El ‘e-voting’ seguro y sin papel: un proyecto a largo plazo
Las lagunas en materia de seguridad alimentan las críticas contra el sistema actual. Técnicamente es posible crear sistemas de voto electrónico seguros, pero su aplicación sin fisuras queda aún muy lejos de la realidad. El siguiente paso no puede prescindir del papel.
“Los sistemas aplicados actualmente en Suiza no dan al elector ningún medio que permita comprobar lo ocurrido con su voto. Su única alternativa es confiar en el sistema”, señala Rolf Haenni, catedrático de Informática en el Research Institute for Security in the Information Society (RISIS) de la Escuela Técnica Superior del cantón de Berna.
El escándalo de la Agencia Nacional de Inteligencia de Estados Unidos muestra el enorme riesgo que supone la introducción del voto electrónico, afirma Christoph Blocher, exministro y actual vicepresidente de la Unión Democrática del Centro (UDC, derecha conservadora).
El diputado de Los Verdes, Balthasar Glättli, también se opone a la aplicación del e-voting y ha presentado una moción que pide la suspensión de los ensayos, mientras no haya la suficiente seguridad que garantice el voto secreto. Una postura que respaldan 31 parlamentarios.
“Nada es tan peligroso para una democracia como socavar la confianza en las votaciones”, advierte Blocher.
Dado que las personas pueden tener más o menos dificultad en el manejo de un ordenador personal, no se descartan ataques con virus o el desvío de los resultados a una página web ajena. En el caso de su aplicación para los suizos en el extranjero se pone también en tela de juicio la fiabilidad de los correos postales.
“Se ha dado un gran valor a determinados aspectos de la seguridad, pero en los sistemas de primera generación falta un requisito exigido desde hace años: la verificación. Es decir, la posibilidad de que el elector pueda comprobar si su voto no es manipulado”, dice Eric Dubuis, director de RISIS.
Cuando el ‘sí’ es un ‘no’
Dicho de modo simplificado, el sistema del voto electrónico (e-voting) consta de un ordenador central que evalúa los votos y los ordenadores personales de los electores.
Teóricamente, no se descarta, sin embargo, que el ataque de un hacker informático al ordenador central o la contaminación de los ordenadores personales con un software dañino (malware) alteren el resultado de una votación. Un malware informático puede hacer que el sí marcado por el elector en la pantalla llegue al ordenador central convertido en un no, sin que el votante se percate de ello.
En las elecciones y votaciones hay muchos intereses en juego, y no es absurdo suponer que algún grupo de interés (lobby) pueda contaminar miles de ordenadores desprotegidos para falsificar el resultado de las urnas. Los especialistas en la materia previenen desde hace más de una década sobre esta visión probable.
La solución más sencilla sería que el ordenador central envíe a cada elector la certificación del voto emitido -a semejanza del comprobante que uno recibe cuando compra en la Red-, pero se la descarta porque “hay que garantizar el voto secreto. El sistema no puede enterarse de cómo sufrago, ni tampoco debe saberlo el administrador del sistema. Este hecho complica más la situación”, explica Haenni.
Mostrar más
Democracia directa y tecnología digital
En la dirección correcta
La segunda generación del e-voting en Suiza sería introducida gradualmente en el año 2014. La novedad está en que cada elector recibirá, junto con el material de información, un código individualizado de cuatro dígitos para el no y otro para el sí.
Después de que el votante haya sufragado, el sistema le devolverá el denominado código de verificación cuya cifra podrá cotejar con la recibida junto con el material electoral. Al hacerlo advertiría cualquier manipulación.
“El barco va en la dirección correcta”, dice Dubuis, “porque si la gente se da cuenta, deja de ser interesante el infiltrar un software dañino. Esa es la gran diferencia con respecto al sistema actual, que aún corre el riesgo de no detectar una manipulación”.
La gran mayoría de suizos y suizas en el extranjero podrían votar por Internet en las elecciones federales de 2015. El Gobierno mantiene este propósito a pesar de las críticas.
El ataque de un hacker que dejó al descubierto una grieta en el sistema de e-voting de Ginebra avivó en julio pasado las discusiones sobre las lagunas en materia de seguridad.
Los funcionarios conocen desde hace tiempo los puntos débiles. Acorde con la máxima de “seguridad antes que celeridad”, apenas una fracción del electorado puede votar por Internet.
El límite establecido actualmente por el Gobierno es del 10% en el plano nacional y más de un 30% en el cantonal. En términos concretos, sin embargo, el voto electrónico en la actualidad es posible solo para cerca de un 3% del electorado, sobre todo para los suizos en el extranjero.
La seguridad es insuficiente, a juicio de cuatro diputados de distintos partidos que han anunciado su intención de frenar el proyecto e-voting, al menos mientras no haya programas seguros. Iniciativas similares han surgido en varios cantones.
Tras conocerse los problemas en el sistema de e-voting de Ginebra, los cantones de Uri y Obwalden decidieron renunciar, de momento, al voto electrónico.
Además del criticado sistema ginebrino, que también usan Berna, Lucerna y Basilea-Ciudad, existe un programa en Zúrich, que emplean ocho cantones. Neuchâtel tiene un sistema propio.
Urnas transparentes
Los esfuerzos incorporados en este sistema para fortalecer la seguridad informática central y el escrutinio correcto de votos son considerables. Pero eso no excluye completamente los errores; por ejemplo, una manipulación que, teóricamente, puede ocurrir durante la impresión de los códigos.
