Del 27 al 29 de septiembre de 2017 se llevó a cabo la decimotercera edición de la ekoparty, la conferencia de seguridad informática más importante de Latinoamérica. Al mismo tiempo, el Gobierno de la Ciudad de Buenos Aires organizaba la versión local de la muestra Smart City Expo. Como ocurre desde hace algunos años, los organizadores de la eko hicieron un pedido público a las empresas vendedoras de sistemas de voto electrónico para que proveyeran equipos de muestra que pudieran ser auditados por los expertos que asisten a la misma. Pero dichas empresas, que nunca respondieron a los pedidos de la comunidad de especialistas, eligieron llevar sus equipos a la muestra del Gobierno.
Así es que, como las «impresoras» de votación no fueron a la ekoparty, se modificó la actividad usual de wardriving para llevar a unos 50 participantes adonde sí podían al menos verlas (y consultar a los vendedores). A continuación, lo que ocurrió.
El pedido de ekoparty
Este es el pedido a los proveedores y las autoridades realizado por ekoparty:
Carta abierta de @ekoparty a la comunidad sobre #VotoElectronico pic.twitter.com/4eEIo4sDAN
— ekoparty (@ekoparty) 25 de septiembre de 2017
En años anteriores se hicieron pedidos similares y al igual que en esta oportunidad, la respuesta fue nula. Grande fue la sorpresa de Federico Kirschbaum, uno de los organizadores, al descubrir que en el mismo momento en que se desarrollaba la ekoparty, en una muestra del Gobierno de la CABA se exhibían computadoras de votación:
Al parecer en la Conferencia de SmartCities están las maquinas de Voto Electrónico! Pero para la @ekoparty dicen que NO hay.. besis pic.twitter.com/bhqA7jEkwU
— Federico Kirschbaum (@fede_k) 28 de septiembre de 2017
Parece ser que las empresas no tenían máquinas para llevar a una conferencia de seguridad informática, pero sí para un evento organizado por el Gobierno.
Los expertos y «los expertos»
Así promocionaba la Smart City Expo un workshop sobre voto electrónico:
La realidad es que no hubo ningún experto en seguridad informática, sino sólo vendedores de voto electrónico, funcionarios y representantes de ONGs amigas. Donde sí los hubo fue en la ekoparty, en particular el investigador Diego Aranha, quien dio una conferencia sobre las vulnerabilidades de las computadoras de voto electrónico usadas en Brasil:
Agradecido de poder ver un experto como @dfaranha hablando de hacking de máquinas de voto electrónico en #eko13 pic.twitter.com/y519qvAiNJ
— Alfredo Ortega (@ortegaalfredo) 27 de septiembre de 2017
Casi al mismo tiempo, en la feria del Gobierno los funcionarios electorales brasileños se dedicaban a hablar maravillas del mismo sistema:
#Ahora Workshop en @SCEBuenosAires Giuseppe Janino Secretario de TI del Tribunal Superior Electoral de Brasil pic.twitter.com/Noi3dXmYmy
— Dialogando BA (@DialogandoBA) 28 de septiembre de 2017
Del wardriving a SmartCities
Ante la pregunta de por qué el Gobierno (y las empresas) habían ignorado el pedido de ekoparty, mientras realizaban una muestra de sistemas de voto electrónico, esta fue la respuesta del Subsecretario de Reforma Política Hernán Charosky:
Están en exhibición junto a otras en Smart City Expo, no son nuestras. Vení a verlas y a charlar con sus dueños.
— Hernán Charosky (@charosky) 28 de septiembre de 2017
Así fue que, aceptando la invitación del funcionario, la actividad habitual de wardriving (búsqueda de redes inalámbricas recorriendo la ciudad en un vehículo) se transformó en una expedición hacia la muestra del Gobierno, para examinar (o al menos poder ver) las máquinas de voto electrónico y «charlar con sus dueños»:
Wardriving recargado! Si las maquinas de votación no van a la eko… la eko va hacia ellas pic.twitter.com/EjCTTV0nlC
— ekoparty (@ekoparty) 29 de septiembre de
2017
Unas 50 personas se subieron al barco pirata, entre ellas el investigador finlandés Harri Hursti, conocido por haber auditado (y hackeado) varios sistemas de voto electrónico de los Estados Unidos y el sistema de voto por Internet de Estonia (atrás, en la foto):
Vamos de paseo, tu tu tu!
En una impresora, tu tu tu! pic.twitter.com/maaU4MCDgF— Javier Smaldone (@mis2centavos) 29 de septiembre de 2017
La llegada
Al llegar al evento del Gobierno, fuimos retenidos con la excusa de que no estábamos acreditados. Afortunadamente, alguien encontró un backdoor (una escalera que no estaba vigilada) y pudimos filtrarnos.
