Voto electrónico: muchas preguntas, pocas respuestas (parte 1)

Hace unas semanas estuvimos presentes en el evento de «Hackathon» de ONPE sobre la seguridad del Voto Electrónico Presencial (VEP). Aunque se explicaron algunos conceptos del software y hardware que se usará en las elecciones de octubre, salimos con algunas preguntas que nos parece son importantes para todos, como ciudadanos antes que especialistas.

¿Qué es el Voto Electrónico Presencial (VEP) de ONPE?

El VEP de ONPE reemplaza las cédulas de papel y el proceso de votar marcando con un lapicero por un tablet con pantallas táctiles donde se emite el voto al seleccionar con toques las opciones que queremos. La experiencia se parece bastante a usar el cajero electrónico de un banco.

El sistema del VEP consiste principalmente en dos tablets: Uno para identificarse con los miembros de mesa, y otro tablet para emitir el voto. La comunicación entre ambos tablets es a través de tarjetas inteligentes (tarjetas con chip, como las de un banco). Ninguno de los tablets tiene conexión a internet, según ONPE. Al final de la jornada, los votos emitidos son consolidados en el tablet de los miembros de mesa, se imprime un acta, y se entregan los resultados al personal de ONPE para el reporte a la central.

ONPE lleva mucho tiempo publicitando el VEP, incluso desde antes de las elecciones municipales en octubre. El ángulo con el que ONPE ha tratado de «vender» el VEP es que se trata de un sistema «más rápido y simple» y «cien por ciento seguro». Nosotros no estamos de acuerdo con que el VEP cumpla con ninguna de esas dos ideas, especialmente con la de seguridad.

¿Cómo es el VEP para los votantes?

Para todos los que votaremos usando VEP en Lima, el sistema que enfrentaremos tendrá dos elementos: Un tablet para identificarnos, que está a cargo de los miembros de la mesa; y un tablet para votar, que está en la cabina de votación. Ambos tablets son tablets Samsung Galaxy, conectados a una serie de dispositivos adicionales como una impresora térmica para vouchers (como la de un cajero electrónico), un lector de USBs, lector de tarjetas inteligentes, entre otros. Los dos tablets usan Android, con modificaciones y personalizaciones que ONPE ha bautizado como «ONPEDroid».

El proceso, a muy grandes rasgos, es como sigue:

  1. El votante llega a su mesa de sufragio, y se identifica con el presidente o miembro de mesa que esté operando el tablet de identificación («Estación de Comprobación de Identidad, ECI», según ONPE).
  2. El DNI del votante es escaneado con un lector de código de barras, pero si eso no funciona, se ingresa manualmente el número en el tablet.
  3. El miembro de mesa comprueba visualmente (esto es importante luego), si el votante es quien dice ser, y si la foto del tablet se corresponde con la foto del DNI y de la persona parada frente a la mesa.
  4. Si el miembro de mesa acepta la identidad de la persona, una tarjeta de votación se activa para permitir a la persona votar en el tablet de votación.
  5. La persona ingresa a la cabina de votación («Cabina de Votación Electrónica, CVE», según ONPE), inserta la tarjeta que le entregaron, y emite su voto tocando la pantalla. Se imprime un voucher automáticamente.
  6. El votante regresa a la mesa, entrega la tarjeta que usó para votar, y deposita el voucher en el ánfora (los vouchers no se cuentan al final de la jornada, son solo un respaldo físico en caso hayan problemas).
  7. Recibe el sticker de votación en su DNI.

Para quienes están leyendo con atención, ya deben haber detectado varios problemas en el proceso tal como está descrito. Para este artículo nos enfocaremos en los problemas más superficiales del VEP, y entraremos en detalles técnicos en la segunda parte de esta serie.

No es necesariamente más rápido

La primera objeción, a nivel estrictamente operativo, es que la mesa de sufragio está obligada a trabajar de manera secuencial. En el voto tradicional con papel, mientras una persona vota, otra persona puede estar siendo identificada en el padrón por cualquiera de los miembros de mesa. En el sistema del VEP, el tablet no permite identificar a nadie mientras esté en proceso una votación. Es decir, hasta que la tarjeta de votación no regrese a la mesa, la siguiente persona no puede ni siquiera ser identificada.

Creemos que solo ese hecho ya es un cuello de botella para el proceso. Si en el voto tradicional se podía identificar al elector mientras un primer elector usaba la cabina secreta, ahora hay que esperar a que el elector termine de usar la cabina, regrese con la tarjeta, la entregue, ésta se active de nuevo, se identifique al nuevo elector, y recién ahí se emita el siguiente voto.

