Intervenciones de distintos especialistas en el Plenario de Comisiones de Asuntos Institucionales; Justicia; Presupuesto y Hacienda en la Honorable Cámara de Diputados de la Nación, incluidas en el libro Voto electrónico, una solución en busca de problemas.
“En el proyecto de ley sobre voto electrónico, hay aspectos contradictorios”
Mi nombre es Daniel Penazzi, soy Doctor en Matemática con el título en la Universidad de Minnesota y Licenciado en Matemática y en este momento soy profesor en la Universidad Nacional de Córdoba en la Facultad de Matemática, Astronomía, Física y Computación. Si bien mi título es de matemática, justamente como hay computación desde hace 17 años enseño esta materia. Me he dedicado a la criptografía y tengo dos papers publicados en voto electrónico. Como el tiempo es poco le voy a dar una pequeñísima clase de cómo son los sistemas de voto electrónico en general.
Hay sistemas de voto electrónico que usualmente se llaman sistemas dre, que significa en inglés direct recording electronic machines, en donde los actos de generar el voto y de contarlo están en el misma máquina. Esos sistemas pueden o no tener un registro en papel y son muy peligrosos. Quince años o más de ataques demostraron que estos sistemas no deben usarse.
Otro sistema alternativo llamado sistema ire por indirect recording electronic voting machines intenta imitar lo que uno hace cuando vota a mano. Es decir, el votante genera un voto, ese voto se deposita de alguna forma, se plasma en algún objeto físico y ese objeto físico se deposita en una urna en donde se anonimiza y, luego, se cuenta aparte. Esos sistemas son muchos más seguros que los sistemas de dre con o sin papel.
Acá el problema no es que haya un registro en papel –porque, por ejemplo, en Venezuela tienen un registro en papel–, tener un registro en papel solo ataca el problema de integridad y de verificabilidad. Los dre son peligrosos por otro problema: vulneran el secreto del voto. ¿Por qué vulneran el secreto del voto? Porque dado que la misma máquina que genera cuenta, el votante por su parte no puede saber si su voto no va a ser revelado de alguna forma. Entonces los sistemas ire son mejores pero eso no significa que no se puedan hacer mal.
Lo que yo quería aclarar es que en este proyecto de ley hay aspectos contradictorios. En el articulo 15, por ejemplo, en donde se define lo que es sistema de emisión de sufragio con boleta electrónica, lo que se está definiendo es un sistema dre con papel. Sin embargo, en los artículos 31, 33, 37 y 38 lo que se está definiendo es un sistema ire. O sea en la misma ley se contradice. Obviamente los que hicieron este proyecto están pensando en un sistema parecido al de MSA (Magic Software Argentina), o sea un sistema ire. La diferencia entre esos dos sistemas no consiste en que haya un registro en papel sino que en el sistema ire no debe quedar ningún registro en la máquina que genera el voto de lo que el votante voto.
En este sentido, por más que digamos “bueno, vamos a corregir el artículo 15 porque está medio mal escrito, para tratar de reflejar lo que dicen el 31, 33, 37 y 38” no es suficiente, sigue faltando precisión. Debe estar explícito que el sistema que genera el voto no guarda ningún registro, porque si no ocurren situaciones como en Brasil. Hace poco, Brasil fue “hackeado” por un investigador llamado Diego Aranha, quien reveló que, por una mala implementación de algoritmos criptográficos, se puede conocer quién voto a qué candidato, es decir, conocer todo el orden de las votaciones de los votantes, cliqueando en qué momento voto y saber qué voto.
Entonces es importante que estos aspectos cambien en esta ley. Por supuesto que mejor sería no proponer un sistema de voto electrónico. Como mucha gente ha dicho, el sistema de boleta única en papel contada a mano es mucho mejor desde el punto de vista de seguridad que este sistema. Y si lo que quieren es rapidez, están los sistemas electrónicos que pueden utilizarse en el conteo solamente. Es decir, uno genera el voto a mano, con lo cual resuelve todos los problemas de seguridad que hay en los sistemas de generación de votos electrónicos y luego sí, se cuenta electrónicamente y por supuesto hay que tener una auditoría post-elección como está señalado en el artículo 111 bis. Pero ahí lo que uno hace es aislar los dos problemas.
El mayor problema de seguridad está en la generación del voto porque la máquina está en contacto con la persona que está votando y existe un derecho fundamental, un derecho del votante. Este derecho no es solo que el voto sea secreto, sino que el ciudadano sepa por su cuenta que el voto no está siendo revelado. En el sistema propuesto por MSA y en la ley no queda claro que se le ofrezca esa garantía al votante. Hay métodos propuestos por bibliografía específica, aunque no todos el 100% seguros, para intentar que el votante tenga alguna seguridad por su cuenta, sin tener que depender del personal de la compañía ni de los que van a auditar el voto. En cambio, en la ley, la redacción de los artículos 31, 33, 37 y 38 no parecería dejar lugar a ese tipo de sistemas.
Igual, si bien hay sugerencias en la bibliografía específica sobre el voto electrónico es bastante costoso –en términos de dinero– y posiblemente tiene otros problemas, así que en general quizá de acá a un par de años se puedan hacer. Yo no las recomendaría. Por ejemplo, muchos de esos sistemas usan criptografía como la encriptación homomórfica, zero knowledge proof, y un montón de otras cosas que sería difícil explicárselas al común de la gente.
Es decir, por más que uno pueda diseñar un sistema que, en abstracto, sea bueno, explicárselo a millones de personas no va a ser fácil. En este sentido, la International Association for Criptological Research (iacr) tiene un sistema de voto no solo electrónico sino a distancia y lo usan. Pero ellos mismos dicen: “esto sirve para nosotros que somos criptógrafos y sabemos los que estamos haciendo, este no es un sistema que se pueda adaptar masivamente”. Entonces, aun cuando se pudiera de forma técnica resolver estos problemas que menciono, siempre quedaría el problema de cómo explicárselo a millones de personas. Por eso, en general, lo que la gente recomienda por ahora es o todo manual o por lo menos que la generación del voto sea manual y si después se quiere hacer un conteo electrónico se hace.
