Por Romina Cáceres y Claudia Colmán en el marco del BootCamp 2021 sobre voto electrónico. Publicado originalmente en El Surtidor. Crédito de la imagen: El Surtidor
El voto electrónico que implementó la Justicia Electoral de Paraguay en las internas y que se utilizará en las elecciones municipales de este año promete “suprimir el fraude electoral”. La experiencia de países con sistemas de voto electrónico en la región dicen lo contrario.
Un sistema electoral tiene que cumplir dos funciones: proclamar a un ganador y convencer a un perdedor. Pero cuando la confianza se rompe, es difícil recomponerla, como ocurrió en las elecciones generales de 2018 en Paraguay. La alianza opositora al gobernante Partido Colorado denunció fraude por las diferencias entre los números de las actas de mesas de votación y los resultados preliminares de la justicia electoral. Al final, la autoridad electoral proclamó presidente al colorado Mario Abdo Benítez por el 46,4% de los votos frente al 42,7% del opositor Efraín Alegre.
El problema estaba en el conteo, no en la emisión del voto. Sin embargo, la desconfianza en el sistema electoral tradicional se materializó al año siguiente con la aprobación de la ley de desbloqueo de listas sábana, que a su vez introdujo el voto electrónico. Este sistema electrónico fue implementado en las internas simultáneas del 20 de junio y será utilizado en las municipales del 10 de octubre de 2021. El principal argumento de los promotores de la sustitución de papeletas, como el partido Patria Querida, es que el desbloqueo de listas no se puede aplicar sin voto electrónico y que esta tecnología podría contrarrestar el fraude.
Pero incluso las máquinas de votación se tienen que auditar para garantizar que el sistema cumpla con estos requisitos: el votante puede votar solo una vez, en secreto; todos los votos serán contados y no se pueden cambiar. El Tribunal Superior de Justicia Electoral (TSJE), el organismo de autoridad electoral en el país, estableció mecanismos de auditoría para que apoderados técnicos de las organizaciones políticas revisen las máquinas de votación (hardware) y el software antes de las internas y municipales. Pero el Tribunal denegó dos pedidos de información pública donde se les consulta si los resultados de estas inspecciones serán públicos y accesibles a cualquier persona y qué harán en caso de detectar vulnerabilidades.
También, en la experiencia comparada con países como Brasil y Perú se observa que estas auditorías previas a las elecciones tienen limitaciones por la complejidad del software e incluso porque los ataques para testear el sistema se dan en un contexto controlado. Otro aspecto es que una auditoría posterior a los comicios puede que no detecte una manipulación previa, que pudo hacerse sin dejar rastro. Con el voto electrónico, es posible que un fraude electoral sea indetectable.
Transparencia e infalibilidad: la promesa del voto electrónico en Paraguay
El sistema adoptado por Paraguay es la boleta única electrónica de la empresa Magic Software Argentina (MSA). Consiste en una máquina táctil que imprime el voto en una boleta con chip RFID, una tecnología que permite acceder a los datos que contiene de forma remota – las etiquetas antirrobo de mercaderías son un ejemplo de uso de estos dispositivos – . El elector puede verificar que su voto impreso coincida con el registro electrónico acercando la boleta al lector de la máquina de votación. Estas boletas son depositadas en urnas convencionales y luego pasan por una máquina que lee el chip para computar los votos, lo que acelera la disponibilidad de los resultados. El TSJE asegura que el escrutinio mantiene “todas las instancias de control (auditoría) que el marco legal prevé” para veedores y apoderados sin requerir conocimientos técnicos especiales.
Esas instancias de control que refiere el TSJE son las mismas del sistema convencional. La politóloga Celeste Gómez explica que la auditabilidad busca garantizar la posibilidad de examinar los procesos para reunir y contar los votos, así como recontarlos de manera a confirmar la exactitud de los resultados de una elección. “Con el sistema previo al voto electrónico se cuentan primero las papeletas en el escrutinio público y después estos resultados son consignados en las actas electorales. De esta manera se pueden auditar los resultados de las elecciones”, detalla.
Un software humanamente imposible de auditar en Brasil
Brasil introdujo el voto electrónico de forma gradual en 1996 tras denuncias de fraudes con las papeletas. También por la dificultad para diseñar un boletín de voto que incorpore todas las candidaturas, teniendo en cuenta que en algunos comicios el total de candidatos supera los mil. Adoptó máquinas de registro electrónico directo, que permite el almacenamiento interno de los votos (urna electrónica). Desde el año 2000 todas las elecciones se realizan con este sistema. A diferencia de las urnas electrónicas, las máquinas de votación adoptadas por Paraguay no almacenan información del voto sino que la registra e imprime en un boletín, según el TSJE.
Hasta 2015, las auditorías de las máquinas de votación estaban limitadas al personal designado por partidos e instituciones oficiales, tal como ocurre en Paraguay. El Tribunal Superior Electoral (TSE) brasileño abrió el proceso recientemente a expertos y técnicos de universidades públicas e investigadores independientes, que ponen a prueba los mecanismos de seguridad del sistema, detectan vulnerabilidades y dan sugerencias para mejorar. Estos eventos de testeos públicos de seguridad son obligatorios y se realizan entre seis meses a un año antes de las elecciones.
Los investigadores Diego F. Aranha de la Universidade Estadual de Campinas y Jeroen van de Graaf de la Universidade Federal de Minas Gerais evaluan este proceso en un informe titulado The good, the bad and the ugly (2019). Advierten que las auditorías de software tienen muchas limitaciones, comenzando por el gran tamaño y complejidad del código fuente, que en el caso brasileño tiene más de 24 millones de líneas de código cuando se tienen en cuenta el sistema operativo y las aplicaciones.
Otra limitación es que solo se pueden realizar ataques pre aprobados por el TSE, que están lejos de ser ataques reales. También resulta imposible probar que el software de votación que se ejecuta en un simulacro de elecciones se comporta de la misma manera que en una elección real, debido a que el software malintencionado podría programarse para distinguir fácilmente una simulación – que suele ser más lenta – a una votación real.
Los autores refieren que las inspecciones antes de las elecciones permitieron detectar y corregir defectos básicos en la seguridad del software, pero que no eran suficientes para determinar que el sistema era adecuado. Sostienen que la mayoría de los requisitos dependen en última instancia de la integridad del software y su resistencia a la manipulación, pero es “humanamente imposible auditar y validar un sistema con una base de código tan compleja”.
“La autoridad electoral afirma que las vulnerabilidades detectadas no son explotables considerando todo el proceso electoral, y las descartan rápidamente como irrelevantes, lo que significa que los casos reales de intromisión pueden ser fácilmente minimizados en la prensa”, advierten.
Los investigadores también alertan sobre la limitación de una auditoría después de las elecciones con sistemas de registro electrónico directo. Es posible que todos los archivos recibidos ya hayan sido manipulados de una manera imposible de rastrear, por ejemplo, restaurando las versiones correctas del software después de haberse desencadenado el comportamiento malicioso. También observan que al no haber evidencia física de la intención del votante, cualquier recuento es imposible.
Elecciones en Perú y la falta de auditorías
Más allá de los alcances limitados de las auditorías en el caso brasileño, otros países con sistemas de voto electrónico consolidado todavía carecen de estas instancias, u ofrecen instancias de prueba artificiales que no se condicen con una votación real. Es el caso de Perú, donde el voto electrónico es implementado de manera parcial hace más de 15 años con restricciones a las auditorías.
En 2016, las demandas de información pública obligaron a la Oficina Nacional de Procesos Electorales (ONPE) a habilitar un laboratorio para que representantes de agrupaciones políticas prueben el sistema. Dos años después, la autoridad electoral organizó una hackaton, dirigida principalmente a estudiantes universitarios de ingeniería y computación, que terminó en una filtración masiva de datos personales de millones de peruanos durante meses debido a una grave falla de seguridad en la página que habilitó para la inscripción de participantes. La ONG peruana Hiperderecho, una asociación especializada en derechos digitales, señala que este evento, además de realizarse bajo reserva y celosa supervisión del código fuente del software durante una jornada de tres días, “no puede ser el equivalente o reemplazo de otros procesos más formales de rendición de cuentas y auditoría”.
¿Un sistema de votación que requiere título universitario?
La auditoría de la máquina de votación (hardware) y el software que utiliza requiere de conocimiento experto, algo que no es necesario con las papeletas y que contradice el principio de igualdad. En 2009, el Tribunal Constitucional Federal de Alemania declaró inconstitucional el voto electrónico en ese país, que volvió a los boletines de papel tras el fallo. En la sentencia, el tribunal argumentó la falta de control del votante sobre el sistema. “En la utilización de aparatos electrónicos, el ciudadano debe poder verificar los pasos esenciales del proceso de votación y la determinación de los resultados de manera confiable y sin conocimientos especiales”. Además señaló que el uso de estos sistemas «no garantiza una votación secreta y un control democrático del cómputo».
“Hace unos días me enteré que vamos a usar máquinas de votación. No tengo idea de cómo va a ser” dice Nancy Aranda, 40, de Fernando de la Mora, días antes de las internas partidarias. El requisito de que todas las personas votantes puedan entender el sistema electoral ni siquiera se tuvo en cuenta en la ley que incorpora el voto electrónico. Los proyectistas se centraron en la tecnología como una aliada contra el fraude electoral, sin considerar aspectos sociales como la brecha digital, entendida como el acceso y uso de las TICs. Según Cepal, en Paraguay solo el 3% de los hogares con menos ingresos posee conexión a internet. Esto significa que 1 de cada 33 hogares no puede acceder al servicio, una desigualdad que se intensifica en el sector rural, donde el 90% de los hogares no tienen conectividad. En 2015, sólo un 7% de las personas mayores de 60 años usaban internet, mientras que la participación en esa franja etaria fue del 60% en las elecciones generales de 2018.
