Los puntos ciegos de la licitación para el Voto Electrónico en CABA

Pese a la advertencia unánime de la comunidad de seguridad informática, el Gobierno porteño avanza con la implementación de un sistema de Voto Electrónico para las próximas elecciones. Este miércoles cierra el plazo para que las empresas interesadas presenten sus propuestas en la licitación que lanzó Horacio Rodríguez Larreta, aunque parece hecha a medida de la compañía con la que hicieron las elecciones que lo llevaron a su primera jefatura de gobierno con el sistema hackeado, Magic Software Argentina (MSA). Esa licitación, que pone en riesgo la democracia, planea gastar más de 29 millones de dólares, reconoce que el sistema puede fallar, pide una serie de requisitos para el voto electrónico que son una mera expresión de deseo y establece tiempos y condiciones de auditoría inviables. Antes del 1 de junio, en apenas 14 días, deberían tener el sistema probado y auditado, algo imposible.

De las empresas que quieren quedarse con este negocio y sus antecedentes poco promisorios ya dio cuenta El Destape. El monto estimado es de 29.100.000 dólares, 23.280.000 para las PASO y primera vuelta y otros 5.820.000 dólares si hay balotaje. Aclaran que la oferta tiene que ser en dólares pero la moneda de pago será en pesos al tipo de cambio oficial. Cotizan el dólar a $232, lo que da 6.751.200.000 pesos en total, pero el monto final será de acuerdo a la fecha de pago.

Pero no es el costo lo interesante sino el riesgo democrático que implica el Voto Electrónico, que apenas se utiliza en 3 países del mundo y fue descartado en la enorme mayoría por una razón tan sencilla como potente: no garantiza la voluntad popular. 

Expresión de deseos

El Código Electoral porteño dice que un sistema de votación electrónico debe ser “auditable, confiable, documentado, eficiente, equitativa, escalable, estándar, evolucionable, íntegro, interoperabilidad, recuperable y seguro”. El voto electrónico no cumple ninguna, en especial:  

• Auditable no es, ya que una auditoría requiere meses y nunca es total. Tampoco dan los plazos para hacerla, ya que según la ley porteña el sistema debería estar listo para el 1 de junio y la licitación termina como pronto el 20 de mayo, 11 días antes.
• Confiable no es, ya fue hackeado en las elecciones de 2015 y hubo problemas en muchos países que lo utilizaron.
• Documentado no es, ya que las empresas no hacen público el código fuente del funcionamiento de las máquinas de votación.
• Eficiente no es, un votante puede demorar lo mismo en decidir entre papeles u opciones en una pantalla.
• Escalable es, pero ese es más un problema que una virtud. Si se quiere hacer trampa en una elección en papel se requieren miles de personas involucradas y todo se ve; en voto electrónico solo una persona que escriba el código fuente y luego eso tiene escalabilidad en cada máquina configurada igual
• Interoperable no es, ya que cada empresa tiene sus sistema patentado y no lo puede utilizar otra, la votación se privatiza punta a punta.
• Seguro no es, por las mismas razones que no es confiable: puede ser y fue hackeado y viola el secreto al voto, tal como ya demostraron varios especialistas en seguridad informática.

Es sólo una impresora

La licitación dice que “sistema electrónico de emisión de boleta comprenderá un dispositivo electrónico que permita la selección de candidatos, su posterior impresión y el registro digital en una boleta papel”. Es prácticamente la definición de Boleta Única Electrónica, que no es un sistema sino una marca y hay una empresa que lo tiene patentado: Magic Software Argentina (MSA). Es la firma que fue hackeada en 2015 en las elecciones que llevaron a Rodríguez Larreta a la jefatura de gobierno porteño.  Para esta nueva licitación piden experiencia mínima de 5 años y que haya hecho elecciones con al menos 1.000 mesas electorales y 350.000 votantes. MSA la tiene.

