24/07/2015

Voto electrónico: el debate que no fue (Parte I)

t1.gifEl domingo pasado, en la Ciudad de Buenos Aires, los porteños utilizamos por segunda vez el voto electrónico. Las máquinas que se utilizaron son computadoras como las domésticas, con pantalla táctil, impresora térmica y un lecto-grabador de chips, en los que se almacenan los datos del sufragio. Este chip no sólo puede ser leído por un celular común y corriente, sino que su contenido puede incluso ser modificado. Joaquín Sorianello, programador informático, advirtió una grave falla de seguridad y la denunció a través de una nota en Télam. La respuesta: un allanamiento en su hogar llevado adelante por la Policía Metropolitana. Primera parte del Especial sobre Voto electrónico. Por Sebastián Scarano, @opensas, para ANRed.


El domingo 5 de julio dos millones y medio de porteños eligieron a sus autoridades utilizando por primera vez el voto electrónico.

Diez días antes, Joaquín Sorianello, un programador informático del barrio de Caballito, había alertado a la empresa respecto a una crítica falla de seguridad que permitiría a cualquier persona malintencionada enviar resultados falsos del escrutinio. La madrugada del sábado, a escasas horas de iniciarse los comicios, Joaquín enviaba el siguiente correo electrónico a sus contactos:

From: Joaquín Sorianello
Date: 2015-07-04 0:03 GMT-03:00
Subject: [Voto-Electronico] Me están allanando mi casa
El jueves pasado denunciamos:
http://www.telam.com.ar/notas/201506/110512-a-diez-dias-de-los-comicios-portenos-descubren-filtraciones-de-seguridad-en-el-sistema-de-voto-electronico.html
Y hoy me allanan mi casa…
El voto electrónico no es joda…
Y toca intereses grandes.
Quería que lo sepan.
Difundan por favor

— 
Joaquín Sorianello
A.K.A. Joac
@_joac

Con la puerta abierta

Los vecinos del porteñísimo barrio de Boedo se arremolinaban frente a los padrones que cubrían las paredes de la escuela número 25 «Paula Albarracín de Sarmiento». A diferencia de otras veces, a poco de atravesar las puertas del colegio se toparon con el artefacto con el cual deberían emitir su voto. Tres jóvenes luciendo chalecos de la «Defensoría del Pueblo» custodiaban lo que parecía ser un pequeño y portátil cajero automático pintado de azul. Determinar qué era exactamente ese aparato no sería una tarea simple ni inocente. Junto a ellos, un grupo de personas mayores despuntaba el vicio electoral sufragando por el «Partido de la Poesía» y demás agrupaciones ficticias creadas a los efectos del pedagógico simulacro.

Según la costumbre, cada aula de la escuela hace las veces de cuarto oscuro, y el patio se puebla de autoridades de mesa y colas de votantes que montan guardia frente a cada una de ellas. Sin embargo en esta ocasión el patio estaba prácticamente desierto.

En apenas un par de minutos por segunda vez se repite el ritual. La puerta se abre de improviso y un sorprendido elector, al encontrar el aula atestada de gente, la vuelve a cerrar con la celeridad de quien irrumpe inopinadamente en un baño ocupado. Se escucha desde adentro:

-Vení, pasá nomás, el cuarto oscuro ya fue.

Efectivamente, toda la escena se ha trasladado ahora al interior del aula. Una barricada de sillas amontonadas con estudiado desorden custodian un armario, las autoridades de mesa amuchadas en un rincón, la cola de votantes serpenteando por la habitación y en el centro del aula, majestuosa, la máquina de votar, con su pantalla apuntando a una solitaria pared. Cada votante, luego de presentarse ante las autoridades, se posa frente a la máquina, listo para dar su mudo concierto, frente a la mirada oblicua pero apremiante del público presente.

-Es como cuando estás en el cajero sacando plata y todos te están mirando- comenta una señora con intención de iniciar alguna charla.

-Qué se yo, a mí me parece más como estar cagando con la puerta abierta- le contestan dando por cerrada la conversación.

Lo esencial es invisible a los ojos… de los votantes

La metáfora, si bien un tanto brutal, resulta mucho más acertada de lo esperado. No tanto por lo escatológico, sino en lo que respecta a la invasión de nuestra privacidad.

-¿Cómo que cada boleta tiene un chip? ¿Me estás cargando? ¿Para qué le metieron un chip? -me dijo una ofuscada votante poco después de emitir su voto.

La máquina de votar es en realidad una computadora como la que todos tenemos en casa, con pantalla táctil, impresora térmica y un lecto-grabador de chips de identificación por radiofrecuencia. Si todo esto suena chino, es que vamos por buen camino, no se preocupe. O mejor dicho, espere a leer el resto antes de preocuparse.

Además de imprimir en la boleta las listas elegidas por el votante, la máquina graba dicha información en un chip electrónico. Se trata de un chip de identificación por radiofrecuencia (RFID) muy similar a los que tienen las prendas de las tiendas de ropas para evitar que alguien se vaya sin pagar. Paradójicamente, el principal uso que se les da a estos chips es el de inventariar objetos, es por eso que cuentan con un número de serie grabado de fábrica que los identifica de manera unívoca. Es el exacto equivalente digital a votar con un sobre numerado.

Al finalizar los comicios, el recuento se llevará a cabo pasando una por una cada boleta por las máquinas de votar, momento en el cual leerán la información contenida en el chip. Pero el chip también puede ser leido por un celular común y corriente, mediante programas que son de libre acceso. En Brasil el secreto del voto fue violado por un equipo de investigadores de forma sencilla y económica, y en Holanda un experimento similar hizo que en 2008 volvieran a votar en papel luego de varios años de utilizar el voto electrónico.

Un grupo de expertos desarrolló una aplicación que se puede instalar en cualquier celular con la cual se puede leer el voto, y también puede ser utilizada para su compra-venta. Un video en youtube muestra cuán sencilla puede ser la operatoria. Su puntero amigo le presta un celular que usted esconderá entre sus ropas. Usted emite el voto y acerca la boleta al celular. El celular lee el contenido del chip, y si se trata del voto esperado mostrará una luz verde, que servirá como prueba de fidelidad para presentarle a su puntero. En el mejor de los casos recibirá unos pesos, una contraprestación a cambio, o la promesa de no dejarlo en la calle o bajarle el plan social si ha tenido menos suerte. Esto es ciertamente mucho más «fácil y rápido” que el engorroso «voto cadena”.

La cuestión no termina allí. Los chips no sólo pueden ser leídos con un celular, sino que su contenido puede incluso ser modificado. En base a esto, un grupo de profesionales informáticos expertos en seguridad, difundió lo que se conocería como #multivoto: la posibilidad de adulterar el contenido del chip utilizando un simple celular para que sumara mútiples votos en vez de uno. Los expertos se reservaron los detalles específicos de cómo explotar esa falla, pero acompañaban un video en el que mostraban cómo una boleta adulterada sumaba cuatro votos en vez de uno, mientras el sistema efectuaba el conteo y generaba las actas de cierre de escrutinio sin emitir ningún tipo de advertencia ni error.

Pasados algunos minutos del cierre de los comicios, difundieron un paper en el que explicaban los detalles técnicos del multivoto. Se trata apenas de un programa de siete líneas de código, inexcrutables para el ciudadano raso, y triviales para quien tenga conocimientos básicos de programación.

multivoto-2.jpg

Al pan pan y al voto electrónico BUE

La ciudad de Buenos Aires con sus 2.555.853 electores es el tercer distrito electoral de mayor importancia de todo el país. Se votó en 15 comunas, 811 escuelas, 7.377 mesas, para elegir jefe de gobierno, diputados y comuneros.

En febrero de 2015, en una fugaz licitación que duró apenas 20 días, se adjudicó la «contratación de un servicio de dispositivos electrónicos de emisión y escrutinio de votos» a la empresa Magic Software Argentina S.A. (MSA), nombre por demás desafortunado para quien tenga la misión de implementar un sistema electoral que no debería tener nada de mágico. El nuevo invento tuvo un costo para la ciudad de 151 millones de pesos, 60,4 pesos por voto emitido, 6 veces más de lo que salía la antigua modalidad impresa. Todo esto, claro está, sin contar la publicidad y la contratación del personal que durante semanas enteras acamparon por toda la ciudad presentando el nuevo artefacto.

Nada puede darse por descontado cuando hablamos del voto electrónico, ni siquiera su nombre. En 2008 la empresa registró la «Disposición y Método de Voto Electrónico» bajo la patente N° AR046059B1.

Más tarde lo pone en marcha en Ecuador y Salta promocionándolo ruidosamente con el nombre de «voto electrónico”. Apenas adjudicada la licitación de la ciudad de Buenos Aires, comienza a difundir la inminente implementación del «voto electrónico». Sin embargo, de buenas a primeras y sin mayores explicaciones, el «voto electrónico” pasa a llamarse «Boleta Única Electrónica”, también conocida como BUE.

¿Razones de marketing? Difícilmente. Al parecer las autoridades se acordaron un poco tarde de leer la Ley 4894 que establece el régimen normativo de las elecciones. De haberlo hecho, se habrían percatado de que la misma establece explícitamente que la implementación del voto electrónico debe contar con la aprobación de dos tercios de la legislatura. Esto habría obligado a discutir públicamente las características del voto electrónico y generar el necesario consenso para su implementación, trámite seguramente tan engorroso que las autoridades prefirieron simplemente cambiar su nombre y aprobarlo por decreto.

Nuestro sistema es pródigo en instancias de recursión dispuestas a confirmar las peores noticias. En este caso le correspondió al Tribunal Superior de Justicia rechazar los reclamos presentados, cosa que hizo sin mayores inconvenientes, salvo por un pequeño detalle: la renuncia presentada por el entonces presidente del Tribunal Superior de Justicia quien había sido designado hacía apenas un mes. En el texto de su renuncia aclara que deja su puesto para que en su lugar asuma un juez «con la convicción de que el actual régimen se ajusta a la Constitución local», cosa de la cual él evidentemente carece.

En toda guerra hay bajas y nada de esto quitó el sueño a quienes contra viento y marea avanzaban en la implementación del mal llamado voto electrónico, rebautizado ahora con el nombre de «Boleta Única Electrónica”. Con disciplina franciscana los instructores impartieron la buena nueva a las autoridades de mesa, mientras la Defensoría del Pueblo se dedicaba a amonestar por twitter a los incautos que seguían hablando del perimido voto electrónico, anunciando con vehemencia la llegada de la «Boleta Única Electrónica».

Eso sí, una vez finalizadas las elecciones, Horacio Rodriguez Larreta, ahora próximo Jefe de Gobierno, en pleno festejo transmitido en vivo por todos los medios, celebraba exultante el «éxito del voto electrónico”, saldando de una vez por todas la controversia.

Empresario astuto alquila máquina boba

-Se trata de una máquina-impresora absolutamente boba, que no tiene disco rígido, no tiene memoria.

Sergio Angelini es el presidente y CEO de la empresa MSA. Invitado a un programa de radio, insiste en la estupidez de sus máquinas-impresoras para defender la confiabilidad del voto electrónico provisto por su empresa. Los presidentes de mesa repetirán sus argumentos con fe ciega.

Un video que circula por internet pone en entredicho esa versión. Basta con levantar la carcaza azul para encontrar una computadora hecha y derecha, con memoria, microprocesador, puertos para conectarse a internet, y con la capacidad de correr los mismos programas que cualquiera de nosotros utilizamos a diario. Otro video muestra cómo en los mismos equipos que se usan para votar se puede navegar por internet, chatear y ver videos. Nada mal para una máquina tan boba.

Una computadora sin memoria no podría ni siquiera arrancar, pero supongamos que Angelini se refiere a que las máquinas no tienen un disco rígido u otro tipo de memoria persistente. Lo cierto es que la información se almacena en cada chip, que para el caso es una suerte de pequeño disco rígido. Estos chips se graban y procesan a través de la máquina de votar, poco importa que estas «memorias” residan en la propia máquina o distribuidas en los chips de cada boleta, para el caso es lo mismo.

