Artículo de Enrique A. Chaparro incluido en el libro Voto electrónico, una solución en busca de problemas.
Si bien es cierto que la democracia debe ser más que elecciones libres, también es cierto que no puede ser menos.
Kofi Annan
Preliminar: definiciones
Adoptamos en este trabajo la definición de “voto electrónico” de Alvarez y Hall (2010, 9–10):2 la acción del votante que convierte su selección en una cadena de señales electrónicas define la condición de voto electrónico. Esta, por lo demás, es consistente con la opinión generalizada tanto jurídica como técnica.3 Los sistemas denominados comercialmente “boleta única electrónica” (bue), como los usados en las elecciones locales de 2015 en la Ciudad de Buenos Aires y en la provincia de Salta, pertenecen pues a esta clasificación: es un sistema de registro electrónico, puesto que las opciones escogidas por el votante se registran directamente en una memoria electrónica incluida en la bue, e incluye un comprobante impreso verificable por el elector. Para el caso, carece de significación que el registro electrónico se realice en un dispositivo distinto de la misma especie para cada voto, o que se acumule en una única unidad de memoria incorporada al dispositivo en el cual se lleva a cabo la emisión del voto, puesto que la lógica implícita es la misma. Tampoco hace diferencia que el proceso de totalización se lleve a cabo con cierto diferimiento o en simultaneidad con la emisión del voto, porque en ambos casos la operación involucrada implica leer del dispositivo de memoria (distribuido en dispositivos individuales en el caso de la bue o sistemas similares, o consolidado en otros sistemas) mediante un programa y acumular los resultados parciales hasta obtener el escrutinio provisorio.
Los procesos automatizados a través del voto electrónico son entonces el de emisión, el de registro y el de conteo (o escrutinio primario). Definiremos como emisión al proceso por el cual el elector expresa su voluntad; registro, a aquel por el cual la voluntad expresada por el elector es fijada en un medio permanente y, al mismo tiempo, se torna imposible correlacionar la identidad del votante con su voto; y conteo al proceso por el cual se contabilizan los votos emitidos, asignándolos a las diversas candidaturas o propuestas. El objetivo, entonces, de un sistema electoral es que los votos sean emitidos como expresión fiel de la voluntad del votante (cast as intended), registrados tal como fueran emitidos (recorded as cast) y contados como fueran registrados (tallied as recorded).
Como mecanismo adicional contra la coerción, algunos sistemas electorales establecen salvaguardas complementarias; las más usuales son que no se emita recibo que permita identificar qué votó el elector, y que el resultado no pueda ser conocido antes de un momento prefijado y posterior a la finalización del período establecido para que los electores puedan emitir sus votos.
I. El voto electrónico
El acto de votar para elegir representantes o establecer opinión es central a las formas democráticas de gobierno. Toda soberanía emana del pueblo, como bien señala nuestra Constitución Nacional, y es mediante ese acto fundamental que los representes del pueblo, y por extensión todo el sistema de gobierno, obtienen su legitimidad. En las palabras de Thomas Paine (1795), un protagonista destacado de las dos grandes revoluciones del siglo xviii que darán forma a los modernos estados democráticos, “el derecho al voto es el derecho primario con el cual se protegen todos los demás”. El eco de las palabras de Paine resuena en Alberdi (1920): el voto es “la primera y la más fundamental de las libertades”.
La Argentina tuvo un largo y complejo tránsito hacia el voto libre, universal, igual y secreto, y prueba de ello es que la legislación electoral nacional, basada en la ley 8871 por la que el nombre de Roque Sáenz Peña ha pasado a la historia, es extraordinariamente puntillosa, hasta en los detalles aparentemente menos relevantes, respecto de los procedimientos de garantía del sufragio.
En esencia, la cadena de legitimidad se construye a partir de la confianza del elector4 en que su intención de voto va a ser computada fielmente. Es importante notar que nos referimos a la intención y no a la expresión de esa intención (es decir, el documento de cualquier tipo que la refleja): la diferencia radica en que es un requisito fundamental del sistema electoral garantizar el reflejo fidedigno de la intención en el vehículo que la documenta. Los sistemas manuales de emisión y conteo primario que se utilizan en la mayoría de los países del mundo, bajo la forma de boleta única (conocida también como “boleta australiana” en los países de habla inglesa)5 o boleta partidaria, están en general bien probados, ajustados por la experiencia de muchos años, y todos sus pasos son sencillamente verificables por percepción directa de los sentidos; la emisión implica un acto claro y directo de manifestación de la voluntad del elector haciendo una marca o escogiendo una papeleta, y el conteo primario es de sencillez tal que cualquier persona con conocimientos rudimentarios de aritmética puede realizarlo o verificar que se efectúa correctamente. En los sistemas electorales de muchos países se permite la observación pública del conteo primario; en los que eso no sucede, se garantiza el control público mediante la presencia de representantes de los partidos que intervienen en la elección, que ejercen control recíproco por oposición de intereses, y normalmente cualquier ciudadano puede registrarse como voluntario en el partido de su preferencia para ejercer esta función.
La informatización del sufragio
La introducción de tecnologías informatizadas en el proceso de emisión del voto y en el conteo provisorio que sigue inmediatamente al comicio, sin embargo, trae consigo interrogantes nuevos sobre la preservación de las garantías. Es habitual que la tecnología se mueva más rápidamente que el sistema legal; no obstante ello, la evolución tecnológica debe ser siempre procurada como un medio para mejorar la vida humana y no como un fin en sí misma. En este sentido, todo desarrollo tecnológico, y en particular cuando directa o indirectamente afecta principios fundamentales, debe ser cuidadosamente revisado centrando la atención en determinar su contribución hacia una sociedad mejor (Mitrou et al., 2002). Como bien señala Pellegrini (2014),
el buen desarrollo del proceso electoral se acredita por medio de cadenas de confianza, que se rompen con la introducción de dispositivos opacos, concebidos y aplicados por terceros.
La certeza sobre la intención del votante se vuelve más difusa por la existencia de un mecanismo de expresión controlado por un programa informático que el votante desconoce (y es a veces desconocido también para las autoridades electorales), y que es imposible analizar sin un conjunto de conocimientos altamente especializados. Las tareas de control de las personas encargadas de verificar pasos esenciales del proceso electoral quedan reducidas a la mera visualización, o a actuar como dispositivos periféricos de alimentación de datos a un sistema informático que en esencia se desconoce.
A pesar de estas limitaciones problemáticas, que ponen en cuestión algunos de los atributos fundamentales del voto, a finales del siglo pasado y comienzos del actual, hubo una marcada propensión a considerar las percibidas ventajas de los sistemas de voto electrónico que llevó a muchos gobiernos a experimentarlo y ponerlo en práctica.
Los Estados Unidos fueron un país pionero en la implantación de sistemas de voto electrónico en los últimos dos decenios del siglo pasado, principalmente debido a tres razones: las particularidades de su sistema electoral, que hacen muy complicada la cuenta manual, el desarrollo de su industria informática y una prolongada tradición en el uso de dispositivos primero mecánicos y luego electromecánicos que se remonta a finales del siglo xix.6 El primer sistema de voto electrónico con selección por pantalla fue patentado en 1974 (McKay et al. 1974).
En Europa, la adopción temprana tuvo lugar en los Países Bajos y Bélgica; Alemania contó tempranamente con disposiciones legales habilitantes, pero el empleo de sistemas de voto electrónico no fue significativo hasta entrada la primera década del siglo xxi. Este impulso inicial, sin embargo, no parece haber logrado los alcances inicialmente imaginados. En 2015, tomando en cuenta hasta la última elección general en cada caso, los sistemas automatizados de emisión conocidos genéricamente como “voto electrónico” eran utilizados por la mayoría de los electores en solo cuatro países del mundo: Bélgica,7 Brasil, la India y Venezuela. En los Estados Unidos es el segundo sistema más usado, después del basado en lectura óptica de boletas marcadas por el elector.
Mientras tanto, países que lo habían adoptado o realizado pruebas piloto fueron abandonándolo: los Países Bajos, donde la cantidad de votantes que utilizaban voto electrónico era superior al 90%, retornaron al voto en papel con cuenta manual en 2008, después de que se detectase fraude en las elecciones comunales de una pequeña localidad, de que la asociación civil Wij vertrouwen stemcomputers niet demostrase graves fallas de seguridad en el sistema empleado (Gonggrijp y Hengeveld 2007) y de que el tribunal superior de Amsterdam anulara en octubre de 2007 la certificación de las máquinas Nedap. Por su parte, el Tribunal Constitucional Federal alemán declaró la inconstitucionalidad del sistema de voto electrónico usado en ese país en 2009; el tribunal constitucional de Austria, donde se había llevado a cabo una elección experimental pero vinculante para la Federación de Estudiantes la declaró nula y fijó normas muy estrictas para futuros intentos; en enero de 2010 el Ministerio de Justicia de Finlandia comunicó que el gobierno de ese país desistía de sus proyectos luego de que el Supremo Tribunal Administrativo (Korkein hallinto-oikeu) declarara nulas y ordenara rehacer por medios convencionales las elecciones en que se había experimentado en tres municipalidades en 2008; y, finalmente, la corte constitucional de Bulgaria declaró inconstitucionales ciertas provisiones del código electoral que autorizaban el uso del voto electrónico.
En Francia el uso de machines à voter fue autorizado por la ley 69-419 del 10 de mayo de 1969 modificatoria del Código Electoral. Las máquinas electromecánicas nunca se extendieron demasiado, y pronto cayeron en desuso, pero en 2002 una nueva ola de modernización llevó a instalar en forma experimental sistemas de voto electrónico en tres comunas, incrementándose progresivamente el número hasta 2007. La instalación de sistemas de voto electrónico se encuentra en moratoria de facto, porque desde finales de 2007 el Ministerio del Interior no ha dado nuevas autorizaciones a las comunas para incorporar este tipo de equipamiento, el uso ha disminuido desde su máximo de 82 comunas y 1,5 millones de electores en 2007 (5% del padrón electoral nacional) a 64 comunas y 1 millón de electores en 2012, y se han presentado varios proyectos de ley para su erradicación definitiva.8
Irlanda planeó introducir un sistema de voto electrónico para las elecciones de 2004 para lo que adquirió equipamiento entre 2002 y 2003, pero nunca llegó a efectivizarlo por resistencia de los electores e importantes sectores académicos, abandonando el proyecto en 2009 y finalmente destruyendo las máquinas en 2012; en Lituania las intenciones de la autoridad electoral para introducir voto electrónico han sido sistemáticamente rechazadas por el parlamento; Noruega realizó un estudio de factibilidad en 2006, una prueba piloto en diez municipalidades en 2010 y otra en 2013, para finalmente anunciar oficialmente el abandono de todas las pruebas en junio de 2014; el Reino Unido realizó varios pilotos entre 2000 y 2007, pero tomando en cuenta los resultados negativos en otros países y las críticas de la Comisión Electoral no se han hecho nuevos intentos desde entonces; y en noviembre de 2011 el gobierno de Kazajstán decidió abandonar el sistema Sailau que había iniciado en 2004, en razón de que la preferencia de los votantes por el papel, la desconfianza de los partidos y el costo.
Finalmente, en Paraguay, que venía adoptando gradualmente el sistema brasileño desde 2001 y que para 2006 había alcanzado prácticamente la cobertura completa del padrón electoral, el Tribunal Superior de Justicia Electoral dispuso el retorno al voto manual en papel en las elecciones generales de 2008.
Factores de adopción de los sistemas de voto electrónico
Sencillez del conteo. Los sistemas de voto electrónico se han introducido para hacer más simple la cuenta de votos y el cómputo de los resultados. Esta consideración es importante, pero solo se aplica a un número pequeño de elecciones complejas, basadas en preferencias (como el voto alternativo o el voto único transferible), o las que implican un gran número de categorías y cuestiones sometidas a referéndum,9 y en ellas la cuenta manual puede requerir mucho tiempo y estar sujeta a error. No es el caso general de las elecciones en la Argentina, donde aún en el caso extremo de que coincidieran elecciones nacionales, provinciales y municipales la convocatoria involucra a lo sumo ocho categorías, y no existen casos de voto preferencial o condicional.
Facilidad de emisión. La confusión puede efectivamente alterar el ejercicio del derecho al voto, especialmente cuando se trata de los electores más vulnerables (personas de edad, iletradas o con discapacidades). Las tecnologías de registro electrónico prometen reducir estos niveles haciendo imposibles los votos nulos y difíciles, los votos en blanco no intencionales. El Caltech/MIT Voting Technology Project ha argumentado que el empleo de tecnología puede reducir los votos “perdidos” en una variedad de formas, y la capacidad de generar interfaces más adecuadas puede potencialmente resolver problemas para personas con discapacidades o hablantes de lenguas minoritarias.
Sin embargo, al minimizar la posibilidad de algunos errores los sistemas de voto electrónico pueden incrementar la de otros. Es posible que los votantes no familiarizados con las computadoras no emitan ya votos nulos, pero pueden emitir votos que no reflejen adecuadamente sus preferencias; es posible también que la asistencia a los votantes iletrados o con discapacidades resulte confusa, errónea, insuficiente o inhabilitante, o que la interfaz genere nuevos problemas para personas con discapacidades que en un sistema manual podían emitir su voto sin inconvenientes.10 La presunción de mayor usabilidad11 no ha sido probada rigurosamente para la mayoría de los sistemas. Ni las autoridades electorales de la India ni las de Brasil, los países de uso más extenso del voto electrónico, han publicado estudios científicamente válidos de la interacción de los votantes con su tecnología. Sin estudios serios, es difícil establecer tanto la utilidad del voto electrónico cuanto la correcta aproximación a la educación de los votantes. La importancia de las pruebas de usabilidad de los sistemas es crucial, y en general se ha observado que, como en los casos testigo en la Argentina, no se realizan.12
Prevención del fraude. Las autoridades electorales frecuentemente han argumentado que las tecnologías electrónicas pueden combatir y hasta prevenir el fraude. Sin embargo, no existe evidencia convincente y sistemática sobre la veracidad de estas afirmaciones. Como señala Lehoucq (2003), los métodos de fraude son variados y complejos y la investigación científica sobre la cuestión, escasa. Algunas formas fraudulentas características de los sistemas de boleta partidaria, como el robo de papeletas o su sustitución, se revierten por mérito de la implantación de sistemas de boleta única, con independencia de la aplicación de tecnologías electrónicas. El “secuestro” de lugares de votación o el rellenado de urnas dependen de factores ajenos a la tecnología empleada. Más importante aún es el hecho de que los sistemas de voto electrónico crean nuevas y peligrosas posibilidades de fraude o de alegaciones de fraude que disminuyen sensiblemente la confianza en el sistema electoral. A diferencia de los sistemas convencionales, la opacidad de los sistemas de voto electrónico, su complejidad técnica y la de la logística asociada, y el efecto multiplicador de la replicación del software, tienen un triple efecto negativo: por un lado, la superficie de ataque al sistema se expande enormemente; por otro, los efectos de una intervención maliciosa o una falla accidental se multiplican a todos los lugares de votación de manera muy eficiente; y finalmente, el número de partes en colusión requeridas para una intervención maliciosa se reduce considerablemente, basta un solo programador malintencionado para introducir código que afecte la veracidad del resultado de una elección. Por otro lado, la generación de registros impresos comprobables visualmente por el elector no es eficaz para contrarrestar este riesgo, por razones que discutimos en otro apartado.
Reducción de costos. Con frecuencia se aduce que el voto electrónico reduce costos de administración electoral. Este argumento suena creíble por cuanto estamos acostumbrados a que el empleo de tecnologías de información aumenta la eficiencia de los procesos a los que se aplica y por lo tanto reduce costos en las actividades gubernamentales o del sector privado. Pero usualmente estas estimaciones se hacen en función de proyecciones de mediano y largo plazo, y no hay ningún estudio longitudinal que las confirme. En el caso del sistema adoptado para la Ciudad de Buenos Aires, se ha aducido que se generará una significativa economía relacionada con el costo de impresión y distribución de boletas partidarias, pero cabe notar que esta reducción es consecuencia de la implantación del sistema de boleta única y no de la automatización. Existen pocos estudios comparativos rigurosos entre los costos por voto emitido de boleta única en papel y su equivalente electrónico. Existen en cambio datos sobre el costo por elector de diversos sistemas electorales; reduciéndolos a una divisa común y actualizándolos, hallamos que para algunas democracias estables los valores son: Australia US$ 4,97, España US$ 5,14, solo la gestión electoral sin incluir el registro de electores, Suecia US$ 7,60. Comparativamente, hemos estimado el costo para la primera vuelta de las elecciones locales de 2015 del sistema escogido para la Ciudad de Buenos Aires en 80,36 pesos por voto emitido, lo que a la fecha de ajuste de la orden de pago respectiva equivalía a US$ 9,05, solo para las etapas de emisión y escrutinio y sin contemplar otros costos logísticos, como las compensaciones a las autoridades de mesa y a los delegados de la autoridad electoral.13
Status. Un factor de adopción pocas veces considerado en la literatura es el del “prestigio tecnológico”, una confusión de métodos y fines que supone que el uso de medios tecnológicos avanzados obra mágicamente para modernizar una democracia, o implica una aseveración sobre la modernidad de un gobierno o una autoridad electoral más que la solución a una necesidad específica. En la cadena de decisión y sustento del voto electrónico, puede ocurrir un fenómeno de introducción de error sistemático conocido como sesgo cognitivo, por la sobreapreciación de la tecnología: la fe en la tecnología puede enceguecer a los funcionarios públicos respecto de las cualidades negativas de las innovaciones, llevándolos a preferir una tecnología novedosa y compleja que puede ser inferior a una solución más antigua, más barata o más simple. Si la fe en la tecnología es un sesgo extendido y consistente entre los funcionarios públicos, será apropiado alentar una visión más pragmática, o aun pesimista, como contrapeso. Como mínimo, los decisores políticos generalmente proclives hacia la tecnología deberían intentar tomar esto explícitamente en cuenta cuando deciden respecto de la adopción de tecnología.
Riesgos de la adopción
La discusión precedente ha dejado en claro que muchas de las reivindicaciones sobre las ventajas de los sistemas de voto electrónico carecen de fundamento. Contra estas relativas ventajas, deben señalarse cuatro desventajas de mayor porte.
Daños a la confiabilidad y a la credibilidad. Todo programa informático puede tener errores no intencionales no detectados (bugs). Todo programa informático puede ser cambiado en forma maliciosa en una forma indetectable a posteriori. Estas afirmaciones son verdaderas para cualquier software. Adicionalmente, toda computadora de propósitos generales (como las que normalmente constituyen la base de los sistemas de voto electrónico con pantalla táctil) es suceptible de explotación maliciosa, y la verificación del software en tiempo de ejecución es un problema de tal complejidad que su implementación resulta prohibitiva. Hay medidas que pueden reducir las vulnerabilidades de un sistema de voto electrónico, incluyendo la seguridad informática, la seguridad física, las pruebas y los análisis de los sistemas y el código,14 y buenos procedimientos electorales; pero ninguno de estos pasos, y ninguna combinación de ellos, puede cambiar la irreductible vulnerabilidad de los sistemas informáticos. Un texto ya clásico de Ken Thompson (1984) alerta sobre la cuestión.
