Este año se realizarán varios comicios en la región latinoamericana.
En el caso de Chile, la discusión sobre la automatización electoral se ha venido dando desde la década de los noventas. Pese a ello, la nación que elegirá presidente el próximo 17 de noviembre, muestra escaso progreso en el tema, a no ser por experiencias aisladas de uso de sistemas de votación electrónica en la Universidad de Chile.
Ante este panorama cabe preguntar: ¿Cómo ha avanzado el voto electrónico y qué se necesita para alcanzar el nivel de madurez exhibido por Venezuela y Brasil, referentes de la zona? Es por ello que en OhMyGeek! conversamos con Edgardo Torres Caballero, gerente general en América Latina, Caribe y Portugal de Scytl.
1. Hoy todo es crackeable y, por otro lado, los números de cibercrimen en Latinoamérica son alarmantes. Entonces, ¿cómo podría impedirse que un cracker altere los resultados electorales de un país?
No es correcta la premisa de que todo es crackeable. Si un sistema de información está hosteado en red cerrada jamás estará expuesto. Así opera la banca comercial y diariamente miles de millones son transferidos por la red sin ningún problema. Todas las medidas de seguridad son previstas y aplicadas de manera que aun existiendo el intento de ataque, es combatido efectivamente.
2. En el caso de Scytl, ¿cómo se realiza la identificación de los electores?
La base de datos del registro electoral del país, es provista por el ente electoral. De utilizarse algún sistema de voto electrónico se contrasta la información del votante, como cédula de identidad, número de elector, y cualquier otro dato personal que requiera el organismo para habilitar al ciudadano para votar.
3. ¿La adopción del voto electrónico ha incrementado la asistencia a las urnas?
Es un proceso de transformación y podemos afirmar que ciertamente la seguridad, transparencia y flexibilidad que permite el uso de tecnología en procesos electorales hará cada vez menos relevante los métodos utilizados hoy día. No obstnate, en el caso de Francia, donde se utiliza Internet como vehículo para que los franceses en el exterior puedan votar, también se ha mantenido el sistema tradicional de emitir el voto vía correo en paralelo, pero desde la introducción del voto vía Internet, se ha visto una reducción de votantes usando el correo, al punto donde hoy casi nadie lo usa.
4. En ocasiones el sistema no reconoce el 100% de las huellas digitales. ¿Qué sucede con las personas cuyas huellas no pueden ser reconocidas?
La premisa asume que se está utilizando un sistema biométrico para identificación del votante, lo cual no está relacionado directamente al sistema de captura del voto mediante un mecanismo electrónico. De existir la utilización de sistemas biométricos, son complementarios a los métodos como validación de identidad por foto, número de votante, y cualquiera otro presencial en el colegio electoral. Todo sistema está diseñado para contar con backup o alternativas factibles, que permitan dar continuidad al sistema en caso de que algún componente del mismo falle.
5. ¿Cuáles son los principales beneficios del voto electrónico?
El Voto Electrónico es un mercado emergente que está experimentando un crecimiento tremendo a causa de sus significativas ventajas respecto a sistemas de voto convencionales, entre ellas:
• Conveniencia
• Flexibilidad
• Rapidez y exactitud
• Accesibilidad
• Coste
• Prevención de errores de voto
6. ¿Cuáles son los principales riesgos del voto electrónico?
El riesgo de cualquier sistema de votación no radica en la solución en sí, sino en los individuos que lo manejan. En este sentido los formatos tradicionales son más propensos a errores, o fraude, que un sistema electrónico que contiene medidas de seguridad, cifrado de la data o aseguramiento de la misma, trazabilidad, y transparencia procesal que limitan y previenen la manipulación o error humano.
7. ¿Cuánto debemos esperar para tener urnas que puedan reconocer el iris del ojo de los electores?
Hoy en día existe ya la tecnología de reconocimiento biométrico como la mencionada. Es una decisión del ente electoral si la misma es utilizada como mecanismo de identificación, validación y habilitación del votante en el colegio electoral.
8. Alemania, por ejemplo, prohibió el voto electrónico en 2009, después que un tribunal decidió que el proceso automatizado usado en los últimos 10 años era irregular. La misma prohibición ocurrió en los Países Bajos, en 2008. Entonces, ¿cómo regularizarlo?
En nuestro caso, aplicamos normas, estándares y mejores prácticas para el desarrollo de sistemas criptográficos que aseguren los datos y pueden ser aplicados en soluciones tecnológicas electorales de forma efectiva. De todas formas, el asunto no es la existencia de estándares que garanticen los procesos, sino la perfectiva política partidista que ha llevado algunos países a retrasar el proceso de adopción tecnológica electoral.
9. Si yo no tengo un comprobante impreso, ¿cómo sé que lo que voté realmente es lo que se registra dentro de la máquina?
Scytl cuenta con tecnología que permite garantizar de forma auditable por el ente electoral oficial, mediante el voto electrónico, que un voto ha sido contado manteniendo la secretividad del mismo. A diferencia del papel que es depositado en una urna, luego es contado y en este proceso el votante no tiene constancia de que su voto fue contabilizado.
Por otro lado, cuando se vota electrónicamente, el votante tiene dos alternativas, las que son definidas por el ente oficial electoral cuando decide adoptar la solución específica:
1) Si se usa una urna electrónica el sistema captura el voto, y se imprime una papeleta, la cual luego también va a una urna.
2) Voto en línea, que genera de manera aleatoria un número de control el cual se le provee al votante al momento de ejercer el voto, el cual guarda, y luego al cierre del proceso electoral y de la publicación de los resultados en el portal del ente electoral, el votante puede validar si su número de control aleatorio consta en la lista, lo cual indicará que su voto fue contado. Esto el proceso tradicional no lo permite, en voto electrónico por Internet sí.
Es un proceso de transformación y podemos afirmar que ciertamente la seguridad, transparencia y flexibilidad que permite el uso de tecnología en procesos electorales hará cada vez menos relevante los métodos utilizados hoy día.
10. ¿Qué niveles de encriptación, de codificación de seguridad alfanumérica, tienen los votos que yo emito?
En Scytl los votos se cifran en lo que llamamos un proceso de end-to-end, lo que quiere decir que los votos se cifran en el ordenador del votante, nunca salen de ese ordenador si no están cifrados, y no se descifran hasta el final de toda la elección una vez que se han «anonimizado». El cifrado se realiza mediante un sobre digital utilizando AES256 y RSA2048.
Por supuesto que se almacenan con este mismo cifrado durante toda la elección, ya que no se descifran hasta que finaliza la elección.
Y es que no sólo es importante cómo se cifran, sino cómo se descifran. La única clave que permite descifrar los votos se crea antes de la elección y se divide en partes (utilizando el algoritmo de Shamir Secret Sharing Scheme) que se distribuyen en smartcards entre los miembros de la mesa electoral – que eligen ellos mismos el PIN para la smartcard – de tal forma que hacen falta al menos un número específico de estas partes para descifrarlos, y no hay ninguna persona que a nivel individual pueda descifrarlos.
Adicionalmente, con el objetivo de anonimizar los votos, antes del descifrado se realiza un proceso de mixing criptográfico que elimina las firmas digitales de los votos, y modifica el orden en el que se encuentran los votos, de forma que nunca se pueda relacionar la identidad de un votante con su voto descifrado.
Cabe destacar que todo el proceso de anonimización, descifrado, y recuento, se realiza en un entorno aislado, sin conexiones de red, protegido y auditado, en presencia de auditores y observadores.
Por supuesto, todo el proceso de comunicaciones entre votante y servidor de voto se cifra mediante protocolo SSL (HTTPS), pero esto es un «además» del cifrado a nivel de aplicación.