Según Angelini, cada votante tiene la posibilidad de «auditar su propio voto», acercándolo a la misma máquina para verificar que lo que fue impreso en la boleta coincide con lo que se grabó en el chip. Me pregunto si alguien que comprara dólares a un arbolito de la calle florida confiaría en un detector de billetes falsos provisto por el propio arbolito. Si la máquina es capaz de imprimir una cosa en la boleta y grabar otra en el chip, también será capaz de decirnos que está todo en orden a la hora de verificar el voto, salvo que efectivamente estas máquinas sean tan bobas como Angelini quiere que creamos.

n1b.jpg

Dime qué haces y te diré qué eres

Ninguna máquina es más tonta o inteligente que otra, puede ser más rápida o más lenta, o tener más o menos capacidad de procesamiento. Pero lo que la hace más o menos inteligente son los programas que ejecuta. El trabajo de los programadores consiste en escribir el código fuente de los programas, que son los que le dicen a la computadora qué instrucciones ejecutar. La única manera de saber qué hace una máquina es viendo el código fuente de los programas que ejecuta (y en algunos casos ni siquiera eso alcanza, ya que hay programas que están codificados en los circuitos electrónicos de las máquinas, y son más difíciles de auditar).

En lo que respecta a nuestras máquinas-impresoras-bobas del voto electrónico, nadie puede decir a ciencia cierta qué es lo que hacen, ya que la empresa se ha negado a publicar el código fuente del programa que ejecuta para votar, efectuar el conteo y transmitir el resultado de los sufragios. Las auditorías efectuadas confiesan que no tienen la certeza de que ése sea el código a ser utilizado durante los comicios, lo cual equivale a decir que la auditoría no sirve absolutamente de nada.

En las elecciones de Salta, un grupo de activistas logró que finalmente la empresa MSA les mostrara el código fuente de la aplicación. Para ello, los citaron a una oficina de la empresa ¡y les fueron mostrando en la pantalla el código fuente, sin siquiera dejarles tocar el teclado! Cuesta encontrar una manera de explicar a los no iniciados en el tema cuán ridículo resulta esto. Es como pretender hacer la autopsia de un asesinato por teléfono, o verificar si una ruleta está cargada mirando la foto del croupier.

El programa podría imprimir y mostrar en pantalla una opción, y grabar otra en el chip. O podría hacer algo más sutil y sofisticado, como ocultar algún candidato, o mostrarlo en algún lugar de la pantalla menos privilegiado. Este comportamiento podría ocurrir sólo en determinada fecha, o para cierto cargo, o a determinada hora, o de manera intermitente, o activarse con alguna combinación específica de acciones, todo lo cual haría que fuera prácticamente imposible detectarlo simplemente observando el comportamiento de la máquina, la única forma de descubrir tales maniobras es analizando el código fuente, y teniendo la certeza de que eso es lo que se ejecutará en cada máquina el día de la elección.

Mucho peor y más difícil de detectar serían los efectos que podría tener algún tipo de manipulación en los programas que transmiten y registran los totales, cosa de la cual tampoco tenemos ningún tipo de conocimiento ni control.

Todos somos capaces de auditar una boleta y una urna de cartón. Hoy hemos dejado todas estas cuestiones en manos de un regimiento de «cajas negras», de las cuáles ni siquiera podemos afirmar si son máquinas o impresoras, y no tenemos la más remota idea de qué es lo que hacen.

Maten al mensajero

El 26 de junio, la cuenta @FraudeVotar publicó el siguiente tweet:

tweet_fraudevotar.png

Joaquín Sorianello, como la mayor parte de quienes llevan años de su vida lidiando con sistemas informáticos, comprende que la implementación del voto electrónico implica grandes riesgos. Pero esto que veía en twitter era demasiado fuerte.

Los certificados SSL contienen claves criptográficas que son utilizadas para transmitir información por internet de manera segura y al mismo tiempo garantizar la autenticidad de las terminales que participan en la comunicación. En cada escuela habrá una máquina que se conectará a internet para transmitir los resultados de todas sus mesas, y para hacerlo utilizará uno de esos certificados.

