Publicado originalmente el 17 de noviembre de 2017.
En la fábula “El Patriota Ingenioso”, el escritor norteamericano Ambrose Bierce imaginó un audaz inventor que ofrecía al rey un blindaje a prueba de todo cañón moderno; luego de convencer al monarca de adquirirlo, el innovador vasallo presentó los planos de un cañón que sería capaz de destruir ese blindaje y que el reino debería comprar para que no sea vendido al enemigo. El rey volvió a acceder, pero el inventor no se conformó: a continuación mostró un ingenio que podía desviar los proyectiles del arma anterior y que -argumentó- también sería provechosa su adquisición antes de que cayera en manos de los vecinos. Hasta allí llegó la paciencia real, quien ordenó que mataran al ingenioso y decretó que la ingenuidad sea considerado como un crimen capital.
En el mejor de los casos, la adopción del voto electrónico nos llevaría a una secuencia parecida a la del patriota y el rey: se propone un modelo, se encuentran vulnerabilidades que pueden ser explotadas por manos maliciosas, y luego se plantearían soluciones para los riesgos descubiertos… pero la solución traería nuevas debilidades, que se sumarían a las que no hubieran sido descubiertas. Esta espiral no está en el plano de lo hipotético: ocurrió, ocurre y podría afirmarse con seguridad que seguirá ocurriendo.
El universo de debilidades descubiertas, denunciadas y latentes excede las modestas intenciones de este artículo; para tener un panorama más completo, recomiendo “Voto electrónico: una solución en busca de problemas”, compilado por Beatriz Busaniche.
En este artículo nos concentraremos sólo en una parte del proceso, con la esperanza de brindar una idea de la complejidad del tema y de la irrazonabilidad de las iniciativas que impulsan la adopción del voto electrónico desde distintos oficialismos.
Hablaremos aquí de los riesgos que trae el uso de una computadora para generar el voto, tanto si el mismo es en papel, en un chip o directamente en alguna forma digital.
Vamos por partes
El proceso de votación se puede dividir en 3 etapas, tal como se propone en el trabajo de Montes, Wolovick y Penazzi presentado en la 45 Jornadas Argentinas de Informática. La primera consiste en la Creación del voto, instancia en la que el elector selecciona sus preferencias y construye de alguna forma su voto; éste podrá almacenarse en un chip, en un archivo o en una boleta.
La segunda es la anonimización del sufragio, donde debe asegurarse que no pueda vincularse un voto concreto con una persona en particular, lo que implicaría la violación del secreto.
Y la tercera etapa es el conteo.
La incorporación de computadoras en todas o en algunas de las partes de este proceso trae aparejada complejidades que ponen en riesgo a la seguridad.
En el gráfico I mostramos algunas preguntas que habría que responderse en distintas etapas del proceso.
En este texto, sin embargo, nos vamos a ocupar sólo de las amenazas (o al menos, de algunas amenazas) que surgen de la intervención de una computadora en la etapa de creación del voto.
Un secreto difícil de mantener
Una democracia necesita del secreto de voto. Si de alguna forma se puede determinar quién vota qué cosa, se facilitan las presiones, las extorsiones, las amenazas, la compra de votos, y otras técnicas de manipulación electoral. Para ser libre, el votante debe estar seguro de que su elección no será monitoreada.
Los sistemas de voto electrónico en general, y la boleta electrónica en particular, dificultan severamente el ejercicio de ese derecho, al punto de volverlo impracticable.
La intervención de una computadora en el proceso de elaboración del voto por parte del elector trae incorporadas formas novedosas de violar ese secreto, además de abrir una serie de posibilidades para alterar resultados.
La creación del voto
En esta etapa suele usarse la computadora para que el votante decida a quién va a votar en cada categoría. Por ejemplo, en el sistema usado en la Argentina el votante ve en una pantalla táctil la listas de categorías para las que se realiza la elección (diputados provinciales, senadores provinciales, concejales, etc.), luego la imagen de los candidatos o las de la agrupación o partido de la categoría elegida, para seguir con una categoría diferente. Al principio también puede elegir votar por “lista completa” o “en blanco”, que son las opciones más fáciles.
Aquí surge un tema que cabría analizar: si esa simplicidad no está de algún modo “orientando” al votante. Un dato sugerente en ese sentido es que en las elecciones salteñas en las que se usó voto electrónico hubo un 9,36% de votos en blanco (27.536 sufragios), mientras que la votación con boletas de papel sólo tuvo un 2,54%. No es un dato concluyente pero llama la atención.
Un sistema de voto electrónico que incluya la asistencia de una computadora en la etapa de creación agrega la necesidad de comprobar que la operación no sea transmitida ni almacenada de forma alguna al momento de elaborar el voto. Si se guardan los datos de cada voto, “alguien” podría averiguar quién votó qué cosa, que es justamente lo que se pretende evitar con el sufragio secreto.
Al mismo tiempo, debe ser verificable que lo que el votante eligió es exactamente lo mismo que se registró. Dicho de otro modo, hay que estar seguro de que si un votante eligió a los candidatos A y H, no haya quedado registrado que votó a B y W.
Si el voto puede cambiar de valor en el camino, se estará traicionando la voluntad del elector; si se guardan datos que permitan relacionar el voto con el votante, se estará violando el secreto de voto.
La opacidad del chip
En las votaciones con la famosa Boleta Única Electrónica (BUE), los electores eligen los candidatos de su preferencia en una pantalla táctil. Cuando el votante ingresa su elección (o sea, cuando termina de tocar sus preferencias en la pantalla), se graba el resultado en un chip RFID que está en la boleta… pero hasta ahora los seres humanos no traemos incorporado un lector RFID. Tenemos vista (algunos, bastante poca), olfato, tacto, gusto y oído, pero ninguno de ellos nos permite saber con seguridad qué es lo que tiene adentro una RFID.
¿De qué manera se guarda la selección del votante en el chip? ¿cómo puede uno saber si allí “dice” de algún modo lo mismo que eligió? Para leer el contenido de un chip hace falta algún dispositivo que lo lea; y ese dispositivo debe leer siempre lo mismo (no variar en, por ejemplo, uno de cada 1.000 casos). allí aparece un primer problema: a menos que se pueda analizar completamente el código del dispositivo que lee, no podemos saber si siempre lee bien o si lee bien casi siempre, pero de tanto en tanto “falla”. Tal comprobación sólo puede hacerse a través de gente formada para ello, por lo que un aspecto esencial del proceso del voto (saber si cada uno votó lo que quería votar) queda al arbitrio de expertos de ciertas disciplinas y no de cualquier ciudadano. Cabe señalar que hasta ahora, en las auditorías realizadas en las elecciones que usaron BUE no se lee ningún dictamen que indique que esta función haya sido evaluada.
En general, si la forma en que se graba el voto no es inmediata y directamente verificable por el votante, éste deberá conformarse con confiar en algún/a experto/a, en un dispositivo o en una empresa, que pueda asegurarle que el voto es exactamente el que él quería, que no sufrirá modificaciones y que será contado correctamente.
Leer el contenido del chip requiere de un dispositivo. En el caso de la BUE, se trata de un sistema RFID que puede leerse no sólo con la máquina de votación sino con una amplia variedad de artefactos… incluso con un celular.
Aunque no se sepa cómo se graba la información de los votos en la boleta -la que podría estar codificada-, un celular podría determinar si el contenido de una boleta es idéntico al de otra… lo que es suficiente para quebrar el secreto y permitir prácticas las del llamado “voto cadena”. El especialista Javier Smaldone lo demostró ante los legisladores nacionales, como puede verse en un vídeo. Cualquier celular con tecnología NFC puede hacerlo, apenas con descargar una aplicación.
Además, el votante no tiene más remedio que confiar en un artefacto para comprobar si en el chip está almacenado lo que él seleccionó; si ese aparato es propiedad de una empresa, la fe debe extenderse hasta ella: ¿cómo podemos estar seguros de que el aparato no nos miente o está fallado? En el voto electrónico usado en Argentina e impulsado por el gobierno, el votante puede acercar el chip a la misma máquina en la que elaboró el voto para que ésta le indique si lo que está en la boleta es lo que quería; sin embargo, bastaría con que la máquina mostrara la información de la última selección –independientemente de qué efectivamente hubiera almacenado– para dejar contento al votante, que verá en la pantalla la confirmación que deseaba.
Una auditoría sobre el software y sobre el hardware en el que los auditores -además de tener la formación adecuada- dispusieran libremente de todos los componentes que intervienen, permitiría alcanzar una razonable convicción respecto de que el proceso de grabación y de lectura son respetuosos de la voluntad del votante.
Pero aún si eso fuera cierto, no es suficiente para asegurar que no se están guardando datos adicionales que permitan violar el secreto del voto.
¿Qué estás guardando ahí?