De ahí que tanto Dubuis como Haenni aboguen por otro cambio en el sistema, concretamente, por “exponer los datos con claridad, especialmente de los votos codificados”. El problema irresuelto es la posibilidad de rastrear y seguir los datos devueltos al remitente y, por ende, perder la condición secreta del voto.
La solución se conduce por analogía al uso de urnas transparentes en Francia. “Se ve que al principio están vacías, se las sacude y ya nadie puede reconocer quién ni cómo votó”, dice Dubuis.
Ensayos piloto en Noruega
En el mundo de la electrónica significa: claridad o transparencia de datos encriptados que se convierten en anónimos antes de ser descifrados.
“Los datos son mezclados criptográficamente muchas veces. Una vez confundidos los votos ya no es posible relacionarlos con el orden en el que fueron emitidos, aunque en términos de contenido sigan siendo idénticos. Esto se comprueba matemáticamente”, señala Haenni.
“Son procedimientos certificados científicamente y 100% reconocidos por su validez y fiabilidad para proteger la votación secreta. Un sistema combinado de esas características es “muy complicado”, admite Haenni. “En las elecciones del Consejo de Estudiantes hemos aplicado ese sistema. Seguimos en esa tarea. No hay una solución a disposición. Noruega ha realizado hace poco ensayos piloto con un sistema mezclado”.
Dubuis considera que ese sistema –si hay voluntad política-, podría ser introducido en Suiza dentro de dos a tres años.
La imperfección: el papel
La desventaja es una persistente imperfección. A pesar de los esfuerzos informáticos y electrónicos, “hace falta un correo postal como nexo de confianza”, dice Haenni. Los códigos llegan al elector en papel y la vía electrónica queda excluida por razones de seguridad.
La ciencia y la investigación trabajan juntas desde hace años en la tercera generación del e-voting que incluirá un artefacto adicional.
“Teóricamente, el ordenador o el teléfono inteligente pueden siempre tomarme el pelo y no se puede confiar plenamente en estos artefactos. Es un problema difícil de resolver, dice Haenni.
De ahí que, hace dos años, la Cancillería Federal encargara a los científicos del RISIS desarrollar un modelo nuevo basado totalmente en un sistema electrónico capaz de evitar el trabajoso y caro correo postal.
El voto electrónico es una tecnología relativamente nueva. Muy pocos países en el mundo realizan ensayos obligatorios en las elecciones y votaciones.
En Europa lo hacen, además de Suiza, Noruega, Estonia y desde hace poco Francia.
La sección Derechos Políticos de la Cancillería Federal y el equipo encargado del proyecto voto electrónico trabajan en gremios internacionales donde exponen las experiencias en Suiza. Participan en conferencias internacionales y mantienen contactos con otros países que realizan ensayos o planean hacerlo.
La solución: un artefacto adicional
La solución está en un aparato adicional parecido a los que entregan los bancos a sus clientes y usuarios del e-banking: un artefacto “con la menor cantidad posible de funciones, desconectado de Internet, bastante reducido, no programable y de costo módico”, explica Haenni.
Esos aparatos fotografían los votos; es decir, el código electoral en la pantalla del ordenador, y acto seguido, lo envían por un interfaz USB para portátiles o tecnología inalámbrica hasta el ordenador y desde allí a la computadora central. El paquete de datos permanece codificado durante todo el proceso. Por otra parte, el acceso a los datos de estos artefactos está protegido por una clave numérica secreta (PIN).
Tan fiable como un billete de banco
“La confianza en uno de esos artefactos tiene que ser tan grande como en la de un billete del Banco Nacional Suizo. Esos artefactos deben estar certificados por la Cancillería Federal”, precisa Dubuis y admite que aún “hay interrogantes abiertos”, pero sin duda “no es una quimera. Nos queda todavía trabajo de investigación científica y es, además, una cuestión de voluntad política. También podemos combinar funciones diversas”.
Hay interrogantes abiertos en logística de distribución; costes que no atañen únicamente a la producción y distribución, sino también a la gestión diaria. Los códigos PIN pueden ser olvidados; un artefacto sin uso regular puede ser ilocalizable o tener las baterías descargadas.
Dubuis se refiere a un artefacto capaz de mantener contacto electrónico con los funcionarios correspondientes y, al mismo tiempo, con los del banco. ¿Por qué no emplear inmediatamente un aparato que todos llevan consigo: el teléfono inteligente?
Los fabricantes de los smartphones podrían instalar un segundo modo operativo que no sea programable. Desde el punto de vista técnico, sería posible hacerlo”, dice Haenni.
El primer modo operativo sería con apps y otros programas informáticos (software) y, claro, también podrían contener un malware.
El segundo modo de operación no programable sería seguro. No permitiría el ingreso de ningún software dañino, un concepto ideal, casi imposible de realizar, según Dubuis, porque “los fabricantes piensan en el mercado mundial y Suiza no cuenta”.
(Traducción del alemán: Juan Espinoza)
En cumplimiento de los estándares JTI
Mostrar más: SWI swissinfo.ch, certificado por la JTI
Puede encontrar todos nuestros debates aquí y participar en las discusiones.
Si quiere iniciar una conversación sobre un tema planteado en este artículo o quiere informar de errores factuales, envíenos un correo electrónico a spanish@swissinfo.ch.