Para el TSJE el voto electrónico suprime el fraude en el cómputo
Según la autoridad electoral paraguaya, una ventaja de la máquina de votación con boleta única electrónica es que “suprime el fraude aumentando la legitimidad de la elección pues evita manipulación del escrutinio”. Explica que el sistema da fluidez al trabajo de los miembros de mesa de votación y que posibilita la impresión inmediata de los escrutinios de mesa una vez finalizada la votación. En cuanto a los electores, afirma que cada uno puede verificar su voto manual y electrónicamente sin necesidad de ser “experto en informática” para controlar el correcto funcionamiento del sistema.
El TSJE asegura que el sistema “es 100% fiable y representativo del voto del elector”, además de “100% auditable, antes y después de la elección”. Explica que tanto el elector durante el voto, como la autoridad de mesa y los veedores durante el escrutinio, pueden verificar que el voto elegido es el que se graba en el chip y se imprime en el reverso del boletín.
Pero lo que se presentó como solución infalible tuvo problemas incluso antes de implementarse. Asesores del organismo electoral admitieron que los precandidatos fallecidos aparecerían en las pantallas de las máquinas de votación. ¿El motivo? Ya no se pudo hacer cambios en el software. Si los muertos obtienen votos, los partidos tendrán que definir qué hacer con ellos. Durante las internas simultáneas del 20 de junio pasó de todo: En Villarrica, en una sola mesa, tuvieron que reemplazar en tres ocasiones la máquina por fallas. En Presidente Franco, una votante solicitó apoyo de miembros de mesa para sufragar. Según el propio director de Procesos Electorales, Carlos María Ljubetic, “hubo un caso que generó protestas, porque cuando se marcaba a un candidato, le figuraba otro”.
La experiencia argentina con el sistema de votación de MSA desafía la confianza depositada por la justicia electoral en las máquinas. En las elecciones 2015 de la ciudad de Buenos Aires, los expertos detectaron vulnerabilidades en las máquinas que propiciaban escenarios en los que un atacante, o un error del sistema, podrían afectar el resultado aparente de la votación, además de comprometer el secreto del voto.
Sobre el punto, el programador Javier Smaldone, especialista en el uso de informática en sistemas electorales, señala que MSA “a pesar de múltiples requerimientos de ONGs y comunidades de profesionales informáticos, nunca ha permitido la inspección pública y abierta de su sistema, ni publicado siquiera partes del código fuente del software”. El TSJE denegó dos pedidos de información pública de las autoras sobre los alcances de las auditorías en Paraguay. En una de las solicitudes, se le consulta a la autoridad electoral si los resultados de estas inspecciones al sistema de votación serán públicos, qué harán en caso de que las auditorías detecten vulnerabilidades y si existe algún protocolo para denuncias, entre otras preguntas. Los hallazgos que pudieran encontrarse en las auditorías contempladas en el calendario electoral deben tener mecanismos de sistematización y difusión para que cualquier ciudadano y ciudadana pueda ser parte del control y fiscalización del proceso. El Tribunal no da garantías de que así será.
La auditoría pública puede aportar al control pero es insuficiente
Los testeos públicos obligatorios que se realizan en Brasil con partidos, funcionarios e investigadores independientes son esfuerzos por transparentar el proceso electoral más allá de sus múltiples limitaciones. Esta experiencia se podría replicar en Paraguay con la apertura de las auditorías de las máquinas de votación a especialistas fuera de los partidos y el TSJE para la detección y corrección de vulnerabilidades de seguridad del sistema. Aunque este conocimiento seguirá reducido a una élite de expertos informáticos, al menos se tendrán voces diferentes a la oficial y las partidarias.
La politóloga Celeste Gómez plantea una alternativa que no requiere conocimiento experto para participar en el control electoral: permitir que ciudadanos y ciudadanas conformen las mesas de votación. En el sistema actual, solo los partidos con representación parlamentaria pueden tener autoridades de mesa, mientras que las demás agrupaciones políticas pueden participar como veedores. La integración de estas mesas es uno de los campos de disputa entre partidos observados por la misión electoral de la Unión Europea en las elecciones de 2018.
Más allá de las diversas formas de ampliar el alcance de las auditorías, lo cierto es que el sistema de votación debe ser el fruto de un debate amplio y profundo para garantizar los principios que rigen el sufragio universal. Esto es, que cualquier ciudadano pueda controlar las distintas etapas del proceso eleccionario y determinar el resultado de la elección con un alto grado de confianza y sin conocimientos técnicos especiales. De lo contrario, la democracia correrá riesgo al quedar bajo custodia de un puñado de personas.
2 comentarios