#eko13 visitando las maquinas de voto electronico a través del wardriving! pic.twitter.com/9L4NRbI5Qz
— Nico Rey (@ReyNico) 29 de septiembre de 2017
Para nuestra sorpresa, las computadoras de voto electrónico de la empresa Grupo MSA (que vende el sistema conocido como «boleta única electrónica») ya no estaban en la muestra.
Lastima que msa se llevó sus máquinas antes de que lleguemos
— Joaquín Sorianello (@_joac) 29 de septiembre de 2017
Pero afortunadamente encontramos algunas otras…
Vot-E UNCUYO
El Vot-E UNCUYO es un sistema de voto electrónico desarrollado en la Universidad Nacional de Cuyo que utiliza… una PC y una impresora comunes.
La Universidad de Cuyo expuso su sistema vot-e @uncuyo @secbuenosaires pic.twitter.com/Vma7ypaaVd
— Dialogando BA (@DialogandoBA) 30 de septiembre de 2017
El sistema es tan penoso, que al querer imprimir un voto se colgó. Los pobres encargados de mostrar el adefesio no tuvieron otra que presionar Crtl+Alt+Del y matar el proceso explorer.exe. El único punto a favor es que la boleta impresa no parece guardar información adicional sobre el voto (dos votos idénticos generaron el mismo código de barras).
VoCoMi (Voto Codificado Misiones)
El VoCoMi es un sistema de voto electrónico desarrollado por el Tribunal Electoral de Misiones. Así es como los encargados trataron de explicarnos cómo funciona el sistema:
Según la explicación, además del «coso» (¿voto?), el código QR generado por la «impresora de boletas» (computadora) también almacena un número supuestamente random (aleatorio). El problema es que al ser diferente la representación de dos votos iguales (con la misma selección por parte del votante), esto puede permitir romper el secreto. Y para peor, el código QR usado no es estándar (hasta ahora no hemos podido decodificarlo), así que aún no podemos saber qué información está almacenada allí.
Smartmatic
Finalmente, pudimos ver el sistema de voto electrónico que la empresa de origen venezolano (y dudosos antecedentes) Smartmatic ha desarrollado para competir en el «mercado electoral» argentino. Se trata de un sistema muy parecido a la «boleta única electrónica» de la empresa MSA, pero donde se ha reemplazado el chip RFID por un código QR.
Al acercarnos uno de los empleados de Smartmatic me reconoció (¡sabía mi nombre y apellido!), y lo mismo sucedió con el especialista en seguridad Enrique Chaparro. Tal parece que en esta empresa prestan especial atención a las críticas (y a los críticos) de sus sistemas. Este fue el diálogo que mantuvimos:
Otro caso de boletas que incluyen un código con más información que sólo la selección electoral del votante. Y otro caso en donde hay que confiar en que esa información no identifica el voto. Y ni qué decir de la mentira flagrante «no es voto electrónico, es boleta única«.
Un detalle interesante: el técnico de Smartmatic tenía razón. El código QR no contiene información en base64, sino que es base64 comprimido con zlib. Lo verdaderamente extraño es que al descomprimirlo y decodificarlo, aparece contenido binario. Si alguien quiere jugar con esto, puede descargar algunas boletas de ejemplo. (Si no entendió nada de este párrafo, piense si le gustaría votar con un sistema que agrega datos en la boleta que usted no puede ni imaginarse qué son).
La respuesta del Gobierno
A pesar de que no se acercó ningún funcionario del Gobierno de Buenos Aires, nos hicieron saber que sabían de nuestra presencia saludándonos a través de un tweet (¡con foto y todo!):
Agradecemos a toda la gente que se esta acercando al Stand @SCEBuenosAires y especialmente a la gente de @ekoparty pic.twitter.com/iczSCE1Uwb
— Dialogando BA (@DialogandoBA) 29 de septiembre de 2017
Esta fue la respuesta de ekoparty:
De nada. Que lastima que seamos los unicos interesados en tener elecciones seguras e universales. ¿Por qué no vinieron? #VotoElectrónico 😘
— ekoparty (@ekoparty) 29 de septiembre de 2017
Ojalá que el año próximo el Gobierno y las empresas accedan al pedido de los especialistas en seguridad (quizás con el voto electrónico ya implantado por ley a nivel nacional, desoyendo a los mismos especialistas) para permitir auditorías públicas e independientes de los sistemas informáticos con los que pretenden que los ciudadanos elijamos a nuestros gobernantes.
2 comentarios sobre “Si las «impresoras» no van a la ekoparty…”