Es indudable la importancia de que un sistema de votación sea auditado en todas las fases de un proceso electoral antes, durante y después del día de una elección.
Los mecanismos de auditoría necesarios van desde revisión del código fuente de los sistemas involucrados hasta la vigilancia de la cadena de custodia del voto, pasando por diversos procesos de control de calidad y verificación de precisión.
Corren sin embargo el riesgo muchos tecnócratas de hacer énfasis en las pruebas tipo whitebox, que involucran la revisión del código fuente, solicitando incluso que este código deba ser 100% abierto, poniéndolo en muchos casos por encima del control ciudadano de la cadena de custodia del voto.
Si bien de verdad es útil revisar el diseño e implementación de un software a ser usado en determinada elección, a fin de detectar posibles comportamientos indeseados que hayan sido introducidos tanto de manera involuntaria como intencional, no es menos cierto que estas revisiones van a depender, para la mayoría de los electores, de la confianza en un tercero. Difícilmente una persona promedio, sin conocimientos técnicos relacionados con sistemas computacionales, será capaz de verificar y certificar que el código de programación de un sistema esté totalmente correcto.
Más aún, los mismos tecnócratas que piden que se revise minuciosamente y de manera pública el código fuente de un sistema de votación, alegarán más adelante que es imposible conocer, sin hacer uso de avanzados y complejos sistemas, que el programa que se instaló, por ejemplo, en una máquina de votación, fue exactamente el que ellos revisaron. Estos procedimientos estarían, una vez más, sólo al alcance de una minoría.
El control de la cadena de custodia del voto es, por otra parte, un procedimiento que puede llevar a cabo cualquier ciudadano, sin importar su afiliación política, rol dentro del proceso electoral, o nivel de conocimientos técnicos. Es un control que puede ser efectuado incluso por quienes no hayan votado en un proceso electoral (a excepción, claro está, de la comprobación del voto impreso, que sólo puede ser hecha por quien haya emitido un voto).
Desde la impresión del acta cero al inicio de un proceso electoral, hasta la comprobación de que las actas de escrutinio emitidas por la máquina coinciden con las publicadas como resultados oficiales de totalización, pasando por la verificación del correcto registro del voto en un comprobante físico, son tareas que cualquier ciudadano, sin ningún tipo de restricción, salvo la de estar presente en cada uno de los procesos, puede llevar a cabo de manera completa y cabal, sin conocimientos técnicos especializados.
Llama entonces la atención que quienes exigen una mayor apertura y transparencia en lo relacionado con un proceso de votación automatizado, recomienden un proceso técnico, complejo y que siempre estará al alcance sólo de una minoría por encima de la verificación ciudadana, que puede ser ejercida por todo el mundo sin más limitaciones que la propia voluntad.
Los mecanismos de auditoría necesarios van desde revisión del código fuente de los sistemas involucrados hasta la vigilancia de la cadena de custodia del voto, pasando por diversos procesos de control de calidad y verificación de precisión.
Corren sin embargo el riesgo muchos tecnócratas de hacer énfasis en las pruebas tipo whitebox, que involucran la revisión del código fuente, solicitando incluso que este código deba ser 100% abierto, poniéndolo en muchos casos por encima del control ciudadano de la cadena de custodia del voto.
Si bien de verdad es útil revisar el diseño e implementación de un software a ser usado en determinada elección, a fin de detectar posibles comportamientos indeseados que hayan sido introducidos tanto de manera involuntaria como intencional, no es menos cierto que estas revisiones van a depender, para la mayoría de los electores, de la confianza en un tercero. Difícilmente una persona promedio, sin conocimientos técnicos relacionados con sistemas computacionales, será capaz de verificar y certificar que el código de programación de un sistema esté totalmente correcto.
Más aún, los mismos tecnócratas que piden que se revise minuciosamente y de manera pública el código fuente de un sistema de votación, alegarán más adelante que es imposible conocer, sin hacer uso de avanzados y complejos sistemas, que el programa que se instaló, por ejemplo, en una máquina de votación, fue exactamente el que ellos revisaron. Estos procedimientos estarían, una vez más, sólo al alcance de una minoría.
