Tras los resultados electorales en Venezuela, ¿Es viable y confiable el voto electrónico en Uruguay?

A la luz de los recientes acontecimientos en Venezuela, con una votación marcada por el entusiasmo de opositores y viciada de ilegitimidad por la narcodictadura de Nicolás Maduro y Diosdado Cabello, nuevamente en Uruguay surgen distintos actores de la política local ya sea defendiendo el resultado del oficialista Consejo Nacional Electoral (o CNE), como incluso su sistema de voto electrónico. Este sistema, cuando está construido preservando la confiabilidad y confidencialidad del mismo, puede ser el mejor método para evitar el fraude electoral, como de lo contrario, facilitarlo. En este artículo les describiré desde el punto de vista de un analista en ciberseguridad como se debería realizar para evitar los vicios como los vistos en Venezuela el día de ayer.

El día de ayer, en el marco de las elecciones nacionales de la República Bolivariana de Venezuela, donde el próximo período de gobierno se dirimía entre la narcodictadura con Maduro a la cabeza, y la Plataforma Unitaria Democrática con el ex diplomático Edmundo González Urrutia en lugar de la proscripta María Corina Machado, ocurrieron varias irregularidades que llevaron a confirmar un nuevo fraude electoral por parte del oficialismo.

¿Cómo funciona el voto electrónico en Venezuela?

Los terminales del sistema de voto electrónico utilizado en Venezuela fueron provistos en 2007 por la empresa Smartmatic (la misma que proveyó el mismo sistema en las elecciones de Estados Unidos en 2020), y posteriormente en 2017 reemplazado un sistema biométrico de automatización electoral provisto por la argentina Ex-Clé.

Al momento de emitir el sufragio, la persona debe confirmar su identidad y habilitación ya sea por datos biométricos (huella digital y/o foto) o documento de identificación personal (cédula de identidad, a modo de ejemplo). Acto seguido, la persona acude a una mesa donde hay un terminal con una pantalla táctil con las opciones de votación habilitadas, donde elige el, o los candidatos deseados, confirma su voto, y se retira. Este terminal envía el voto mediante una conexión de datos a una central donde se van contando los votos, y a su vez imprime un comprobante de votación (boleta) que se deposita automáticamente en una urna cerrada (como la copia interna de cada transacción en un cajero automático), donde se registran las opciones electas y un identificador único de voto (para evitar duplicados), pero nada que permita identificar al votante en sí, preservando la confidencialidad del mismo.

Cuando finaliza la votación, o como en Uruguay llamamos cierre de circuitos electorales, el terminal de votación de cada mesa electoral emite un acta impresa donde consta la cantidad de votos emitidos para cada opción para que cada testigo (el equivalente venezolano a los delegados de mesa en Uruguay) tenga una evidencia empírica de los votos emitidos en dicho terminal, garantizando la legitimidad del proceso.

¿Cómo se configuró el fraude electoral?

El primer indicio de las irregularidades en las elecciones de ayer partió de la imposiblidad por parte de los testigos de la Plataforma Unitaria Democrática de acceder a las actas de votación de cada centro del CNE, e incluso la expulsión de los testigos de los centros de votación. Según María Corina Machado, sobre la medianoche del domingo para el lunes solo tenían el 30% de las actas, y las autoridades electorales se negaban a permitir el acceso de su delegada ante la CNE y ex diputada Delza Solórzano.

No conformes con impedir el acceso legítimo a los testigos de todas las fuerzas políticas opositoras, el oficialismo también retrasó más de 6 horas la entrega de los resultados, hasta que el Presidente del CNE Elvis Amoroso anuncia con toda seguridad los resultados parciales con una tendencia asegurada hacia la victoria de Nicolás Maduro, con el 51,2% de los votos contra los 44,2% del opositor Edmundo González Urrutia, y un confuso 4,6% restante dividido entre los demás candidatos.

Según la evidencia con la que cuenta la oposición, Edmundo González Urrutia ganó con un abrumador 70% sobre los 30% de Maduro, algo que durante la jornada de hoy se pudo confirmar con el anuncio de esta fueza de haber podido acceder al 73% de las actas. El resultado oficialista solo se puede explicar por la manipulación de datos recibidos por parte de cada mesa de votación durante ese período de 6 horas de retraso, ocultando los originales que solo podían ser expresados fidedignamente mediante las actas de votación.

El regimen de Maduro denunció públicamente un supuesto hackeo al sistema por parte de fuerzas opositoras internas y extranjeras, buscando interrumpir el proceso electoral, como excusa por la demora al emitir los resultados oficiales (y que utilizaron convenientemente para manipularlos).

Para resumir:

• Hubo votación mediante un sistema de voto electrónico
• La oposición no pudo acceder en tiempo y forma a la totalidad de las actas de votación
• La narcodictadura manipuló datos de votaciones antes de anunciar los resultados oficiales, y acusó a la oposición de un intento de hackeo al sistema de votación que ocasionó la demora.
• Según la oposición, en el 73% de las actas a las que accedieron el día de hoy, daban una contundente victoria al candidato Edmundo Gonzáles Urrutia

No es la primera vez que en Venezuela se acusa al voto electrónico de ser fácilmente manipulable, algo que ha quedado en evidencia en el pasado con las elecciones de 2013 entre Maduro y Henrique Capriles Radonski. Tampoco es algo que haya ocurrido solo en el país caribeño, sino que también ocurrio en varios estados de los Estados Unidos durante las elecciones de 2020, donde hubo irregularidades que también enchastraban al sistema de voto electrónico provisto por Smartmatic (mediante su filial Dominion) que retrotraían a las elecciones de 2013 en Venezuela.

¿Cómo se puede aplicar un sistema de voto electrónico en Uruguay?, y lo más importante, ¿cómo se lo puede hacer confiable?

Como dije antes, el sistema de voto electrónico debidamente puede volverse el más confiable, pero también esto conlleva a realizar una inversión muy costosa en hardware, software, y servicios de telecomunicaciones.

En ciberseguridad nos basamos en 3 principios fundamentales que rigen las prácticas correctas para asegurar la seguridad de la información con la que se trabaja, a los que denominamos la Triada de la CIA, por su origen:

• Confidencialidad: prevenir que la información sea divulgada públicamente, y que solo pueda ser legible por aquellos a los que les pertenece o la necesitan para alguna finalidad específica. En un sistema de votación esto aplica a la asociación entre el votante, y las opciones electas en un terminal de voto electrónico.
• Disponibilidad: que la información se encuentre disponible en tiempo y forma por las partes que así lo requieran, proveyendo los recursos necesarios para garantizarlo, y las medidas de contingencias ante cualquier dificultad en el cumplimiento de este principio. En un proceso electoral esto significa poder resguardar una copia local digital y/o en papel de los votos emitidos al momento del cierre, escrutinio, y garantizar la emisión de resultados oficiales a una hora dada.
• Integridad: es la protección de la información ante los cambios sin autorización o legitimidad alguna. Esto garantiza que la información sea precisa y no de lugar a duda alguna sobre su veracidad. Cuando nos referimos al voto electrónico, es asegurar que los resultados de la votación electrónica sean inmutables, es decir no se puedan modificar de manera alguna por ninguna de las partes involucradas, ni por terceros vinculados al proceso electoral.

En teoría, los sistemas de Smartmatic y Ex-Clé estarían basados en estos 3 principios, pero en la realidad y como muestra la evidencia empírica en Venezuela se ha demostrado que fallan en su disponibilidad e integridad, y dejan muchas dudas sobre su confidencialidad también.

Sistema cerrado vs sistema abierto

El sistema voto electrónico basado en los principios de la Triada de la CIA debe ser cerrado, es decir completamente separado de cualquier otro sistema o red que pueda comprometer su seguridad informática, muy especialmente de la Internet. Para tales efectos, y durante el período de sufragio hasta la hora de emisión de los resultados oficiales, toda comunicación entre terminales de votación, servidores, y sistema central debe ser cerrada y cifrada, y la información guardada completamente inacesible para todas las partes involucradas, incluso para el mismo votante una vez que completa su votación.

Los componetes de un sistema de voto electrónico cerrado son:

1. Terminal de votación: Debe haber al menos uno en cada circuito de votación y ser un sistema de fácil utilización, estar ubicado detrás de una pared o mampara opaca, donde la persona:
   • Se autentique como votante mediante credencial cívica electrónica (que puede ser la cédula de identidad, unificando ambos documentos), o la huella digital registrada por la Dirección Nacional de Identificación Civil al momento de obtener su último documento de identidad.
   • Disponga de todas las opciones de voto habilitadas.
   • Disponga de auriculares y botones adaptados para personas con discapacidad visual.
   • No pueda votar y se apague la pantalla en caso de detectar (mediante cámara gran angular) la presencia de más de una persona frente a la pantalla con las opciones.
   • Opcionalmente, se le entregue un certificado de votación en papel además de constar registro del acto de voto en formato digital.
2. Servidores: debe haber uno por cada centro de votación, donde estarán conectadas las terminales asociadas, y contar con:
   • Urna con impresora cerrada bajo llave, donde se imprime en papel cada voto con su número de serie impreso en formato de código de barras o QR, donde también se especifique la opción votada. No debe tener asociación alguna con el votante. En caso de falla de la impresora (falta de papel o problema mecánico) se deberá parar el proceso de votación hasta corregido el problema.
   • Redundancia en conexión de datos: debe contar con una conexión cableada fija y una inalámbrica móvil o satelital para garantizar su conexión con el sistema central de la Corte Electoral.
   • Base de datos cifrada con la misma información que los datos impresos en papel dentro de la urna, en caso de que el servidor no pueda reportar con el sistema central por caída de la conexión de datos. El servidor deberá reintentar este procedimiento una vez reestablecida la conexión.
3. Conexión de datos: la conexión al sistema central en la Corte Electoral siempre debe realizarse:
   • Por un canal cifrado punto a punto, asimétrico, y redundante, por vía cableada e inalámbrica móvil o satelital.
   • Las conexiones deben estar provistas por distintos proveedores debidamente acreditados.
4. Sistema central: este sistema deberá contar con medidas redundantes que garanticen su funcionamiento ininterrumpido durante todo el proceso electoral
   • Cluster de conmutación por error (failover): si un sistema cae, otros deberán tomar su trabajo.
   • Disponiblidad de sistemas en varias regiones dentro del territorio nacional, interconectados entre sí formando una topología de doble anillo.
   • La información de votación deberá permanecer cifrada e inaccesible hasta cumplido el horario de presentación de los datos oficiales
5. Suministro eléctrico ininterrumpido: se debe garantizar el suministro eléctrico de los equipos involucrados, para evitar interrupciones en todo el proceso electoral.

Desarrollo de la jornada electoral

1. Previo al desarrollo de la jornada, se deberán instalar y probar exhaustivamente los equipos y conexiones de red necesarios para el proceso de votación, ensayando también excenarios de fallas y sus medidas correctivas.
2. Las autoridades de la Corte Electoral deberán establecer un horario de inicio de la votación, y un horario final. En este período se debe llevar a cabo la votación y no debe habilitarse prórroga alguna.
3. Los servidores remitirán información de votación al sistema central por intervalos, a la cual se le asociará un valor de comprobación de redundancia cíclica (CRC) que se deberá comparar entre origen y destino luego de cada envío. Si la comprobación fallara, los datos enviados se descartarán por el sistema central, y se deberá reenviar la información nuevamente.
4. Cumplido el horario de anuncio de los resultados oficiales, los mismos son descifrados y se habilita a la Corte Electoral el anuncio de los resultados y la publicación oficial de los mismos.

Recuento de votos

El escrutinio o recuento de votos se realiza mediante la lectura automatizada de las cintas de papel impresas dentro de las urnas pertenecientes a cada servidor, ubicados en cada centro de votación. Su propósito además de servir de respaldo físico, será corroborar que cada voto emitido electrónicamente tenga su correlato en papel, y que ambos compartan el mismo número de identificación de voto.

¿Es viable este sistema en un país como Uruguay?

Como hemos visto, la única manera de que un sistema de voto electrónico sea confiable desde el punto de vista de la ciberseguridad es que el mismo cumpla con los 3 principios de confidencialidad, disponiblidad, e integridad. Esto implica el desarrollo de software, e incluso hardware específico para esta finalidad como ser los terminales de votación y las urnas con impresoras internas, con un costo muy alto en diseño, desarrollo, ensayo, y puesta en producción, como así también los procesos de capacitación asociados a su operación para votantes, integrantes de mesas de votación, y personal de soporte técnico asociado.

Por cada circuito de votación se debe disponer de al menos un terminal de votación, y por cada centro de votación al menos un servidor. También cada servidor disponer de 2 conexiones de red.

¿Cuales son las ventajas de un sistema de voto electrónico?

Las principales ventajas que tiene este sistema descrito en este artículo, son:

• Eliminación total de papeletas y hojas de votación: no se repartirá material impreso, lo cual reduce el impacto ambiental de todo el proceso electoral.
• Podría facilitar una reforma del sistema electoral yendo al sistema de boleta única, erradicando las «listas sábana» con decenas de suplentes completamente desconocidos por el votante.
• Rapidez al obtener resultados oficiales, e inmutabilidad de los mismos, ya que en ningún momento se accede al conteo de votos sino hasta terminada la votación y habilitada la Corte Electoral a publicar los mismos.

¿Cuáles son las desventajas?

La principal desventaja es su costo. Más allá de esto, las limitantes pueden ser mas bien políticas y no económicas y tecnológicas, ya que este sistema puede facilitar o impedir la intencionalidad de fraude de sectores inescrupulosos de la política, como los que han declarado defender al corrupto sistema electoral venezolano por afinidad ideológica.