Si las “impresoras” no van a la ekoparty…

Tweet about this on TwitterShare on FacebookShare on Google+

Del 27 al 29 de septiembre de 2017 se llevó a cabo la decimotercera edición de la ekoparty, la conferencia de seguridad informática más importante de Latinoamérica. Al mismo tiempo, el Gobierno de la Ciudad de Buenos Aires organizaba la versión local de la muestra Smart City Expo. Como ocurre desde hace algunos años, los organizadores de la eko hicieron un pedido público a las empresas vendedoras de sistemas de voto electrónico para que proveyeran equipos de muestra que pudieran ser auditados por los expertos que asisten a la misma. Pero dichas empresas, que nunca respondieron a los pedidos de la comunidad de especialistas, eligieron llevar sus equipos a la muestra del Gobierno.

El barco pirata de la ekoparty

Así es que, como las “impresoras” de votación no fueron a la ekoparty, se modificó la actividad usual de wardriving para llevar a unos 50 participantes adonde sí podían al menos verlas (y consultar a los vendedores). A continuación, lo que ocurrió.

El pedido de ekoparty

Este es el pedido a los proveedores y las autoridades realizado por ekoparty:

En años anteriores se hicieron pedidos similares y al igual que en esta oportunidad, la respuesta fue nula. Grande fue la sorpresa de Federico Kirschbaum, uno de los organizadores, al descubrir que en el mismo momento en que se desarrollaba la ekoparty, en una muestra del Gobierno de la CABA se exhibían computadoras de votación:

Parece ser que las empresas no tenían máquinas para llevar a una conferencia de seguridad informática, pero sí para un evento organizado por el Gobierno.

Los expertos y “los expertos”

Así promocionaba la Smart City Expo un workshop sobre voto electrónico:

Workshop sobre voto electrónico

La realidad es que no hubo ningún experto en seguridad informática, sino sólo vendedores de voto electrónico, funcionarios y representantes de ONGs amigas. Donde sí los hubo fue en la ekoparty, en particular el investigador Diego Aranha, quien dio una conferencia sobre las vulnerabilidades de las computadoras de voto electrónico usadas en Brasil:

Casi al mismo tiempo, en la feria del Gobierno los funcionarios electorales brasileños se dedicaban a hablar maravillas del mismo sistema:

Del wardriving a SmartCities

Ante la pregunta de por qué el Gobierno (y las empresas) habían ignorado el pedido de ekoparty, mientras realizaban una muestra de sistemas de voto electrónico, esta fue la respuesta del Subsecretario de Reforma Política Hernán Charosky:

Así fue que, aceptando la invitación del funcionario, la actividad habitual de wardriving (búsqueda de redes inalámbricas recorriendo la ciudad en un vehículo) se transformó en una expedición hacia la muestra del Gobierno, para examinar (o al menos poder ver) las máquinas de voto electrónico y “charlar con sus dueños”:

Unas 50 personas se subieron al barco pirata, entre ellas el investigador finlandés Harri Hursti, conocido por haber auditado (y hackeado) varios sistemas de voto electrónico de los Estados Unidos y el sistema de voto por Internet de Estonia (atrás, en la foto):

La llegada

Al llegar al evento del Gobierno, fuimos retenidos con la excusa de que no estábamos acreditados. Afortunadamente, alguien encontró un backdoor (una escalera que no estaba vigilada) y pudimos filtrarnos.

Para nuestra sorpresa, las computadoras de voto electrónico de la empresa Grupo MSA (que vende el sistema conocido como “boleta única electrónica”) ya no estaban en la muestra.

Pero afortunadamente encontramos algunas otras…

Vot-E UNCUYO

El Vot-E UNCUYO es un sistema de voto electrónico desarrollado en la Universidad Nacional de Cuyo que utiliza… una PC y una impresora comunes.

El sistema es tan penoso, que al querer imprimir un voto se colgó. Los pobres encargados de mostrar el adefesio no tuvieron otra que presionar Crtl+Alt+Del y matar el proceso explorer.exe. El único punto a favor es que la boleta impresa no parece guardar información adicional sobre el voto (dos votos idénticos generaron el mismo código de barras).

VoCoMi (Voto Codificado Misiones)

El VoCoMi es un sistema de voto electrónico desarrollado por el Tribunal Electoral de Misiones. Así es como los encargados trataron de explicarnos cómo funciona el sistema:

Según la explicación, además del “coso” (¿voto?), el código QR generado por la “impresora de boletas” (computadora) también almacena un número supuestamente random (aleatorio). El problema es que al ser diferente la representación de dos votos iguales (con la misma selección por parte del votante), esto puede permitir romper el secreto. Y para peor, el código QR usado no es estándar (hasta ahora no hemos podido decodificarlo), así que aún no podemos saber qué información está almacenada allí.

Smartmatic

Finalmente, pudimos ver el sistema de voto electrónico que la empresa de origen venezolano (y dudosos antecedentes) Smartmatic ha desarrollado para competir en el “mercado electoral” argentino. Se trata de un sistema muy parecido a la “boleta única electrónica” de la empresa MSA, pero donde se ha reemplazado el chip RFID por un código QR.

Al acercarnos uno de los empleados de Smartmatic me reconoció (¡sabía mi nombre y apellido!), y lo mismo sucedió con el especialista en seguridad Enrique Chaparro. Tal parece que en esta empresa prestan especial atención a las críticas (y a los críticos) de sus sistemas. Este fue el diálogo que mantuvimos:

Otro caso de boletas que incluyen un código con más información que sólo la selección electoral del votante. Y otro caso en donde hay que confiar en que esa información no identifica el voto. Y ni qué decir de la mentira flagrante “no es voto electrónico, es boleta única.

Un detalle interesante: el técnico de Smartmatic tenía razón. El código QR no contiene información en base64, sino que es base64 comprimido con zlib. Lo verdaderamente extraño es que al descomprimirlo y decodificarlo, aparece contenido binario. Si alguien quiere jugar con esto, puede descargar algunas boletas de ejemplo. (Si no entendió nada de este párrafo, piense si le gustaría votar con un sistema que agrega datos en la boleta que usted no puede ni imaginarse qué son).

La respuesta del Gobierno

A pesar de que no se acercó ningún funcionario del Gobierno de Buenos Aires, nos hicieron saber que sabían de nuestra presencia saludándonos a través de un tweet (¡con foto y todo!):

Esta fue la respuesta de ekoparty:

Ojalá que el año próximo el Gobierno y las empresas accedan al pedido de los especialistas en seguridad (quizás con el voto electrónico ya implantado por ley a nivel nacional, desoyendo a los mismos especialistas) para permitir auditorías públicas e independientes de los sistemas informáticos con los que pretenden que los ciudadanos elijamos a nuestros gobernantes.

Tweet about this on TwitterShare on FacebookShare on Google+
Dejar un comentario?

2 Comentarios.

Deje un comentario

NOTA - Puede usar estosHTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Trackbacks y Pingbacks: