Para el especialista, hay sistemas que permiten verificar los votos sin revelar los mismos, pero cree que la mayoría de soluciones implementadas por las empresas son opacas.
Pese a que asegura que hay herramientas criptográficas para garantizar que los votos son consistentes con el total publicado, cree que hoy en día no existen condiciones para una votación electrónica nacional.
¿De qué principio debe partir un país para aplicar voto electrónico?
Un país que quisiera desarrollar votación electrónica debiera partir probando, haciendo pruebas, haciendo prototipos, haciendo experiencias de sistemas equivalentes en elecciones pequeñas, por ejemplo, municipalidad o comunidades pequeñas donde quiera votar iniciativas que no importen mucho, de una comunidad y de a poco ir aprendiendo. Lo que sucede es que la gente tiene que aprender cómo usarlo y tiene que aprender cuándo el sistema funcionó bien y cuándo funcionó mal.
Hay sistemas, hoy en día, los mejores en mi opinión, hay sistemas que permiten que, una vez que ocurre el sistema y que se emiten los votos, permiten esencialmente a un observador mirar algo, no los votos, pero mirar información sobre la votación que le permite chequear que la votación fue hecha correctamente. Hay sistemas hoy en día que usan esta matemática que permiten a alguien verificar que los votos emitidos son consistentes con el total calculado, sin revelar los votos.
¿Cuáles son las condiciones mínimas que debe de tener un sistema de voto electrónico?
Hoy en día el voto electrónico remoto por internet, me parece que no hay una buena solución, no hay condiciones que permitan usar a nivel nacional, en elecciones de alto perfil, no hay cómo alcanzar los mínimos. El tipo de ataque que puede ocurrir de forma realista en una elección nacional, donde lo que está en disputa es el liderazgo de una nación o representante del Congreso, esos ataques no sabemos, no tenemos herramientas que nos permitan alcanzar este mínimo de privacidad, la integridad. Sin embargo, en el voto electrónico presencial existen soluciones que funcionan bastante bien que han sido implementadas en Europa o en Estados Unidos. En algunos de los países lo usan para ser más inclusivos, por ejemplo, que la votación para alguien que tiene dificultad auditiva o visual pueda el computador decirle, que le permita votar usando audio, que te diga cuáles son los candidatos. El problema es que en la votación electrónica presencial hay tecnología para hacerlo, sin embargo, hay también muchas soluciones tecnológicas, que las empresas no implementan, que implementan soluciones cerradas, opacas, que no tienen estas capacidades de ser verificada internamente y son las más comunes.
¿Qué podría pasar si una votación electrónica se implementa mal?
El problema con la votación electrónica, cuando se implementa mal, cuando no tiene garantías, es que permite potencialmente fraudes de una escala mucho mayor al tipo de fraudes que podrían ocurrir con papel. Es un tema que no solo depende de confianza, sino que, si tú lo implementas mal o de forma insegura, puedes terminar con fraudes que no son detectables y que son a una escala tan grande, que pueden modificar resultados y que no son fáciles de hacer a nivel presencial. En presencial igual se puede hacer fraude, sí, hemos visto que alguien puede venir y robar las papeletas de voto o cambiarlas, pero esos tipos de fraude son más detectables porque requiere de intervención física; pero en un entorno digital es mucho más fácil modificar el contenido de la máquina de votación.
Si uno quiere implementar la votación electrónica presencial, es difícil, se puede hacer, otros países lo han hecho pero es costoso y es difícil.
¿Qué tanto puede funcionar el sistema biométrico para autenticar la identidad del votante?
La autentificación biométrica tiene esta característica, que permite a un computador tratar de tener certeza que la persona humana que está enfrente es quien dice ser. Para que funcione la autentificación biométrica, uno, tiene que ser supervisada, tiene que haber una persona examinando este proceso. Segundo, el computador me puede autentificar correctamente y saber que soy yo, pero, si el sistema del computador donde estoy votando está comprometido, está infectado con un virus diseñado para cambiar votos o corre una versión modificada del sistema, el sistema biométrico no cambia eso.
La moraleja más importante es que, si tú quieres implementar votación electrónica a nivel de un país, es un proceso largo de aprendizaje y hay que partir con experiencias piloto pequeñas, donde el tipo de elección sea de muy bajo perfil”.
