Voto Electrónico: hackaton no basta para generar confianza

La Oficina Nacional de Procesos Electorales (ONPE) organizó el mes pasado la Hackaton: Desafiando la Solución del Voto Electrónico Presencial. Se trató de un concurso dirigido a estudiantes y público en general para invitarlos a encontrar errores en la solución de voto electrónico que usaremos en las próximas elecciones. Como les contamos hace poco, la página que se habilitó para la inscripción de participantes tenía una grave falla de seguridad que filtró los datos personales de millones de peruanos durante meses. Más allá de la anécdota, actualmente bajo investigación en la Dirección de Protección de Datos, la idea de una hackaton como solución a los problemas de transparencia es problemática y ONPE tiene todavía mucho por explicar.

Un problema antiguo

Desde el 2006, la ONPE viene desplegando progresivamente una solución de voto electrónico que consiste en usar tablets sin conexión a Internet para emitir votos y luego enviar los resultados consolidados por Internet. En el sistema que propone ONPE el acto de votar sigue siendo presencial, pero en lugar de marcar en una cédula de papel, se usa un tablet que tiene una representación visual de lo que hubiese sido la cédula tradicional. Es decir, es un «voto electrónico» pero «presencial», de ahí el nombre. El software que se usa en las tablets de votación y mesas de sufragio, así como el sistema de transmisión, ha sido desarrollado internamente por ONPE.

Los sistemas de voto electrónico han sido polémicos en todo el mundo, incluyendo Perú. Cualquier especialista en software puede rápidamente ver los problemas potenciales: que el voto no sea secreto, que no se puedan auditar apropiadamente los sistemas o resultados, que se falsifiquen resultados sin dejar rastros. En nuestro país, tenemos desde acciones de amparo de ciudadanos hasta un Proyecto de Ley dictaminado favorablemente por la Comisión de Constitución para impedir que la ONPE siga con el proyecto.

Desde el año 2011 la ONPE ha ido despojándose de sus obligaciones de rendición de cuentas y transparencia sobre este tema. A través de sucesivas modificaciones a su marco legal, se ha pasado de obligatorio a opcional la realización de auditorías externas a la solución de voto electrónico. Esta falta de transparencia fue incluso destacada por la Misión de Observación de la Unión Europea en su informe de las elecciones presidenciales de 2016 al señalar que: “sería importante que la ONPE configurase un sistema de auditorías externas para acompañar todas las etapas del proceso, y que diera a conocer los planes de desarrollo de software.”

Una falsa solución

Como resulta evidente, una hackaton de tres días dirigida a estudiantes no puede conseguir la legitimidad y confianza que necesita la ONPE. En otras palabras, cumple de ninguna manera o aproximación con la exigencia y seriedad necesaria para garantizar la seguridad de un sistema tan complejo y con tantos riesgos como el de voto electrónico. Como comprobé en mi experiencia como participante, una serie de problemas de forma y fondo no solo perjudicaron al evento sino que hicieron de sus hallazgos sean un ciego intento de diagnóstico.

El primer problema de la Hackaton fue su premisa. Conforme a las bases (PDF) y a la capacitación previa, no se trataba de poner a prueba la Solución de Voto Electrónico (entendida como software y hardware) sino únicamente los módulos de votación inicialmente cerrados con llave con el programa corriendo. Antes que replicar una auditoría integral a todos los componentes del sistema, que en un contexto de desarrollo de software profesional consistiría en una exhaustiva investigación del código por parte de especialistas, se ofrecía a los participantes la misma experiencia que tendría un votante en la cabina de votación. Fue solo a insistencia de los propios participantes que, durante el segundo día del evento, se permitió el acceso limitado y bajo celosa supervisión al propio código fuente del software.

Todo el evento se intentó manejar bajo la más absoluta reserva y control. No solo era necesario que los participantes se identifiquen biométricamente antes de ingresar o firmen múltiples actas de entrega de todos los materiales, sino que eran vigilados de cerca por personal de seguridad designado para ello. También estaban obligados a firmar un estricto Acuerdos de Confidencialidad (PDF) que prohibía comunicar o registrar la información pública a la que tengan acceso, incluyendo las vulnerabilidades detectadas. Aunque estaba prohibida la fotografía o el video de cualquier tipo durante el evento, el área de prensa de ONPE había colocado una cámara que transmitió en vivo el evento por Facebook.

Mención aparte merece la exhaustiva operación de prensa montada en torno al evento, que no solo fue una molestia sino que retrasó varias horas todo. Haciendo gala de una completa falta de conocimiento del tipo de especialistas que buscaban atraer, el personal de imagen de ONPE destinó las primeras horas de la hackaton a tomar interminables fotografías a los asistentes, para compartirse en el Facebook de la institución, y permitir el ingreso y entrevistas de medios de comunicación. Obviamente, otra de las reglas no escritas resultó ser que los participantes usaran la camiseta que se entregó al inicio durante todo el evento.

Quizás lo más inexplicable fueron las reglas del concurso. Se trataba de un evento de tres días, de viernes a domingo, en el que estaba prohibido que los participantes abandonen el local de la ONPE. Se obligaba a los equipos a trabajar, comer, ir al baño y dormir en el auditorio del Jr. Washington donde se llevaba a cabo el evento. Si algún miembro del equipo llegaba a salir del local, todo el equipo se consideraba como descalificado. Además, para participar de la hackaton los equipos tenían que cumplir varios requisitos más. Entre ellos, asistir a una capacitación de 9 a 5 pm durante un feriado largo, enviar un informe previo explicando el proyecto a desarrollar y, al final de los tres días, producir un informe profesional de varias páginas incluyendo matriz de riesgos y propuesta de solución a la vulnerabilidad encontrada. Es decir, no solo se pretendía que los equipos “desafíen” el software sino que también ofrezcan el remedio.

Las hackatones en las instituciones públicas son una gran manera de acercar a la comunidad técnica y de estudiantes a los problemas públicos. Sin embargo, no debe confundirse con la oportunidad de obtener mano de obra barata, tampoco como un equivalente o reemplazo de otros procesos más formales de rendición de cuentas y auditoría. Bajo las condiciones en las que se llevó la Hackathon de la ONPE, el verdadero desafío fue sobrevivir a la jornada. La ONPE no puede pedirnos confiar en su solución de voto electrónico porque un grupo de veinte estudiantes no le encontró errores a su solución en un fin de semana. La confianza que nuestra Constitución exige se sustenta en la transparencia, no en la presunción de buena fe de los servidores públicos.

Foto: ONPE

3 comentarios

  1. Erick dice:

    Realmente un articulo que causa mucha suspicacia por alguien, soy ingeniero de sistemas vi el VEP muchas veces. Estoy en total desacuerdo con lo que habla este señor

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *