Voto electrónico: Es vulnerable y no asegura el secreto del sufragio

Un informe del Consejo Nacional de Investigaciones Científicas y Técnicas desaconseja avanzar con el sistema. El análisis explica los problemas que presenta y el peligro que constituye ponerlo en funcionamiento. Es vulnerable y no asegura el secreto del voto, entre otros aspectos. Fue prohibido en países como Alemania, Holanda y Austria.

El proyecto de voto electrónico impulsado por el Gobierno nacional tuvo esta semana un durísimo revés por parte del Consejo Nacional de Investigaciones Científicas y Técnicas (Conicet), quien a pedido del Ejecutivo realizó un pormenorizado estudio en el que desnuda las falencias del sistema y aconseja, finalmente, no apelar a su utilización.

El informe generó polémica porque, tras recibirlo, la administración Macri decidió no hacerlo público hasta que la presión social, liderada por asociaciones de informáticos, Transparencia Internacional y también profesionales de la computación, obligó al gobierno a darlo a conocer.

En el final de un detallado trabajo, de unas 60 páginas, el Conicet “recomienda no avanzar en el corto ni mediano plazo con la implementación de un sistema electrónico para la etapa de emisión de voto”, todo tras un informe abordado desde distintos ángulos, incluso con antecedentes en el resto del mundo.

La entidad considera en su informe que “el desarrollo de un sistema de voto electrónico es complejo no solo por sus desafíos técnicos, sino también por su importancia para el Estado y para la sociedad en general” pues “involucra la consideración de aspectos de software, hardware y procesos operativos”.

En ese marco, debe asegurar aspectos clave para cualquier elección, como el secreto del voto (“en donde a excepción del sufragante nadie debe poder tener conocimiento alguno del contenido del voto“) o la universalidad (“en el sentido de permitir que todos los ciudadanos habilitados puedan ejercer el voto, incluso personas con requerimientos de accesibilidad, por ej. no videntes”).

Modelo de Referencia

Según los técnicos del Conicet, “el problema de la votación en un contexto de Escrutinio Provisorio (EP) se puede conceptualizar en términos de cinco fases secuenciales, las que resultan relevantes en el análisis, ya que cada una de ellas representa una “unidad” del proceso susceptible de ser automatizada. Las fases están derivadas del Código Electoral Nacional (Decreto N° 2.135, 1.983) y son Emisión del Voto, Escrutinio de la Mesa, Generación de Documentos, Comunicación de Resultados y Procesamiento de Resultados y Publicación”.

En ese marco, “el hardware y software que implementa cualquiera de las fases en las que se ha dividido el proceso de votación pertenecen a la categoría de sistemas de misión crítica (o missioncritical software-reliant system), debido principalmente a los atributos de calidad en juego y a la reducida ventana de operación donde el sistema debe funcionar “casi sin fallas”.

“En general, un sistema se considera de misión crítica si uno o más de sus elementos constitutivos (por ej., componentes de software, componentes de hardware, personal, procesos) son esenciales para la continuidad del negocio de una organización, y una falla o disrupción en alguno de estos elementos puede impactar seriamente en los objetivos del sistema”.

Apunta que, además, “dado el carácter social y político del sistema de votación de un país, el hardware y software que se desarrollen o utilicen para tal fin deben poder ser auditados por los ciudadanos y las instituciones”.

Para el Conicet, “todo el desarrollo debe ser abierto (open source y de carácter público), el código fuente del sistema debe estar disponible al público en general, y toda la documentación generada durante el desarrollo también debe ser pública. Esta documentación incluye diseños, arquitectura y especificaciones del software y el hardware, planes de verificación de ambos, minutas de las reuniones del equipo de desarrollo, pruebas efectuadas sobre el hardware y el software y sus resultados, contratos con proveedores y fabricantes de componentes críticos, entre otros artefactos”.

Secreto y auditabilidad

También se afirma que “el sistema de votación debe ser independiente del software” porque, asegura, “es ampliamente conocida la dificultad de la industria del software para garantizar el correcto funcionamiento de sus productos, y en particular, para construir sistemas que resistan ataques informáticos” por lo que “la seguridad del sistema debe depender de la menor cantidad posible de hardware y software”.

Apunta que “el sistema debe preservar el secreto del voto” lo que no puede asegurarse porque “es insospechada y contra-intuitivamente difícil preservar un secreto guardado en un sistema de cómputo”.

Pero además señala que como “el sistema no puede ni debe identificar al votante”, por lo que “desaconseja los sistemas que requieran la lectura de la huella digital, cualquier otro dato biométrico o la utilización de algún código individual, para permitir usar la máquina de emisión de votos”.

El informe también afirma que “cualquier ciudadano, universidad u organización civil debe poder analizar el sistema electoral sin necesidad de ser convocado expresamente para ello” y que “los procesos de auditorías y los resultados de las mismas deberán ser públicos, para reforzar la confianza de la ciudadanía en su sistema electoral”.

