El sistema de boleta única electrónica utilizada en las elecciones para jefe de gobierno porteño Archivo

Todavía no se empezó a debatir en el Congreso, pero el nuevo Código Electoral Nacional (como parte de la reforma electoral que envió el Ejecutivo) genera discusiones sobre todo en el ámbito tecnológico donde desde diversos sectores se discute el uso de una máquina a la hora de la votación.

A fines de junio (y con la firma de Marcos Peña, Rogelio Frigerio y Germán Garavano) se envió el documento que pretende instalar un sistema de boleta única electrónica en las elecciones legislativas nacionales de 2017, similar a la que se usó el año pasado en la Ciudad de Buenos Aires y en Salta, entre otros lugares.

Cómo será el sistema y qué dice el proyecto

En una pantalla se podrá elegir un candidato, una lista o cortar boleta, dependiendo de cuál sea la elección. El votante obtendrá un respaldo en papel que lo depositará en la urna. El comprobante también contendrá la información en un soporte digital, que servirá luego para hacer el recuento (cotejando la información almacenada de forma digital con la máquina que hará el escrutinio).

El proyecto prevé respetar los siguientes principios: que sea auditable, privado, seguro, equitativo, accesible y confiable. Justamente sobre cómo lo logrará con la introducción de tecnología en el nuevo Código Electoral Nacional es que aparece el debate.

Las dudas

Quienes se oponen al proyecto ponen sus reparos en dos niveles: el primero es conceptual. Consideran que el hecho de utilizar una máquina a la hora de votar restringe la posibilidad a cualquier ciudadano de auditar la totalidad del acto eleccionario, como sí lo podían hacer antes.

Usar una máquina significa que hay que tener conocimientos especiales, saber de informática, para realmente poder comprender cómo funciona esta interfaz emergente dentro de un acto eleccionario y detectar un problema a la hora del conteo; no alcanza, como hasta ahora, con saber leer los nombres de las boletas y poder sumar los papeles.

Además, y aunque desde el Gobierno insisten en que el proyecto elegido sólo usa una impresora para tener una copia digital del voto y agilizar el recuento, en la práctica se trata de una computadora (con un sistema operativo y una aplicación que gestiona los votos). Por eso, muchos consideran que no hay diferencias entre este sistema de boleta única electrónica y el de experiencias polémicas del pasado con el voto electrónico, como la que sucedió en Venezuela.

El segundo es práctico: critican puntos específicos de este proyecto; ya lo habían hecho (incluso denunciado públicamente) con la implementación que se hizo en la Ciudad de Buenos Aires en las últimas PASO y en Salta con la Boleta Unica Electronica.

El sistema de boleta electrónica única genera dudas entre los expertos por los tiempos de implementación que exige el proyecto Daniel Jayo - LA NACION

Sobre esto, por ejemplo, Javier Smaldone mostró cómo era posible vulnerar el sistema y sumar múltiples votos utilizando una boleta electrónica modificada.

Y el programador Joaquín Sorianello descubrió fallas en las terminales que envían los datos desde las escuelas a los centros de cómputos, y las hizo públicas. Por este motivo, le allanaron la casa y fue perseguido judicialmente.

Tras conocerse el proyecto de reforma electoral que contempla usar la Boleta Unica Electrónica (BUE) a nivel nacional, con una propuesta muy similar al que se usó en la ciudad de Buenos Aires y Salta, surgieron más inquietudes.

El proyecto afirma que al menos 120 días antes el sistema deberá estar listo para ser auditado por los partidos políticos y sus “fiscales informáticos”. Tendrán 20 días de corrido para testear el mismo antes de ser homologado. Para Iván Arce, director del programa de seguridad en TIC de la Fundación Sadosky y quien trabaja hace 20 años en seguridad informática, estos tiempos no son admisibles. “Son decenas de millones de líneas de código. Imaginate que tengas que auditar Windows en 20 días”.

Pero además, agrega Arce, “para minimizar el riesgo de problemas de seguridad tenés que contemplar la seguridad en todo el proceso: en la concepción -donde se tiene que modelar al atacante y conocer de quién me quiero defender-, diseñar un sistema acorde y luego sí hacer una revisión de seguridad del diseño”. En síntesis: no es algo que solo se deja para el final. “Requiere un montón de esfuerzo de múltiples actores. No se resuelve esto con una auditoría pocos meses antes de hacer la elección”.

Hay un montón de buenas prácticas para estos casos y no sabemos cuáles fueron las que tuvieron los proveedores de la BUE en el pasado

Al ser consultado por la seguridad en el proceso de la BUE, Arce señala que no tiene en claro cómo trabajó la compañía proveedora del servicio. "Desconozco qué controles hicieron. Si lo hicieron deberían mostrar evidencias y mostrar qué tipo de testeos realizaron, cuántos bugs (fallas) corrigieron, cuál es el mecanismo de actualización de las distintas características… hay un montón de buenas prácticas para estos casos y no sabemos cuáles fueron las que tuvieron los proveedores de la BUE en el pasado. De estos lineamientos no se especifica nada en este nuevo proyecto".

Por su parte, Armando De Giusti, decano de la facultad de Informática de la Universidad de La Plata, sostiene que “los 20 días no parecen un plazo eliminatorio, pero para llegar a eso tenés que tener un fuerte acuerdo con grupos técnicos o bien tener un grupo de gente grande concentrado en un solo lugar”. Para De Giusti, comparar estos sistemas con Windows, suena exagerado porque las máquinas que se podrían utilizar (como las que se usaron en CABA y Salta) “tienen funciones acotadas. Lo mejor sería escribir un protocolo. Una vez certificadas, sacarles una firma digital, y al abrir el acto eleccionario testear que la firma digital no haya sido cambiada”.

Para Adrián Pérez, Secretario de Asuntos Políticos e Institucionales de la Nación y el principal propulsor del proyecto, estos tiempos fueron acordados con “actores del mundo de la informática, de la Justicia, y teniendo en cuenta el calendario electoral”.

Y será la Cámara Nacional Electoral (CNE) quien definirá quiénes auditen el sistema 120 días antes de la elección. A los fiscales de los partidos se sumarían las universidades, algo que recomendó De Giusti, entre otros.

¿Todos pueden auditar?

El proyecto prevé unos 120 días de auditoría, un período considerado insuficiente para analizar sus posibles vulnerabilidades o fallas LA NACION / Silvana Colombo - Archivo

El artículo 139 Bis del proyecto menciona penas de 2 a 6 años de prisión a aquellos que puedan generar algún tipo de ataque al sistema. Aquellos que hacen auditorías en sistemas suelen hacer esto para mostrar vulnerabilidades (bugs); tal como está hoy el texto el proyecto, deja abierta la posibilidad de ir a la cárcel por alertar de una falla en un sistema de votación que se usará para elegir las autoridades nacionales.

Pero para Pérez estas penas serán solo aplicables a quienes quieran causar daños y modificar el resultado electoral. “La finalidad está asociada con esa intención”, aclara, aunque el contenido de algunos puntos del texto del proyecto, como el f) no lo dejan del todo claro: “Utilizara o modificara, sin autorización debida, cualquier elemento criptográfico de los sistemas de votación a utilizarse durante la jornada electoral”.

Leer, escribir… ¿y algo más?

Según los requisitos de la ley electoral, el presidente de mesa solo tiene que saber leer y escribir. Sin embargo, una modificación en el Artículo 97 explica que con este nuevo sistema, deberá a la vez cerciorarse que el dispositivo y el software de votación funcionan de acuerdo “con lo previsto”.