Esta vulnerabilidad implica que los resultados de una elección pueden ser manipulados, y también crea el peligro de que resultados legítimos de una elección no sean aceptados, porque es imposible refutar de manera concluyente las acusaciones de manipulación. En 2004, Venezuela tuvo un referéndum por la destitución presidencial. El entonces presidente Hugo Chávez se impuso cómodamente, con un 58% de los votos, y los observadores internacionales en general acordaron en que no se había observado fraude. Pero, considerando que el 90% de los votos había sido emitido a través de un nuevo sistema de voto electrónico, la oposición no estaba convencida, y con buenas razones: los observadores no pudieron certificar la confiabilidad de los sistemas de voto electrónico. El sistema venezolano emite un comprobante impreso verificable por el elector, pero la falta de procedimientos rigurosos de verificación y recuento hizo que la oposición no aceptara la veracidad de las verificaciones ad hoc llevadas a cabo después de la elección, e investigaciones estadísticas posteriores realizadas por académicos de Harvard y el MIT confirmaron la falta de confiabilidad del proceso. En general, los estudios indican que no puede descartarse en el caso la posibilidad de fraude (Martín 2011; Pericchi y Torres 2011).
Lo que se alegue sobre los resultados electorales basados en sistemas de voto electrónico puede corroer rápidamente la confianza en las elecciones, pues aquellos no pueden ser adecuadamente probados ni refutados. Una encuesta de The New York Times y CBS mostraba en 2006 que el 64% de los votantes demócratas y el 40% de los definidos independientes creía que en las elecciones presidenciales de 2004 en el estado se había cometido fraude.15
Se ha postulado que algunos de los problemas del voto electrónico pueden ser salvados empleando comprobantes verificables por el votante (vvpat), pues estos permitirían al votante confirmar sus preferencias en un medio permanente y recontable. Para ser efectivos, deberían cumplir con un conjunto de criterios: no comprometer el secreto del voto; ser legibles; estar insertos en un procedimiento que aliente a los votantes a confirmar su contenido; y ser parte de un proceso que prevea la realización de recuentos manuales extensivos sobre muestras al azar estadísticamente correctas después del escrutinio provisorio. Sin embargo, la utilidad de los comprobantes impresos como elemento de confirmación de la voluntad del elector es cuanto menos discutible, puede ayudar a convalidar resultados fraudulentos, y los impresos traen sus propios problemas, incluyendo la adición de más elementos propensos a fallar y la falsa sensación de certeza que pueden crear si no se establecen procedimientos claros sobre cómo emplear los comprobantes para determinar o verificar el resultado de la elección. Es significativo que la Dra. Rebecca Mercuri, quien desarrolló originalmente la idea, sostenga:
desde 2003, debido a los problemas irresolubles de implementación y despliegue de [estos] sistemas […] y las dificultades experimentadas en usar los comprobantes para los recuento, he recomendado (y sigo recomendando) contra la adquisición de estos dispositivos. Los votos deben ser preparados en papel (no en computadoras) y contados del papel (preferentemente por humanos) (Mercuri, 2007).
La confianza de los votantes en el proceso electoral es fundamental en las democracias, porque las elecciones establecen un vínculo entre los ciudadanos y sus servidores públicos elegidos. Si los electores tienen dudas acerca de lo fidedigno del escrutinio, sentirán que los resultados no reflejan la voluntad expresada por la mayoría; esta duda socava el aspecto más fundamental de las democracias modernas: la elección de los representantes del pueblo soberano. La legitimidad de los individuos elegidos, y la de los cuerpos colegiados, se debilita cuando surgen estos cuestionamientos; esto puede llevar a minar las fortalezas del proceso democrático y de las instituciones. La mayoría de las democracias modernas ha tenido épocas de cuestionamiento del proceso electoral (Lehoucq 2002). En democracias consolidadas, puede suceder que sin haber pérdida de confianza en las elecciones la haya respecto de la tecnología usada. Es inevitable coincidir con McGaley y Gibson (2003):
aparte del obvio requerimiento de que los votos sean computados correctamente, es vital que los votos se vean como computados correctamente. Un sistema de votación es solamente tan bueno como el público cree que lo sea.
Si bien los gobiernos, especialmente a partir de las décadas de 1980 y 1990, han tendido a confiar al sector privado la ejecución bajo contrato de algunas actividades relacionadas con las tecnologías de información, los procesos electorales son especiales por su significación y sus consecuencias, y no pueden ser completamente tercerizados a proveedores del sector privado (Xenakis y Macintosh 2005). Como señala Lehoucq (2002), los estados latinoamericanos realizaron una gran contribución a la democracia constitucional con el surgimiento de autoridades electorales independientes de los poderes ejecutivo y legislativo, que incrementaron la confianza pública en las elecciones. Pero si estas entidades de control independientes pierden la capacidad efectiva de supervisar todos los detalles del proceso electoral, su rol de garantes de la transparencia ya no podrá ser cumplido cabalmente. ¿Cómo se comportará un contratista privado a cargo de un aspecto crítico de una elección cuyo resultado afecta sus intereses? Aun si se comportara con absoluta neutralidad, ¿cómo podrían aventarse las sospechas si la opción favorecida por el contratista resulta ganadora? Las fallas, accidentales o intencionales, de un sistema de voto electrónico tienen profundas consecuencias para la confiabilidad del sistema electoral y la confianza pública en él (Moynihan 2004).
Cabe señalar a manera de ejemplo que la adopción del sistema de voto electrónico de la Ciudad de Buenos Aires en 2015 parece compartir una característica común con un número de iniciativas de informatización electoral tomadas en otros lugares: aparenta haber sido conducido por posibilidades tecnológicas y conveniencia burocrática, en lugar de por una determinación de utilidad social democráticamente debatida.16 Cuando aquellos criterios prevalecen, como sucede en muchos casos de outsourcing de aspectos importantes de actividades del sector público, la eficiencia choca con la obligación de rendir cuentas y socava los valores democráticos. Para acrecentar la transparencia de los procesos electorales hacia la ciudadanía, los partidos políticos y las propias autoridades electorales, es necesario que se incorporen las capacidades técnicas necesarias, mantengan el control, asuman plena responsabilidad y promuevan un rol activo de los ciudadanos en todos los procesos que llevan a la decisión sobre tecnologías electorales. La absoluta transparencia del sistema a utilizar es un indispensable primer paso.
