En varios países de Latinoamérica, las autoridades electorales están comenzando a voltear hacia las urnas de votación electrónicas. Los argumentos con los cuales presentan estas urnas a la población se centran particularmente en la disminución de costos del proceso electoral, una mayor agilidad en la obtención de resultados, y en poder tener más confianza en que las personas involucradas no engañen a la población con resultados ilegítimos, enfermedad de la cual Latinoamérica ha sufrido largamente.
Las urnas electrónicas no son ya una novedad — Han sido utilizadas por varios países, desde las primeras pruebas en la India en 1982 hasta una amplia base en la última década. Sin embargo, un análisis sobre las experiencias vividas en ellos dista de ser positiva — y dista de ser homogénea.
En el presente artículo serán analizados los desarrollos de estas tres líneas argumentativas resultan huecos, en el mejor de los casos, o directamente falaces. Se hace además una revisión de algunos casos emblemáticos de fallas que han llevado al replanteamiento –llegando incluso a la prohibición legal en algunos casos– del voto electrónico alrededor del mundo.
E-voto, voto electrónico, sociedad, democracia, experiencias internacionales
Electoral authorities in several Latin American countries are turning their heads towaards electronic voting booths. The arguments through which electronic voting is being presented to the population are mainle centered around reducing the costs of the electoral process, achieving better turnaround times for publishing electoral results, and being able to better trust that the involved actors do not cheat the population with illegitimate results, a disease Latin America has long suffered.
Electronic voting booths are not new. They have been used in several different countries, since the early implementations in India in 1982, and its usage has widely spread during the past decade. However, an analysis on the international experiences yields results far from optimistic — and far from homogeneous.
In this article, the outcome from the three above mentioned argumentative lines is analized, showing they are not sound, in the best case, or directly misleading. Some emblematic cases of failures around the world that have led to a serious reevaluation –and up to legal rulings banning its use– around the world are reviewed as well.
E-voting, electronic voting, society, democracy, international experiences
Los promotores de las diferentes vertientes del Conocimiento Libre son los primeros en recalcar los tremendos fallos –de concepción y de implementación– que hacen que las estaciones computarizadas de emisión y contabilización de votos sean, desde su planteamiento, una causa perdida (Heinz, 2006) — Ninguna de las numerosas implementaciones a la fecha han salido airosas ante el escrutinio (incluso casual) de expertos en seguridad (Felten, 2008a), a veces con resultados verdaderamente nefastos (Balzarotti et. al., 2008a y 2008b). Los escrutinios generalmente han sido dirigidos por grupos de activistas independientes buscando señalar las deficiencias del proceso, con la muy notable excepción del ejemplo puesto por el Tribunal Superior Electoral de Brasil, el cual será abordado más adelante.
Obviamente, estos resultados no son del agrado de las compañías que buscan vender máquinas supuestamente seguras, diseñadas ex-profeso para el conteo de votos. Se han dado a conocer incluso amenazas hechas contra dichos equipos de investigadores (Felten, 2008b) por llevar a cabo estos análisis. En este caso, la demanda es que, en asuntos tan sensibles, relevantes y tan frágiles ante la intervención como la vida de una sociedad democrática, es sencillamente imposible asegurar los elementos básicos de confiabilidad y auditabilidad.
Cabe aclarar que la argumentación hecha en este capítulo no pone en duda los fundamentos matemáticosde diversos sistemas que serían aplicables a una votación electrónica, como las garantías descritas por (Ruiz, 2010), sino su implementación— Duda que se mantiene, como se ve más adelante, aún partiendo del supuesto de que el código está 100% disponible para su escrutinio. Lo que es más, algunos de los mecanismos descritos por Ruiz pueden ser empleados en contra del sistema democrático1.
Diversos argumentos han sido esgrimidos a favor del voto electrónico, pero pueden ser resumidos en tres:
En las siguientes secciones se analiza por qué los tres argumentos caen ante un sencillo análisis.
La sociedad está acostumbrada a lidiar con los bemoles del voto tradicional, utilizando al papel como su medio primario. Una crítica muy común a éstos procesos, especialmente en los países cuyas democracias no están bien consolidadas (y que por tanto, requieren de mucho mayor inversión tanto en la vigilancia como en la promoción de la participación de las elecciones) es el costo — En México, citando a un caso extremo (el sistema electoral más caro de América Latina (Urrutia y Martínez, 2009; Ojeda, Rueda y Chávez, 2010) ), cada sufragio emitido tanto en las elecciones federales intermedias del 2009 como en las estatales del 2010 tuvo un costo superior a los 17 dólares, aunque hay estimaciones que lo llegan a ubicar en hasta 50 dólares, tomando en cuenta gastos ocultos. Como fue mencionado anteriormente, un rubro que en el sin duda podrían presentarse importantes ahorros es en la generación, el manejo y la custodia del material electoral. Sin embargo, como queda demostrado tras el estudio realizado por Feldman, Halderman y Felten a las estaciones de votación Diebold AccuVote-TS (Feldman, Halderman, Felten 2007), las más difundidas en los Estados Unidos y que han sido responsables de la recopilación de votos de hasta uno de cada diez electores de dicho país, enfrentadas a un atacante con conocimiento técnico especializado, éstas máquinas presentan un nivel de confiabilidad ante ataques verdaderamente bajo, y permiten —requiriendo de un tiempo mínimo de acceso— la reprogramación resultando en resultados fraudulentos que serían prácticamente imposibles de lograr en una elección tradicional sin recurrir a métodos violentos.
Las vulnerabilidades descritas por Feldman, Halderman y Felten no son privativas a los equipos Diebold — En el sitio Web en el cual está publicado su artículo junto con un video de diez minutos demostrando su ataque y una lista de preguntas frecuentes mencionan: (traducido)
— ¿Por qué estudiaron éstas máquinas Diebold? ¿Por qué no otras tecnologías para votos?
— Estudiamos estas máquinas porque son las que conseguimos. Si hubiésemos tenido acceso a otro tipo de máquinas, probablemente las hubiéramos estudiado.
— ¿Son otras máquinas más seguras que las que estudiaron?
— No lo sabemos. Esperamos que así lo sean —las elecciones dependen ya de ellas— pero no hay suficiente evidencia para responder a esta pregunta
— Un rastro impreso verificado por cada votante es la protección más importante que puede hacer más seguras a las máquinas de voto electrónico.
El último punto mencionado es de especial relevancia: Un rastro impreso verificado por cada votante. La única garantía que un votante puede tener de que su voto fue registrado correctamente es que el sistema genere una boleta impresa y de caracter irrevocable, misma que sea verificada por el votante al instante, la cual se convertirá en el documento probatorio de la elección2. No hay manera —ver la cita de (Thompson 1984) en la sección Confiabilidad de los actores— de que el estado interno de una computadora sea confiable, y muchísimo menos al tratarse del proceso más importante y más sensible de la vida política de un país.
Incluso obviando esto, incluso si el único argumento fuera el económico, la adopción de un sistema electrónico de votación sigue resultando más caro que llevar a cabo una votación tradicional: El Tribunal Supremo de Elecciones de Costa Rica anunció que no implementará urnas electrónicas por su elevado costo (Villalobos 2009). Al hacer este anuncio (y reforzando lo que se revisará en la sección Agilidad en la obtención de resultados), el presidente del TSE, Luis Antonio Sobrado, reconoció que hay algunos riesgos que conlleva la puesta en marcha del voto electrónico como es el tener las urnas en línea, medida que a la fecha ningún país en el mundo ha querido asumir en este tipo de iniciativas.
Esto lleva entonces a una contradicción: El equipo de votación no es barato, en términos absolutos. Su adquisición por parte de un gobierno o ente de autoridad podría justificarse si se plantea prorratear a lo largo de varias elecciones — pero si éste tiene que estar sujeto a una estricta vigilancia contínua, incluso en los años en que no será utilizado. Debe recibir mantenimiento, y debe abastecerse con una cantidad no despreciable de insumos, para asegurar un rastro impreso verificado. Además, en caso de sufrir un desperfecto, todas las casillas deben tener un plan de respaldo: Casi indefectiblemente, esto significaría tener papelería tradicional para enfrentar desde un desperfecto del equipo hasta un sabotaje, por ejemplo, en el suminstro eléctrico. Por tanto, el supuesto ahorro puede volverse contraproducente, convirtiéndose en un gasto mucho mayor al que implican las votaciones tradicionales.
Una de las principales obsesiones de la sociedad actual es la velocidad del acceso a la información. Los medios electrónicos de comunicación y el uso de Internet han acostumbrado a los ciudadanos a que la información debe estar disponible tan pronto ocurren los hechos, y debe llegar a toda la sociedad tan pronto está disponible.
