En las dos entregas previas de esta serie describimos un reciente pronunciamiento en un Blog vinculado a la universidad de Princeton, donde un reconocido grupo de investigadores en criptografía y seguridad cibernética, emitió una declaración sobre el peligro de votar a través de la Internet.
Ese grupo de expertos claramente declaró que “Votar por Internet es inseguro y ello no debe ser usado para elecciones públicas”. Una vez más, recordamos que el escrito refiere el problema de la Internet como vaso comunicante en una elección pública, no recomienda vetar la tecnología digital como soporte de un sistema de votación. Son dos cosas distintas.
Ahora bien, nos quedaron pendientes discutir dos aspectos que los académicos también trataron. El primero refiere a un tipo de sistema electoral, remoto, introducido a comienzos de este milenio y conocido como E2E-VIV, donde el mismo elector verifica la privacidad e integridad de su voto. El otro tema, aún sin mencionar, refiere un ejemplo comercial de sistema electoral que desde su propio nombre proclama ser seguro.
Entonces, vayamos a lo primero, los sistemas denominados del tipo E2E-VIV. Este acrónimo en inglés refiere el Voto por Internet Verificable de Extremo a Extremo (“End-to-End Verifable Internet Voting”) y designa a aquellos sistemas electorales, que son construidos para que el mismo elector compruebe su voto bien recibido y su correcto conteo. Asunto nada fácil, pero esta orientación tecnológica nace con la intención de que el ciudadano desconfíe del dispositivo que recoge su voto y también de la contraparte que cuenta. Un votante únicamente transmite su selección, si previamente comprueba su contenido y puede repetir esta acción según su voluntad.
En otras palabras E2E-VIV aspira a superar aquellos modos de votación remota, donde el elector sufraga y carece de mecanismos para conocer si su voto fue fielmente contado dentro del resultado final. En esta ocasión se presume que el elector es un ser honesto y está atento, lo cual es algo delicado de considerar y se sigue un protocolo de desafío de seguridad, llamado reto de Benaloh. Colateralmente, si todo sale bien se tiene entre otras implicaciones la esperanza de que se reduzcan reclamos posteriores, ya que cada elector aprobó el registro y suma de su voto.
Por otra parte, es necesario señalar que actualmente existen numerosos sistemas electrónicos de votación que son comerciales y se usan en elecciones públicas, donde el ciudadano que elige no recibe ni un comprobante en papel tras haber emitido su voto. Únicamente ve en alguna pantalla su posibilidad para escoger y al proceder a seleccionar, confía que todo suceda como desea y únicamente recibe un mensaje diciendo que ya se registró adecuadamente su voto. A esto se le denomina “votación dentro de una caja negra” y ello refleja que quien vota, ignora casi todo lo que verdaderamente realiza el sistema, sin importar si este es manual o electrónico.
Es conocido también, que en muchos países se puede votar por correo, electrónico o manual, cosa que a veces obliga a iniciar el proceso electoral con numerosas horas de diferencia entre los centros de votación, ya que ello depende de la ubicación terrestre de cada uno de ellos. Es así como esto es otro asunto sensible en procesos electorales, que persiguen cierta asepsia de influencia sobre cada elector y puede que ello no se cumpla.
De forma que como respuesta posible ante esas grandes debilidades, se creó E2E-VIV y se diseñó bajo una orientación de ser un sistema distribuido y con técnicas criptográficas -una de ellas es la criptografía visual- que, aún siendo materia desconocida para el sujeto que vota, pueden ser usadas por ese mismo usuario final a través de una interfaz de software. Recuerde que el sistema electoral brinda a cada sufragista una aplicación para acceder y elegir desde su teléfono, bajo una aproximación que integra muchas operaciones con una sola protección de alto nivel y controlada por los dos extremos de la comunicación. Para esto se refuerzan los controles en tránsito, pero se transfieren nuevas atribuciones a cada votante que puede que no comprenda su rol ampliado en el proceso y al cual el acto de votar se le complica tecnológicamente. Puntos débiles en las soluciones tipo E2E-VIV.
Así pues, por su propia naturaleza técnica, esta reciente aproximación electoral también resulta débil ante el problema del malware, que bien podría contaminar el dispositivo que ejecuta la “app” del votante y engañar a los dos extremos. Y es que el usuario final depende de la interfaz gráfica para interactuar con ella y cree en lo que esta le presenta. Si su aplicación es comprometida y la interfaz controlada, entonces potencialmente pudiera observarse falsos signos de lo que verdaderamente sucedió en su aparato, en la transmisión y hasta recepción de su voto. En general, los académicos de Princeton sostienen que los modernos sistemas E2E-VIV aún son vulnerables a ataques contra la verificación del voto y ello nos retorna al mismo punto de partida. No disponemos de sistemas que hagan el voto por Internet suficientemente confiable.
El segundo punto pendiente es un sistema electoral digital de software abierto de una fundación privada, que elaboró una compañía de investigación y expresó que era una firme solución tecnológica para votaciones digitales. También cooperó en el proyecto de un desarrollo catalogado del tipo “Free and Fair” y que lleva por nombre “Voto Seguro”. Este tipo de estrategia publicitaria es común y crea mucha confusión en la sociedad, ya que al colocar un nombre que incluye la calificación segura, gran cantidad de gente presume que para obtener ese adjetivo el sistema debe haber pasado numerosas, evaluaciones de seguridad independientes y estrictas. Pero comúnmente eso no es así y el nombre responde al mercadeo requerido para vender el producto. De forma que las suposiciones no tienen sostén real.
Volviendo al manifiesto de Princeton, los académicos apuntaron al trabajo evaluador e independiente de algunos cientícos en computación, que concluyeron que Voto Seguro adolece de marcadas debilidades en materia de inseguridad. Por su parte, los doctores Kiniry y Zimmerman, que desarrollaron el software cuestionado, respondieron: “Compartimos muchos de los ideas centrales de la crítica, incluyendo las relacionadas con la confianza del votante, la integridad electoral y la resistencia a la coerción. Nuestras diferencias no radican tanto en los valores como en las suposiciones sobre lo que es alcanzable —y significativo— en entornos de votación no supervisados”.
Esto significa que entre profesionales de la misma área y ante un escenario real electoral por Internet, existen divergencias sobre la magnitud de los daños que podrían ocurrir con este producto computacional conocido como Voto Seguro. Por lo tanto, los académicos de Princeton fijaron su posición al respecto y escribieron claramente: “Voto seguro es inseguro”. Agregaron como respaldo argumental, problemas en el protocolo técnico de voto seguro, que le impide al mismo evitar algunas situaciones de coerción y compra masiva de votos. Este caso ilustra además, cómo existen espacios aún sin consenso científico y técnico, sobre la confiabilidad y resiliencia de un conocido sistema electoral electrónico digital que opera sobre Internet. Suponga entonces lo desconcertado que puede sentirse un ciudadano común al enterarse de esto y sus posibles incidencias en casos de reclamo.
Por esta razón, entre muchas otras, que en secciones previas de este tema hemos afirmado que la matemática es el medio ideal para determinar la verdad detrás de los embrollos y disputas electorales. Y es que debe considerarse que si la infraestructura tecnológica es débil, pueden acontecer escenarios reales donde las condiciones favorezcan fallas y trampas. Lo grave de esto es que, en situaciones de votaciones públicas usando Internet, el resultado electoral puede ser puesto en duda con mayor facilidad. En consecuencia, no serán pareceres ni especulaciones, sino cálculos y experimentaciones físicas, los que podrían arrojar verdadera luz en la materia. Es frecuente que estos ámbitos estén alejados de la ciudadanía común y por eso, dentro de lo posible, hay que esforzarse en hacerlos más conocidos por las sociedades. Recuerde que el resultado final podría tener incidencia relevante en la política de comunidades o naciones y su orientación afectar al escenario mundial.
Para la última parte de esta serie abordaremos algunas ideas simples que, usando o no la Internet, pueden ayudar a que la gente común comprenda más el trasfondo real de la tecnología digital en cualquier votación electrónica y su verdadero impacto sobre los posibles resultados. Por ahora y para nuestro cierre, nos remontaremos al año 2023, cuando en la ciudad de Luxemburgo se realizó la 8va conferencia internacional de voto electrónico y allí, los científicos Johannes Müller y Tomasz Truderung, declararon sobre la complejidad del área lo siguiente: “Uno de estos riesgos es la posibilidad de un mal funcionamiento, algo que no se puede descartar fácilmente en sistemas de software/hardware tan complejos. Estos problemas pueden deberse a errores de diseño o programación, vulnerabilidades de seguridad o incluso a la manipulación deliberada del sistema implementado. En cualquier caso, los fallos de funcionamiento pueden tener consecuencias prácticas potencialmente graves. Si se acepta el resultado final de una elección aunque este no se corresponda con los votos emitidos, se socava el propósito mismo de la elección.”
Autor: Miguel Torrealba Sánchez.
Universidad Simón Bolívar
Departamento de Computación y Tecnología de la Información
mtorrealba@usb.ve