Para terminar, me gustaría hacer una pequeña analogía: hay gente que se opone a las centrales nucleares y gente que está a favor de las centrales nucleares. Y en general uno hace un análisis de costo, riesgo y beneficios y estará de un lado o de otro. Pero aun la gente que está a favor de las centrales nucleares no tiene la locura de diseñar una central nuclear como si fuera una central termoeléctrica común. Muchos de los que estamos acá hacemos la relación costo, riesgo y beneficios del voto electrónico y concluimos: mejor no, mejor quedarnos con el papel. Algunos de ustedes por ahí dicen que les parece que la ecuación da por el lado de los beneficios, bien. Ustedes son los legisladores y si ustedes quieren adoptar el voto electrónico, bien, pero por lo menos diséñenlo bien. No dejen todos estos huecos que hay acá porque va a ser un desastre.
Muchos me dijeron “bueno, pero hay que demostrar…”; no, no hay que demostrar nada. Nosotros no tenemos que demostrar nada. La persona o compañía que introduzca el sistema, que proponga el sistema, ellos tienen que dar una serie de afirmaciones de seguridad y demostrar que esas afirmaciones se cumplen. No estoy diciendo que prueben que el sistema es 100% seguro. Si dicen que la máquina que genera el voto no tiene ningún registro, que lo digan explícitamente; y si, luego, se verifica que sí tiene un registro que lo guarda, tiene que haber penalidades, así como hay penalidades para el que se mete y vulnera el sistema. Tiene que haber sanciones penales y no solo económicas para el que dice que está prestando un sistema que no tiene ciertas características y después resulta que tiene vulnerabilidades.
El votante, como dije antes, tiene su derecho fundamental de saber que su secreto no será revelado y para que les quede otra analogía: el sistema debe ser tal que el votante piense “esta máquina con la que voy a interactuar para producir el voto, es mi enemiga, no mi amiga”. Y sin embargo el protocolo que me están dando para que yo vote me permite burlarla y ganarla. Si no tiene eso, como no lo tiene esta ley y como no lo tiene el sistema de MSA, es un problema grave. Finalmente otra analogía: uno no construye un puente y dice: “Mire, el puente es seguro, ya pasó una semana y no se cayó ningún auto”. La gente que construye puentes hace cálculos y demuestra que el puente está bien construido. Nada más. Gracias.
“Hay que verificar, garantizar y demostrar matemáticamente que el sistema cumple con esas propiedades”
Gracias por la invitación a todas las autoridades, a los diputados, a la comisión. Voy a tratar de ser lo más rápido posible, es difícil ser rápido, hablar en diez minutos de seguridad, tic y voto electrónico. Yo me dedico a la seguridad tic, lo he hecho los últimos veinte años en el sector público, en el sector privado, con la comunidad académica, con la comunidad de practicantes, en el ámbito nacional y en el internacional. Trabajé dieciséis años en el sector privado en una empresa de seguridad informática, trabajo actualmente en la Fundación Sadosky coordinando un programa de seguridad en tic. Además, fui editor doce años de la revista IEEE Seguridad y privacidad. IEEE es una asociación profesional de ingenieros, electrónicos y electricistas, es una de las dos más importantes del mundo en la materia. Finalmente, soy fundador del Centro para el Diseño del Software Seguro de IEEE. Dicho todo esto aclaro que mis comentarios y observaciones son a título personal, ninguna de todas las instituciones que mencioné fueron consultadas o participaron en el proyecto. Hablo en calidad de experto a título personal.
Voy a tratar de hacer referencia o tomar algunos puntos de algunos oradores anteriores que hablaron de cosas de las que yo tenía previsto hablar, empezando por lo que dijo la Dra. Tula cuando hablaba de los tres principios rectores que uno debería esperar del voto electrónico que están de hecho enunciados en el artículo 1 del proyecto de ley. Ella hablaba de integridad, auditabilidad y secreto como principios rectores, eso cuando se habla en un sistema informático se tiene que traducir a propiedades del sistema. Una cosa es hablar de estas cosas como principios o cosas que son deseables y otra cosa distinta es que un sistema tenga esas propiedades y se pueda garantizar que esas propiedades se cumplen y el sistema las brinda. Para garantizar esto a lo que se recurre generalmente en la ciencia de la computación es a la matemática. Hay que verificar, garantizar y demostrar matemáticamente que el sistema cumple con esas propiedades.
Enrique Chaparro suele hacer mención de un teorema del 2009 que precisamente te muestra matemáticamente que no se puede construir un sistema que satisfaga simultáneamente esas tres propiedades. Eso no es el fin del mundo y ahora les voy a explicar por qué pero la conclusión es que hay una demostración matemática que señala que no se puede construir un sistema que simultáneamente satisfaga las tres características –integridad, auditabilidad y secreto– al mismo tiempo. Ahora bien, es una demostración matemática, por lo que dista de la implementación práctica.
La seguridad en las tecnologías de información y comunicaciones trata de manejar el riesgo de sistemas tecnológicos imperfectos –no perfectos y demostrados matemáticamente que lo son, sino sistemas tecnológicos imperfectos en presencia de ataques o de adversarios. Eso es a lo que yo me dedico y ahí hay que hacer una nueva salvedad que es el tema de la presencia de los adversarios. La seguridad en tic estudia los sistemas informáticos y tecnológicos desde el punto de vista no de los fenómenos naturales sino de la presencia de actores, adversarios, con capacidades, es decir, agentes inteligentes que tienen recursos, tienen conocimientos y tienen incentivos o desincentivos y capacidad de acción variada. Hay que caracterizar correctamente cuál es el adversario.
En el contexto de un sistema electoral el adversario va desde un entusiasta de la informática que tiene intenciones de causar problemas o curiosidad, hasta una o varias agencias de inteligencia estatales nacionales o extranjeras. En el medio hay una gran variedad de potenciales adversarios. Las organizaciones delictivas nacionales e internacionales, el proveedor del sistema y toda su cadena de abastecimiento deben ser considerados como un potencial adversario; un grupo de activistas, un tipo como yo que sabe de informática y de seguridad o un conjunto de personas como yo que quieren hacer algo dañino también. Es por lo tanto necesario caracterizar a los adversarios adecuadamente y diseñar los sistemas para prevenir amenazas identificadas de cualquiera de estos. Hay que determinar cuál es el nivel de riesgo que uno quiere asumir en el uso de un sistema que, como dije, es imperfecto. Y hacerlo explícitamente. El proyecto de ley que estamos tratando habla de la seguridad en el artículo 1, enunciando principios, pero no habla de cuestiones precisas en todo el resto del proyecto. Por lo tanto deja un margen muy amplio, muy abierto a que puedan suceder cualquier tipo de cosas ya sean malas o buenas. En principio eso es preocupante porque lo que sucede generalmente en la práctica no es bueno, no es la situación ideal sino todo lo contrario.
Se ha mencionado en este debate el tema de la auditoría y de los plazos, particularmente si no me equivoco esto figura en el artículo 15 del proyecto y frente a eso tengo que hacer algunos comentarios. El primero y principal es que los plazos previstos en el artículo 15 hablan de la auditoría, de los 120 días anteriores a la elección, pero lo que hay que considerar desde el punto de vista de la seguridad informática o seguridad tic, es todo el proceso de un sistema de desarrollo electoral. Desde su concepción, diseño, implementación, prueba en laboratorio, prueba de campo, puesta en funcionamiento, mantenimiento en la elección y lo que sucede después. En el mundo de la seguridad informática, la seguridad de software, no es suficiente hacer la auditoría de artefactos, de códigos de programas sino que hay que tener una idea de las prácticas empleadas y las actividades. Hay un conjunto de prácticas conocidas tendientes a minimizar el riesgo durante todo el ciclo de vida de desarrollo de los sistemas tecnológicos y todos esos rasgos deben ser tenidos en cuenta a fin de minimizar el riesgo de seguridad en un sistema de esta naturaleza.
Independientemente de esto que les cuento, una auditoría de veinte días es insuficiente para lo que se está tratando y me podrían preguntar cuántos días son suficientes. La respuesta a eso sería: no les puedo decir porque no se cuál es el sistema, qué grado de complejidad tiene, cuáles son los componentes que usa, cuáles son los proveedores del proveedor y cuál es la práctica o la madurez en términos de seguridad que tiene cada uno de ellos. Solo es posible determinar cuáles son las necesidades de auditoría cuando se tiene alguna especificación o alguna indicación concreta sobre qué es lo que se quiere auditar. Así que creo que eso es algo que se debería considerar. Se debería considerar también quien determinaría esto. Porque evidentemente no se puede determinar en una ley de antemano y posiblemente no se puede determinar en una reglamentación tampoco, hay que considerarlo de una manera un poco más precisa.
El Dr. Tullio hablaba de las diferencias entre, si no me equivoco, auditoría y homologación. Sugiero retirar la palabra homologación. Se podría reemplazar por certificación. Tanto una certificación como una homologación se hacen respecto a algún criterio preestablecido de antemano. Y es muy difícil definir criterios de antemano. La autoridad de asistencia electoral en los Estados Unidos se tomó cinco años para definir los criterios de homologación de sistemas electorales tecnológicos, con dos periodos de 120 días abiertos a comentarios y sugerencias del público en general.
Para terminar, aunque tengo muchos más comentarios para hacer, me voy a enfocar en uno que me parece fundamental y que es un tanto preocupante en el proyecto de ley. Me refiero a los artículos 59 y 60. En el 60 se crea el delito informático electoral; el 59 habla de otros delitos. En ellos se mencionan cosas o prácticas que son frecuentes en la investigación y desarrollo en seguridad informática o seguridad tic, para hacerlo más informal. Eso es preocupante porque el efecto de desincentivo o de temor que puede generar en la comunidad de investigación tanto de practicantes como académica por explorar e identificar problemas de seguridad en los sistemas de seguridad propuestos, va directamente en detrimento de la seguridad del sistema. En seguridad informática, el ataque y la defensa de un sistema se complementan y son ambos necesarios. Desde el año 800 esto se aplica en los sistemas criptográficos; desde 1950 en adelante (seguramente 1970), en la práctica de sistemas de seguridad modernos. Tanto el ataque como la defensa son necesarios y hay que incentivar a ambos. Solo se pueden solucionar los problemas de seguridad si hay gente activa sistemáticamente buscándolos para resolverlos y aquello que vaya en detrimento, con buena o mala intención, no importa, pero que vaya en detrimento de esa práctica en realidad presenta un potencial problema que puede redundar en mayor inseguridad y no mayor seguridad de los sistemas previstos. Les agradezco a todos su tiempo y su atención.
“La auditoría de este sistema de voto es imposible”
Me presento: soy Alfredo Ortega, tengo un Doctorado en Matemática en el Instituto Tecnológico de Buenos Aires (itba) y, aparte de la experiencia académica, me especialicé en auditoría y seguridad de software por casi quince años. En estos años, estudié y trabajé en la creación de ataques de software y hardware en todo tipo de dispositivos: computadoras, dispositivos móviles como celulares e impresoras –porque también son computadoras–, y específicamente en el sistema de voto como el de boleta única electrónica, usado en 2015.
En primer lugar, todo sistema tiene ventajas y desventajas. Las ventajas están sobrerrepresentadas en el proyecto de voto y acá vinimos a hablar lamentablemente de las desventajas. Si uno tiene más desventajas que ventajas, hay que pensar si conviene o no implementar un sistema de este tipo. Como ya muchas personas dijeron, las tres características fundamentales que tiene que tener un sistema de voto que son auditabilidad, resistencia al fraude y secreto. Estas no se garantizan en este sistema y, por ende, se presenta muy vulnerable a la coacción del votante.
Específicamente escuché que muchos hablaban de las posibilidades de auditar el sistema. Trabajé mucho tiempo en auditorías y es imposible auditar este sistema en el tiempo propuesto. Es bastante lógico si uno piensa que son decenas de personas desarrollando un sistema por diez años pero si uno lo quiere auditar en 180 días, es imposible hacerlo. Además uno puede auditar una máquina pero hay casi 90.000 maquinas que no necesariamente son las mismas. Entonces, la auditoría de este sistema de voto es imposible. No es extrapolable a nivel nacional, se lo puede hacer con una universidad con un equipo de fútbol pero no con un país.
Por esta razón, justamente, no se puede mantener el secreto del voto porque no se puede confiar en lo que hay adentro de una computadora. Nadie sabe a ciencia cierta todos los componentes, miles de componentes, que tiene una computadora adentro. El votante no puede confiar en algo que tenga componentes electrónicos, lamentablemente. Hay un dato interesante, la misma boleta electrónica tiene una computadora dentro. Lo escuché nombrar como memoria pero es una computadora. Insisto: la boleta misma tiene computadora dentro cuyo código nadie sabe quién lo escribió ni quién lo fabricó.
Además, me gustaría hablar sobre ataques específicos a los sistemas de voto. En cuanto a los ataques de los adversarios, uno se va a enfrentar con gente que está muy preparada, hay ataques que no se pueden detectar con auditorías. El sistema de boleta única electrónica pasó por muchas auditorías; muchas universidades –todas las que conozco– auditaron este sistema. Cada universidad encontró una falla distinta. Porque es una falacia que uno puede limpiar un sistema de vulnerabilidades. Uno jamás va a terminar de encontrar las en un sistema. Después de que todas las universidades hicieron su auditoría, lo vi yo personalmente y encontré otra vulnerabilidad, que permitía poner muchos votos de una misma persona en la boleta. Es algo básico en el conteo de los votos pero se les pasó. Y no porque hayan sido malas personas sino porque es algo natural del software. No porque las máquinas no estén preparadas sino porque en una auditoría es imposible sacar todas las fallas de un sistema. Y lamentablemente el sistema de voto no tolera fallas, no es como un sistema de tarjetas de crédito, de cajero, que pueden ser tolerantes a fallas. Este sistema no tolera fallas. Porque una falla permite que haya un error en la elección, se elija a otra persona y no se pueda volver atrás. Con una tarjeta de crédito se puede volver atrás perfectamente en cualquier transacción.
También, me gustaría hablar de un dato muy interesante: los ataques prácticos –no teóricos– que sufrió el sistema de voto. El sistema de voto de boleta única electrónica sufrió ataques no a los meses sino a los días de ser implementado, es decir, antes de la votación ya sufrió cuatro ataques informáticos de los cuales hay registros por la policía. Uno de los “atacantes”, a quien la policía allanó, justamente no se trataba de un ataque sino de una persona que avisó de los ataques.1 Quiero centrarme en los demás, de los que nadie habla, de los dos ataques que la policía no pudo encontrar. No sé si saben de dónde salieron esos ataques. Uno salió de Texas y otro salió de New Jersey. Esto que parece tan tranquilo significa que la policía tiene evidencia del primer ataque internacional al voto electrónico; y no se puede hacer absolutamente nada porque se trata de otro país, de otra jurisdicción. Fue un ataque internacional, fue antes de que ocurriera siquiera la primera votación. Esto es importante explicarlo: en el ambiente de la informática y la electrónica, todos los países están atacando. Existe la ciberseguridad, un área moderna. Todos los países están tratando de atacarse constantemente. Son expertos en hacerlo. No por nada este ataque fue a días de estar el sistema online. La policía que es una policía realmente eficiente –no podemos decir que es una policía sin recursos porque a las dos personas que fueron de Argentina las individualizaron, al instante, en corto tiempo– no puede hacer absolutamente nada contra los ataques internacionales.
Ahora bien, la empresa dice que estos sistemas de votos no son vulnerables porque no están conectados a Internet. Eso es totalmente falso. Hay ataques famosos como el de Stuxnet que se han realizado sin que las máquinas estén conectadas a Internet. No se puede pelear contra un adversario que tiene diez o veinte años de experiencia en ataques de sistemas informáticos. Yo tengo esa cantidad de años en el área: uno puede creer que los ataques son cosas que les pasan a otras personas, que no van a suceder en este sistema electrónico y que se van a poder frenar y detectar. Los ataques efectivos son los que no se pueden detectar.
Por casualidad, me mandaron un mail para venir a este lugar como invitación, ese mail tenía un link al sitio de la Cámara de Diputados. A través de ese link, que tenía una falla, uno puede entrar a la base de datos y bajarse los datos de todos los empleados, los diputados, los pedidos de declaración jurada. Los tengo acá, los traje. Esta es exactamente la misma falla de los Panamá papers, no exactamente pero el mismo tipo de falla que permitió los Panama papers y que permitió los leaks de Wikileaks. Es algo muy común y muy sencillo de hacer. Yo lo reporté, por supuesto, al sistema de seguridad informática que fue muy expeditivo en arreglar este problema; ya no existe, para que se queden tranquilos. Pero este tipo de fallas prevalece en la mayoría de los sistemas.
Por eso, como conclusión, quiero decir que es muy difícil hacer un sistema totalmente seguro y simple. El mundo se está moviendo para alejarse del sistema de voto electrónico. No quiere decir que en algún momento futuro se pueda llegar, pero hoy en día no se puede hacer. Y como prevención los países están alejándose del voto electrónico. Veo que Argentina justamente está yendo en contra de los países y no podemos ir en contra otra vez del conocimiento mundial, por algo lo están haciendo, aprendamos de la gente con experiencia y tratemos de hacer el voto de alguna manera que no involucre ningún sistema informático. Gracias.
