dando más votos que votantes en algunas comunas. Por ejemplo, en la Comuna N° 14, a las 21 y 57 los números daban 147.100 electores y 147.363 votantes; o sea que había votado más que el total de los electores de la comuna. A las 0 y 29, la información oficial del sistema que la autoridad electoral dicen que funcionó tan bien, a esa hora seguía diciendo que esa comuna tenía 147.000 electores y habían votado 147.363.
Recién se corrigió esto a las 2 de la mañana del día siguiente; no porque la empresa, los auditores o las autoridades lo hubieran detectado, sino porque los que estábamos observando la elección desde nuestras respectivas casas –había muchos de nosotros que estábamos esa madrugada siguiendo el escrutinio‑ empezamos a ver que había una discordancia total entre la cantidad de electores de las comunas y la cantidad de votos que habían recibido. Gracias a nuestro trabajo conjunto descubrimos que todo el padrón electoral del distrito Ciudad Autónoma de Buenos Aires estaba mal cargado en la base de datos que se estaba utilizando para dar los resultados; a partir de que lo hicimos público en las redes sociales, se lo corrigió a las 2 de la mañana del día siguiente.
Lo mismo ocurrió en la Comuna N° 1, que tenía 166.483 electores empadronados a la hora 21, pero a las 2 de la mañana tenía 181.207. Se ve que hubo un proceso de empadronamiento.
Solo El Cronista Comercial mencionó esta irregularidad al día siguiente, sobre la base de lo que habíamos dicho los que estábamos observando.
Pero “rápido y moderno”, para mí no es lo que vale en este caso, sino los valores fundamentales. Me voy a referir solo a algunos: el secreto del voto y la integridad de las elecciones. Voy a leer lo que dice la patente del sistema MSA S.A.: “…la lectura de la totalidad de los TAG-RFID dentro de la urna, sin necesidad de tener que abrirla, evitando todo contacto manual con los votos.” Es decir, si se pueden leer todos los votos que están en la urna, también se puede leer con un simple aplicativo –que se demostró que funcionaba‑ voto por voto para poder hacer el sistema de compra de votos. Por consiguiente, el secreto del voto se puede vulnerar con el sistema de boleta única electrónica, tal como sucedió en Holanda, lo que determinó la terminación del sistema, y como ocurrió también en Brasil.
También sería oportuno recordar el discurso del presidente de Venezuela, Maduro, cuando al día siguiente de una elección dijo que tenía la lista de todos los empleados públicos que habían votado en contra del partido. Esto ocurrió previo a una purga.
La compra de votos no se elimina con este sistema. Lo que se hace es utilizar otro sistema para comprar los votos. Es graciosa la norma del proyecto que dice que no se podrán sacar fotos a la boleta, porque están pensando en la boleta papel y no en cómo se puede probar cómo ha votado una persona.
El clientelismo que el gobierno dice que se elimina con esta nueva modalidad tampoco se erradica evidentemente; si no, no habría clientelismo en Venezuela, en Salta, en la Ciudad Autónoma de Buenos Aires o en tantos otros puntos geográficos.
Un último punto al que quiero referirme, porque todo lo demás ya lo he escrito y publicado y lo pueden buscar en las redes, es que yo confío en que el que determine finalmente cuál será el sistema electoral de la Nación sea el Congreso. Entonces, me pregunto si ya han pedido informes sobre el convenio celebrado por el Ministerio de Modernización con una empresa o con el Estado coreano para el desarrollo del software y la provisión de las máquinas. También me pregunto si les mostraron ‑aunque de hecho sé que no ha sido así porque estoy aquí desde la mañana‑ el prototipo que ha llegado desde Corea y que el Ministerio de Modernización y el Ministerio del Interior muestran a determinadas personas; podrían pedirlo, ya que son diputados.
Me pregunto además sobre una cuestión de la que me enteré ayer, relacionada con un funcionario del gobierno que no sabía con quién estaba hablando, obviamente: si es cierto que el gobierno de Corea ha ofrecido como regalo el software que se va a utilizar. Puntualmente, la pregunta es: ¿privatización, tercerización o extranjerización del sistema electoral? (Aplausos.)
Sr. Presidente (Tonelli).– Tiene la palabra la señora diputada Lospennato.
Sra. Lospennato.– Señor presidente: en primer término, agradezco la exposición de la doctora Ferreira Rubio.
Entiendo que, para hacer un estudio más completo, habría que agregar algunos ítems en el análisis numérico de los resultados y el error detectado sobre la cantidad de votantes.
De acuerdo con mi conocimiento, el voto electrónico se aplicó por primera vez en la Ciudad Autónoma de Buenos Aires mientras que la boleta única no era la primera vez que se usaba en la provincia de Córdoba.
Usualmente, la aplicación de un nuevo sistema genera más demoras porque si bien las autoridades de mesa están bien capacitadas, todavía se están adaptando.
En función de los números señalados, la diferencia detectada en la cantidad de votantes que se registran en una mesa es de cinco votos más o menos que los que constan en las planillas. Esa cifra es menor que la prevista en el Código Electoral. Esa diferencia en una mesa de 300 votantes arroja un 1,6 por ciento y en el total de la comuna señalada da un 0,2 por ciento. Entonces, aunque hubiera esa posibilidad de diferencia, sería mucho menor que la admitida actualmente por el Código Nacional Electoral.
Me gustaría que la doctora Ferreira Rubio recordara los datos de la implementación del sistema de boleta única en Santa Fe y la cantidad de votos nulos que se registraron en la primera elección. Yo sé el número, pero tal vez algunos presentes no, y es importante conocerlo porque si no solamente hablamos de las bondades de algunos sistemas y no de sus problemas, que también fueron difíciles de resolver.
Particularmente me preocupa, y quisiera saber si tiene alguna opinión, la eliminación del casillero de voto en blanco que habilita la vulneración de la voluntad de los electores ya que algún “vivo” puede con facilidad agregar otra crucecita y así anularse el voto en el sistema de boleta única.
Sr. Blando.– Señor presidente: quisiera hacer una referencia concreta.
Sr. Presidente (Tonelli).– Disculpe, pero si la Presidencia deja que todos vuelvan a hablar, nos quedaremos aquí hasta mañana.
Tiene la palabra la doctora Ferreira Rubio.
Sra. Ferreira Rubio.– Señora diputada: le agradezco el comentario.
El desliz que estoy señalando no tiene nada que ver con el escrutinio de las mesas. Estoy marcando un error en la carga original de la base del sistema utilizado para brindar los porcentajes de votación en cada mesa.
Como a la señora diputada le interesan los datos, quiero agregar que esa carga se hace muchos días antes porque proviene del padrón. Se trata de un dato público. El padrón cierra mucho tiempo antes; sin embargo, esos datos estaban mal cargados en todas las comunas.
Voy a señalar algo más: esa noche, el 7 por ciento de las mesas no se pudo escrutar porque no funcionaban los sistemas. Entonces el tribunal de la Ciudad ordenó cargar las máquinas en taxis y llevarlas hasta la Legislatura.
Como señala la señora diputada Lospennato, hay que mirar todo porque hay opciones posibles entre la boleta partidaria y el voto electrónico. El diseño de la boleta responde a sus inquietudes sobre el voto blanco, nulo y demás.