El control de la cadena de custodia del voto es, por otra parte, un procedimiento que puede llevar a cabo cualquier ciudadano, sin importar su afiliación política, rol dentro del proceso electoral, o nivel de conocimientos técnicos. Es un control que puede ser efectuado incluso por quienes no hayan votado en un proceso electoral (a excepción, claro está, de la comprobación del voto impreso, que sólo puede ser hecha por quien haya emitido un voto).
Desde la impresión del acta cero al inicio de un proceso electoral, hasta la comprobación de que las actas de escrutinio emitidas por la máquina coinciden con las publicadas como resultados oficiales de totalización, pasando por la verificación del correcto registro del voto en un comprobante físico, son tareas que cualquier ciudadano, sin ningún tipo de restricción, salvo la de estar presente en cada uno de los procesos, puede llevar a cabo de manera completa y cabal, sin conocimientos técnicos especializados.
Llama entonces la atención que quienes exigen una mayor apertura y transparencia en lo relacionado con un proceso de votación automatizado, recomienden un proceso técnico, complejo y que siempre estará al alcance sólo de una minoría por encima de la verificación ciudadana, que puede ser ejercida por todo el mundo sin más limitaciones que la propia voluntad.
Rui Santos
Estoy de acuerdo con la mayor parte de lo que mencionas, Rui... Pero creo que hay un par de agujeros en el planteamiento. Lo que mencionas como el control de la cadena de custodia es sólo un paliativo parcial.
ResponderEliminarLas urnas deberían estar bajo custodia permanente, no sólo en el día de la elección o el proceso electoral completo — Siempre, por todos los años en que esa urna sea utilizable.
Tal vez todo el software cargado, desde el sistema operativo hasta el aplicativo desarrollado por la empresa, estén limpios — ¿Y si hay firmware hostil insertado en la urna, como se ha demostrado en la India que puede ocurrir? Eso se vuelve no sólo tremendamente caro, sino impracticable, dado que a medio ciclo electoral el elector promedio no tiene la motivación para mantener la custodia del equipo.
Además de eso, a veces resulta legalmente imposible. Volviendo al ejemplo de la India, o al de la famosa llave de minibar con la que Ed Felten abría los equipos de Diebold, la urna electrónica tendía que ser custodiada incluso cuando el votante entra al cuarto obscuro — Donde por definición tiene que estar libre de presiones y de vigilantes.
Precisamente, Rui, es por la imposibilidad de asegurar una vigilancia al acceso de todos (incluso de tu abuelita) que el gobierno de Alemania declaró en 2009 inconstitucional el empleo de cualquier variedad de urna electrónica. Sencillamente, no hay manera de que sea tan seguro como el voto en papel.
Hola Gunnar,
EliminarAnte todo gracias por el comentario. Precisamente lo que dices en los primeros párrafos es lo que hace necesario que la auditoría pueda ser llevada a cabo por cualquier ciudadano.
Es cierto que las máquinas de votación no pueden estar bajo control ciudadano el 100% del tiempo, haya o no elecciones. Es por ello que se hace necesario/recomendable auditar el código fuente antes de cada proceso y generar firmas digitales comprobables del software que se incluirá en la máquina. En todo caso un software/firmware malicioso podría detectarse simplemente con la revisión de estas firmas digitales, las cuales sí pueden estar bajo control ciudadano. Y tienes razón en algo: probablemente mi abuelita no pueda verificar las firmas digitales (porque ella la verdad de eso no sabe mucho).
Pero en cualquier caso, el mantenimiento de la cadena de custodia del voto nada tiene que ver con las máquinas de votación -no podría yo proponer que un control llevado a cabo por los ciudadanos de a pie requiriese interacción con, o verificación de, las máquinas de votación. Supongamos por un momento el escenario que planteas donde hay software/firmware malicioso en la máquina y donde ésta no fue correctamente custodiada. Ocurriría alguno de estos escenarios:
1. En el primer paso de auditoría ciudadana: lo que refleja el comprobante impreso de voto no coincidiría con la selección del votante. En este caso se notaría de inmediato la falla de la máquina.