Notas
1 Se refiere a Joaquín Sorianello. Más información puede leerse en http://www.lanacion.com.ar/1807647-segun-un-programador-que-detecto-fallas-en-el-sistema-de-voto-electronico-allanaron-su-casa
“La compra de votos no se elimina con este sistema”
Lo primero que quiero señalar es que esta discusión no es “máquina sí, máquina no”, esta discusión es “rápido y moderno” (título de película) contra “seguro, íntegro y transparente”. Eso es lo que estamos discutiendo y como eso es lo que estamos discutiendo, estamos discutiendo sobre calidad de la democracia; sobre derechos y libertades de los ciudadanos y los electores; sobre los valores que dan sustento al sistema electoral; y sobre la legitimidad de ustedes, que son los electos. Ese es el resultado de un proceso electoral íntegro. La boleta única papel, que usa la mayoría de los países del mundo, es más barata, ofrece muchos más proveedores, evita los monopolios y soluciona el robo de boletas igual que la boleta única electrónica.
Respecto de la boleta única electrónica –y acá estoy llegando a la confusión total–, mal que les pese al señor ministro y a los funcionarios nacionales, es un sistema de voto electrónico. Hemos tenido acá el reconocimiento del Dr. Lozano que, luego de señalar en una sentencia como miembro del Tribunal Superior de la Ciudad que no era voto electrónico, ahora ha dicho que en la ciudad se aplicó el voto electrónico. Así que me parece muy interesante este reconocimiento. Pero además, ¿para qué vamos a decir una cosa por otra en el Congreso de la Nación, donde no tenemos las restricciones que en la Ciudad Autónoma de Buenos Aires, donde justificaron que las autoridades dijeran una cosa por otra? Porque si reconocían que era voto electrónico tenían que volver a la Legislatura. Para saltarse la Legislatura inventaron la historia de que la boleta única electrónica no es voto electrónico. Acá no necesitamos esa cuestión así que sinceremos ya que estamos sincerando tanto en el país.
¿Qué hay detrás de la decisión de adoptar este sistema de voto electrónico? Veamos los argumentos, veamos si son ciertos. Un argumento es “este sistema es rápido y moderno”. Cuidado con lo moderno porque estamos haciendo una ley que se supone que va a durar más de seis meses así que el año que viene, sobre todo en materia de tecnología, podríamos llegar a decir que esto es una antigualla. Pero me puse a mirar en los estándares internacionales en materia de sistemas electorales y en los tratados de derechos humanos que hablan de las elecciones libres y no encontré ningún tratado ni ningún estándar que diga que el principio electoral madre en una democracia es rápido y moderno. El problema con moderno es que si es tan moderno no me explico cómo puede ser que países mucho más desarrollados y modernos que Argentina no utilicen el sistema. A nivel internacional, solo tres países usan el sistema: la India, Brasil y Venezuela. La verdad es que creo que algo deben de estar haciendo bien con la boleta papel los países que son modernos y desarrollados y tienen mucha más tecnología que nosotros como Inglaterra, Alemania, Holanda y los países escandinavos, además de muchos lugares de países latinoamericanos. Entonces lo moderno hay que ponerlo en tela de juicio. También usan la boleta papel Corea y Corea del Sur y lo menciono porque ya voy a volver sobre el tema de si acá tenemos un problema de privatización del sistema electoral o tenemos un problema de extranjerización del sistema electoral. Lo dejo planteado. Corea del Sur es el país elegido por el Ministerio de Modernización para realizar convenios en la materia.
Además, la otra gran ventaja de este sistema de voto electrónico serían los resultados rápidos. Vamos a ver los resultados rápidos, suponiendo que “rápido y furioso” fuera un valor democrático. El 5 de julio de 2015 se realizaron elecciones en la Ciudad de Buenos Aires, con boleta única electrónica, y en mi provincia, en toda la provincia de Córdoba, con boleta papel (con un modelo distinto del de Santa Fe pero modelo papel). Veamos que ahora supimos las cosas. Sobre la rapidez inicial: a las 19:27 –tengo todos los documentos bajados del escrutinio–, CABA informaba un porcentaje escrutado de 4,7% de las mesas; en Córdoba, a las 19:17, un porcentaje de 1,4% de las mesas. Efectivamente en la Capital iban más rápido. Las 23:55, hora en el que en el día de la elección presidencial todavía no sabíamos nada, en Córdoba teníamos escrutados con boleta única papel el 65% de las mesas y la tendencia no varió hasta después. Alrededor de las 02:00 am del día 6 de julio el escrutinio de Capital y de Córdoba iban cabeza a cabeza, 93,4 y 93,5%. Así iban funcionando. Eso es lo rápido y furioso.
Por otro lado, a mí me parece que rápido y con errores no es un buen negocio. En el caso del voto electrónico de la Capital Federal, ni la empresa, ni las autoridades, ni las auditorías detectaron algo que mencionó la diputada Stolbizer hace un momento. Un error en la carga de los resultados estaba dando más votos que votantes en algunas comunas. Por ejemplo en la comuna 14, 21:57 de la noche, cantidad de electores 147.100, cantidad de votos 147.363. O sea que habían votado más que el total de los electores de la comuna. A las 00:29, información oficial del sistema que la autoridad electoral dice que funcionó tan bien, seguía diciendo que esa comuna tenía a 170.000 electores y que habían votado 147.363. Recién se corrigió esto a las 02:00 am del día siguiente y se corrigió no porque la empresa lo detectó, no porque los autores lo detectaron, no porque las autoridades lo detectaron, se corrió porque los que estábamos observando la elección desde nuestras respectivas casas –y hay muchos que estábamos esa madrugada siguiendo la elección–, empezamos a ver que había una discordancia total entre la cantidad de electores de las comunas y la cantidad de votos que habían recibido. Gracias a nuestro trabajo conjunto, descubrimos que todo el padrón electoral del distrito Ciudad de Buenos Aires estaba mal cargado en la base que se estaba utilizando para dar los resultados. Y gracias a que lo hicimos público en las redes sociales se corrigió a las 02:00 am del día siguiente. Lo mismo pasaba con la comuna 1, por ejemplo, que es un caso muy lindo. Esa comuna tenía 166.483 electores empadronados a las 21:00; pero a las 02:00 am, 181.207 empadronados. Así que se ve que había habido un proceso de empadronamiento, solo El Cronista Comercial mencionó esta irregularidad al día siguiente sobre la base de lo que habíamos dicho los que estábamos observando. Pero rápido y moderno evidentemente no es para mí lo que vale acá sino los valores fundamentales. Y me voy a referir solo a algunos.
Sobre el secreto del voto y la integridad de las elecciones, les voy a leer lo que dice la patente del sistema MSA, la lectura de la totalidad de los códigos puede hacerse dentro de la urna sin necesidad de tener que abrirla, evitando todo contacto manual con los votos. Se pueden leer todos los votos que están en la urna, también se pueden leer con un simple aplicativo que se demostró que funcionaba voto por voto para poder hacer el sistema de compra de votos. De manera tal que el sistema de votos se puede vulnerar con el sistema de boleta única electrónica, como se vulneró en Holanda que determinó la eliminación del sistema, como se vulneró en Brasil. Y también habría que recordar el discurso de Maduro cuando en Venezuela dijo al día siguiente de una elección, “tengo lista de todos los empleados públicos que votaron en contra del partido”, previo a una purga. La compra de votos no se elimina con este sistema, lo que se hace es utilizar otro sistema para comprar los votos. Es graciosa la norma del proyecto que dice que no se podrá sacar fotos a la boleta, porque están pensando en la boleta papel y no en cómo se puede probar en cómo ha votado una persona para el voto. El clientelismo que el gobierno dice que se elimina con esto tampoco se elimina evidentemente porque sino no habría clientelismo en Venezuela, Salta, en la Ciudad de Buenos Aires o en muchos otros países.
Un último punto, porque todo lo demás ya lo he escrito y publicado y lo pueden buscar en las redes, es que yo confio en que el que va a determinar el sistema electoral de la nación sea el Congreso de la Nación. Entonces, me pregunto si ya han pedido informes sobre el convenio celebrado por el Ministerio de Modernización con una empresa o con el estado coreano para el desarrollo del software y la provisión de las máquinas. Y me pregunto si les mostraron, de hecho es que no les mostraron porque estuve desde esta mañana acá, si les han mostrado el prototipo que ha llegado desde Corea y que el Ministerio de Modernización y el Ministerio del Interior le muestran a determinadas personas. Podrían pedirlo. Y me pregunto finalmente, lo último que me enteré ayer de un funcionario del gobierno que no sabía con quién estaba hablando, si es cierto que el gobierno de Corea ha ofrecido el regalo del software que se va a utilizar. Entonces la pregunta es: ¿privatización, tercerización o extranjerización del sistema electoral? Muchas gracias.
“¿Qué seguridad tiene un votante de estar seguro del secreto?”
Mi nombre es Javier Smaldone, soy programador y administrador de redes de sistemas. No soy especialista en seguridad informática pero sé lo suficiente sobre el tema para sobrevivir en lo que hago. No pertenezco a ninguna entidad, a ningún organismo, ni club de fútbol, ni partido político, así que vengo a hablar acá como un ciudadano común. Por el poco tiempo que tenemos y lo cansados que estamos todos esta altura de la noche, me gustaría poner el foco en una cosa que se ha mencionado, sobre todo en los últimos discursos, pero en gran parte del día se ha pasado por arriba, y es el tema del secreto.
El énfasis siempre ha estado puesto mayormente en lo que es auditabilidad y verificabilidad. Saber que los resultados son correctos, saber que los conteos están bien hechos, tener forma de verificar si ese conteo electrónico coincide con un conteo manual, pero nos olvidamos de una cosa. Está probado que no se puede tener un sistema ni electrónico, ni manual, ni de ningún tipo que permita a la vez garantizar el secreto, la auditabilidad y la verificabilidad. Aquí, en Argentina, tomamos una decisión hace mucho tiempo y pusimos el secreto por delante de todo, fue en el año 1912. Todas las complicaciones que tenemos de cómo diseñamos las boletas, de cómo hacemos el procedimiento para emitir el voto, de cómo escrutamos las mesas y los controles cruzados de escrutinio provisorio y definitivo, vienen de la necesidad de preservar el secreto del voto. Sino no habría este problema, habría otros.
¿Cómo garantizamos el secreto del voto hoy con boletas de papel? Sea con la boleta partidaria en un cuarto oscuro o con la boleta única como usamos en Córdoba y en Santa Fe. ¿Cómo hace el votante para estar seguro de que nadie sabe lo que está votando? Mirando. En el cuarto oscuro mirando que no haya nadie, llevando si quiere la boleta desde su casa guardada en un bolsillo. Él puede asegurarse de que nadie va a saber a quién voto. Hay algunos problemas con eso que ya los voy a detallar. Y con la boleta única de papel también, mirando. ¿Cómo hace el votante para asegurarse de que no se viola el secreto del voto cuando tiene que emitir su voto a través de una computadora? Creyendo lo que dicen en la auditoría. Creyendo, confiando: todo empieza con un acto de fe.
De las auditorías ya han hablado suficiente. Las auditorías nunca son suficientes, en particular en este sistema, en este proyecto de ley que es el sistema del MSA. Se ha probado que pasó por un montón de auditorías que detectaron la posibilidad de meter varios votos en una boleta, que se comieron que en esa carcasa de plástico no había una computadora sino que había dos y la segunda con su software no fueron ni siquiera mencionadas en las auditorías. Incluso la segunda violaba el decreto reglamentario de la ley electoral porque tenía capacidad de almacenamiento permanente. Memoria permanente, suficiente para almacenar todos los votos emitidos en una mesa y ni se nombró. Entonces, las auditorías.