Evaluación Técnica

En su evaluación técnica del sistema de voto electrónico, desde el Conicet apuntaron problemas importantes especialmente en dos fases: Conteo, en donde se señala que “existen riesgos moderados de alterar el resultado de la elección, sin que esto pueda ser detectado y/o corregido” y Emisión del Voto, en la que se afirma que “existe un alto riesgo de comprometer los principios fundamentales del voto y de alterar de forma indetectable el resultado de la elección”.

Allí se explica que “es preciso observar, por ejemplo, que los sistemas de transacciones financieras no imponen requerimientos de anonimidad sobre quienes los usan ni disocian a cada usuario de las operaciones que realiza. La dificultad técnica, y que distingue al proceso de votación de otros sistemas informáticos, es que el requerimiento de mantener el secreto — que implica que un voto no puede ser asociado a su emisor— imposibilita luego explicar si un voto fue emitido válidamente por un votante o el mismo es consecuencia de un mal funcionamiento del software. Esta limitación no se debe meramente a fallas en el diseño de los sistemas conocidos, sino que hay una demostración teórica de que tres de las propiedades requeridas (integridad, auditabilidad y secreto) son mutuamente excluyentes y no se pueden satisfacer completamente de manera simultánea”.

Para el Conicet, debido a varios problemas técnicos (por ej., canales encubiertos) “es muy complejo garantizar el secreto del voto, y proveer evidencia de que tal propiedad se cumple. En consecuencia, esto implica un esfuerzo meticuloso y sostenido, que requiere de personal altamente calificado y largos tiempos de desarrollo. El sistema resultante de tal esfuerzo podrá cumplir parcialmente algunas de las propiedades que se le requieren”.

“Adicionalmente, todo esfuerzo dirigido a garantizar el cumplimiento estricto de las propiedades de integridad y secreto del voto va en detrimento de la verificabilidad y auditabilidad del sistema, en la medida que incrementan la complejidad y sofisticación de la técnica empleada”.

“En consecuencia, cualquier sistema de emisión electrónica de voto que busque solucionar los problemas inherentes a garantizar integridad y secreto, necesariamente será difícil de verificar formalmente y de auditar, incluso por expertos en la disciplina.

“No existe evidencia en la actualidad de que sea factible utilizar un dispositivo electrónico en esta fase del proceso de votación sin comprometer requerimientos fundamentales del voto, en particular, garantizar el secreto”.

“El supuesto principal en el diseño de estos sistemas es que el votante controlará el voto emitido por el sistema. Estudios que evalúan el comportamiento de los usuarios frente a estos sistemas muestran que una proporción alta de los usuarios (50 a 65%) no controla que el voto emitido se corresponda con su elección. Esto disminuye la probabilidad de detectar que el sistema haya sido vulnerado (por ej., si de manera aleatoria o estadística genera un comprobante distinto al elegido).

En definitiva, “el uso de un dispositivo, con o sin registro en papel, al momento de emisión del voto introduce oportunidades de ataque contra el secreto del voto”.

Voto secreto

Respecto al secreto del voto, principio fundamental del sistema de votación de argentino, el desarrollo de sistemas de votación debe prestar especial atención al problema de la confidencialidad en sistemas de cómputo. En efecto, los enormes desafíos técnicos que implica intentar preservar un secreto dentro de un sistema de cómputo de propósito general, son ampliamente conocidos en la comunidad internacional de Seguridad Informática”. Según la opinión del Conicet, “no es aún un problema completamente resuelto en la práctica, aunque existen modelos teóricos que podrían garantizar tal propiedad. En particular, ninguno de los sistemas operativos comerciales de uso masivo puede garantizar esta propiedad. Por lo tanto, se desaconseja fuertemente el uso de tales sistemas en la fase de emisión del voto dado el potencial de ataque que permiten. Observar que esto implica que, de implementarse tal fase del sistema, se debería desarrollar un sistema operativo capaz de garantizar (al menos hasta donde la comunidad internacional es capaz de hacerlo) el secreto del voto”.

No avanzar

Por último, a modo de resumen, dese el Conicet “se recomienda no avanzar en el corto ni mediano plazo con la implementación de un sistema electrónico para la etapa de emisión de voto. En paralelo, se sugiere fomentar el desarrollo de RRHH y capacidades técnicas, e iniciar un plan de investigación que pueda aportar evidencia teórica y empírica de que los riesgos de este sistema puedan ser controlados. Los factores de complejidad y confianza antes mencionados implican esfuerzo y programas a largo plazo, dado que deben fortalecerse capacidades y lograrse niveles de madurez que permitan desarrollar sistemas con la calidad necesaria, particularmente, en lo referido a aspectos de seguridad e integridad”.