Los sistemas electorales en general estipulan que, para no manipular los resultados de una elección en proceso, no deben darse a conocer sus resultados parciales hasta que haya cerrado la última de las urnas – No hacerlo de esta manera significaría que el conocimiento público de la tendencia influiría en los resultados de muchas maneras indeseables. Sin embargo, una vez que cierra ésta última urna, en la mayor parte de las democracias modernas hay un periodo típicamente de un par de horas en que es necesario esperar a que las autoridades electorales recopilen la información generada por típicamente decenas de miles de casillas y den a conocer el resultado. Hay una gran presión por parte de los ciudadanos, y muy especialmente de los medios, para que las autoridades electorales publiquen los resultados de inmediato. Además del apetito por la información expedita, ésto viene fundamentado en ejemplos de ocultamientos de información que eran realizados conforme los números comenzaban a fluir — Ejemplo de esto son las declaraciones que hizo veinte años más tarde Manuel Bartlett Díaz, quien fuera en 1988 Secretario de Gobernación y presidente de la Comisión Federal Electoral durante las muy cuestionadas elecciones presidenciales de ese año (Becerril 2008): La decisión de no dar a conocer datos preliminares fue tomada por el presidente Miguel de la Madrid, dado que, cito: si se oficializaba en ese momento –con datos parciales– que Cárdenas Solórzano iba ganando, al final nadie aceptaría un resultado distinto.
En la experiencia mexicana, la situación ha cambiado radicalmente de la imperante hace tan sólo dos décadas, como claro resulado de las frecuentes acusaciones de fraude electoral que dicho sistema electoral ha sufrido — En vez de una demora cercana a una semana, el Instituto Federal Electoral y las autoridades correspondientes de cada uno de las entidades federativas publican los resultados de las encuestas de saliday los conteos rápidostípicamente dentro de las dos primeras horas tras haber concluído la votación, siempre que haya suficiente márgen estadístico para no causar confusión en la población.
Impulsar una solución con tantos riesgos como una urna electrónica para ganar como tope estas dos horas sencillamente no tiene sentido. Además, el tiempo invertido por los funcionarios electorales en cada casilla en el conteo de votos emitidos es sólo una fracción del dedicado a las tareas de verificación y protocolización que deben llevarse a cabo antes de declarar concluída una elección. Sumando ésto a que –por consideraciones de seguridad3– las estaciones de voto no están pensadas para contar con conectividad a red (y que ni los países más industrializados cuentan con una cobertura de Internet del 100% de su territorio), por lo cual debe haber forzosamente un paso manual de comunicación de resultados al centro de control de la autoridad electoral, el argumento de reducción de tiempos queda descartado.
Federico Heinz cierra su texto «¿El voto electrónico mejora la democracia?» (Heinz 2006) con la siguiente idea:
Una alternativa factible es realizar la votación mediante formularios que contengan a todos los partidos, dejar que los votantes marquen su elección con tinta, y usar un scanner óptico para hacer un escrutinio automático, verificable mediante un simple recuento manual. No hay nada en contra de un escrutinio electrónico, pero digitalizar el acto mismo de la emisión del voto es extremadamente peligroso para la democracia.
El uso de boletas de papel y tinta aptas para ser scanneadas por equipo de reconocimiento óptico puede ser la opción más adecuada en este sentido. Permite la verificación de cientos de boletas en apenas un par de minutos, y permite conservar todos los atributos positivos del sistema tradicional.
Algunos proponentes del voto electrónico mencionan que con el voto tradicional en papel todos estos fraudes siempre han existido4, y que éste no agrava los riesgos — Sin embargo, más que reducir las posibilidades de los agentes fraudulentos, al implementar el voto electrónico, se estaría aumentando la profundidad a la que podrían llegar, y lo que es más importante aún, imposibilitando cualquier acción de auditoría o rendición de cuentas.
