Requisitos de un sistema de voto electrónico seguro

Por Marilín Gonzalo

También en democracia los ganadores no sólo deben vencer, necesitan convencer. El sistema de votación debe garantizar una serie de condiciones, entre otras, que el voto sea anónimo, seguro, y el sistema auditable. No es tan fácil como suena.

Contra los solucionistas tecnológicos, en pleno 2020 los sistemas de votación más seguros siguen necesitando papel. Ni siquiera el blockchain puede ser una alternativa para un sistema de votación íntegramente electrónico y virtual, con las garantías que necesita un proceso electoral que definirá quiénes nos gobiernen. A veces, lo más básico es lo más confiable.

La votación en elecciones es una de las piedras fundamentales de la democracia. Los procedimientos y protocolos del sistema de votación son críticos para asegurarnos que los votos son válidos y los resultados fiables.

Bruce Schneier, uno de los mayores expertos en seguridad informática del mundo, dice que las elecciones sirven a dos propósitos. "El primero es el más obvio, elegir al ganador. El segundo, igualmente importante, es convencer al perdedor. Por eso es que los ataques a menudo se centran en convencer al sector que ha perdido de que la elección no fue justa".

Para hablar de voto electrónico es necesario distinguir en qué parte del proceso se aplica la parte "electrónica". La expresión de la voluntad del ciudadano es parte de un proceso que empieza desde el momento en que se definen quiénes son esos electores, y termina con el resultado final legitimado por la Junta Electoral cuando comunica los resultados de las elecciones, al menos en España.

La recogida de datos preliminares mediante sistemas informáticos generalmente sirve para hacernos una idea aproximada del resultado pero básicamente es para poder tener una idea de los resultados la noche electoral. Los resultados reales son los que dará la Junta Electoral, que sigue otro camino completamente diferente.

Otra parte de este proceso en la que se utilizan sistemas electrónicos son los de la recogida de votos en los colegios electorales. Algunos estados en Estados Unidos usan sistemas para ir registrando los votos electrónicamente pero siempre generan un rastro documental (o paper-trail) que puede ser auditado.

Lo que podríamos llamar el Santo Grial del voto electrónico sería el uso de sistemas para votar electrónicamente "desde casa" o desde cualquier lugar en el que tengamos un ordenador.

Detalle de urna electrónica utilizada en Brasil en 2018

Los beneficios del voto remoto y la pandemia

Un estudio del Parlamento Europeo sobre el tema en 2016 reconoce que en un contexto en el que en muchas democracias occidentales decae el interés de la ciudadanía por participar y hay cansancio o desilusión hacia la política, el voto electrónico se presenta como una solución innovativa que puede reconectar a los ciudadanos en los procesos democráticos. Frente al voto tradicional con urnas y papeletas, el voto electrónico tiene el potencial de incrementar la concurrencia de votantes, reducir costes, eliminar el tiempo de viaje hasta el lugar de votación, minimizar obstáculos como largas colas, facilitar el voto de quienes viven fuera del país o quienes tienen problemas de movilidad.

La crisis del COVID-19 y las medidas para prevenirlo han traído esta cuestión ante las elecciones en un mundo que no sabe cuántos años deberá convivir con la pandemia. Indra es una compañía que ha desarrollado más de 400 proyectos electorales con más de 4.000 millones de electores involucrados en todo el mundo, y nos dice tener constancia de que hay varios países, unos 20, que han acelerado los cambios legislativos necesarios para introducir el voto electrónico no presencial, en su mayoría empezando por el voto para emigrantes en el extranjero.

"Hasta hace poco el beneficio del voto electrónico remoto era únicamente llegar a los residentes ausentes con mayor facilidad y menor coste", explica Pablo Sarrias, director de Procesos Electorales de Minsait, una compañía de Indra. "Esto ha cambiado con la pandemia y se ha visto que el voto remoto sirve también para reducir la afluencia de votantes a los puntos de votación, reduciendo el riesgo de contagio. Esta nueva utilidad ha acelerado el interés de muchos países para introducir reformas legislativas que permitan el voto electrónico remoto".

nVotes es una empresa que vende software para votaciones electrónicas, y se hizo conocida a causa de que fue contratada por Podemos para todas sus votaciones internas. "Que suelen ser muchas", apostilla Eduardo Robles, su presidente ejecutivo. A nVotes también le han contactado en estos últimos meses gobiernos de distintos niveles, "provinciales o incluso a nivel estatal sobre todo en países extranjeros", interesados en sus servicios. "Las votaciones digitales antes eran una forma de hacer innovación digital y tecnológica pero hoy con el coronavirus eso ha cambiado, ahora se le ve una utilidad. Es necesario, hay organizaciones más pequeñas con la necesidad de hacer votaciones", explica.