¿Qué seguridad tiene un votante de estar seguro del secreto? Creer o no. Qué piensan ustedes, qué camino tomará aquella persona para la que su trabajo, su plan social, su bolsón, sus $400 dependan de a quién vote. Creer en la auditoría o agachar la cabeza, apretar el botoncito que le dijeron que tiene que apretar y votar cómo lo mandaron a votar. Ya el solo hecho de que el elemento de votación requiera de auditorías lo invalida. No estamos hablando de que el procedimiento de votación permita hacer controles sino que el mismo elemento de votación requiera de una auditoría de una élite que le dice al votante “nadie va a saber cómo votaste”, cuando a lo mejor hay un puntero que le dice “ojo, cómo votás porque vamos a saber”. ¿Será cierto o no? Y después hay otra cosita más que es la violación voluntaria del secreto, la posibilidad de demostrar a quién se voto. Algo que debería estar imposibilitado por el sistema.
Con la boleta única de papel sí hay un problema, lo sufrimos en Córdoba y en Santa Fe y cada elección se tiene que controlar: el tema de las fotos. Es más, en Córdoba en particular, en mi ciudad, Rio Cuarto, se dieron cuenta en la mitad de una elección cuando alguien notó que andaban celulares dando vueltas por todos lados. Ya se había aprobado la reforma, ya se habían diseñado las boletas, ya se había hecho todo y en el medio de una elección los vivos de siempre ya sabían cómo hacerlo. En la auditoría, no nos dimos cuenta de que sacan fotos, le muestran al puntero la foto y les pagan. De ahí en más no se puede sacar foto. Pero cómo evito yo que alguien saque una foto cuando está poniendo cruz en una boleta a través de un tabique así. Mirando con mucho cuidado.
Ahora les voy a mostrar una cosa, espero que se vea la pantalla. Este es un celular, un Samsung S4, medio viejito, no es el último. Tengo una aplicación que funciona así: tengo dos boletas con votos. Supongamos que soy puntero del partido azul. Voy y voto con la boleta única electrónica, elijo las opciones, confirmo y la máquina me entrega esto. Este celular lo tengo en el bolsillo, esto no usa la cámara del celular, esto usa el lector de chips. Y lo que hago es esto, paso el chip cerca del celular, ven cómo cambio, está en amarillo, leyó el voto maestro, leyó este voto. El celular se lo doy a un votante y le digo “ponetelo en el bolsillo y andá a votar. Cuando termines de votar saca la boleta y hacete el que estás leyendo y pasatelo al lado del bolsillo. Si el celular se pone en rojo, no cobrás, pero si el celular me lo traés en verde, cobrás”. Y todo esto sin sacar el celular del bolsillo. ¿Cómo lo evitan? ¿Cacheando votantes? La aplicación no, pero esta metodología la hicimos pública antes del 5 de julio en Capital Federal. Nadie dio bolilla. Después la publicamos para que se vea que es una pavada hacerla, funciona con celulares de $2000. Nada más, muchas gracias.
“La posibilidad de que se deslice un error es muy alta”
Estoy aquí no solo como miembro de la Fundación Vía Libre sino con algunos múltiples sombreros, como casi todos tenemos. Durante los últimos treinta años, mi actividad principal ha sido la seguridad de los sistemas de información. He pasado por algunas universidades y de algunas me he graduado y de otras me han echado. El último sombrero es el de mi condición de ciudadano de a pie. Trataré de combinarlos en los próximos diez minutos señalando algo que dos académicos irlandeses McGaley y Gibson señalaban en el momento en que Irlanda analizaba el paso a un sistema del voto electrónico. McGaley y Gibson decían que ningún sistema electoral es mejor que la confianza que los votantes tienen en él. Esta es una cuestión central porque independientemente de que discutamos meses sobre cuáles son las fallas reales o percibidas de nuestro sistema electoral, lo cierto es que hay una sensación en la ciudadanía de que hay fallas estructurales en el sistema electoral actual.
Ahora bien, una de las soluciones que propone el Poder Ejecutivo para resolver esta cuestión es una serie de cambios en el método de votación. Nosotros nos oponemos ontológicamente al voto electrónico, ¿qué quiere decir? Esencialmente que no conocemos forma en que un sistema de voto electrónico pueda garantizar las condiciones fundamentales que nos impone por ejemplo el artículo 25 del Pacto Internacional de Derechos Civiles y Políticos. Es decir, elecciones genuinas con voto universal e igual protegidas por secreto. Esto se debe no a capricho, no a opinión, sino a cosas que sabemos en el plano de la teoría. Es imposible construir un sistema de voto que al mismo tiempo garantice verificabilidad, secreto e integridad. Eso es un teorema que se llama teorema de Hosp y Vora, resuelto en el año 2009. También sabemos que cualquier proclama de seguridad que hagamos es, en términos de conocimientos científicos, no falsable. Esto que quiere decir, que puedo demostrar que una condición de seguridad es necesaria pero jamás puedo demostrar que es suficiente. Por lo tanto además hay un error conceptual en uno de los ítems del artículo 14 bis propuesto que dice que la máxima seguridad solo existe en el infinito. Nuestra posición ontológica debería ser explicada largamente pero tenemos limitaciones de horario y estamos todos muy cansados.
Entonces, además, desearíamos apuntar algunas cuestiones que están ligadas al proyecto en particular. La justificación del proyecto propone que este sistema sugerido resolvería la cuestión que plantea el Tribunal Supremo Constitucional alemán en su fallo del 2009 302 y 402 del segundo senado del Bundesverfassungsgericht. Esto no es así y permítanme intentar el test por dos vías. En primer lugar, porque si imprimir el voto fuese la solución a la inconstitucionalidad que plantea el Tribunal Supremo Constitucional alemán, supongo que los alemanes no son tan estúpidos como para no haber agregado un pedacito de papel a su sistema. Y en segundo lugar, porque si uno hace un repaso a la doctrina alemana y a todos los comentaristas jurídicos alemanes a partir de ese fallo, van a encontrar mayoritariamente que la doctrina opina que el camino que deja abierto es muy estrecho. Nada autoriza a suponer que una copia impresa garantice que estamos efectivamente en ese camino estrecho. Porque de las copias impresas sabemos a partir de experiencias de otros países, que el porcentaje de lectura es muy bajo, mucho más aún en un sistema cuyo modelo favorito del Ejecutivo es la provincia de Salta y la Ciudad de Buenos Aires, un sistema que no fuerza a leer la copia para obtener el voto, a diferencia de otros que implican apretar un botón por sí o por no después de haber visto la versión impresa. Y por otro lado por diferencias cognitivas que son típicas de nosotros, los humanos, nos cuesta mucho distinguir aquello que está en pantalla respecto de lo que tenemos en la mano. Yo acabo de escoger la foto en colores de una persona y me presentan en un papel impreso una lista de nombres. La posibilidad de que se deslice un error es muy alta. Los mejores estándares que tenemos de esto dicen que, por lo menos, la mitad de los votantes pasan por alto errores serios de diferencia entre lo que sucedió en pantalla y lo que ha sido mostrado impreso.