Sin darle demasiado crédito a la supuesta primicia que @FraudeVotar publicaba, decidió seguir el enlace para sacarse la duda. Se encontró con las direcciones de donde bajarse cada uno de los certificados SSL. Cuando comprobó que con un simple explorador web y sin ingresar ningún tipo de contraseña, podía descargarse los certificados SSL de todas las escuelas se quedó tieso.

Que se filtren los certificados SSL es peor que entregar «las llaves del reino», es como dinamitar todas sus puertas. Con uno de esos certificados, cualquier persona podría conectarse a internet y transmitir resultados falsos del escrutinio. ¡Y lo que estaba publicado en internet era nada más y nada menos que los certificados de todas las escuelas!

Joaquín estaba en contra del voto electrónico, principalmente porque es profesor de informática y sabe de lo que habla, pero esto era un error de principiantes y sintió que les tenía que avisar. Fue así como se puso en contacto con un amigo que trabajaba para la empresa y le avisó acerca de la exposición de los certificados. El jueves 25, con tiempo más que suficiente para que la empresa cambiara los certificados y solucionara el problema, Joaquín escribió una nota para Telam advirtiendo de la falla de seguridad descubierta.

Joaquín había entrado a ver los certificados desde su propia máquina sin tomar ningún recaudo, y tenía miedo de ser el perejil sobre el cual sonaría el escarmiento por denunciar algo pesado. Seguramente pensó que avisar a la empresa y dar a publicidad el hecho lo pondría a salvo. En pocos días comprobaría cuán errado se hallaba.

La madrugada del sábado, apenas unas cuantas horas antes de comenzar los comicios del 5 de julio, la división de delitos informáticos de la policía metropolitana irrumpía en la casa de Joaquín, llevándose sus computadoras, kindle, celulares y cualquier otro tipo de equipo electrónico.

Un grupo de internautas fuimos siguiendo a través de las redes sociales los pormenores del allanamiento a medida que se sucedían los acontecimientos. La indignación crecía con cada retweet. También la impotencia.

A través de twitter pedimos detalles y precisiones, solicitamos fotos para difundir en los medios, discutimos cuál sería el mejor hashtag hasta que coincidimos en #FraudeElectronico, y buscamos a fuerza de clicks que algún medio se hiciera eco. Luego de varias horas Telam rompe el maleficio, y más tarde otros medios comenzarán a publicar la noticia del allanamiento al profesional informático que denunció fallas de seguridad en el sistema de voto electrónico.

Fácil y rápido

Paula es una joven universitaria que pasa varias horas de sus días trabajando frente a una computadora.

-Al final era una pavada eso del voto electrónico, me llevó un minutito nomás.

Comentó aliviada por haber superado la prueba sin tropiezos ni sobresaltos. Sin embargo, a poco de charlar al respecto, descubro que no pudo votar a los candidatos del partido que ella había elegido como comuneros porque no había encontrado la correspondiente opción. Al preguntarle por qué no había solicitado ayuda, respondió:

-Qué se yo, pensé que no habían presentado candidatos, así que voté otro partido. ¿Qué iba a decir? ¿qué faltaban boletas? De todas maneras no es tan grave, si algún día llegan a ganar seguro que hacen un desastre.

Otro sufragio existoso. No pudo elegir lo que ella quería pero su voto fue fácil y rápido, y su dominio informático había resultado validado.

Leer la Segunda Parte del Informe Especial



0 comentarios

1000/1000
Los comentarios publicados y las posibles consecuencias derivadas son de exclusiva responsabilidad de sus autores. Está prohibido la publicación de comentarios discriminatorios, difamatorios, calumniosos, injuriosos o amenazantes. Está prohibida la publicación de datos personales o de contacto propios o de terceros, con o sin autorización. Está prohibida la utilización de los comentarios con fines de promoción comercial o la realización de cualquier acto lucrativo a través de los mismos. Sin perjuicio de lo indicado ANRed se reserva el derecho a publicar o remover los comentarios más allá de lo establecido por estas condiciones sin que se pueda considerar un aval de lo publicado o un acto de censura. Enviar un comentario implica la aceptación de estas condiciones.
Tu dirección de correo electrónico no será publicada.

Ir arriba