La votación electrónica tiene muchas modalidades y muchas aristas. En líneas generales, y contrario a lo que muchos esperarían, los expertos en seguridad informática y los activistas sociales involucrados en esta lucha no recomiendan exigir que las urnas electrónicas estén basadas en Software Libre para su funcionamiento, sino que sencillamente recomiendan en contra de su utilización. Citando a (Heinz 2006):
El mecanismo de auditar completamente el funcionamiento de las urnas es impracticable. Esta es una tarea que sólo podría ser ejecutada por una elite de especialistas, de los que hay muy pocos en el mundo, y requiere la cooperación de las empresas que proveen las urnas así como de todos sus proveedores. Y aún si consiguiéramos todo eso, la eficacia de una auditoría sería más que dudosa: no sólo debemos garantizar que todo el software es correcto (lo que es imposible), sino que además debemos verificar que el software presente en las urnas el día de la elección es idéntico al auditado, tarea que nuevamente requiere de especialistas. ¿Y por qué hemos de confiar en los especialistas, si no queremos confiar en sacerdotes ni en empresas? Una de las muchas virtudes del "anticuado" sistema de escrutino tradicional es que cualquier persona que sepa leer, escribir y hacer operaciones de aritmética elemental está en condiciones de controlarlo. Esta es una característica esencial y no debemos renunciar a ella.
Uno de los más interesantes argumentos que ilustran por qué las urnas electrónicas carecen inherentemente de confiabilidad es el presentado —sin aplicarlo en éste ramo específico— por Ken Thompson en 1983 (Thompson 1984), en su discurso al recibir el Premio Turing de la ACM5. Thompson hace una sencilla demostración de por qué un sistema que llega al usuario final(y esto es mucho más cierto hoy en día que en 1983, en que los lenguajes y marcos de desarrollo utilizados suben increíblemente en la escala de la abstracción comparado con lo existente entonces) es prácticamente imposible de auditar por completo un programa, ni siquiera teniendo su código fuente, ni siquiera teniendo el código fuente del compilador. Traduciendo de las conclusiones de Thompson:
La moraleja es obvia. No puedes confiar en el código que no creaste tú mismo. (Especialmente código proveniente de compañías que emplean a gente como yo). No hay un nivel suficiente de verificación o escrutinio de código fuente que te proteja de utilizar código no confiable. En el proceso de demostrar la posibilidad de este tipo de ataque, elegí al compilador de C. Podría haber elegido a cualquier programa que manipule a otros programas, como al ensamblador, cargador, o incluso microcódigo embebido en el hardware. Conforme el nivel de programación se vuelve más bajo, éstos fallos se volverán más y más difíciles de detectar. Esta vulnerabilidad bien instalada en microcódigo será prácticamente imposible de detectar.
Éste argumento ha sido clave para llegar a conclusiones como la adoptada en marzo del 2009 por la Corte Suprema de Alemania: (BVerfG 2009, Heinz, 1009)
Un procedimiento electoral en el que el elector no puede verificar de manera confiable si su voto fue registrado sin falsificación e incluido en el cálculo del resultado de la elección, así como comprender cabalmente de qué manera los votos totales emitidos son asignados y contados, excluye del control público a componentes centrales de la elección, y por lo tanto no alcanza a satisfacer las exigencias constitucionales.El punto de la confiabilidad es el que más fervientemente se sigue debatiendo. El caso brasileño resulta muy esperanzador: A diferencia de la mayor parte de los gobiernos de países supuestamente desarrollados, en Brasil la tecnología utilizada para el voto electrónico está completamente basada en tecnología desarrollada localmente, empleando software libre. En noviembre del 2009, el Tribunal Superior Electoral brasileño convocó a la comunidad de seguridad a encontrar vulnerabilidades sobre las estaciones receptoras de votos, a cambio de una recompensa económica para los mejores análisis (TSEB 2009). Dentro de los términos estipulados, sólo uno de los participantes (Sergio Freitas da Silva) logró su propósito (Busaniche 2009). Y si bien no logró vulnerar los resultados de éste sistema, sí logró –mediante un monitoreo de las radiaciones electromagnéticas– averiguar por quién emitía su voto cada uno de los electores, rompiendo el principio de secrecía electoral, empleando únicamente equipo casero de bajo costo al buscar que esto fuera meramente una prueba de concepto; un atacante determinado podría utilizar equipo mucho más sofisticado para intervenir las votaciones a mucha mayor distancia.
Y si bien el sistema empleado por Brasil sale mucho mejor parado que los empleados en Europa y Estados Unidos, no debemos tomar la ausencia de evidencia por evidencia de ausencia: Lo único que demostraron es que ninguno de los atacantes pudo demostrar una vulnerabilidad en el periodo estipulado, o no quiso hacerlo por el precio ofrecido, pero nada indica que no haya fallas no encontradas — O peor aún, puertas traserasintencionales.