Además de comprobar que lo que se almacena refleja exactamente el voto que uno quería emitir, se debería asegurar que el sistema no guarda ninguna otra información.
Si se almacenara tan sólo el orden de la votación en cada voto, sería posible saber quién emitió cada uno con sólo tener la nómina ordenada de votantes.
Podría ocurrir algo como lo siguiente: en determinada mesa, un fiscal anota el orden en el que votan los electores (basta con que haga una marca en el padrón); cuando un votante genera un voto, el orden en el que emitió el sufragio queda registrado en el chip (para lo que hace falta apenas 9 bits de información, ya que cada mesa suele tener a lo sumo unos 400 electores; muchos recordarán que con 9 bits se pueden representar 512 números).
¿Es posible revisar esto?
Seguramente podría solucionarse cada uno de los problemas planteados en el punto anterior. Una auditoría podría comprobar si el código que ejecuta la máquina contempla o permite alguna de las trampas mencionadas; también se podría comprobar si dos votos iguales pero emitidos en órdenes diferentes guardan de manera distinta esa información (lo que revelaría que guarda más información que la del voto en sí), Sin embargo, estas verificaciones -llamadas “de caja negra” en el mundo de la informática – serían insuficientes si no se puede analizar detalladamente el código fuente: el software o el firmware involucrados podrían cambiar de comportamiento ante una determinada señal (desde un reloj hasta un “gesto” como pasar un chip repetidamente en poco tiempo) y empezar a grabar las cosas de otro modo. Citando una idea que me expresó telefónicamente Javier Smaldone, alguien podría acercar 5 veces seguidas un chip a la lectora (algo así como un “quíntuple click”), lo que actuaría como disparador para que en adelante la máquina grabe de modo diferente (agregando datos o directamente reemplazando los valores elegidos por un conjunto predefinido). Esto no sería apreciado nunca en pruebas de caja negra, porque nadie conocería el gesto apropiado. Para disminuir el riesgo de ser descubierto por los tenaces auditores, el sistema podría estar preparado para volver a operar correctamente ante un gesto similar.
De mínima, sería necesario que los auditores dispongan de todo el código involucrado: del que se carga en las máquinas (que se encarga de mostrar en pantalla los candidatos, registrar la opción del votante en la pantalla, comunicarse con la lecto-grabadora, entre otras cosas) y del que opera en el dispositivo que realiza la grabación del chip. En general las empresas que brindan “soluciones” (de alguna forma hay que llamarlas) de voto electrónico suelen ser reacias a permitir que el software esté disponible fácilmente, ni siquiera para los auditores. El análisis de ese código es laborioso y lleva tiempo; y aún así, como dijera el gran matemático Edsger Dijsktra, el testeo de un programa puede demostrar que hay errores pero es ineficaz para demostrar que no los hay.
En este sentido, la búsqueda de la transparencia exigiría que todo el software se distribuyera bajo una licencia libre, de modo de que cualquier persona con el conocimiento necesario pudiera revisarlo; la decisión de las empresas de no publicarlos -y del Estado de no exigirlo- pone los intereses de la empresa por encima de los del resto de la población.
Aún si se lograra comprobar que el código no tiene nada raro, sería necesario verificar que es exactamente igual al que funciona en todas la máquinas de votación; esto se realiza actualmente con la verificación del DVD y -eventualmente- con la generación de una tira de letras y números para verificar la integridad; pero es más difícil comprobarlo para el software que está en el procesador que maneja la grabadora de chips que no está incluido en el DVD.
En efecto, las máquinas de votación de MSA tienen dos procesadores; uno de ellos, un ARM, está a cargo de la impresora y de la lectograbadora de los chips. Smaldone lo explica muy bien en su blog.
En resumen, comprobar no se estén usando determinadas técnicas que permitan determinar quién fue el votante es difćil, requiere de tiempo y de que los materiales estén disponibles adecuadamente para quienes hagan esa verificación. Aún así, no se puede asegurar que no existan o no se descubran otras técnicas no previstas.
Aunque fuera una impresora
Una respuesta común de parte defensores del sistema de votación que se implementó en varios lugares de la Argentina es que el no se trata de “voto electrónico” ya que el dispositivo usado sería sólo una impresora.
Cualquiera que haya leído honestamente sobre el tema sabe que eso no es cierto, y que -como mencionamos más arriba- incluso cuenta con dos procesadores.
Pero resulta que aunque de verdad sólo fuera una impresora de votos, lo mismo brindaría elementos para violar el secreto de sufragio.