Tenemos entendido que ONPE, motivados por la confianza en su sistema, ha incrementado la cantidad de votantes por cada mesa. Nos preocupa que esto solo agrave el cuello de botella, llevando a un proceso menos cuidadoso, retrasos, u otros problemas.

Quizá se pregunten por qué no hacemos ninguna mención a si el sistema es «difícil» o la crítica más común de que «los más mayores no van a saber votar». Aunque compartimos esa preocupación, nos parece que eso un cuello de botella dentro del otro cuello de botella que hemos descrito en este punto. La velocidad con la que las personas logren votar, sea rápida o lenta, tiene muy poco efecto en el cuello de botella de que el proceso sea tan lineal. En el mejor caso, habrán retrasos considerables; en el peor caso, algunos estaremos votando hasta pasadas las 4 p.m.

Definitivamente, no más simple

Otro punto pasado por alto en toda la campaña publicitaria de ONPE es que la simpleza del VEP existe solo en el material publicitario. Recordemos que el hardware solamente consiste en las siguientes piezas, de las cuales cualquiera puede fallar:

  • Tablet Samsung Galaxy
  • Lector de llaves USBs
  • Lector de tarjetas inteligentes (tarjetas con chip)
  • Cables de comunicación entre los elementos
  • Fuente de energía
  • Impresora de inyección de tinta (en la ECI)
  • Impresora térmica (en la CVE)

Además para la activación, uso, y cierre de las ECI y CVE se le entrega a los miembros de mesa una serie de llaves USB y tarjetas inteligentes para realizar los pasos de configuración, activación, cierre. Cualquiera de estos elementos puede fallar, o interactuar negativamente con cualquiera de los demás elementos. Hay algunos puntos técnicos adicionales que explicaremos en la segunda parte de esta serie.

Puesto por escrito, es fácil ver que la simpleza del VEP es solamente superficial. Las cédulas de papel y los lapiceros de toda la vida son la verdadera opción simple, no solamente por ser tecnológicamente básicas, si no porque son entendidas por todos los involucrados: el votante, los miembros de mesa, el personal de ONPE, la policía, etc. Cualquier persona involucrada en el proceso de votación entiende perfectamente cómo funciona un lapicero para marcar una cédula de papel.

La «auditabilidad» del proceso de votación

Si alguno de los elementos técnicos de esta lista falla, es necesario recurrir al personal especializado de ONPE, cuyo entendimiento de este sistema está limitado al entrenamiento que hayan tenido al respecto. Es importante resaltar que por muy buen entrenamiento que ONPE haga de su personal de apoyo técnico, un sistema de esta complejidad escapa a cualquier lista de tips o trucos para resolver incidentes. La complejidad de software y hardware de un sistema como este no es algo para pasar por alto.

Quizá la objeción más grande para este elemento del sistema de VEP es que la capacidad de los miembros de mesa, votantes, o personeros, de poner objeciones al proceso o a los elementos que se usan para votar, está muy limitada. Si antes un personero podía protestar al ver cédulas sospechosamente dobladas o marcadas, hoy no tiene manera de detectar, o simplemente expresar, cualquier elemento sospechoso en los tablets, las impresoras, los USB, las tarjetas, etc.

El factor humano y la fiscalización

Consideramos que también hay un problema que puede ser explotado como «ingeniería social» (así se le llama a problemas «humanos» en la seguridad de un sistema).

Pensamos que con la insistencia y la expectativa creada sobre la «rapidez» del sistema, se crea un incentivo negativo para que los miembros de mesa y personeros ejecuten su labor de fiscalizar y garantizar la legitimidad del proceso. Ya no se puede protestar con el simple entendimiento de un papel y lapicero, ahora hay que entender cómo funciona un sistema complejo de software, tablets, impresoras, USBs, tarjetas, etc.

Incluso, nos parece que pueden darse instancias en que ante la protesta de un personero o miembro de mesa, la respuesta de los otros integrantes sea «¿pero cómo va a fallar la computadora?», «¿acaso tú vas a contar mejor que la computadora?». Esto, junto con los potenciales retrasos por el proceso tan lineal, puede generar un clima de mucha oposición a cualquier demora adicional.