Así como se diseña la boleta multipartido, se diseña la boleta única. Los dos distritos tienen distinto diseño: Santa Fe lo ha ido modificando y Córdoba ha ido incorporando casillas para simplificarlo. A la vez hay que tener mucho cuidado en el diseño de las pantallas o el software a utilizarse si se adopta un sistema de voto electrónico.
Enrique Chaparro y Beatriz Busaniche
Fundación Vía Libre
Sr. Chaparro.– Señor presidente: ha sido una larga jornada y estamos todos bastante cansados.
Durante los últimos treinta años, mi actividad principal ha sido la seguridad de los sistemas de información. He pasado por varias universidades; algunas me han graduado y otras me han echado. El último sombrero es fundamentalmente el de mi condición de ciudadano de a pie.
Trataré de combinar todas estas facetas en los próximos diez minutos, señalando algo que dos académicos irlandeses, McGaley y Gibson, señalaban en el momento en que Irlanda analizaba el paso a un sistema de voto electrónico. Ellos decían que ningún sistema electoral es mejor que la confianza que los votantes tienen en él.
Esta es una cuestión central porque, independientemente de que discutamos durante meses cuáles son las fallas reales o percibidas de nuestro sistema electoral, lo cierto es que hay una sensación en la ciudadanía de que hay fallas estructurales en el sistema electoral actual.
Ahora bien, una de las soluciones que propone el Poder Ejecutivo para resolver esta cuestión es una serie de cambios en el método de votación. Nosotros nos oponemos ontológicamente al voto electrónico. ¿Qué quiere decir esto? Esencialmente, que no conocemos forma en que un sistema de voto electrónico pueda garantizar las condiciones fundamentales que nos impone, por ejemplo, el artículo 25 del Pacto Internacional de Derechos Civiles y Políticos; es decir, elecciones genuinas, con voto universal e igual y protegidas por secreto.
Esto se debe no a un capricho ni a una opinión sino a cosas que sabemos en el plano de la teoría. Es imposible construir un sistema de voto que, al mismo tiempo, garantice verificabilidad, secreto e integridad. Este es el llamado “teorema de Hosp y Vora”, resuelto en 2009.
Asimismo, sabemos que cualquier proclama de seguridad que hagamos es “no falsable” en términos de conocimiento científico. Esto quiere decir que puedo demostrar que una condición de seguridad es necesaria pero jamás puedo demostrar que es suficiente.
Además, hay un error conceptual en el artículo 1° del proyecto de ley relativo a la incorporación del artículo 14 bis, ya que las “máximas condiciones de seguridad” solo existen en el infinito.
Nuestra oposición ontológica debería ser explicada largamente, pero tenemos limitaciones de horario y estamos todos muy cansados.
Desearíamos apuntar a algunas cuestiones ligadas al proyecto en particular.
El proyecto de ley intenta justificar que el sistema sugerido resolvería la cuestión que plantea el Tribunal Supremo Constitucional alemán en sus fallos 302 y 402 de 2009 del Segundo Senado del Bundesverfassungsgericht. Esto no es así y permítanme intentar hacer el test por dos vías. En primer lugar, si imprimir el voto fuese la solución a la inconstitucional que plantea el Tribunal Supremo Constitucional alemán, supongo que los alemanes no son tan estúpidos como para no haber agregado un pedacito de papel a su sistema.
En segundo término, si uno hace un repaso de la doctrina alemana y lo expresado por todos los comentaristas jurídicos alemanes a partir de ese fallo, encontrará que mayoritariamente opinan que el camino que deja abierto el Tribunal Supremo Constitucional es muy estrecho. Nada autoriza suponer que una copia impresa garantice que estamos efectivamente en ese camino estrecho.
A partir de la experiencia de otros países, sabemos que el porcentaje de lectura es muy bajo, mucho más aún si pensamos que el modelo favorito del Ejecutivo es el que se aplica en Salta y la Ciudad Autónoma de Buenos Aires. Se trata de un sistema que no fuerza a leer la copia para obtener el voto, a diferencia de otros que implican apretar un botón que dice “sí” o “no” después de haber visto la versión impresa.
Asimismo, a los humanos nos cuesta mucho ‑por diferencias cognitivas‑ distinguir lo que está en pantalla de lo que tenemos en la mano. Cuando escojo una foto a color de una persona y a la vez me presentan en papel impreso una lista de nombres, la posibilidad de deslizar errores es muy alta. Los mejores estándares señalan que por lo menos la mitad de los votantes pasan por alto errores serios por las grandes diferencias entre lo que se ve en pantalla y lo impreso.
Ciertamente, los problemas de índole técnica en el proyecto son muchos y algunos son graves. Por ejemplo, cuando se plantea la auditoría ex post del sistema. Digo con todo respeto que tal vez el Ministerio del Interior, Obras Públicas y Vivienda, podría haber invertido una pequeña cantidad de dinero en preguntar a un estadístico cómo se hace una muestra correctamente. La muestra que arroja un 5 por ciento no tiene ninguna relación con lo que se pretende muestrear. El tamaño de la muestra depende del tamaño de la diferencia. Consecuentemente, con la norma tal como está prevista, en este momento el presidente de la República podría ser otro y el jefe de gobierno de la Ciudad Autónoma de Buenos Aires también otro distinto, y se ajustaría perfectamente a los términos de la ley.
Además, tenemos el problema de que para la asignación de los cargos de los cuerpos colegiados usamos el sistema proporcional D’Hont. Entonces, cuando repartimos el último cargo, la diferencia es muy pequeña. En términos comparativos, la banca número quince para el actual oficialismo, o la octava para el principal partido de oposición en la Ciudad Autónoma de Buenos Aires, se definen por 531 votos. Resiste ampliamente el error en el contexto del 5 por ciento que plantea la ley, y podemos tener casos más extremos.
Otro riesgo que enfrentamos, y que han señalado aquí algunos de los oradores que me precedieron, es el problema de la privatización del sistema electoral. Holanda lo experimentó, y como ya no quiero ser particularmente aburrido, les recomiendo una publicación sobre la cuestión de Anne Marie Oostveen, quien analizó los efectos de la privatización del sistema holandés. Cuando los holandeses recuperaron la autonomía para manejar las elecciones, no sabían cómo hacerlas porque habían estado en manos del sector privado durante más de una década.
Esto es la sabiduría fundamental de la maquinaria de la democracia: si no sabemos cómo hacer elecciones vamos a perderlas todas. ¿Cuánto vale el poder político de un país? No pregunto cuánto cuesta, me pregunto cuánto vale. ¿Cuántas voluntades están dispuestas a sacrificar cualquier cosa por el poder político de un país?
Recientemente un columnista del Washington Post se preguntaba cuánto vale la presidencia de los Estados Unidos. Lo que podamos imaginar que vale el poder político de un país es el presupuesto con el que cuenta el adversario; y a grandes presupuestos le corresponden grandes ataques.
No solo debemos pensar en términos del potencial fraude que un sistema electrónico multiplica maravillosamente; porque el cambio de dos o tres líneas de código en un programa se replica en 95.000 mesas electorales del país a una escala que no podemos lograr con los procedimientos manuales. El problema es la pérdida del secreto o la amenaza de la pérdida del secreto y, en tercer lugar, el problema del sabotaje.