Uno de los puntos clave es que, según la licitación, el voto electrónico tiene que “garantizar el carácter secreto del sufragio, imposibilitando asociar el voto emitido con la identidad del elector/a. En este sentido, la identificación del votante debe realizarse en forma independiente del sistema de emisión de voto”. Eso es imposible con la BUE. Ya quedó demostrado en el Senado, cuando el gobierno de Mauricio Macri quería imponer a nivel nacional el mismo sistema que Larreta quiere en CABA y que prometió, de ser presidente, llegarlo a todo el país.

Por un lado, especialistas en seguridad informática como Javier Smaldone y Alfredo Ortega mostraron como podían leer a distancia lo que queda grabado en el chip, lo que vulnera el secreto. El titular de MSA Sergio Angelini se burló de las críticas y dijo que eran “4 o 5 iluminados que faltan el respeto a todo esto diciendo que con una radio, un televisor, un sacacorcho o una minipimer pueden leer los votos”. Smaldone y Ortega le contestaron con una demostración de cómo podían leer el CHIP desde un celular y usando la minipimer para hacerlo desde mayor distancia.

El macrismo y lobbistas como Alejandro Tullio han repetido que se trata simplemente de una impresora. No es cierto. Y aunque lo fuera también está en riesgo el secreto del voto. Nicolás D’Ippolito, licenciado en Computación de Exactas y doctorado en el Imperial College de Londres, y Hernán Melgratti, ingeniero en Sistemas de Información de la Regional Santa Fe de la UTN y doctorado en la Universidad de Pisa, hicieron la prueba de como se puede vulnerar el secreto al utilizar una boleta impresa. “Por un lado, ninguna auditoría puede garantizar la ausencia de vulnerabilidades en el software. Por otro, el software no puede garantizar el secreto del voto. Esto vale, tanto para la boleta con chip, como para el sistema que utiliza una impresora supuestamente simple o boba”, les explicó D’Ippolito a los senadores que quedaron sorprendidos cuando luego de una simulación de votación electrónica les adivinó el voto a cada uno con los ojos vendados.

El pliego dice que se debe “impedir el almacenamiento de información respecto a la selección realizada por el/la votante en forma posterior a su utilización para la impresión de su boleta”. No se sabe si las máquinas de votación guardan información pero sí es seguro que tienen capacidad de hacerlo y ya eso es un problemón. Si se cruza la información del orden de votación en la máquina con un fiscal avispado que numere las personas que van a votar podrá saber qué votó cada uno.

El programador Javier Smaldone tuvo acceso a una máquina de votación y ya demostró como “no es una computadora, sino dos. Una de ellas, la visible, es la que ejecuta el software que se encuentra en el DVD de arranque (digamos, el conjunto que ha sido parcialmente auditado). La otra, de la que nada se comenta, ejecuta un software desconocido para la autoridad electoral, los partidos políticos y el público en general, en clara violación de la ley y su decreto reglamentario”. Smaldone explicó en su blog que “para agravar la situación esta segunda computadora, contraviniendo el decreto reglamentario de la ley, los términos de la licitación y la palabra de la empresa, sí tiene capacidad suficiente para almacenar cuando menos los identificadores únicos de cada chip RFID, el número de secuencia, la hora de emisión (grabación) y el contenido de cada voto. Recordemos que por este subsistema pasa todo lo que es escrito en (o leído de) los chips de las boletas de votación y lo impreso en las mismas, y de almacenarse esta información podría violarse el secreto del voto”. 

El mismo Smaldone advirtió que “para aumentar aún más las sospechas sobre el sistema, al menos en los modelos que hemos podido verificar, se encuentra presente un cable (accesible en la parte inferior del chasis de la máquina de votación) mediante el cual sería posible acceder a la información guardada en esta segunda computadora, como así también modificar su software, en cuestión de segundos”. Al revisar las máquinas el día de la votación en CABA en 2015 encontraron un cable JTAG que puede servir para acceder de forma remota a la memoria permanente de la segunda computadora. Lo mismo encontró el Observatorio Electoral de la Universidad del Comahue en las máquinas que se usaron hace unos días en Neuquén, donde hubo numerosas irregularidades tal como informó El Destape.

En  medio de la licitación una de las empresas interesadas preguntó si "es aceptable que las máquinas de votación posean memoria interna con el único propósito de almacenar entradas de auditoría de las tareas ejecutadas en el dispositivo?" y si "es aceptable poder instalar y ejecutar el Sistema Operativo y Software desde la memoria interna de la Máquina de Votación considerando que no se almacenan datos electorales en esta memoria interna, sino solo en memoria externa?"

"Sí, es aceptable. Será sujeto a auditorías", respondieron los responsables de la licitación. El problema es que si bien efectivamente se tiene que tener una memoria interna para dejar registro de las auditorías (sino no se sabría si se hacen), esa misma memoria interna puede guardar información sobre hora y voto, que luego se puede cruzar con el padrón y vulnerar el secreto. Por eso es que en el voto electrónico no se puede garantizar a la vez que sea auditable y secreto. Por eso es inviable.

Todos somos informáticos

Otro punto es que el sistema permita que el votante “pueda verificar que la boleta emitida corresponde con su voluntad”. Otro imposible. El sistema de BUE implica que una persona selecciona en la computadora su voto y éste se graba en una boleta especial de dos formas: con un chip RFID y se imprime. El votante puede chequear que lo que grabó en el chip sea lo mismo que lo que está impreso, pero nada garantiza que la computadora le muestre una cosa a la hora de votar y haga otra a la hora de contar.  Es lo que hacían los autos Volkswagen cuando se medía su impacto ambiental: en modo prueba (votación) no emitían gases contaminantes; en modo normal (escrutinio), cuando nadie controlaba, contaminaban más. Fue un escándalo que involucró 11 millones de autos y miles de millones de dólares para la empresa. Y todo lo hacía la computadora del auto, lo mismo que puede hacer la máquina de votación de BUE: mostrar una cosa al votante y otra al presidente de mesa cuando cuente.

La licitación plantea que “el servicio de incorporación de tecnologías debe ser accesible, de acceso inmediato, sin generar confusión, y no contener elementos que pueda presentarse como barrera para su comprensión y utilización” y que “el servicio de incorporación de tecnologías debe ser simple, de modo tal que la instrucción ciudadana sea mínima” ¿Cuantas personas entienden cómo funciona el interior de una computadora y cuantas un sistema de voto con papel? ¿Cuánta instrucción necesita alguien para poder auditar un software, su código fuente, etc.? En las elecciones con voto electrónico en Neuquén el 65% de las mesas reportó personas con dificultades para usar la Boleta Única Electrónica, según informó el Observatorio Electoral de la Universidad del Comahue. También hubo burlas a adultos mayores que tardaban en votar.

Es justamente por estas situaciones que la Corte Suprema de Alemania dictaminó en contra del uso del voto electrónico. Dijeron que “la elección no puede ser considerada un acto público, tal como la Constitución exige, a menos que cualquier ciudadano pueda comprender cabalmente cómo funcionan todos los pasos esenciales de la gestión de votos y determinación de los resultados, y el correcto funcionamiento de la urna pueda ser comprobado, durante y después de la elección, por cualquier persona sin conocimientos técnicos especiales”. Es obvio que eso no sucede con la Boleta Única Electrónica y no es solo para los adultos mayores: tampoco este cronista ni la mayorìa de los lectores saben programación y seguridad informática. Cualquier persona entiende cómo funciona una elección con papel, pocas como funciona una computadora.
Los promotores del voto electrónico dicen que las personas tampoco entienden cómo funciona un cajero automático y se usa sin problemas. La diferencia es que en uno hay dinero y tiene seguro si pasa algo: en el otro hay votos y no hay seguro que cubra la democracia.

Puede fallar

El pliego reconoce que puede haber fallas en el sistema de votación electrónico. Pide:

• “descripción de los niveles de seguridad, fiabilidad y auditabilidad de cada uno de los componentes del Servicio”
• un “Plan de contingencias a implementar: Con el fin de garantizar el adecuado desarrollo de las elecciones, aún en caso de existir fallas”
• que “el servicio deberá minimizar la probabilidad de ocurrencia de fallas, reuniendo condiciones que impidan alterar el resultado eleccionario modificando el voto emitido o no registrando votos válidos”
• que “la transmisión y totalización de resultados debe ser realizada a través de canales seguros y procesos de encriptación que imposibiliten el acceso indebido a los datos, así como también que sean interceptados, modificados y/o falsificados”

Todos los puntos son de imposible cumplimiento. Un sistema informático es por definición vulnerable. Es un riesgo que se asume, la cuestión es lo que están riesgo, si dinero en un banco o votos en una urna. Para el dinero hay seguro, para la democracia no. Si fue vulnerada la seguridad informática de las principales agencias de inteligencia del mundo, ¿como garantiza el gobierno porteño que el sistema que contrate no lo sea? De hecho, el día que la Legislatura porteña aprobó el Voto Electrónico su web fue hackeada y apareció una leyenda contra esa aprobación. Plantear que se debe “minimizar la probabilidad de ocurrencia de fallas”, además de impracticable, implica preguntar donde se pone el mínimo. ¿Si falla en 1 voto está bien? ¿En 10, 100, 1.000?

Apurados

Los tiempos no dan. El calendario es así:

• Las elecciones comienzan el 13 de agosto con las PASO.
• El Código Electoral en su artículo 126 dice que “Estos sistemas electrónicos deben ser aprobados con al menos cincuenta (50) días de anticipación a la realización de los comicios, junto con la documentación que denote los resultados de las auditorías”.
• El pliego de la licitación dice en su artículo 8 que “los plazos deben computarse en días hábiles”. Eso da el 1 de junio como fecha para que se apruebe el Voto Electrónico con su correspondiente auditoría.
• El plazo para presentar propuestas en la licitación vence el 17 de mayo. Luego hay 3 días para presentar impugnaciones, lo que lleva el tema al 20 de mayo. A partir de ahí IGE tiene que ponderar las propuestas y anunciar el ganador de la licitación.
• El Código Electoral dice que el Instituto de Gestión Electoral está a cargo de la “auditoría, prueba y control de tecnologías electrónicas a ser incorporadas”. ¿Como pueden hacer una auditoría entre el 20 de mayo y el 1 de junio, en apenas 11 días?
• Aún si se toma el plazo en días corridos deberían aprobarlo antes del 24 de junio. Tampoco es viable.

El Pliego Técnico de la licitación para el Voto Electrónico dice que tienen que “permitir la auditoría”. Dice que se permitirá la verificación del código fuente pero aclara que la auditoría implicará la “Revisión de código fuente por parte de personas que el contratante autorice en un intervalo de tiempo y entorno previamente definidos, sin que esto implique la publicidad del mismo”. O sea, no será público el código fuente.

Otra cuestión clave es la cadena de custodia del software. ¿Cómo se garantiza que todas las máquinas pongan el mismo DVD y se configuren igual el día de la elección? ¿Tiene forma un presidente de mesa de controlar eso? No. Es una cuestión de fe. Y la democracia es una cuestión de votos. “Yo puedo auditar durante años, con los mejores especialistas del país, un sistema de voto electrónico. Pero nunca voy a a poder garantizar que, el día de la elección, ese software no se comporte de una manera diferente”, explicó D’Ippolito en el Senado en 2017.

El Código Electoral porteño puso al frente de las elecciones al Instituto de Gestión Electoral y estableció que “podrá incorporar tecnologías electrónicas en el procedimiento de emisión del voto” y que está a cargo de la “auditoría, prueba y control de tecnologías electrónicas a ser incorporadas”. ¿Tiene personal idóneo para eso?

El artículo 124 dice que puede incorporar tecnologías electrónicas “bajo las garantía reconocidas en la Constitución”. Eso solo ya debería anular el voto electrónico, ya que el artículo 37 de la Constitución dice que el sufragio “es universal, igual, secreto y obligatorio” y el secreto no está garantizado. Más bien lo contrario.