Seguridad en los sistemas de información. En cualquier sistema de voto electrónico, tanto la experiencia como la teoría indican que una cosa es segura: el sistema contiene errores, y algunos de ellos son explotables por un adversario. Hasta el presente, todo sistema de voto electrónico sometido a análisis exhaustivo por especialistas en seguridad ha mostrado fallas, y sería una singularidad improbable que uno nuevo no las tuviera. Como sostiene Rivest (2008), la historia de los sistemas informáticos muestra que dados los incrementos e innovaciones en tecnología y velocidad, el software es capaz de hacer más cosas y en consecuencia su complejidad se acrecienta. La capacidad de demostrar que un software es correcto disminuye rápidamente a medida que el software se vuelve más complejo, y resulta efectivamente imposible probar adecuadamente los sistemas de votación actuales (y futuros) respecto de fallas y defectos inducidos, por lo que estos sistemas siempre serán sospechables respecto de su capacidad de procesar los votos con seguridad y exactitud.
Los análisis serios de seguridad requieren trabajo exhaustivo y especializado: el análisis del código fuente del software de las máquinas de voto electrónico Diebold AccuVote TS requirió de casi dos semanas a tiempo completo de cuatro notables expertos en seguridad informática. También es necesario notar que una inspección, por detallada que sea, no necesariamente encontrará todos los errores en un conjunto de programas, en algunos casos porque la técnica de ataque no es aún generalmente conocida. Ocultar de la vista pública los detalles es una muy mala práctica en términos de seguridad de la información, porque retrasa el ciclo de reparación de defectos y disminuye la confianza en el sistema o la reduce a un acto de fe incompatible con la certeza racional.
La problemática de seguridad de un sistema de voto electrónico debe ser vista desde la perspectiva general de la seguridad de la información, esto es, el cumplimiento de los atributos canónicos de confidencialidad, integridad y disponibilidad.17 No obstante ello, la cuestión trasciende los límites puramente tecnológicos ya que, como señalan Oostveen y van den Besselaar (2004a; 2004b), “las complejas cuestiones técnicas relativas a la seguridad (…) deben ser respondidas antes de que los sistemas vayan a ser usados en elecciones gubernamentales de cualquier nivel”, pero también deben tomarse en cuenta el entorno social y las consideraciones sociopolíticas, la percepción de la seguridad por parte del público, porque ya no existe una fe ciega en la objetividad científica y los “expertos”.
Es necesario notar que desde el punto de vista de la seguridad informática, los sistemas de voto electrónico plantean problemas especiales, no solamente por las graves consecuencias institucionales de los resultados erróneos. En efecto, estos sistemas plantean la singular demanda de satisfacer simultáneamente tres condiciones que se contraponen: por un lado, que el elector pueda asegurarse de que su intención de voto ha sido correctamente computada; por otro, que no tenga forma de probar ante terceros cuál fue el contenido de su voto (porque ello da lugar a compra de votos o intimidación); y, finalmente, que se conserve perfecto anonimato para garantizar el secreto del sufragio. La inexistencia hasta el presente de modelos formales de seguridad de sistemas de voto que cubran efectivamente el amplio espectro de modelos de amenazas, ha llevado a plantear la noción de “sistemas independientes del software” (Rivest, 2008): un sistema de voto es “independiente del software” si un cambio o error no detectados en el software no pueden causar un cambio o error no detectables en el resultado de la elección. De ello surge el marco teórico de “verificabilidad de extremo a extremo” (end-to-end verifiability) (Benaloh et al., 2015); pero si bien este marco es formalmente correcto, se ha probado que los sistemas que lo implementan tienen graves problemas de usabilidad que conducen a bajos porcentajes de éxito en la emisión y la verificación del voto.
Como se ha expuesto más arriba, todo sistema informático es suceptible de error o de intervención maliciosa. La notable complejidad del conjunto presenta una enorme superficie vulnerable: aun cuando pudiera obtenerse un razonable grado de aseguramiento respecto del software de aplicación empleado, por debajo de este yacen numerosas capas de software y hardware, cada una de ellas sujeta a problemas de seguridad. Los sistemas de voto electrónico son particularmente frágiles: ninguno ha sido formalmente verificado, y todos los que han sido sometidos a análisis exhaustivo por expertos independientes han mostrado fallas explotables por adversarios, como el de Brasil (Aranha et al. 2014) o el de la India (Wolchok et al. 2010). Incluso análisis fragmentarios han hallado fallas muy graves, como en el caso del sistema Vot.ar utilizado en la Ciudad de Buenos Aires y en Salta.
Las cuestiones centrales de seguridad radican en la preservación de la integridad y el secreto del voto. Cuando se utilizan sistemas de registro directo electrónico sin ningún comprobante verificable por el elector, el logro de estas condiciones es imposible de demostrar. Para la primera cuestión, como señalábamos más arriba, se ha intentado generar un elemento que el elector pueda verificar por sí mismo. Sin embargo, la observación empírica y el resultado de pruebas controladas proporcionan amplia evidencia de que la mayoría de los electores generalmente no verifican los comprobantes impresos (ni siquiera cuando ese control es un paso indispensable para completar la transacción) y, cuando los controlan, de todos modos se deslizan altas tasas de error. En un experimento, Everett (2007) halla que más del 60% de los votantes no detecta los errores introducidos (algunos de ellos muy burdos, como la supresión de una categoría completa). Campbell y Byrne (2009) repiten el experimento de Everett mejorando la capacitación de los votantes y la usabilidad de la interfaz de pantalla, pero tampoco logran mejorar los niveles de detección más allá del 50%. La baja detección de error se atribuye a la disonancia perceptiva entre la información presentada en pantalla respecto de la registrada en un medio impreso. El bajo nivel de reporte, inferior en todos los casos a lo detectado, corresponde a un fenómeno bien estudiado: la atribución de “credibilidad” a las computadoras; por lo tanto los errores no pueden ser sino del elector, que se siente avergonzado de reconocerlos. Cabe agregar, por otra parte, que el texto legible no dice nada respecto de los datos almacenados en la memoria, que son los que se utilizarán para el conteo. Además los comprobantes generados producen dificultades cuando debe realizarse un recuento manual, con tasas de error mucho mayores a las de las boletas completadas a mano por el votante (Goggin et al. 2008).