Siempre estamos pensando que estamos compitiendo entre partidos que quieren llegar al poder por vía legítima y están dispuestos a ceder éticamente un poco para robarse unos votos. Pero ¿Qué pasa si se quisiera sabotear el sistema electoral? ¿Qué pasa si en el medio de la elección tenemos un evento catastrófico, tal como un caballo de Troya que pare todas las máquinas de votación a las 12 y 35 de la mañana? Estamos sin red. El proyecto que plantea el Poder Ejecutivo no tiene ninguna alternativa. Si se nos presenta un evento catastrófico tenemos un incendio en términos del sistema político y tendremos que suspender una elección. Esto se logra con tres o cuatro líneas de código que eventualmente insertó un obrero de una factoría china dentro de un chip, que está entre los miles de chips de una máquina.
No quisiera ser ave de mal agüero, pero mi función desde el punto de vista de una organización de la sociedad civil es ser opositor, independientemente de quién sea el oficialismo.
Finalmente, quiero tomarme este último minuto ‑al margen de que quedamos abiertos a cualquier tipo de preguntas que nos quieran formular por fuera de los límites de tiempo de esta reunión- para referirme a las disonancias que existen en términos del régimen penal que se impone en el proyecto del Poder Ejecutivo.
Quiero señalar varias cuestiones. En primer lugar, el hecho de que aparezcan tipos penales nuevos significa que el Poder Ejecutivo está evaluando que existen amenazas nuevas respecto de aquello que ya teníamos. A nadie se le ocurriría, por ejemplo, crear una figura penal por derribar aviones con el pensamiento. Nadie va a crear un tipo penal relacionado con la tentativa supersticiosa.
Entonces, ciertamente lo que se está percibiendo es que hay nuevas amenazas que necesitan un nuevo régimen penal y que las que existían permanecen; si no, hubiéramos sustituido el régimen penal existente.
Además, quiero señalar que, por ejemplo, el proyecto se lleva puesto el criterio de proporcionalidad de la ley penal. Voy a dar dos ejemplos simples: por el artículo 134, si yo interrumpo a un empleado de correos que lleva un telegrama con los resultados, estaré condenado a una pena de prisión de entre seis meses y dos años. Si interrumpo el cable que comunica un lugar de captación de votos con el lugar de acopio, la pena varía entre dos y seis años; mismo delito y distinta figura, dependiendo del medio comisivo.
Quisiera señalar que algunos delitos electorales, que son delitos de intención, están planteados en términos más duros que el abuso sexual de personas menores de 13 años. (Aplausos.)
Sr. Presidente (D’Agostino).– Tiene la palabra la señora diputada Lospennato, para hacer una consulta a nuestro invitado.
Sra. Lospennato.– Señor presidente: mientras escuchaba la exposición, no pude dejar de pensar en los temores infundados del Y2K y en que el mundo hoy se mueve sobre transacciones electrónicas. Cuando uno entra a un quirófano, si pensara que todo puede fallar y todo puede ser vulnerable no podría someterse a ningún tipo de operación. Yo, por ejemplo, tuve una intervención en los ojos y recuerdo que el chip venía de no sé qué país.
Para hablar sobre cosas concretas y porque creo que nos puede ilustrar en esto, me gustaría saber dos cosas: una es si en su análisis ustedes han detectado esta magnitud de peligro concreto, si en algunas elecciones han verificado en cuánto se ha podido vulnerar –yo no tengo esos datos‑ el sistema electrónico de votación y, por otro lado, si tienen alguna manera de ponderar en relación al sistema de boletas partidarias que tenemos en la actualidad en la Argentina ‑yo digo en la Argentina, pero puede ser en todo el mundo pero en la Argentina es el lugar donde yo sí puedo conocer bastante mejor las maniobras de fraude‑ las diferencias y, sobre todo, la opacidad de los mecanismos de conteo.
No pude conversar con el ingeniero De Giusti, pero, la verdad, es que él habla de la filmación del proceso de escrutinio. El proceso de escrutinio no es que solamente no se filma en la actualidad, ni siquiera se puede ingresar. La prensa no puede ingresar a los centros donde se hace el escrutinio definitivo, que está reservado solamente para las agrupaciones políticas, como que la sociedad no tuviera que mirar eso, que es terrible.
Entonces, ambos datos me gustaría saber: si ustedes han hecho una comparación en relación a la potencialidad de fraude, pero, además, a las diferencias reales y registradas, que son verificables a través de las anulaciones de votos, las nuevas elecciones que se tienen que hacer en algunas mesas y algunos de estos hechos que usted señaló se podrían hacer de vulneración de los sistemas electrónicos actualmente existentes.
Sr. Chaparro.– Gracias, señora diputada, por la pregunta.
En términos puntuales, hay varios miles de incidentes que podríamos reportar. Probablemente, el más recientemente escandaloso sucedió en Bélgica en 2014, que llevó al parlamento valón –Bélgica es un Estado federal y tiene tres parlamentos‑ a decidir pocos meses después que todas las futuras elecciones en Valonia iban a ser conducidas en voto papel. Básicamente, el problema consistió en atribuciones incorrectas de votos en un sistema electoral relativamente complejo como es el belga.
En términos generales, lo que sostenemos es: hay algún punto de equilibrio posible donde la sociedad debe estar alerta de que está cediendo en parte algún derecho fundamental. Lo que debemos preguntarnos es si vale la pena esa cesión. Si quiere, después le paso por correo electrónico una lista de casos, porque si nos ponemos a repetirlos aquí probablemente hagamos una afectación excesiva de tiempos.
Respecto de las nulidades, yo quisiera señalar que Brasil, que vota ciento por ciento con voto electrónico, tiene el índice de voto nulo más alto del mundo. El número de votos nulos en la última elección brasileña supera con holgura la diferencia entre los dos primeros candidatos. Ese es un indicador complejo.
Finalmente, quisiera señalarle que, en términos mucho más generales, no necesariamente hay un camino unívoco y un sino trágico que ha de llevarnos a aplicar este tipo de tecnologías. Las tecnologías de voto electrónico con una pantallita para seleccionar los candidatos tienen más de cuarenta años de antigüedad. En este tiempo, tecnologías aparecieron y desaparecieron. El otro día se fabricó el último videocasete.
Sin embargo, a pesar de esos cuarenta años, el nivel de adopción de los sistemas de voto electrónico ha sido más bien pobre. Solo tres países del mundo lo utilizan para el ciento por ciento de sus elecciones; Bélgica lo utiliza para el 44 por ciento y los Estados Unidos para menos del 30 por ciento. Alguna razón debe haber para que, de los veinte primeros países del mundo en términos de índice de desarrollo humano, todos voten con boletas de papel.
Sr. Presidente (Tonelli).– Tiene la palabra la señora diputada Frana.
Sra. Frana.– Señor presidente: mi intervención será muy breve.
En una de las reuniones de hoy, uno de los funcionarios advirtió, respecto a estas observaciones sobre las situaciones de Alemania y de Holanda, que se trataba de dos esquemas diferentes, que una cosa era voto electrónico y otra la boleta electrónica.
Lo que le quiero preguntar al señor Chaparro es si esta diferencia minimiza de alguna manera estos errores o cuestiones que él ha expuesto muy claramente, porque los funcionarios titularon esta situación pero no explicaron los motivos de las diferencias. Entonces, quiero saber si estas diferencias minimizan los riesgos expuestos.
Sr. Presidente (Tonelli).– Tiene la palabra el señor Chaparro.
Sr. Chaparro.– Gracias por la pregunta, señora diputada.