Supongamos que el software malicioso es más inteligente, imprime el comprobante bien, pero "registra" mal el voto. Vamos a nuestro segundo caso entonces.
2. El segundo paso de auditoría ciudadana: una vez cerrado el proceso de votación, la máquina hace el escrutinio de forma pública (delante de toda la gente presente en el centro de votación) e imprime un acta con los resultados. Puesto que hay comprobantes impresos correctamente (puesto que lo contrario habría sido detectado durante el acto de votación), estos comprobantes pueden contarse de manera independiente. Si el escrutinio es incorrecto se notará aquí la falla puesto que habría discrepancias considerables.
Por cierto, en el caso que mencionas de la India ninguno de los pasos anteriores se cumplen: no hay registro impreso del voto, el proceso de escrutinio no se hace de manera pública en el centro de votación, y este proceso de escrutinio tampoco produce un registro impreso.
Supongamos entonces que el software malicioso es aún más "inteligente" y además de imprimir los comprobantes correctamente, también imprime actas de escrutinio que coinciden con estos comprobantes, pero que cambia los resultados al transmitirlos y/o totalizarlos. Vamos entonces a nuestro tercer caso.
3. Tercer paso de auditoría ciudadana: Una vez totalizados los resultados de la elección, estos son publicados a nivel de máquina. Esto es, que cualquier ciudadano (incluyendo mi abuelita) puede revisar el resultado publicado que corresponda a la máquina donde votó, y comparar este resultado publicado con el acta que previamente imprimió dicha máquina. Obviamente, de haber algún cambio, sería detectado de inmediato.
Al final del proceso, teniendo todos los resultados publicados máquina por máquina, es bastante sencillo "sumar" estos resultados y verificar el resultado completo de la elección.
Lo que quiero decir con lo anterior es que aún en el supuesto de que hubiese alguna anomalía en el software de las máquinas de votación o de la elección en general, sería imposible cambiar los resultados de la elección a cualquier nivel sin que pudiera ser notado por nadie. Y es el hecho de que esta verificación pueda hacerse sin conocimientos técnicos lo cual le da verdaderamente poder al ciudadano. (sigue)
No quisiera dejar por fuera, sin embargo, un par de notas finales:
EliminarPor una parte, el tema de la custodia del material electoral, no es algo inherente a un proceso de votación automatizado. En cualquier proceso electoral, de la naturaleza que sea, la custodia de la elección por parte del ciudadano, es un proceso fundamental que debe seguirse para asegurar una buena elección.
Por otra parte, en cuanto al caso alemán, la Corte Suprema de Alemania (que no es el Gobierno) declaró en esta sentencia (http://www.bundesverfassungsgericht.de/en/decisions/rs20090303_2bvc000307en.html) del 3 de marzo de 2009 inadmisible el uso de las máquinas de votación especificadas en el punto 2 de la sentencia y deroga los decretos que anteriormente permitían dicho uso (en el punto 1).
En la misma sentencia se declara que la razón por la que se prohíbe este uso, es porque no asegura el monitoreo público de la elección. Justamente en el párrafo 36 de las bases de la sentencia se menciona que "si se fueran a desplegar máquinas de votación para reemplazar votación manual, sólo podría hacerse si existieran mecanismos de control equivalentes, como un registro en papel de los votos emitidos, impreso por la máquina y que el elector pudiera inspeccionar. Dichos mecanismos de control no están disponibles para el público en las máquinas Nedap" (traducción libre).
Como vemos, en Alemania no se declaró inconstitucional "el empleo de cualquier variedad de urna electrónica". Simplemente se prohibió el uso de un sistema de voto electrónico que no ofrecía las debidas garantías a sus ciudadanos (garantías que son precisamente las que traté de explicar en mi artículo).
Y de nuevo, con un sistema que garantice toda la cadena de custodia del voto, mi abuelita (o mi hermano, o mi vecino, o el señor de la tienda del frente) sí puede verificar que no le hayan cambiado los resultados, en ningún punto, sin tener que enseñarles cómo funciona el software o cómo revisar si la máquina fue hackeada, o qué modelo de llave de minibar usaron para abrirla. Afortunadamente nuestro sistema sí lo garantiza.
Rui Santos