La preservación del secreto es un problema aún más serio. El uso de cualquier identificador único (como el número de serie de los dispositivos RFID del sistema usado en 2015 en Salta y la Ciudad de Buenos Aires) deja abierta la posibilidad de asociarla con el votante individual.
No es objeto de este trabajo hacer una enumeración de las posibles fallas de seguridad, que requeriría mucha mayor extensión y sería necesariamente provisional. Pero es necesario dejar en claro que los sistemas de voto electrónico son particularmente frágiles ante amenazas internas (insider threat) y que el medio informatizado permite una escala de ataques inimaginable con medios convencionales.
Obstáculos en los procesos de implantación y despliegue. Aun si se lograran en el software de los sistemas de voto informatizado niveles de seguridad comparables con los de los mecanismos convencionales, el aseguramiento de todos los procesos involucrados en la elección es pieza clave de su fiabilidad. Uno de los problemas más difíciles de resolver es el de la complejidad de la cadena de suministro, porque una falla accidental o inducida en cualquiera de los pasos se propaga hasta el resultado final. En general, hay una marcada insuficiencia en los procedimientos establecidos por la autoridad electoral que eleva los riesgos. Por ejemplo, no suelen establecerse correctamente mecanismos para asegurar efectivamente que la versión del software a ejecutar durante la elección se corresponde con una versión previamente verificada, un problema que por cierto presenta dificultades extremas. Tampoco suele haber mecanismos para asegurar que el hardware se corresponde exactamente con algún modelo de referencia exhaustivamente verificado, ni se prevén acciones de verificación independiente y control por oposición, y la logística de distribución suele ser débil y susceptible de ataques internos y externos.
Adicionalmente, se requiere establecer procedimientos de control de conteo que permitan validar, mediante una muestra estadísticamente significativa, los resultados del escrutinio provisorio realizado mediante medios electrónicos.
II. ¿Quién supervisa la elección?
La perspectiva tecnicista. Algunas lógicas de empleo del voto electrónico suponen como inevitable el desplazamiento de la capacidad de control sobre los procesos electorales. Así, la mediación informatizada de aspectos críticos de una elección no habría de verse de modo diferente al empleo de computadoras en otras actividades que también revisten importancia significativa para las personas. En esta aproximación ingenieril, la cuestión no sería diferente de otras en que los usuarios carecen de información de detalle sobre el funcionamiento real del sistema, y no tienen sobre él capacidades de supervisión inmediata pero depositan confianza en procesos de control llevados a cabo por terceros; característicamente, se ha equiparado esta cuestión a los procesos informatizados bancarios.
En los sistemas bancarios (donde además aparece la analogía entre los dispositivos de emisión del voto y los cajeros automáticos), en los sistemas electorales, o en cualquier otro entorno informatizado, la auditoría previa y posterior constituye, entonces, un factor decisivo para la fiabilidad. Pero este recurso queda fuera del alcance de los usuarios, que carecen de los saberes requeridos; y tampoco los necesitarían, pues su intervención es irrelevante en tanto su confianza no debería basarse en el conocimiento de los detalles técnicos sino en la convicción de que el conjunto de medidas procedimentales adoptadas incluye las salvaguardas necesarias. En este sentido, no habría diferencia con otros productos industriales sometidos a procesos de certificación; aunque en la mayoría de los casos los resultados de estos procesos solo serán conocidos por la autoridad electoral y la empresa proveedora.
Pero es fundamental señalar que las elecciones presentan notables diferencias con otras áreas de uso de la informática. Una de las diferencias centrales es expresada sintéticamente por Richard M. Stallman: “el software de las máquinas de votación es un caso especial porque el mayor peligro para la seguridad proviene de la gente que se supone sea responsable por ella” (citado en Anderson 2010, 707).
La comparación con los sistemas bancarios es falaz (Loeber 2008): en primer lugar, en estos no hay necesidad de una obligación pública de rendir cuentas y basta con una auditoría independiente. En las elecciones, en cambio, cada votante debería ser capaz de verificar que el sistema funciona correctamente, porque si esto no fuera posible la confianza en las elecciones, y por ende la confianza en los representantes elegidos, declinaría. Por otra parte, en los sistemas de banca electrónica un banco puede permitirse cada tanto un problema menor en el sistema; los errores causados por estos problemas pueden ser enmendados sin mayores consecuencias, y con buena probabilidad serán detectados porque los titulares de cuentas pueden verificar sus extractos, y la mayoría lo hace. En las elecciones no hay posibilidad de enmienda, y cualquier error menor, aun si se lo detecta, puede tener un impacto significativo sobre la cuestión de quien ejercerá la representación popular por los próximos cuatro años. Una pequeña cantidad de estos errores y la confianza se disolverá en el aire, con consecuencias desastrosas.
La perspectiva de las garantías fundamentales. Hay, sin embargo, una significativa línea de pensamiento que advierte que las condiciones fundamentales del proceso electoral deben preservarse con independencia del empleo de recursos tecnológicos. En ese sentido, el Tribunal Constitucional Federal de Alemania (BVerfG) resolvió favorablemente en 2009 una impugnación sobre el uso de sistemas de voto electrónico,18 declarando inconstitucional la Ordenanza Federal sobre Máquinas de Votación (Bundeswahlgeräteverordnung) de 3 de septiembre de 1975 en su versión modificada por la Ordenanza Modificatoria del 20 de abril de 1999 (Verordnung zur Änderung der Bundeswahlgeräteverordnung und der Europawahlordnung). El valor teórico de esta resolución se acrecienta si tenemos en cuenta las similitudes de marco constitucional. El fallo establece dos principios esenciales: las elecciones como acto público (principio de publicidad),19 y el derecho del elector a comprender todos los pasos esenciales de la elección y el escrutinio sin conocimiento experto (principio de entendimiento).