Algún teórico político dijo que el objeto de las elecciones no es hacer buena aritmética sino determinar ganadores. Ciertamente, vamos a tener algún análisis por diferencia. En todo caso, el problema está en poder ajustar nuestro sistema electoral a los mecanismos que resulten más sencillos y útiles.
Probablemente sea una buena idea votar con boletas de papel y contar electromecánicamente. En general se ha probado que funciona. La mayoría de las elecciones en Estados Unidos se hacen con ese procedimiento. Nos deja una buena constancia de cuál es la voluntad del elector, a diferencia de la constancia difusa que deja votar en una pantalla, que tiene tres elementos constitutivos de la voluntad: el dedo en la pantalla, el registro electrónico y el registro impreso.
El caso particular que ha planteado la señora diputada es el de las diferencias en la Ciudad Autónoma de Buenos Aires. La Ciudad de Buenos Aires ha tenido unos cuantos problemas. Afortunadamente, la elección salió razonablemente bien. Muchos problemas no se advirtieron porque el resultado de la primera vuelta estaba consolidado con los dos tercios de los votos emitidos o bastante menos. Uno de los resultados más sorprendentes es que el 6 por ciento del total de mesas electorales de la ciudad tardaron más de catorce horas en ser computadas, en una ciudad que tiene los índices de educación más altos del país y distancias brevísimas. Uno está a quince minutos de cualquier extremo de la ciudad; sin embargo, de un determinado número de escuelas tuvieron que llevarse las máquinas en taxi para computar la elección.
En el caso de Salta, si me permiten dar un par de cifras, hay una cuestión interesante que tiene que ver con algo que se ha dicho al principio sobre la confiabilidad. El CIPPEC ha medido ciertos niveles de confiabilidad en las elecciones, incluyendo la confianza pública en el secreto del voto. Los resultados arrojan alrededor del 85 por ciento en el conurbano bonaerense, 83,5 en Santa Fe en la última elección, 85 por ciento en Salta en la elección de 2011 para los dos tercios que votaron con papel y 75 por ciento para los que votaron con sistema de voto electrónico. Es razonable, porque es una tecnología nueva y debe de haber cierto nivel de prevención. El problema es que, en la medición siguiente, en 2013, que se realizó con voto electrónico en su totalidad, el nivel de confianza en el secreto del voto del electorado salteño era del 57 por ciento.
No se hizo medición en 2015, pero si uno mapea las opiniones de los presidentes de mesa es probable que haya seguido descendiendo. No sé si esto responde específicamente a su pregunta, señora diputada.
Sra. Busaniche.– Señor presidente: ¿puedo agregar algo?
Sr. Presidente (Tonelli).– Tiene la palabra la señora Busaniche.
Sra. Busaniche.– Señor presidente: quisiera agregar que además de las razones que la doctora Ferreira Rubio mencionó más temprano refiriéndose a que el sistema de boleta electrónica no es un sistema de voto electrónico, eso se implementó por decreto porque si se trataba del voto electrónico, debía contar con el apoyo de las dos terceras partes de los votos en la Legislatura porteña.
En la práctica, es un sistema de voto electrónico. La única diferencia sustantiva es que, habiendo un dispositivo electrónico de almacenamiento de la información, en lugar de que esté en la computadora en la que se emite el voto, está en las boletas. Pero esto no hace que sea diferente, porque al igual que en el sistema de votación electrónica hay emisión, registro y conteo.
Leonardo Martínez
Ministerio de Economía de la Provincia de Santa Fe
Sr. Martínez.– Señor presidente: agradezco la invitación a participar de esta reunión.
Siendo profesional en el área informática desde hace más de veinte años, dediqué la mayor parte de mi tiempo a difundir el uso de las tecnologías informáticas en la sociedad, tanto desde el ámbito privado como desde mi rol de agente del Estado provincial.
He participado en muchas elecciones, pasando por todos los sistemas aplicados en la provincia de Santa Fe, partiendo de la ley de lemas, pasando por las boletas por partido y llegando a la boleta única en papel. He estado tanto en los comicios, es decir en el momento del voto, como en el escrutinio provisorio e incluso el definitivo.
Comparto plenamente el interés y la idea de llevar adelante la reforma del proceso electoral sobre todo en lo relativo a eliminar la boleta partidaria. Sin embargo, no creo que la boleta electrónica cumpla con el rol que se le está queriendo dar. Me parece que la boleta en papel sí cumple ese rol y lleva adelante los problemas de la boleta partidaria.
Sobre muchos aspectos ya se han expresado correctamente la doctora Delia Ferreira Rubio y el señor Enrique Chaparro. Por ello, solamente me referiré a algunas cuestiones señaladas esta tarde.
En principio, una de las cuestiones que se mencionaron anteriormente es que el dispositivo no tiene memoria. Este es un concepto erróneo, no hay software que no pueda ejecutarse sin el uso de memoria. Sí podríamos cambiar el término por dispositivo de almacenamiento definitivo o permanente. Empecemos a utilizar los conceptos y los términos como corresponde, porque genera esa confusión en la gente.
En cuanto a si el software es secreto, cuestión ya mencionada en cuanto a que se puede modificar el software que va en el DVD cuando se hacen las auditorías, les aclaro que los DVD no se pueden grabar; lo que está ahí no se puede modificar y solamente se puede auditar lo que se encuentra allí dentro.
Otro tema ya tratado por el doctor Landau, es llevar adelante el uso de software libre, que tampoco es garantía de que el sistema funcione. No porque yo esté en contra del software libre, de hecho, soy usuario y promotor del uso del software libre desde finales de los 90 y principios del 2000, cuando empezó a circular por el mundo.
Otra cuestión que quizá no esté en conocimiento de la mayoría, es que en el caso puntual de la utilización de software en Santa Fe -si queremos llevar este sistema a dicha provincia- hay una ley del año 2010 que exige que todo software que utilice el Estado provincial tiene que ser libre. O sea que, de llevar este equipamiento con software a la provincia de Santa Fe, tendremos que llevarlo como software libre.
Reitero que es una norma nacional; o sea, esto no se puede implementar en Santa Fe.
Sr. Presidente (Tonelli).– Pero esta es una ley nacional, no tiene nada que ver.
Sr. Martínez.– Con respecto a la comparación con el sistema bancario, éste exige para todo tipo de transacción la identificación de la persona; no hay transacción bancaria en la cual no sea necesario identificar a la persona. Entonces, haciendo la analogía con el voto, estamos rompiendo el secreto del voto.
Otro aspecto que tienen los sistemas bancarios es que los bancos pagan un seguro para los problemas que pueda haber en las transacciones. ¿Qué compañía de seguros va a emitir una póliza para garantizar que el sistema de elecciones es correcto y no tiene problemas?
No quiero quitar tiempo a los restantes oradores; la doctora Ferreira Rubio y la gente de Vía Libre han resumido bastante los temas que quería exponer, de manera que finalizo mi exposición. (Aplausos.)
Iván Arce
Fundación Sadosky
Sr. Arce.– Señor presidente: agradezco la invitación.
Trataré de ser lo más breve posible. Es difícil hablar en diez minutos sobre seguridad en TIC y voto electrónico. Hace veinte años me dedico profesionalmente a la seguridad en TIC en el sector público, el privado, y en la comunidad académica y de practicantes en el ámbito nacional.