¿Se puede evitar el voto doble?
El voto doble es uno de los problemas más grandes que hay en general en votación electrónica, en la práctica porque la solución que conocemos hoy en día usa algún tipo de mecanismo de autentificación más rigurosa. Por ejemplo, cuando hay autentificación usando algún tipo de credencial, algún tipo de cédula o algún tipo de firma electrónica o algún dispositivo que permita firmar. En general, hoy en día que típicamente uno podría pensar en un equivalente a un dispositivo o teléfono que yo le pongo mi huella digital y el dispositivo demuestra que yo soy yo, sí, eso podría funcionar. Pero el problema es que, para elecciones de nivel nacional, eso tiene un costo tan alto que no vale la pena considerarlo porque le darían un teléfono, un dispositivo a cada ciudadano. En otros países como Estonia, por ejemplo, tienen el equivalente a una especie de cédula de identidad, que es un mini computador para votar, pero es porque tienen las posibilidades de invertir en eso.
¿Cuánto debería gastar el gobierno para asegurar que no hayan votos dobles?
Todo depende del tipo de autentificación que tengan los votantes, si tienes dispositivos biométricos, hay que ver si tienes base de datos de huellas digitales, bases de datos de conectividad para chequear esas bases de forma remota, todo eso es un costo. Otra cosa es que la autentificación biométrica no siempre funciona bien, yo me parezco a mi padre y en muchos casos vemos eso. Hay elecciones donde te examinan el iris, y eso incluye un costo y es caro.
¿Qué se debe tener para una votación electrónica segura?
Aún si se gastara para autentificar bien a la gente, todavía tienes el riesgo que puede haber fraude en los totales, sobre todo si no es un sistema que prevenga. El sistema debería garantizar que cada computador usado de forma remota no puede ser intervenido, no puede ser atacado, no puedes crear un virus que cambie los votos y eso no sabemos cómo hacerlo. Mi consejo no es que deberían tener votación remota. Para la electrónica presencial, que los computadores sean de los que tú no les puedes alterar el código, el software, que tengas certeza que el software que corren ellos es el software fiscalizado, la cadena de custodia, que los dispositivos no hayan sido modificados por otras personas, que el software es el que fue publicado, que implemente verificación criptográfica para comprobar resultados aplicados por expertos y que la comunidad lo acepte, que la máquina no tenga internet y que sea resguardado para no ser modificado.
¿Cómo ayuda la criptografía a la seguridad en el voto electrónico?
Si tú supones que tienes un computador que no se puede hackear, supones que tienes la conectividad, la red e Internet que no se va a caer y que el código del sistema puede hacerse público, sí hay herramientas criptográficas que te permiten garantizar que los votos emitidos son consistentes con el total publicado. En algún sentido estas herramientas criptográficas son como que el sistema, al operar cada vez que yo voto, mi voto no va abierto, va en un sobre, que es una encriptación; además, trae otros valores, otros números al lado, digamos, que permiten a alguien sin saber cómo voté, cuando es contabilizado, le permiten a alguien saber que el total que se calcula finalmente es consistente, es compatible, con todos los votos encriptados que se publicaron, es un cálculo matemático indirecto.
Y, si tienes buenos mecanismos de autenticación, entonces sí, sí puedo usar buena criptografía. Todo eso permite usar herramientas criptográficas para garantizar esto y que los resultados sean verificables; la mejor tecnología que hay para eso en realidad y prácticamente la única es usando herramientas criptográficas, que son fórmulas matemáticas que uno puede calcular.
¿Aumenta la vulnerabilidad que el sistema de voto remoto esté abierto 30 días?
No creo que sea un problema en sí. No lo veo tan grave, en el sentido de que, por un lado, mientras más tiempo tenga abierto un sistema, más posibilidades que lo intenten atacar, sí, pero al mismo tiempo, mientras más tiempo esté el sistema, más posibilidad tiene la gente de que pueda acceder a él, que pueda votar. Yo te digo, yo estaría más preocupado de que los sistemas, aunque fuera un solo día, porque estas cosas, los hackeos no son una persona, es una herramienta automática para intentar hackearlos e incluso hay veces que los hackeos más efectivos son los hechos a través de hackeos o ataques internos donde gente se infiltra, se mete en forma ilegal, dentro de los grupos de desarrollo, dentro de la empresa, dentro del gobierno para cambiar el código.
¿Se puede divulgar el código fuente sin riesgo de ataques?
Yo creo que un sistema para que llegue a ser confiable tiene que ser de código abierto eventualmente, pero el hecho de que sea de código abierto no te garantiza que esto sea más seguro, es lo que llamo una condición necesaria pero no suficiente. Con el hecho de que sea un código abierto y que se transforme en algo más inseguro yo estoy en desacuerdo. Puede ser que, si un sistema que nunca se ha utilizado, tú lo publicas y dices a usarlo en una semana más, puede ser que encuentren la falla en ese rato y la pregunta es ¿alcanzas a arreglarlo antes de usarlo?, uno esperaría que el sistema se haga público, se examine, se someta al escrutinio público por un periodo razonable ojalá largo de tiempo, se encuentren y se reporten de manera libre las vulnerabilidades de ataques, fallas, que exista un proceso donde se corrijan y que este proceso se repita varias veces por un tiempo y una vez que eso ocurrió, tú puedes tener más certeza de que el sistema está mejor.
¿Se puede hacer un plan de contingencia?
La mayor contingencia es que la votación que se detecta u ocurre cualquier cosa es que toda la lección se vuelva a repetir en papel, o sea, ganó papel, hay sistemas que han sido utilizados donde forman votación presencial, donde tú votas presencialmente en un computador y el computador no solo guarda tu preferencia forma electrónica, sino que emite un voto en papel que está tu preferencia ahí indicada en forma explícita, tú la ves, aparece tu candidato. Entonces, lo que algunos de estos sistemas han propuesto hacer es que ese papel, tú, además, lo depositas en una urna física, en una caja, donde tú la guardas y el voto puede ser contabilizado en forma electrónica y la idea es que, si hay cualquier duda respecto al proceso electrónico, lo que se puede hacer es ir y abrir las urnas y contar los votos en papel.
¿Cómo deberían ser las auditorías al sistema?
El problema de la auditoría privada es que hay muchos casos de sistemas auditados que han terminado con fallas. Y no porque usted escoja un experto y profesor destacado de la universidad, no necesariamente ellos van a encontrar la falla, hay veces que las fallas y errores son encontrados por profesionales o gente que incluso no tiene grados académicos y es autodidacta, y eso está bien que ocurra. En mi opinión, las auditorías privadas son extremadamente limitadas, son más bien una manera de tranquilizar, es más mediática, pero en mi opinión no son efectivas y, para que sea examinado, debería pasar algún tipo de proceso público gradual. Hay procesos desde que se invita a expertos activamente a intentar hackearlo, modificarlo, etcétera, hay procesos en donde se conversa con los diseñadores y los diseñadores justifican su construcción, su sistema.
¿Recomienda aplicar el voto electrónico en las votaciones nacionales?
Hoy en día en mi opinión es extremadamente riesgoso y no recomiendo su uso en elecciones nacionales porque creo que, independientemente de que hay empresas que prometen hacer esto, lo que se sabe en el área es que hay problemas que no están resueltos y no sabemos cuál es la tecnología que lo resuelve y hay que desarrollarla, entonces. Mi opinión es que elecciones a nivel nacional no es algo que debería ocurrir, puede ser que unos años más, en 10 o 15 años quizás se desarrolle esa tecnología, no lo sé. Estoy trabajando para eso pero, hoy día, no la tenemos. Entonces, yo creo que la moraleja más importante es que, si tú quieres implementar votación electrónica a nivel de un país, es un proceso largo de aprendizaje y hay que partir con experiencias piloto pequeñas, experiencias donde el tipo de elección sea de muy bajo perfil.
El perfil
Alejandro Hevia Angulo, director de criptografía de Universidad de ChileCargo: Director del Laboratorio de Criptografía Aplicada y Ciberseguridad (CLCERT), profesor asociado del Departamento de Computación en la Universidad de Chile.
Formación: Ingeniero civil en computación de la Universidad de Chile y Ciencias de la Computación de Universidad de California, San Diego.
Investigación: Criptografía, ciberseguridad, voto electrónico, blockchain y privacidad.