Ciertamente los problemas de índole técnica son muchas y hay algunos problemas graves de índole técnica en el proyecto. Por ejemplo, cuando se plantea la auditoría ex post del sistema. Con todo respeto lo digo, me parece que el Ministerio del Interior podría haber invertido una pequeña cantidad de dinero en preguntarle a algún estadístico en cómo se hace una muestra correcta. La muestra del 5% no tiene ninguna relación con lo que se pretenda muestrear. El tamaño de la muestra depende del tamaño de la diferencia. Entonces, con la norma tal como la prevé la ley, en este momento el presidente de la República podría ser otro y el jefe de gobierno podría ser otro y se ajustaría perfectamente a los términos de la ley. Pero además tenemos un problema, nosotros usamos para la asignación de los cargos de los cuerpos colegiados del sistema proporcional D’Hont y entonces cuando repartimos el último cargo la diferencia es muy pequeña. En términos comparativos, la banca 15 para el actual oficialismo o la octava para el principal partido de oposición en la Ciudad de Buenos Aires se definen por 531 votos. Persiste ampliamente en el conteo el error del 5% que plantea la ley y podemos tener casos más extremos.
Otro riesgo que enfrentamos –y que han señalado aquí algunos de los oradores que me precedieron– es el problema de la privatización del sistema electoral. Holanda lo experimentó. Les recomiendo y no quiero ser particularmente aburrido sobre la cuestión, una publicación de Anne Marie Oostveen, quien analizó los efectos de la privatización del sistema holandés. Cuando los holandeses recuperaron la autonomía para manejar las elecciones, no sabían cómo hacerlas porque habían estado en el sector privado durante más de una década. Eso es la sabiduría fundamental de la maquinaria de la democracia. Si no sabemos cómo hacer elecciones, vamos a perderlas todas.
¿Cuánto vale el poder político de un país? No pregunto cuánto cuesta, me pregunto cuánto vale. ¿Cuántas voluntades están dispuestas a sacrificar cualquier cosa por el poder político de un país? Un columnista se preguntaba el otro día en el Washington Post cuánto vale la presidencia de los Estados Unidos. Bien, eso, lo que podamos imaginar que vale el poder político de un país es el presupuesto con el que cuenta el adversario y a grandes presupuestos, grandes ataques. Que no solo debemos pensar en términos del potencial fraude que un sistema electrónico multiplica maravillosamente, porque hay cambio de dos o tres líneas de códigos en un programa se replica en 95.000 mesas electorales del país a una escala que no podemos lograr con los procedimientos manuales. El problema es la pérdida del secreto o la amenaza de la pérdida del secreto y en tercer lugar, el problema del sabotaje.
Siempre estamos pensando que estamos compitiendo entre partidos que quieren llegar al poder por vía legitima y están dispuestos a ceder un poco éticamente para robarse unos votos. Pero ¿qué pasa si lo que yo quiero hacer es sabotear el sistema electoral? ¿Qué pasa si en el medio de la elección tenemos un evento catastrófico tal como un caballo de Troya que pare todas las maquinas de votación a las 00:35? Estamos sin red. El proyecto que plantea el Poder Ejecutivo no tiene ninguna alternativa. Si tenemos un evento catastrófico, tenemos un incendio en términos del sistema político. Suspender una elección. Y esto se logra con tres o cuatro líneas de código que eventualmente insertó un obrero en una factoría china dentro de un chip que está entre los miles de chips de una máquina.
No quisiera ser ave de mal agüero pero mi función desde el punto de vista de la sociedad civil es ser opositor independientemente de quién sea el oficialismo. Finalmente, quiero tomarme este último minuto para dedicarlo a las disonancias que existen en términos de régimen penal que se impone en el proyecto del Ejecutivo. Quiero señalar varias cosas, en primer lugar el que aparezcan tipos penales nuevos significa que el Poder Ejecutivo está evaluando que existen amenazas nuevas respecto de aquello que ya teníamos, porque a uno no se le ocurriría por ejemplo crear una figura penal por derribar aviones con el pensamiento, nadie va a crear un tipo penal relacionado con la tentativa supersticiosa. Entonces, ciertamente, lo que se está persiguiendo es que hay nuevas amenazas que necesitan un nuevo régimen penal y que las que existían siguen existiendo porque si no hubiéramos sustituido el régimen penal existente. Pero, además, quiero señalar que por ejemplo el proyecto se lleva puesto el criterio de proporcionalidad de la ley penal. Les voy a dar dos ejemplos simples. Por el artículo 134, si yo interrumpo a un empleado de correos que lleva un telegrama con los resultados, estoy condenado a una pena de prisión de entre seis meses y dos años. Ahora, si yo lo que hago es interrumpir el cable que comunica el lugar de captación de votos con el lugar de acopio la pena varía entre dos y seis años. Mismo delito, distinta figura dependiendo del medio comisivo. Quisiera señalar que algunos delitos electorales, que son delitos de intención, están planteados en términos más duros que el abuso sexual de personas menores de trece años. Muchas gracias.
un voto correcto a mi entender seria boleta única de lápiz y papel y el 1° dia elegir presidente el 2° dia elegir ministro de economía el 3° dia bice y así hasta completar los cargos aunque estemos votando durante una semana seguida no vamos a meter a ninguna banda en el gobierno