Aunque tomado muchas veces por un mero instrumento técnico que mejorará sustancialmente el recuento de votos y evitaría costos y clientelismos, el voto electrónico requiere de una discusión amplia en varios niveles que discuten su confiabilidad y garantías. Conversamos con el especialista Daniel Penazzi al respecto.

Por Mariano Barsotti

Si tenemos un dolor fuerte en el pecho o algún síntoma gripal, difícilmente recurramos al visitador médico: sabemos que sus conocimientos no son médicos y que su interés no es mejorar nuestra salud. Sin embargo, cuando se trata del voto electrónico, hemos venido aceptando la palabra de quienes pueden beneficiarse sectorialmente de su utilización, se trate de un rédito político o económico. Es decir, políticos o vendedores de sistemas informáticos. Rara vez se toma como válida la palabra de especialistas neutrales, programadores o criptógrafos. Es aún más extraño si consideramos que estamos hablando de la máxima instancia participativa que tiene la comunidad para elegir sus representantes y que ignoramos de forma escandalosa, sobre todo en este caso, cuáles son los intersticios donde la discrecionalidad, por decirlo elegantemente, puede intercalar sus uñas. El llamado voto electrónico, al común de los ciudadanos, nos coloca en la situación de no poder auditar el recorrido que sigue nuestra elección. Al no entender (o no saber) cómo funcionan determinados procesos nos quita la posibilidad de verificar el destino de nuestra decisión. En algunas versiones del voto electrónico la boleta en la urna desaparece, o ya no es la sustancia última del escrutinio. Y lo hace del peor modo posible: erigiéndose como reaseguro de la transparencia. Este acto de ilusionismo político, avalado por la fascinación que provocan las nuevas tecnologías, puede llegar también a sacrificar requerimientos constitucionales del voto.

Daniel Penazzi es Doctor en Matemática, docente de FAMAF y criptógrafo. En el año 2011 logró ubicarse entre los 25 mejores criptógrafos del mundo, desplazando a especialistas de IBM e Intel, en un certamen organizado por la Agencia de Seguridad de EE. UU. Desde la Facultad donde trabaja ha participado en discusiones sobre el voto electrónico, junto a otros matemáticos, programadores e investigadores. Su testimonio pretende ser un primer paso de un acercamiento al tema que Deodoro irá desandando en sucesivas ediciones.

–¿Podría describir el procedimiento de voto electrónico que se utilizó en CABA el pasado 5 de julio y cuáles han sido sus puntos cuestionables?

–Fue bastante parecido al sistema usado acá de Boleta Única, con la diferencia que al elector en vez de dársele una boleta de papel se le daba una «boleta electrónica». A la vista de todos, pero de forma que no se viera cómo elegía, se acercaba a una máquina, introducía la boleta, hacía su elección, la máquina la grababa en la boleta electrónica y además imprimía en el voto. Esto es una gran ventaja sobre sistemas en donde el voto es 100% electrónico. Además, otra buena idea (en principio) era que el elector podía «verificar» el voto, pidiéndole a la máquina que le dijera lo que estaba grabado en la boleta. Pero pedirle a la misma máquina que grabó que verifique lo que grabó no es una gran idea, obviamente. Luego de lo cual el elector introducía la boleta en una urna, pero antes tenía que acercarla a un lector que contabilizaba el voto electrónicamente.

Hubo varios problemas. Uno de ellos fue que la Fundación Vía Libre encontró una falla en el programa que permite un ataque consistente, simplificando un poco, en reescribir el chip de la boleta mediante algunos tipos de celulares para que la máquina en vez de contar un solo voto, cuente varios. El lector cuenta más votos para ese candidato, sin alterar el total de votos globales, por lo que las autoridades de mesa sólo se pueden dar cuenta del ataque si efectivamente suman a mano los totales de cada candidato, cosa que casi nadie hizo. Un ataque más sofisticado, y que requiere la colaboración de dos personas, es que la primera le agregue digamos 20 votos al candidato A mientras que la segunda vote por el candidato B con -20 votos (votos «negativos»). Ahora incluso la suma dará bien, pero habrá una diferencia de 40 votos relativos respecto a lo que realmente se votó. La empresa se defendió diciendo que es imposible montar el ataque porque el voto se hace a la vista de las autoridades. Pero, aparentemente, bastaría acercar el celular a la boleta electrónica. Además, los chips venían identificados individualmente, lo cual puso en riesgo el secreto de voto.

Otro problema fue que se filtraron los certificados de seguridad con los que se iban a transmitir los datos. Esto fue advertido por una persona que le avisó a la empresa encargada de contar los votos para que cambiara los certificados antes de la elección (supongo que lo hicieron). En vez de agradecerle, le allanaron la casa y le secuestraron todas las computadoras (Joaquín Sorianello, quien trabajó para Machinalis, una de las primeras empresas de software incubada en FAMAF).

Con anterioridad se había dicho que el lector electrónico servía sólo para dar un conteo inicial más rápido, pero que el voto definitivo se haría contando las boletas de a una, mirando la impresión. Más aún, se decía que las autoridades de mesa debían leer los votos uno a uno y anotarlos y ver si coincidían con el total electrónico. Si hubiera sido así, y si estuviera explícito en la ley que en caso de discrepancia lo que vale es el voto impreso, se tendría un sistema híbrido de conteo electrónico provisorio y conteo a mano definitivo, al cual no le veo en este momento nada que objetar, salvo porque lo más probable que ocurra es lo que en realidad ocurrió: en la mayoría de las mesas se leyeron solo 10 o 15 votos, y lo que se usó para el acta fue el conteo electrónico. En el escrutinio definitivo no se reabren las urnas, salvo en casos específicos de denuncia. Incluso en las 500 máquinas, donde hubo un problema a la hora de contabilizar el voto electrónico por algunas fallas, en vez de simplemente contar las boletas a mano, se mandaron todas las máquinas a la sede central donde se «arregló» el problema de alguna forma y se contabilizaron electrónicamente. Si lo iban a hacer así se debería haber requerido que un porcentaje de urnas se abriera al azar y se contabilizaran los votos a mano, y que si hubiera discrepancia con el conteo electrónico este se anulaba y se contaba todo a mano. Pero no tuvieron la precaución de implementar esta mínima salvaguarda.

En definitiva, pese a que el macrismo dijo que esto era sólo una «boleta electrónica» y no un «voto electrónico» (distinción lingüística que tuvo que hacer porque si no necesitaba una mayoría de 2/3 para aprobar esta forma de realizar la elección), en la práctica fue claramente un voto casi 100% electrónico. Y como tal, tiene todos los problemas usuales.

–Cuando se pretende ponderar las «bondades» del voto electrónico se menciona indefectiblemente la rapidez del escrutinio ¿Ha sido efectivamente de ese modo en las experiencias realizadas en Argentina? ¿Representa alguna ventaja en relación a la transparencia del acto eleccionario?

–La votación en Buenos Aires comenzó muy rápidamente, pero luego se «colgó» con el 97% de los votos escrutados, que si bien no afecta a los candidatos a intendente, dejó sin resolver uno de los asientos de concejales, el cual fue determinado recién un par de días después.

Independientemente de esto, respecto de la rapidez, la Constitución Argentina no dice nada acerca de que el voto deba ser «rápido». Como bien dice la pregunta, lo más importante es la transparencia del acto eleccionario, no la rapidez con la cual se efectúe.

–¿Cuáles son las garantías que un sistema de voto adoptado (sea o no electrónico) debe asegurar? ¿Lo hace el voto electrónico?

–Lo que se requiere (además de universal, obligatorio e igualitario) es que sea secreto.

A lo cual hay que agregar un requerimiento que es tan obvio que no está listado: el sistema debe ser fidedigno, es decir, los resultados mostrados deben ser los que la ciudadanía realmente expresó al momento de emitir el voto.

Pero además se desea un segundo nivel de fidelidad: que el votante pueda votar realmente lo que quiera. Esto es lo importante del requerimiento de que el voto sea secreto. Por ejemplo, el voto cantado de antes de la Ley Sáenz Peña es muy fidedigno respecto del primer significado de «fidedigno» pero al no ser secreto, no podemos saber si la gente votaba lo que realmente quería. Dicho sea de paso, un voto cantado sería muy rápido (se van contando los votos a medida que se emiten), así que si lo que buscamos es «rapidez» podemos simplemente eliminar la Ley Sáenz Peña.

El voto electrónico tiene problemas con ambos requerimientos. En Holanda demostraron que podían leer lo que la gente votaba a decenas de metros de distancia. En Brasil también podían ver lo que la gente votaba (desde más cerca). En Estados Unidos hubo votaciones con más votos que electores.

Aquí en Córdoba en dos localidades se votó a través de voto electrónico, y casi todos los periodistas sacaron a relucir la gran rapidez con la cual se hizo el escrutinio. Nadie, que yo sepa, demostró que la votación fuera secreta, ni hicieron referencia a los problemas encontrados en Holanda o Brasil.

Para ejemplificar el gran problema del voto electrónico podemos recordar la elección para gobernador de Córdoba en 2007, efectuada con boletas tradicionales, la cual perdió Luis Juez por muy pocos votos, y denunció que Schiaretti le robó la elección cambiando votos, actas, etc., en lugares donde Juez no tenía fiscales. Supongamos por un momento que hubiera estado en lo correcto. La única razón por la cual Schiaretti podría haberle robado la elección es que la cantidad de votos para uno u otro era muy pareja. Pero por ejemplo para Aguad, que salió tercero a bastante distancia de ambos, le habría sido muy difícil si es que hubiera querido, poder cambiar un número suficiente de votos para llevarse la elección. La cantidad de gente que debería haberse involucrado sería impráctica.

Mientras que si se hubiera usado voto electrónico todas las apuestas son posibles. El número de personas que hay que sobornar es mucho más reducido, y los resultados pueden alterarse no solo en unos miles de votos, sino en centenares de miles. Alguien (ya no recuerdo quien) hizo una analogía hace unos años: con el voto en papel se pueden cambiar algunas pesas; con el voto electrónico se puede tomar el control de la balanza misma.

El problema es que queremos por un lado ser capaces de auditar lo que pasó sin romper el secreto del voto. Esto tiene enormes problemas, y aunque en teoría podría hacerse, el sistema sería tan complicado que es difícil que sea implementado. Además, aún en ese caso, la ciudadanía tendría que confiar en un número reducido de personas, técnicos, que les aseguran que sí, que todo está bien. La salvaguarda del eslabón más fundamental del sistema democrático pasaría a manos de una élite, y de compañías privadas. Por esta razón en Alemania todo sistema de voto electrónico ha sido declarado inconstitucional: el ciudadano común debe poder verificar el sistema de votación. El voto electrónico no garantiza esto, como sí lo hacen otros sistemas, por ejemplo el sistema de Boleta Única que tenemos en Córdoba.

Le menciono un par de ventajas que habitualmente se esgrimen para defender el voto electrónico: más económico, «ecológico» y permite romper con prácticas punteras (voto en cadena, etc.). ¿Qué opina al respecto?

El «voto en cadena», el problema de la falta de boletas en el cuarto oscuro y el exceso de impresión de boletas, se resuelven con la boleta única como la que se usa en Córdoba, la cual es diez veces más económica que la boleta electrónica que se usó en Buenos Aires.

En el caso particular de la boleta única en nuestra provincia existe el problema de seguridad de que tienen un código de barra numerado que permitiría identificar quién emitió tal voto con el simple expediente de anotar el orden de votación, con lo cual se viola el secreto del voto (este problema también lo tiene la boleta electrónica de Buenos Aires, con el agravante que la identificación del chip puede ser hecha a distancia, con un celular). Pero esto es algo fácilmente modificable, ya sea cambiando la ley, o declarando el artículo de la ley inconstitucional. No es razón suficiente para cambiar a un voto electrónico que tiene defectos esenciales a su naturaleza.

Por eso es inentendible para mí, cómo puede ser que un político tan hábil como De la Sota, que está enfrentado a Macri, y que tiene en sus manos la posibilidad de comparar ambos sistemas y mostrar que el de Córdoba es mejor… ¡luego hace declaraciones diciendo que debemos adoptar el sistema de Buenos Aires! No sé quién es su consejero, pero ahí hicieron la gran Higuaín.