En el ámbito internacional trabajé dieciséis años en el sector privado en una empresa de seguridad informática y actualmente lo hago en la Fundación Sadosky, coordinando un programa de seguridad en TIC. Durante doce años fui editor de la revista IEEE Seguridad y Privacidad. IEEE es una asociación profesional de ingenieros electrónicos electricistas, una de las dos más importantes del mundo en la materia. Además, soy el fundador del Centro para el Diseño del Software Seguro de IEEE.
Dicho esto, aclaro que mis comentarios y observaciones son a título personal. Ninguna de las instituciones que mencioné fue consultada o participó en la elaboración del informe. Es decir que hablo en calidad de experto a título personal.
Trataré de tomar algunos puntos mencionados por anteriores oradores que se refirieron a temas que yo iba a considerar. Comienzo con lo señalado por la doctora Tula acerca de los tres principios rectores que uno debería esperar del voto electrónico, los que de hecho están enunciados en el artículo 1° del proyecto de ley. Ella hablaba de integridad, auditabilidad y secreto. Cuando se trata de un sistema informático, ello debe traducirse a propiedades del sistema. Una cosa es hablar de principios o deseos y otra distinta es que un sistema contenga esas propiedades y pueda garantizarse que el sistema las brinde y se cumplan. Para lograrlo, en la ciencia de la computación generalmente se recurre a la matemática. Hay que verificar, garantizar y demostrar matemáticamente que el sistema cumple con esas propiedades.
Enrique Chaparro hizo mención a un teorema de 2008 que precisamente demuestra matemáticamente que no se puede construir un sistema que satisfaga simultáneamente esas tres propiedades. Ese no es el fin del mundo y ahora pasaré a explicarles el motivo. La conclusión es que hay una demostración matemática de que no se puede construir un sistema que satisfaga simultáneamente las tres cosas. Ahora bien, esa demostración matemática dista de la implementación práctica.
La seguridad en las tecnologías de información y comunicaciones trata precisamente de manejar el riesgo de los sistemas tecnológicos imperfectos en presencia de ataques o adversarios. Justamente a eso me dedico. En este punto hay que hacer una nueva salvedad relativa a la presencia de los adversarios. La seguridad en TIC estudia sistemas informáticos o tecnológicos, pero no desde el punto de vista de los fenómenos naturales sino de la presencia de actores adversarios con capacidad de acción variada. Se trata de agentes inteligentes con recursos, conocimientos, incentivos o desincentivos, con capacidad de acción variada.
Hay que caracterizar correctamente cuál es el adversario. En el contexto de un sistema electoral, el adversario varía entre un entusiasta de la informática que tiene intenciones de causar problemas o curiosidad, hasta una o varias agencias de inteligencia estatales, nacionales o extranjeras. En el medio hay una gran variedad de potenciales adversarios: organizaciones delictivas, nacionales y transnacionales; el proveedor del sistema y toda su cadena de abastecimiento; un grupo de activistas; un tipo como yo que sabe de informática y de seguridad; o un conjunto de personas que quieran hacer algo dañino.
Por lo tanto, es necesario caracterizar a los adversarios adecuadamente y diseñar los sistemas para prevenir las amenazas identificadas de cualquiera de estos adversarios. Hay que determinar cuál es el criterio de aceptación; es decir, el nivel de riesgo que uno quiere asumir en el uso de un sistema que -como ya lo he dicho- es imperfecto, y hay que explicitar tal criterio.
El proyecto de ley que estamos tratando habla de la seguridad en el artículo 1º enunciando principios, pero no habla de cuestiones precisas en todo el resto del proyecto. Por lo tanto, deja un margen muy amplio y abierto a que puedan suceder cosas malas o buenas. En principio esto es preocupante, porque lo que sucede generalmente en la práctica es que cuando ello sucede, no es bueno, no es la situación ideal sino todo lo contrario.
Ya se ha hablado de la auditoría y de los plazos, particularmente del artículo 15 del proyecto –si no me equivoco-, con respecto al cual voy a formular algunos comentarios. El primero y principal es que en los casos previstos en el artículo 15 hablan de la auditoría de los 120 días anteriores a la elección, pero desde el punto de vista de la seguridad informática o TIC es todo el proceso de desarrollo de un sistema electoral. El mismo abarca su concepción, diseño, implementación, prueba en laboratorio, prueba de campo, puesta en funcionamiento, mantenimiento, la elección y lo que sucede después.
En el mundo de la seguridad informática y de la seguridad del software no basta con llevar a cabo la auditoría en los artefactos, en los códigos de los programas; hay que tener una idea de las prácticas empleadas y las actividades. Hay un conjunto de prácticas conocidas, tendientes a minimizar el riesgo durante todo el ciclo de vida de desarrollo de los sistemas tecnológicos. Todos estos elementos deben ser tenidos en cuenta a fin de minimizar el riesgo de seguridad de un sistema de esta naturaleza.
Independientemente de ello, una auditoría de veinte días es claramente insuficiente para lo que se está tratando. Ustedes podrían preguntarme: ¿cuántos días son suficientes?
La respuesta sería que no les puedo responder porque no sé cuál es el sistema, qué grado de complejidad tiene, cuáles son los componentes que usa, cuáles son los proveedores del proveedor ni cuál es la práctica ni el nivel de madurez -en términos de seguridad- que tienen cada uno de ellos.
Solo es posible determinar cuáles son las necesidades de auditoría cuando se tiene alguna especificación o alguna indicación concreta sobre qué es lo que se quiere auditar. Creo que eso es algo que se debería considerar, así como también quién lo determinaría; porque evidentemente no se puede establecer mediante una ley de antemano. Posiblemente no se pueda fijar en una reglamentación y tendremos que considerarlo de una manera un poco más precisa.
El doctor Tullio hablaba de las diferencias entre auditoría y homologación, sugería retirar la palabra homologación. Al respecto tengo para decirles que la palabra homologación se podría reemplazar por certificación; pero tanto una certificación como una homologación se hacen con respecto a un criterio previo preestablecido, definido de antemano; y es muy difícil definir criterios de antemano.
La autoridad de asistencia electoral de los Estados Unidos se tomó cinco años para definir los criterios de homologación de sistemas electorales, tecnológicos, con dos períodos de 120 días abiertos a comentarios y sugerencias el público en general.
Tengo muchos más comentarios para hacer, pero creo que me voy a enfocar en uno que me parece fundamental y que es un tanto preocupante del proyecto de ley que son los artículos 59 y 60. El artículo 60 es el que crea el delito informático electoral y el artículo 59 habla de otros delitos. En ellos se mencionan prácticas que son frecuentes en investigación y desarrollo en seguridad informática o TIC, para hacerlo más general, y eso es preocupante porque el efecto del desincentivo o del temor que puede generar en la comunidad de investigación, tanto de practicantes como académica por explorar e identificar problemas de seguridad en los sistemas propuestos va directamente en detrimento de la seguridad del sistema.
En seguridad informática ‑la seguridad TIC‑ el ataque y la defensa de un sistema se complementan y son ambos necesarios. Desde el año 800 esto se aplica en los sistemas criptográficos, desde 1950 más o menos en adelante, seguramente desde 1970, en la práctica de seguridad informática moderna. Son necesarias ambas cosas y hay que incentivar ambas cosas. Solo se pueden solucionar los problemas de seguridad si hay gente activa y sistemáticamente buscando los problemas para arreglarlos y aquello que vaya en detrimento ‑con buena o mala intención no importa‑ de esa práctica, en realidad presenta un potencial problema que puede redundar en mayor inseguridad; no en mayor seguridad de los sistemas previstos. (Aplausos.)