Por último, se presenta un listado de experiencias en diversos países, ilustrando muy brevemente el tipo de problemas a que puede conducir la adopción del voto electrónico. Queda claro que esta no es una lista comprehensiva, sólo indicativa. Para una descripción mucho más exhaustiva, sugiero consultar (UMIC-ASC 2009).
Casos ilustrativos de fracasos con urnas electrónicas hay de sobra - Los aquí presentados y muchos más. Claro está, hay también importantes casos de éxito. Si la discusión respecto a la conveniencia del voto electrónico sigue sobre la mesa, a casi 30 años de sus primeras aplicaciones internacionales, es reflejo de que en la amplia mayoría de los casos las urnas electrónicas sí han dado resultados aceptables a la sociedad.
Sin embargo, presentar un listado de países o regiones que han implementado esquemas de voto electrónico sin registrar incidentes está más allá del propósito del presente trabajo — No motivados por un ánimo de demeritar a dicha tecnología, sino por lo expuesto hacia el final de la sección 3: No debemos tomar la ausencia de evidencia por evidencia de ausencia. El que dichas votaciones hayan sido exitosas no significa necesariamente que no haya podido haber fraude de tipo alguno, sino que en caso de presentarse, éste podría no haber ser detectado.
Lo fundamental de los argumentos y casos aquí presentados no es el impacto que hayan tenido o que se hayan detectado a tiempo — Lo principal es que hacen patentes, en diversas dimensiones, los problemas de confiabilidad no sólo en los supuestos fundamentos de funcionamiento sino que en la misma naturaleza humana.Incluso para tareas aparentemente tan simples como la de sumar votos, nadie ha sido capaz de producir un sólo proceso tan confiable y auditable como la revisión humana de papeletas físicas.
Los diversos trabajos que se han realizado buscando dar mayor fuerza a alguno de los atributos de la democracia basados en voto electrónico invariablemente hacen que los demás atributos pierdan. Dar verificabilidad a los votos emitidos a través del empleo de algoritmos criptográficos va en demérito del voto secreto; habilitar el acceso a las estaciones de votación desde computadoras conectadas a red se contrapone a un adecuado nivel de verificación de la identidad de cada votante; el confiar en la programación de una máquina para realizar el conteo va en contra de la auditabilidad del proceso por cualquier ciudadano. El voto electrónico no se volverá confiable al desarrollarse algoritmos adecuados, sino que –sea como sea que esté planteado– siempre representará una regresión en la confiabilidad del proceso más importante en la vida de una sociedad democrática.Es por esto que la conclusión principal a la que el presente trabajo arriba es que el voto a través de urnas electrónicas no sólo es inadecuado el día de hoy para las necesidades de las sociedades latinoamericanas (y de otras latitudes), sino que es un tema con fallos insalvables desde su mismo planteamiento.
Un sistema democrático requiere, en primer y muy destacado lugar, de confiabilidad. Los argumentos por medio de los cuales se invita al voto electrónico son falaces, y más que resolver una problemática, la exacerban.
1 Véase como ejemplo la prueba de la emisión de un voto basada en cero conocimiento: Si bien el esquema sugerido permitiría que cada votante individual verifique que su voto haya sido tomado en cuenta, sin divulgar el sentido de los votos de los demás, esta propiedad sería ideal para la compra de votos, tan tristemente común en nuestra América Latina. Si en una votación pudiera demostrarse el sentido del voto de determinado individuo, indudablemente habrá quien sepa exigirle a dicho individuo le demuestre que su voto fue realizado en el sentido "correcto".
2 Y claro está, es fundamental que cada una de estas boletas sea generada por separado, recortada de la inmediata anterior y posterior, con garantía de que no haya un patrón seguible en el corte, para garantizar el anonimato del elector
3 Si es de preocupar la falta de seguridad en una computadora que corre aislada de atacantes externos, no tiene sentido siquiera entrar en detalles respecto a la cantidad de riesgos que supondría tenerla conectada a Internet.
4 P.ej. reseñando a la videoconferencia en que este tema fue presentado en el marco del Seminario en que se desarrolló el proyecto, Beatriz Ramírez refiere (http://seminario.edusol.info/resena/beatriz-ramirez/2009/03-1): De acuerdo a mi experiencia, como ciudadana argentina, no he estado libre del robo –perdón quise decir "extravío"– de encomiendas postales, ni es secreto que en Argentina votan en elecciones presidenciales, cantidad de muertos.
5 Premio al que comunmente se hace referencia como el nóbel del cómputo