Se han propuesto alternativas que no incluyen un chip sino “sólo” la impresión de una boleta. En Misiones, por ejemplo, se implementó parcialmente un sistema de voto electrónico que pretendió superar los problemas derivados de la Boleta Única Electrónica, reemplazando la boleta con chip por la impresión de un voto con un código QR.
En principio, esta idea parecería estar más cerca de un usuario común, ya que hay muchos dispositivos que pueden leer el contenido de un QR, lo que significa que no depende de una empresa en particular; sin embargo, el código usado en el VOCOMI no es estándar, por lo que es necesario contar con las especificaciones necesarias para que alguien ajeno al proyecto o al gobierno pueda leer el contenido y -por ende- comprobar si lo que se votó es lo que se quería votar. Por cierto, los seres humanos tampoco traemos incorporada la lectura de ese tipo de códigos, por lo que debemos confiar en alguien más para saber qué es lo que está almacenado; y si hay un dispositivo en el medio, facilitamos el sistema de voto cadena como ocurre con el chip.
Pero además, el hecho mismo de usar una impresora para generar el voto no asegura que no se guarden más datos de los estrictamente necesarios:
Nicolás D’Ipolitto y Hernán Melgratti mostraron ante los legisladores cómo es posible registrar imperceptiblemente información con la impresora; la exposición de estos especialistas ante el plenario de comisiones del senado puede verse en Youtube (subido por Smaldone).
En la demostración codificaron en pequeños puntos “escondidos” en 4 caracteres informaciones suficientes para determinar el orden en el que fue emitido cada voto; para romper completamente el secreto de voto sólo se necesita que alguien -un fiscal partidario, por ejemplo- anote el orden en el que votaron los electores.
En definitiva, cualquier sistema que implique crear votos e imprimirlos (aún si prescinden del chip) podría agregar información oculta que permita violar el secreto del voto.
La incorporación de micropuntos o microimpresiones no es una técnica novedosa y arcana: los billetes, documentos de identidad, tarjetas de embarque, etcétera, utilizan este tipo de técnica. Una de las empresas que brinda entre sus servicios el empleo de microimpresiones es Indra, la misma que se encarga del escrutinio en las elecciones argentinas desde hace muchos años.
Al igual que en los casos anteriores, podría encargarse a “expertos independientes” que realicen “esteganálisis” para determinar si hay informaciones ocultas o no las hay… lo que nos vuelve a presentar el principal problema del voto electrónico: el control de lo que se vota, de la protección del secreto y de la integridad de los propios votos, no está a la mano de cualquier ciudadano sino sólo de un conjunto de expertos que siempre representará una pequeña proporción de la ciudadanía.
Boleta única de papel vs. un sistema de votación sólo para expertos
En Alemania, el fallo de la Corte Constitucional en contra del voto electrónico se apoya en un principio esencial de un sistema electoral: la posibilidad de que el elector controle completamente el proceso.
Si debe confiar en el gobierno, en las empresas o en expertos, este principio se desvanece. El debate sobre la conveniencia, sobre las debilidades y fortalezas del sistema, se convierte en tema de expertos y de lobbistas. La experiencia reciente en la Argentina muestra que el gobierno puede hacer oídos sordos a los cuestionamientos de los especialistas, mientras los medios masivos los ignoran, los subestiman o los tergiversan.
Estos problemas se vuelven injustificables si se tiene en cuenta que está a mano una solución a muchos de los problemas del sistema tradicional y que no exige la dependencia de una proveedora, de un comité de expertos ni de la protección mediática: la boleta única de papel, donde el más peligroso intermediario tecnológico es una lapicera. Y cualquier persona que sepa leer será capaz de identificar a los candidatos, realizar por sí mismo la elección y comprobar si lo que eligió es lo que realmente quería.
Vuelta al pasado
Cambiar la actual sistema por algún voto electrónico no implica una innovación ni un avance: es una forma snob y sofisticada de saltar al pasado, hasta antes de febrero de 1912, cuando se aprobó la Ley Sáenz Peña que consagró el voto universal, secreto y obligatorio.
La informática podría prestar servicios al proceso electoral en otras instancias; no obstante, para que esos aportes no impliquen un sesgo o la sumisión a algún proveedor tecnológico, debería asegurar la mayor amplitud en cuanto a proveedores de las tecnologías que se usen. Evidentemente, eso va en contra del sistema de votación como negocio, que parece ser lo más importante para los gobiernos actuales.