Respecto del primer principio, el alto tribunal halla que
La publicidad de las elecciones es condición fundamental para la construcción de una voluntad política democrática. Asegura la regularidad y transparencia del proceso electoral y se configura, con ello, como condición esencial para una confianza fundamentada de los ciudadanos en el correcto desarrollo de la elección. (§ 106)
Aunque la exigencia no esté expresada directamente en el texto de la Ley Fundamental (Grundgesetz für die Bundesrepublik Deutschland – GG), la interpretación sistemática de los artículos 38 y 20.2 asegura que se trata de un principio irrenunciable. El primer artículo refiere a las elecciones del parlamento (Bundestag) y menciona las características del sufragio (libre, universal, igual, directo y secreto), mientras que el segundo proclama el origen popular de los poderes públicos. Compárese el primero con los artículos 37 de la Constitución Nacional, lo prescripto por los tratados de derechos humanos de jerarquía constitucional conforme al artículo 75 inc. 22 de la CN (artículo 21.3 de la Declaración Universal de Derechos Humanos, artículo 25.b del Pacto Internacional de Derechos Civiles y Políticos, artículo 23.1.b de la Convención Americana sobre Derechos Humanos); y el segundo con el principio de la soberanía del pueblo del 32 CN. La exigencia de publicidad no es expresa en la norma constitucional alemana, pero el tribunal llega a la necesaria conclusión de que solamente las elecciones públicas son garantía de la legitimidad democrática de los representantes del pueblo.
Ahora bien, de ese carácter público sigue necesariamente el segundo principio:
En una república, las elecciones son cuestión de todo el pueblo y preocupación común de todos los ciudadanos. En consecuencia, el control del procedimiento electoral también debe ser cuestión y deber del ciudadano. Cada ciudadano ha de poder seguir y entender de forma fiable las etapas centrales de la elección sin conocimientos técnicos especiales. (§ 109)
El votante por sí mismo debe ser capaz de verificar –también sin un conocimiento informático detallado– si su voto es registrado fielmente como base para el conteo o, si los votos son inicialmente contados con ayuda tecnológica, cuando menos como base para un subsiguiente recuento. No es suficiente si debe confiar en la funcionalidad de un sistema sin posibilidad de inspección personal. (§ 119)
La naturaleza pública de las elecciones requiere, en el despliegue de máquinas de votar controladas por computadora, que los pasos esenciales del acto electoral y la certeza de los resultados puedan ser revisados confiablemente y sin conocimiento experto especial. (§ 146)
Esta capacidad de observar y controlar no debe entenderse meramente como la garantía del acto físico de visualizar, sino que exige que el proceso electoral sea completamente inteligible para todos los involucrados, y en particular para los titulares del derecho al sufragio activo. En el caso del voto electrónico, las consecuencias de este principio adquieren particular relevancia porque no hay una garantía de comprensión plena de las acciones por más que estas se produzcan en público.
Cierto es que el uso de sistemas de voto electrónico puede ir acompañado de cautelas compensatorias, como por ejemplo las certificaciones del equipamiento o auditorías informáticas previas, pero nada de esto puede justificar que el resultado final sea un proceso incomprensible, y por lo tanto incontrolable, por los ciudadanos:
Las limitaciones sobre el control ciudadano del proceso electoral no se pueden compensar a través de prototipos en el contexto del proceso de homologación, ni en la selección de máquinas de votar que, antes de su uso en una elección concreta, hayan sido examinadas por una institución oficial y evaluadas conformes a determinadas exigencias de seguridad y de integridad técnica. El control de las fases esenciales de la elección solo promueve fundada confianza sobre la regularidad de la elección si se ofrece de tal forma que los ciudadanos puedan seguir por ellos mismos el proceso electoral de manera fiable. (§ 123)
El tribunal refiere, a título de ejemplo, algunas de estas medidas compensatorias técnicas u organizativas que no ofrecen contrapeso suficiente a la perdida de capacidad de supervisión ciudadana. Entre ellas menciona el monitoreo constante y salvaguarda de los dispositivos, la comparación en cualquier momento de los dispositivos utilizables contra una muestra oficialmente verificada, y la responsabilidad penal respecto del fraude electoral (§ 124). Menciona también la participación de todo el público interesado en los procesos de examen o aprobación de los dispositivos, la publicación de informes de examen o del código fuente (§ 125), y señala que
Los exámenes técnicos y los procedimientos oficiales de aprobación, que en cualquier caso solo pueden ser evaluados de manera experta por especialistas interesados, se relacionan con una etapa del procedimiento que precede por mucho a la elección. (§ 125)
En síntesis, la supervisión basada en el conocimiento del votante sin que requiera asistencia experta es insustituible.
La sentencia señala que solo es posible admitir excepciones a estos principios cuando se justifiquen en función de la protección de otras garantías constitucionales; pero no encuentra que haya principios constitucionales opuestos que ameriten menoscabar los de carácter público y de supervisión con plena comprensión para el caso de máquinas de votación controladas por computadora (§ 126). Destaca además que ciertos justificativos usuales para la adopción de sistemas de voto electrónico, como la disminución de los errores involuntarios del votante (votos nulos o que llevan a interpretación incorrecta de la voluntad del elector, § 127), los errores aritméticos del escrutinio provisional (íd.), o la rapidez en la disponibilidad de los resultados (§ 130), no son argumentos de valor para abandonar, siquiera parcialmente, los principios fundamentales.
El Tribunal Constitucional Alemán reafirma, profundiza y precisa un principio ya establecido en la Recomendación rec(2004)11 del Consejo de Europa (2005): la obligación de los estados de garantizar que los votantes “entienden el sistema de voto electrónico y tienen confianza en él” (anexo 1, § 20) y la disponibilidad pública general de “información sobre el funcionamiento del sistema” (íd. §21, el destacado es nuestro). Si bien estos términos pueden tener interpretaciones diversas, el Memorándum Explicativo de la recomendación se encarga de precisarlos: “la plena comprensión del sistema de voto electrónico es la base” de la confianza (§ 55) y recuerda, como señalábamos más arriba, que
los métodos de votación tradicionales son simples y han sido bien probados y ensayados… (l)os votantes están familiarizados con los sistemas de sufragio que usan papeletas y urnas y entienden las reglas generales que gobiernan cómo deben votar y cómo su voto es recogido y contado sin alteraciones (§ 56).
Conforme al fallo analizado, entonces, si bien el uso de recursos informatizados en la emisión del voto no es inconstitucional per se, ningún sistema de esa especie está exento de garantizar los principios fundamentales de publicidad y comprensión.