Si ya podemos comprar de forma segura a través de internet, ¿por qué no podemos votar remotamente también? Pero en este tema no es todo tan simple como puede parecer. El mismo informe europeo reconoce que hay escollos de tipo legal, políticos, sociales, tecnológicos y relativos a la seguridad y a la privacidad.

En primer lugar, en España la ley orgánica de régimen electoral (PDF) no permite la opción del voto electrónico. Quitaremos esto de la ecuación por un momento para preguntarnos si al menos sería posible tecnológicamente un voto electrónico seguro.

Estonia y otros experimentos

Varios países, como Alemania, Países Bajos, y más recientemente Noruega han intentado usar voto electrónico para elecciones públicas, pero lo dejaron al comprobar que era poco fiable.

Hay una buena cantidad de distritos electorales y Estados, incluyendo a Canadá, Francia, Brasil, India o Australia que ofrecen o han ofrecido votar a través de internet a partes de su electorado -generalmente ciudadanos que residen en el extranjero- para ciertas elecciones específicas.

Suiza ha llevado a cabo varias pruebas en cantones para una implementación gradual del voto electrónico coordinado a nivel nacional. El voto online en 2016 estaba disponible para el 60% de los suizos residentes en el extranjero y para un 3% del electorado total. Sin embargo, el año pasado un comité de políticos y expertos informáticos lanzó una iniciativa ciudadana para prohibir las votaciones electrónicas hasta que el sistema fuese lo suficientemente seguro. Unos meses más tarde, investigadores de la Universidad de Melbourne descubrieron que el sistema tenía vulnerabilidades que permitían alterar los votos.

El único país que ha hecho elecciones nacionales jurídicamente vinculantes sin papel en la historia es Estonia, y suele ser citada como ejemplo de innovación digital por esto.

Pero evaluaciones de expertos de seguridad independientes y de la propia Organización para la Seguridad y la Cooperación en Europa (OSCE) han expuesto sus dudas sobre algunos aspectos en los que la seguridad de las votaciones estonias no se garantiza por diseño de los protocolos, sino por confianza en el sistema.

Qué necesita un sistema de voto para ser seguro

A pesar de que cada cierto tiempo surgen propuestas para usar votaciones electrónicas en elecciones generales, hay amplio consenso entre los expertos en que el voto electrónico no es fiable. La Electronic Frontier Foundation, una organización sin ánimo de lucro por los derechos digitales que acaba de cumplir 30 años, desaconseja frontalmente el voto electrónico y se opone a cualquier ley electoral que no incluya estas dos medidas: votos individuales de papel y auditorías o comprobaciones que limiten los riesgos para cada elección.

"La seguridad no es una magnitud absoluta. Hay que detallar los requisitos, las asunciones y el modelo de amenazas del que nos queremos proteger". Luis Saiz Gimeno es experto en seguridad informática y coincide: "Sólo se conocen protocolos seguros si se puede prescindir de alguna de las características del voto de unas ‘elecciones generales’, normalmente el anonimato".

Lo que explica Saiz es que esto es un poco como el "bueno, bonito, barato": sólo puedes elegir dos. Podemos tener sistemas completamente seguros y auditables a costa del anonimato. O podemos tener sistemas que garanticen anonimato pero no podrán ser auditables, o tendrán un margen de error, margen que para unas elecciones generales en una democracia simplemente no es aceptable.

Los sistemas de voto electrónico seguros sí se utilizan en otros casos. Aplican para casos en las que el votante firma electrónicamente su voto. Hay muchas situaciones donde no sólo es aceptable sino requerido, por ejemplo porque está relacionado con diferentes "derechos de voto" o en el voto telemático (nominal y público) usado estos meses en las Cortes, Asambleas o Alcaldías.

También se utilizan sistemas electrónicos seguros para otras partes del proceso electoral. Indra no habla de voto electrónico, que no está contemplado porque en España el recuento es manual y la papeleta es física, sino "de tecnología para que el proceso electoral transcurra adecuadamente". Señalan que lo que se suele transmitir desde los colegios electorales son las actas de resultados una vez realizado el recuento.

Sarriá explica que "hay otra modalidad que parte de una papeleta física en papel y la digitaliza mediante un sistema tecnológico. En esta línea, hemos desplegado sistemas que escanean el voto para procesarlo automáticamente en las elecciones municipales de Londres y Oslo, en las elecciones generales de 2016 en República Dominicana y en algún otro proceso electoral". Esta empresa también tiene clientes que utilizan recogida de voto sin papel, pero a nivel municipal, como es el caso de varios municipios franceses.

Las votaciones electrónicas son requeridas por otras organizaciones también. Robles, de nVotes, cita a la Asociación Española de Cirujanos o el Colegio de Ingenieros de Caminos como ejemplo. Varias empresas han recurrido a Indra este año para las votaciones electrónicas en juntas de accionistas.

Cuando hablamos de sistemas electorales, sobre todo pensando en el caso de aquellos que tendrán fuerza jurídica para definir el Gobierno de un país o región en sociedades democráticas, se exige una serie de condiciones para hablar de voto electrónico seguro. Allí las amenazas aumentan por definición, porque habrá muchos actores interesados en alterar los resultados o interferir en el sistema.

De los matemáticos y criptógrafos destacados que han estudiado esta cuestión, Andrew Neff y David Chaum plantearon los objetivos de seguridad que debería tener un sistema de voto electrónico seguro:

• Votos emitidos como se pretende: La papeleta de un votante debe representar exactamente su elección.
• Completitud: El resultado final debe ser un recuento exacto de los votos emitidos.
• Verificalidad: Las dos propiedades anteriores han de ser verificables. Es decir, cada votante debe ser capaz de verificar que el voto que ha emitido representa exactamente su elección. Además, todo el electorado debe ser capaz de verificar que los resultados se corresponden con el recuento exacto de votos.
• Un votante / un voto: Las papeletas registradas en el recuento deben representar exactamente los votos emitidos por los votantes legítimos. No debería ser posible para partes malintencionadas agregar, duplicar o borrar papeletas.
• Resistencia coercitiva: un votante no debería ser capaz de probar que votó por una tercera opción no presente en la cabina de votación
• Privacidad: El voto de una persona es secreto, no debe poder relacionarse identidad del votante con su elección.

Las propuestas de estos criptógrafos fueron debatidas y analizadas por Chris Karlof, Naveen Sastry, y David Wagner que publicaron un análisis con varias vulnerabilidades (PDF) encontradas, la mayoría de ellas difíciles de resolver.

"No se conoce un sistema (protocolo) que cumpla todas estas condiciones simultáneamente", explica Saiz Gimeno. Además, advierte: "Estas características deberían ser demostrables al menos sobre el papel, luego vendrían los problemas de su implementación como cualquier otro sistema. Y los riesgos a los que se vería expuesto ese sistema si se llegase a desplegar serían inmensos porque el interés en subvertirlo es enorme por parte de adversarios con grandes capacidades", como pueden ser los Estados.

A esto también se refiere Bruce Schneier en una entrevista donde habla de la diferencia entre la vulnerabilidad de estos sistemas y de otros, como puede ser un hackeo a una red de electricidad:

"Nadie está a favor del corte de la electricidad, nadie está a favor de que los móviles no funcionen. Pero en unas elecciones hay bandos. La mitad del país querrá que el resultado se confirme y la mitad que sea rebatido; ellos deciden en base al resultado, no en base a lo que está bien o es correcto".

Fuentes

• Luis Saiz Gimeno, experto en seguridad informática
• Eduardo Robles, presidente ejecutivo de nVotes (anteriormente Agora Voting)
• Pablo Sarrias, director de Procesos Electorales de Minsait, una compañía de Indra
• Cryptographic Voting Protocols: A Systems Perspective [PDF] Chris Karlof, Naveen Sastry, David Wagner. University of California, Berkeley
• Study: Potential and Challenges of e-voting in the European Union [PDF]
• Independent Report on E-voting in Estonia, University of Michigan
• Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General [PDF]
• Bruce Schneier, entrevista en el podcast 80000 hours
• NewTral 

Suscríbete a nuestro Boletín