Para Beatriz Busaniche, de la Fundación Vía Libre, esto añade una capa más de conocimiento a los fiscales. “¿Qué va a mirar? No hay forma que sepa cómo funciona. Este es el causal de la declaración de inconstitucionalidad del voto electrónico en Alemania en 2009... Con este sistema, un ciudadano cualquiera no puede verificar la totalidad del acto eleccionario. ¿A quién vas a poder poner de presidente de mesa?”, se pregunta. Y concluye: “Sacrificás garantías del voto”.

Para Pérez esto no sería un problema. “Con las capacitaciones que tendrá que llevar a cabo la comisión electoral no tendrán dificultades”, afirma. “Después habrá un protocolo de acción donde estarán los pasos a seguir para cada uno de los acontecimientos que puedan surgir”, completa.

¿Quién hará el desarrollo?

En el proyecto no se menciona un desarrollo desde el Estado ni de una empresa privada. Aunque por las características, el diseño se parece mucho al de vot.ar, la máquina utilizada el año pasado en Salta y la Ciudad de Buenos Aires, que desarrolló la empresa MSA. Para De Giusti, como el sistema propuesto debe implementarse en un año, “solo te quedan los jugadores que ya existen” en el mercado, aunque a largo plazo espera un desarrollo público/privado. “Ahora, en todo caso, el rol del Estado tiene que ser el de auditar, con fuerte injerencia”.

Cómo es el sistema de boleta única electrónica

Elecciones 2015: los resultados minuto a minuto

Respecto a si el software debe ser de código abierto (lo que permitiría que las instrucciones del programa, su funcionamiento interno, sean visibles para cualquiera con conocimientos en programació y no sólo para quienes desarrollen el sistema) o no, tampoco existe ningún lineamiento. Para el decano de Informática de la Universidad de La Plata, esto también es importante para la auditoría, ya que de lo contrario un sistema que se entregue llave en mano “es demasiada caja negra”, es decir, no hay cómo determinar en forma cabal cómo funciona el sistema o si lo hace en forma correcta.

¿Cuántos candidatos en pantalla?

Una de las modificaciones que podría verse en las elecciones legislativas del año próximo es que no aparezcan todos los nombres de los candidatos a diputados y senadores. En el Artículo 63 solo se menciona la obligatoriedad de al menos “el primer precandidato o candidato titular”.

Según Pérez, “lo que la ley establece es el mínimo. Para el resto la Justicia establecerá los criterios. Establecemos el piso y luego la Comisión Nacional Electoral determinará quiénes figurarán. Igualmente aparecerá la información en el cuarto oscuro con las listas completas”, explica.

La transparencia, el eje clave

“Siempre se pueden alterar las máquinas o el software. Cuando hay intención de alterar el funcionamiento de algo, la capacidad potencial está. Pero es lo mismo que el tipo que roba las boletas. Yo creo que con la tecnología es más controlable, haciendo una buena certificación y validación”, analiza De Giusti sobre el uso de una máquina de votación.

Para Arce, en cambio, faltan varias instancias para que se pueda tener voto electrónico. “No soy un dogmático en contra. Me parece algo inexorable y que va a suceder en algún momento. Pero hoy no veo que se pueda cumplir con todas las condiciones para que ello suceda. Con todas las propiedades y todos los derechos que se deben preservar en un acto electoral: que se mantenga el secreto del voto, la confidencialidad y que sea entendible por cualquier ciudadano”, dice.

Pero el problema está en la intermediación. “Cuando ponés en el medio una computadora estás haciendo todo mucho más oscuro. Incluso si fuera seguro… ¿quién está en capacidad de asegurar si esto está bien o no? Hace falta que cualquiera pueda hacerlo. Cuando eso suceda yo voy a estar a favor”, concluye.

En algunos días los representantes en el Parlamento de los distintos partidos políticos empezarán a discutir en el Congreso la reforma del Código Nacional Electoral. Un debate que incluirá a la tecnología como eje central del proyecto a nivel nacional. Y que promete discusiones de política, pero también de cómo el software y el hardware pueden ayudar (o no) a hacer más transparente un acto eleccionario.