III. A modo de conclusión
Este brevísimo recorrido plantea entonces tres niveles de objeción al voto electrónico. En primer lugar, el razonamiento del Bundesverfassungsgericht alemán, perfectamente aplicable en nuestro entorno constitucional: el imperativo de que el votante pueda asegurarse por sí mismo y sin necesidad de recurrir a ayuda experta que su voto expresa correctamente su voluntad, y que se registra y cuenta debidamente. Ahora bien, el correcto entendimiento de esta exigencia plantea un problema irresoluble en el actual estado de la ciencia informática. En segundo plano, se hallan las objeciones técnicas en sí: no es posible construir un sistema seguro que proporcione esas garantías, y aun cuando fuera admisible un ligero menoscabo de ellas, el sistema resultante presentaría serios problemas de usabilidad. Finalmente, los procedimientos necesarios para asegurar un correcto despliegue son extremadamente gravosos.
A las presuntas ventajas de mayor celeridad y exactitud en el conteo, se oponen problemas de tal magnitud que hacen desaconsejable la implantación de cualquier sistema de voto electrónico. Si bien se reconocen problemas en el sistema electoral vigente, no existe razón para suponer que estos no puedan ser resueltos por medios más eficientes. Debería ser un llamado de atención que, cuarenta años después de los primeros ensayos, los sistemas de voto electrónico en el mundo no han ganado impulso sino que, por el contrario, muchas democracias desarrolladas han decidido no adoptarlo, y en algunos casos rechazarlo después de haberlo empleado de modo significativo.
Notas
1 Una versión extendida de este trabajo académico con más referencias bibliográficas y otras precisiones puede leerse en https://www.vialibre.org.ar/wp-content/uploads/2016/06/ECh_VE_3CADE_ponencia.pdf
2 Las referencias bibliográficas de este ensayo pueden reponerse en la sección “Bibliografía general” de este libro.
3 Para un breve análisis comparado, véase Chaparro (2015, 36–47). Para una taxonomía de los sistemas de voto electrónico, véase Franklin y Myers (2012).
4 Usamos el género gramatical masculino para el genérico, tal como es norma en la gramática de nuestra lengua. No obstante este mecanismo de economía de expresión, debe entenderse que nos referimos a personas sin distinción de género biopolítico.
5 La primera legislación electoral del mundo que preveía voto secreto con cédulas de papel en que aparecían los nombres de todos los candidatos fue sancionada en Tasmania el 4 de febrero de 1856. Al poco tiempo siguieron Australia del Sur (12 de febrero) y Victoria (13 de marzo). La primera elección con el nuevo método se llevó a cabo en el este último territorio el 27 de agosto del mismo año.
6 Para una historia de la tecnología electoral en Estados Unidos, véase por ejemplo Jones y Simons (2012).
7 Ante la acumulación de fallas de seguridad y el costo desproporcionado, el parlamento valón solicitó al parlamento federal en 2015 la supresión del voto electrónico, y en 2016 decidió retornar al voto en papel para todas las elecciones futuras en la región valona (comunidades de habla francesa y alemana).
8 En el caso francés, es interesante notar que las tasas de error en los sistemas de voto electrónico superan largamente las del voto manual, por un factor entre 5 y 7. Véase Enguehard (2012).
9 Elecciones en las que haya que decidir sobre más de una docena de cuestiones no son infrecuentes, por ejemplo, en los Estados Unidos. Las elecciones de 2006 en el condado de Marin, California, tenían 30 races con 98 candidatos en total más 30 decisiones plebiscitarias (propositions). En las elecciones parlamentarias holandesas, los votantes deben elegir entre cientos de candidatos. En Irlanda, Australia, Bosnia-Herzegovina y Taiwan se aplican sistemas de preferencia con transferencia de voto.
10 El caso más típico es el de personas con dificultades neuromotrices enfrentadas a una pantalla táctil.
11 Aplicamos aquí el término “usabilidad” en el sentido canónico en que lo define la Organización Internacional para la Normalización (ISO) en la norma iso 9241: la efectividad, eficiencia y satisfacción con que un usuario dado logra objetivos especificados en un ambiente particular.
12 Por otra parte, numerosos estudios de usabilidad proporcionan evidencia concluyente de nuevos problemas, entre ellos cómo la voluntad del votante puede ser influenciada por la interfaz en que realiza la selección y otros factores de entorno, y cómo determinadas formas de presentación afectan negativamente a los votantes de capacidades más limitadas y aun a aquellos sin aparentes limitaciones.
13 Nuestro cálculo se basa en el precio pactado ajustado por resolución 218/mjysgc/15 (Boletín Oficial de la Ciudad de Buenos Aires 4614: 40, 10 de abril 2015), el número estimado de votantes proyectado a partir del número en las primarias abiertas y con la tasa de incremento de las elecciones nacionales de 2013 en el distrito, y la cotización del dólar estadounidense para la fecha de publicación de la resolución referida.
14 Las medidas sistémicas de defensa resultan, en principio, más eficaces que las aplicadas a nivel de programa.
15 En 2004 George W. Bush ganó el estado de Ohio por un pequeño margen, y con ello su reelección como presidente.
16 Se omitió, por ejemplo, la aprobación legislativa exigida por el artículo 25 del anexo II de la ley 4894.
17 Cfr. ISO/IEC 27000:2009 (E). Information technology – Security techniques – Information security management systems – Overview and vocabulary. Ginebra: International Organization for Standardization e International Electrotechnical Commission.
18 Bundesverfassungsgericht. 2009. Leitsätze zum Urteil des Zweiten Senats vom 3. März 2009 – 2 BvC 3/07, 2 BvC 4/07. (Sentencia del Segundo Senado del 3 de marzo de 2009) ECLI:DE:BVerfG:2009:cs20090303.2bvc000307
19 Siendo un acto fundacional de lo público, es inevitable que esto sea así. Si todos los actos de gobierno son públicos, con más razón son públicos los únicos actos de los que emana la legitimidad de ese gobierno. Esta característica ineludible de las elecciones no colisiona con el secreto del voto de cada elector, porque el secreto del sufragio individual no es un elemento constitutivo del derecho a votar, sino una garantía, ciertamente indispensable, de que la expresión de la ciudadanía no estará sujeta a ninguna forma de coerción.
Sobre el autor
Enrique A. Chaparro es especialista en seguridad de los sistemas de información, devenido propagandista del software libre. Ha participado en proyectos significativos de implantación de software libre en los sectores público y privado, y ha colaborado con proyectos legislativos sobre uso de software libre en el Estado en Argentina, Colombia y Perú. Es miembro de la International Association of Cryptologic Research, del Technical Committee on Security and Privacy de IEEE, y de la Fundación Vía Libre. Graduado en Matemáticas en la Universidad de Buenos Aires, con posgrados en Canadá e Inglaterra.