Dr. Alfredo Ortega
Instituto Tecnológico Buenos Aires
Sr. Ortega.– Señor presidente: me voy a presentar. Soy Alfredo Ortega, tengo un doctorado en informática del Instituto Tecnológico de Buenos Aires y además de la experiencia académica me especialicé en auditoría y seguridad de software por casi 15 años, en los cuales estudié y me compenetré en el estudio y en la creación de ataques de software y de hardware en todo tipo de dispositivos, como pueden ser computadores y también dispositivos móviles, celulares, impresoras ‑porque las impresoras son computadoras‑, y específicamente en sistemas de voto como fue la boleta única electrónica que se usó el año pasado.
Quiero, en primer lugar, decir que todo sistema tiene ventajas y desventajas. Las ventajas están sobrerrepresentadas en el proyecto y acá venimos a hablar, lamentablemente, de las desventajas, y si uno tiene más desventajas que ventajas hay que pensar si conviene o no implementarlo. Como ya muchas personas lo dijeron, las tres características fundamentales que debe tener un sistema de voto, que son auditabilidad, resistencia al fraude y secreto, no se garantizan en este sistema; lo cual lo hace muy vulnerable a la coerción, a la presión del votante.
Específicamente escuché que muchos hablaban de las posibilidades de auditar el sistema y yo trabajé mucho tiempo en auditorías y es imposible auditar este sistema en el tiempo que se aloca. Es bastante lógico si uno piensa que son decenas de personas desarrollando un sistema por diez años y uno lo quiere auditar en 180 días. Es imposible hacer eso.
Además, uno puede auditar una máquina, pero hay casi 90.000 máquinas que no necesariamente son las mismas. Entonces, la auditoría para este sistema de voto se hace imposible lamentablemente. No es extrapolable a nivel nacional; se lo puede hacer con una universidad o con un equipo de fútbol, pero con un país.
Por esa razón es que no se puede mantener el secreto del voto, porque realmente no se puede confiar en lo que hay dentro de una computadora. Nadie sabe a ciencia cierta todos los miles de componentes que tiene una computadora adentro. Entonces, lamentablemente el votante no puede confiar en nada que contenga un componente electrónico.
Hay un dato interesante: la misma boleta electrónica tiene una computadora adentro. Lo oí nombrar como “memoria”, pero eso es una computadora. La misma boleta tiene una computadora adentro, cuyo código nadie sabe quién lo escribió ni quién lo fabricó.
Aparte de eso, me voy a referir a los ataques específicos a los sistemas de votos. En los ataques de los adversarios uno se va a enfrentar con gente que está muy preparada; hay ataques que no se pueden detectar con las auditorías. El sistema de boleta única electrónica pasó por muchas auditorías y muchas universidades. Todas las que conozco auditaron este sistema y cada una de ellas le encontraba una falla distinta. Es una falacia que uno puede limpiar un sistema de vulnerabilidades: uno jamás va a dejar de encontrarlas.
Después de que todas estas universidades hicieron su auditoría, lo vi yo personalmente y encontré otra vulnerabilidad que permitía poner muchos votos a la misma persona en la boleta. Es algo básico en el conteo de los votos, pero se les pasó y no porque hayan sido malas personas, sino porque es algo natural del software. Esto ocurrió, no porque no hubieran estado preparadas, sino porque como auditor sé que es imposible sacar todas las fallas de un sistema. Y lamentablemente el sistema de voto no tolera fallas. No es como un sistema de tarjetas de crédito o de cajeros automáticos que sí son tolerantes a las fallas. Este sistema no tolera fallas, porque una falla permite que haya un error en la elección, se elija a otra persona y no se pueda volver atrás. Con el uso de una tarjeta de crédito, uno puede volver hacia atrás perfectamente cualquier transacción.
Quiero hacer mención de un dato muy interesante al que nadie se ha referido: los ataques prácticos, no teóricos, que sufrió el sistema de voto de boleta única electrónica que se implementó en la Ciudad Autónoma de Buenos Aires tuvieron lugar a los pocos días de ser implementado. Antes de la votación ya había sufrido 4 ataques informáticos de los cuales hay registros de la policía. En uno de ellos, la policía allanó a Joaquín Sorianello, pero al final resultó que no era el atacante, sino que era justamente la persona que les avisó.
Quiero centrarme en los que nadie habla, es decir, los dos ataques que la policía no pudo encontrar. No sé si saben de dónde salieron esos ataques. Uno salió de San Antonio de Texas y otro de New Jersey. Con este dato que parece así tan tranquilo, la policía tiene evidencia del primer ataque internacional al voto electrónico. La policía no pudo hacer absolutamente nada porque se trata de otro país, de otra jurisdicción. Fue un ataque internacional y sucedió antes de la primera votación.
Es importante explicar que, en el ambiente informático y electrónico, todos los países se están atacando. Existe algo que se denomina “ciberseguridad”, que es un área moderna; todos los países están tratando de atacarse constantemente. Son expertos en hacerlo. No por nada este ataque ocurrió a los pocos días de estar el sistema online.
La policía, que es realmente eficiente y sobre la que no podemos decir que no cuente con los recursos porque los dos ataques de las personas en Argentina fueron individualizados en un tiempo muy corto, no podía hacer absolutamente nada contra un ataque internacional.
La empresa dice que estos sistemas de voto no son vulnerables porque, por ejemplo, no están conectados a internet, lo que es totalmente falso. El famoso ataque de Stuxnet se ha ejecutado sin tener las máquinas conectadas a internet. No se puede pelear contra un adversario que tiene diez o veinte años de experiencia de ataques a sistemas informáticos, cosa que yo tengo.
Uno puede creer que los ataques son cosas que les pasan a otras personas, que no va a pasarle a este sistema electrónico y que se va a poder frenar y detectar. Los ataques efectivos son los que no pueden detectarse.
Por casualidad me mandaron un e-mail para invitarme a participar de esta reunión. En él había un link que me llevaba al sitio de la Cámara de Diputados, el que tenía una falla por el cual uno podía entrar y bajar los datos de todos los empleados, diputados, pedidos de declaración jurada, etcétera. Este es el mismo tipo de falla detectada en los casos de Panamá Papers y Wikileaks. Es algo muy común y sencillo de hacer. Obviamente de inmediato lo reporté al sistema de seguridad, a la Dirección de Informática, que fue muy expeditiva en el arreglo de este problema. Para que se queden tranquilos les digo que ya no hay acceso a esos datos. Este tipo de fallas es prevalente en la mayoría de los sistemas.
En conclusión, quiero señalar que es muy difícil hacer un sistema totalmente seguro y simple. El mundo se está moviendo para alejarse del voto electrónico. No quiere decir que en el futuro se pueda llegar. Pero hoy en día no es posible. Y como medida de prevención los países se están alejando del voto electrónico mientras que la Argentina está acercándose. Pero no podemos estar en contra del conocimiento mundial; por algo actúan de ese modo. Aprendamos de la gente con experiencia y tratemos de lograr que el voto no involucre el uso de ningún sistema informático. (Aplausos.)
Dr. Daniel Penazzi
FAMAF, Universidad Nacional de Córdoba
Sr. Penazzi.– Señor presidente: soy doctor en Matemática con título de la Universidad en Minnesota, Master in Science y licenciado en Matemática.
Actualmente soy profesor en la Facultad de Matemática, Astronomía, Física y Computación de la Universidad Nacional de Córdoba. Si bien mi título es en matemática, como hay computación en esa universidad, hace diecisiete años que enseño, dedicándome particularmente a la criptografía. Asimismo, les comento que tengo dos papers publicados sobre voto electrónico.
Como el tiempo es poco, voy a darles una pequeña clase sobre los sistemas de voto electrónico en general. Hay sistemas que usualmente se llaman DRE, que en inglés significa Direct Recording Electronic Voting Machines, en donde el acto de generar el voto y contarlo está en la misma máquina. Esos sistemas pueden o no tener un registro en papel y son muy peligrosos ya que quince años o más de ataques han demostrado que no deben usarse.
Hay sistemas alternativos con diversos nombres. Uno de ellos es IRE, que significa Indirect Recording Electronic Voting Machines, en el que se trata de imitar lo que uno hace cuando vota a mano. Es decir que el votante genera un voto que de alguna forma se plasma en algún objeto físico que se deposita en una urna donde se anonimiza y posteriormente se cuenta. Esos sistemas son mucho más seguros que los sistemas DRE con o sin papel. Acá el problema no es que haya un registro en papel, porque por ejemplo en Venezuela tienen registro en papel, pero –como se mencionó en esta sala‑ eso solamente ataca el problema de la integridad y la verificabilidad. Los DRE son peligrosos porque vulneran el secreto del voto dado que la misma máquina que los genera los cuenta, entonces el votante por su cuenta no puede saber si su votó será revelado de alguna forma. Por eso los sistemas IRE son mejores.
Eso no significa que no se puedan hacer mal. Yo quería aclarar que en este proyecto de ley hay un par de puntos que presentan algunas contradicciones.
En el artículo 15, donde se define el sistema de emisión de sufragios con boleta electrónica, se está definiendo un sistema DRE con papel; y en los artículos 31, 33, 37 y 38 se está definiendo un sistema IRE, o sea que la misma ley se contradice.
Obviamente que creo que los que hicieron este proyecto están pensando en un sistema parecido al de MSA, o sea un sistema IRE. Repito que la diferencia entre estos dos sistemas no consiste en que haya algún registro en papel; sino que en los sistemas IRE no debe quedar ningún registro de la elección del votante en la máquina que lo genera.
Por más que decidamos corregir el artículo 15 para tratar de reflejar lo que dicen los artículos 31, 33, 37 y 38; debe estar explícito que el sistema que genera el voto no guarda ningún registro, y ello no se encuentra en ningún artículo de la ley. De no hacerlo así, podrían suceder los hechos que ocurrieron en Brasil.
Hace poco, Brasil fue “hackeado” por el investigador Diego Aranha, quien reveló que por una mala implementación de algoritmos criptográficos se puede reconstruir el orden de votación de todos los votantes, y de esa forma, sabiendo en qué momento se votó, se puede conocer quién votó. Entonces es importante cambiar estos puntos en la ley.
Por supuesto que sería mejor no implementar un sistema de voto electrónico. Como mucha gente ha expresado, desde el punto de vista de la seguridad, el sistema de boleta única en papel, y realizar luego el conteo a mano, es mucho mejor que este sistema.
Si quieren rapidez, tal como aclaró Enrique Chaparro y otros expositores, los sistemas electrónicos que se usan en casi todo el mundo son para el proceso del conteo. Es decir, uno genera el voto a mano, con lo cual resuelve todos los problemas de seguridad que presentan los sistemas electrónicos de generación del voto, y luego sí se cuentan electrónicamente. Por supuesto que hay que llevar a cabo una auditoría luego de la elección, tal como lo indica aquí el artículo 111 bis, que creo fue introducido. De esta manera se aíslan los dos problemas.
El mayor problema de seguridad está en la generación del voto porque la máquina está en contacto con la persona que está votando. Es un derecho fundamental, no es simplemente un derecho de la sociedad, el derecho fundamental del votante no es sólo que sea secreto, sino que él sepa por su cuenta que el voto no está siendo revelado. Ni el sistema propuesto por MSA ni en la ley queda claro que se le ofrezca esa garantía al votante.
Hay métodos, aunque no son cien por ciento seguros, que la literatura sugiere para intentar que el votante tenga alguna seguridad por su cuenta; sin tener que depender del presidente de la compañía ni de quienes auditaron el voto. Aunque la ley no los prohíba, la forma en que están redactados los artículos 31, 33, 37 y 38, no parecerían dejar lugar a ese tipo de sistemas.
Si bien en la literatura hay sugerencias, es una opción bastante costosa y posiblemente tenga otros problemas. Aunque quizá de aquí a un par de años esos sistemas puedan llevarse a cabo, en general yo no los recomendaría porque, por ejemplo, usan criptografía, encriptación homomórfica, zero knowledge proof y un montón de otras cosas que sería difícil explicárselas al común de la gente.
Es decir, por más que uno pueda diseñar un sistema que en abstracto sea bueno, explicárselo a millones de personas no va a ser fácil. Por ejemplo, la IACR, International Association for Cryptologic Research, tiene un sistema de voto no solamente electrónico sino también a distancia, y lo usan. Pero ellos mismos dicen que ese sistema sirve para ellos porque son criptógrafos y saben lo que están haciendo. No es un sistema que se pueda adoptar masivamente.
Entonces, aun cuando uno pudiera de alguna forma técnica resolver estos problemas, siempre quedaría la cuestión de cómo explicárselo a millones de personas.
Por eso, en general se recomienda que todo sea manual o que, por lo menos, que la generación del voto sea manual y luego sí se puede hacer un conteo electrónico del voto.
Para finalizar –aunque tenía muchos temas me dieron poco tiempo-, voy a plantearles una analogía. Hay gente que se opone a las centrales nucleares y gente que está a favor. En general uno hace un análisis de costo y riesgo versus beneficio y estará de un lado y del otro; pero aún la gente que está a favor de las centrales nucleares no tiene la locura de la central nuclear como si fuese una central termoeléctrica común.
Entonces, muchos de los que estamos aquí hacemos la relación costo, riego y beneficio del voto electrónico y concluimos que es mejor quedarnos con el papel.
Algunos de ustedes pensarán que no, que les parece que la ecuación da por el lado de los beneficios. Ustedes son los legisladores y si ustedes quieren adoptar el voto electrónico, está bien. Pero, por lo menos, diséñenlo bien. No dejen todos estos huecos que hay acá porque va a ser un desastre.
Muchos me dieron que hay que demostrar. No hay que demostrar. Nosotros no tenemos que demostrar nada. La persona o compañía que introduzca o proponga el sistema es quien tiene que hacer una serie de afirmaciones de seguridad y demostrar que esas afirmaciones se cumplen. No estoy diciendo que deban probar que es un ciento por ciento seguro, pero, por ejemplo, si dicen que la máquina que genera el voto no tiene ningún registro, que lo digan explícitamente y que luego si se verifica que sí tiene un registro y que lo guarda, y así como hay penalidades para el que se mete y vulnera el sistema, tiene que haber penalidades penales no sólo económicas para el que dice que está presentando un sistema que no tiene una característica y luego resulta que tiene vulnerabilidades.
El votante, como dije antes, tiene su derecho fundamental a que su secreto no sea revelado, y para que le quede otra analogía en la cabeza el sistema debe ser tal que el votante piense que la máquina en la cual va a interactuar para producir el voto, es su enemiga no su amiga y sin embargo el protocolo que le están dando para que vote le permite burlarla y ganarle. Si no tiene eso, como no lo tiene esta ley y como no lo tiene el sistema MSA, es un problema grave.
Finalmente, hago otra analogía, uno no construye un puente y dice, pasemos los autos y después dice: “Mire, el puente es seguro, ya pasó una semana y no se cayó ningún auto.” La gente que construye puentes hace cálculos y demuestra que el puente está bien construido. (Aplausos.)
Javier Smaldone
Ciudadano argentino
Sr. Smaldone.– Señor presidente: gracias por la invitación.
Yo soy programador, soy administrador de redes y de sistemas. No soy especialista en seguridad informática. Sé lo suficiente de eso para sobrevivir en lo que hago. No pertenezco a ninguna entidad, ningún organismo ni club de fútbol ni partido político, así que vengo acá a hablar como un ciudadano común y por el poco tiempo que tenemos y lo cansados que estamos todos a esta altura de la noche, me gustaría poner el foco en alguna cosa que se ha mencionado, sobre todo en los últimos discursos, pero en gran parte del día se ha pasado por arriba, que es el tema del secreto.
El énfasis mayormente ha estado puesto en lo que es auditabilidad y verificabilidad, saber que los resultados son correctos, saber que los conteos están bien hechos, tener forma de verificar si ese conteo electrónico coincide con un conteo manual, pero nos olvidamos de una cosa. Como recién decía Enrique Chaparro y lo repitieron otros, está probado que no se puede tener un sistema ni electrónico ni manual ni de ningún tipo que permita a la vez garantizar el secreto, la auditabilidad y la verificabilidad.
Aquí en la Argentina tomamos una decisión: hace ya mucho tiempo pusimos el secreto por delante de todo. Fue en el año 1912. Todas las complicaciones que tenemos de cómo diseñamos las boletas, cómo hacemos el procedimiento para emitir el voto, cómo escrutamos las mesas y los controles cruzados del escrutinio provisorio, en definitiva, vienen de la necesidad de preservar el secreto del voto, sino no habría problemas, habría otros.
¿Cómo garantizamos el secreto del voto hoy con boletas de papel, ya sea con la boleta partidaria en un cuarto oscuro o con la boleta única, como hacemos en Córdoba y en Santa Fe? ¿Cómo hace el votante para estar seguro de que nadie sabe cómo está votando? Mirando. En el cuarto oscuro mirando que no haya nadie observándolo, llevando si quiere la boleta desde su casa guardada en un bolsillo y puede asegurarse de que nadie va a saber cómo votó. Hay algunos problemas con eso, que ya los voy a desagregar, y con la boleta única de papel también, mirando. ¿Cómo hace el votante para asegurarse de que no se viole el secreto del voto cuando tiene que emitir su voto a través de una computadora? Creyendo en lo que dice una auditoría. Creyendo, confiando. Todo empieza con un acto de fe.
Sobre las auditorías ya se ha hablado bastante: nunca son suficientes. Particularmente este sistema ‑cuyo olorcito está dando vueltas‑, el MSA S.A., pasó por un montón de auditorías que no detectaron la posibilidad de meter varios votos en una boleta y se “comieron” que en esa carcaza de plástico no había una computadora, sino dos. La segunda es que con su software no fueron ni siquiera mencionadas en las auditorías y la segunda violaba el decreto reglamentario de la ley electoral porque tenía capacidad de almacenamiento permanente, tenía memoria permanente suficiente para almacenar todos los votos emitidos en una mesa. Eso ni se nombró.
Entonces, ¿qué opciones tiene un votante a la hora de estar seguro de que su voto va a ser secreto o no? Creer o no en lo que dice una auditoría. Algunos podrán hacerlo, otros no. ¿Qué piensan ustedes acerca de qué camino tomará aquella persona por la que su trabajo, su plan social, su bolsón, sus 400 pesos dependen de a quién vote? ¿Creer en la auditoría o agachar la cabeza, apretar el botoncito que le dijeron que debía presionar y votar tal como le indicaron?
Entonces, ya el solo hecho de que el elemento de votación requiera de auditorías lo invalida. No estamos hablando de que el procedimiento de votación permita hacer controles, sino que el mismo elemento de votación, la forma en que expresa el votante su voluntad, requiera de una auditoría con veinticinco sellos de una elite que le dice al votante que nadie va a saber cómo vota, cuando a lo mejor hay un puntero que le dice: “Ojo como votás, porque lo vamos a saber”, independientemente de que esto sea cierto o no.
Además, está la violación voluntaria del secreto del voto, la posibilidad de demostrar a quién se votó, algo que debe estar imposibilitado por el sistema. No se debe permitir que alguien demuestre cómo votó.
Con la boleta única de papel sí hay un problema, que lo sufrimos en Córdoba y en Santa Fe, y en cada elección tiene que ser controlado: las fotografías. Es más, en Córdoba, particularmente en mi ciudad, Río Cuarto, se dieron cuenta en la mitad de una elección, cuando alguien notó que había celulares dando vueltas por todos lados. Ya se había aprobado la reforma, se habían diseñado las boletas, se había hecho todo y en medio de una elección, los vivos de siempre ya sabían cómo hacerlo. Las autoridades electorales respondieron: “¡Uy! ¡No nos dimos cuenta!” Sacan fotos, van y le muestran la foto al puntero y este les paga. De ahí en más no se pueden tomar fotografías.
Ahora, ¿cómo evitamos que alguien saque una foto con un celular cuando está poniendo cruces en una boleta, detrás de un tabique? Mirando con mucho cuidado. Así se hace hoy.
Sin embargo, yo les voy a hacer una demostración aquí mismo –espero que puedan ver el detalle a través de las pantallas. Tengo un celular marca Samsung, modelo S4, que ya es medio “viejito”. En mi dispositivo está instalada una aplicación que funciona de la siguiente manera: tengo en mi poder dos boletas impresas con votos. Una es de color azul y la otra de color amarillo, lo que no es porque yo sea hincha de Boca –lo soy, pero es una casualidad.
Supongamos que yo soy el puntero del partido azul. Voy y voto con la boleta única electrónica. Elijo las opciones, confirmo y la máquina me entrega este comprobante de voto en papel. Tengo mi celular en el bolsillo. La aplicación no requiere de la cámara fotográfica, sino del lector de chips y lo que hago es pasar la boleta cerca de mi bolsillo, cerca del celular. ¿Ven cómo cambió de color el fondo del cuadro de la aplicación que muestra la pantalla de mi celular? Se puso amarillo, es decir que leyó este voto maestro. Le paso este celular a otro votante y le digo: “Ponételo en el bolsillo y andá a votar. Cuando termines de votar, sacá la boleta y hacé de cuenta que estás leyendo, que estás controlando, y pasala cerca del bolsillo. Si el celular se pone de color rojo, no cobrás.
Pero si el celular lo traés en verde, cobrás.” Todo esto sin sacar el celular del bolsillo. ¿Cómo lo evitan? Cacheando votantes. (Aplausos.) Hicimos pública la metodología –no la aplicación‑ antes de las elecciones del 5 de julio del año pasado en la Ciudad Autónoma de Buenos Aires y nadie nos dio bolilla, hablando en criollo.
Después publicamos la aplicación para que se viera que es una pavada y que funciona con celulares que cuestan 2.000 pesos. (Aplausos.)
6 comentarios sobre “Críticas a la «boleta única electrónica» en la Cámara de Diputados”