Basados en nuestra experiencia tratando temas de tecnología y derechos, sabemos que la tecnología es bastante abstracta y difícil de entender para el 99% de personas, sin importar su nivel educativo o qué tanto usan tecnología en su trabajo. Nos preocupa que el exceso de confianza en las computadoras, debido a una falta de entendimiento de estas, o el estigma de aceptar que no se entiende lo que está sucediendo con los tablets, puede generar mucha oposición a cualquier intento de fiscalizar el proceso. Esto tiene el potencial de convertirse en un ángulo de ataque para la seguridad del proceso.

La seguridad del VEP

En una entrevista reciente con Canal N, Frank Guzmán, gerente de informática de ONPE, fue cuestionado sobre cómo es que el sistema del VEP estaba siendo garantizado y analizado por potenciales problemas de seguridad, dado que muchos especialistas habían manifestado sus dudas. La respuesta de Guzmán fue que la seguridad estaría justamente dada por el evento de la Hackathon:

La pregunta sobre seguridad empieza en 5:23. Fuente: Canal N / YouTube de ONPE.

Tal como criticamos en nuestro artículo sobre la Hackathon, un evento de tipo Hackathon no es el tipo de evento o reunión donde se pueda hacer una debida auditoría, o comprobación, de la seguridad de un sistema de software, o de hardware, o peor, ¡de un sistema de software hardware!

Nuestra crítica a presentar la Hackathon como una garantía se mantiene: El evento al que asistimos tenía más cortes publicitarios que técnicos, y un sistema de este complejidad e importancia no puede revisarse en tres días de un fin de semana. Mantenemos también que es irresponsable de parte de ONPE usar la buena voluntad y entusiasmo de estudiantes y profesionales que participaron en el evento, para certificarse a sí misma como libre de errores o problemas.

El sistema del VEP es un sistema muy complejo, con muchas partes, muchas interacciones, y mucho potencial para el error. Si ONPE insiste en ponerlo en práctica, y confía en él, es necesario que respalde esa confianza con auditorías profesionales en seguridad y calidad.

Creemos que es responsabilidad de ONPE respaldar sus afirmaciones de seguridad, simpleza y confiabilidad. No es responsabilidad de estudiantes y entusiastas absorber el costo de consultorías y auditorías de seguridad que ONPE debería haber encargado de manera pública y transparente.

Esto se trata de nuestros votos

Es muy importante para nosotros dejar en claro que nuestras críticas y dudas no son un ataque al equipo de ONPE, ni una denuncia de malos manejos, corrupción, ni nada por el estilo. Si bien consideramos que el VEP es un proyecto que ONPE nunca debió iniciar, sí encontramos algunos aciertos en los criterios de ciertos elementos del sistema, como no usar conexiones a internet o de red, por ejemplo. Pero estos aciertos no son, para nada, una opinión favorable de la idea.

Como especialistas sabemos que desarrollar un sistema de software y hardware de esta complejidad, sin opiniones o asesoría externa, contando solo con el talento disponible «en casa», es muy difícil. Peor aún cuando el tema tiene una serie de requisitos y limitaciones legales y logísticas. Creemos también que el afán de secretismo y oscuridad de ONPE respecto al código e infraestructura del VEP está fuera de lugar. Una solución así de compleja justamente necesita de la mayor transparencia posible para ganarse la confianza de la comunidad técnica, que podría aportar valiosos apuntes a un sistema tan vital como este.

En la siguiente entrega de esta serie sobre el VEP, veremos algunas objeciones y preguntas técnicas más específicas que hemos recogido luego de nuestra experiencia investigando y analizando el sistema de ONPE.

6 comentarios

  1. natty dice:

    Sr. para cuando escribirá algo sobre la parte técnica, entiendo Ud conoce algo de ello, tengo entendido que claro, como afirma los equipos no están conectados por internet. y uno intuye que todo es un programa que se intercomunica. En mi distrito se inauguro el VE para las anteriores elecciones presidenciales.
    Ademas existe un Equipo de identificación donde entiendo mas allá que se escanee el dni del elector , éste equipo debe tener una base de datos con los votantes de la mesa.
    existen Usbs para la configuracion del eci que «empatan» a la cabina de votacion, esto se hace antes que operen los miembros de mesa.
    Quizás sea motivo para que Ud explique algo sobre como o que funcion tiene una tarjeta inteligente, ademas de las Usb que se utilizan para conectar y «pasar» información todo entre las tablets de Equipos de identiicacion y Equipo de votación, sobre todo para aquellos que no somos nativos digitales y somos de la 3° edad. Espero la 2° parte a la brevedad.
    hable sobre esto, Si no todo esto no tiene mucho sentido.
    yo tambien tengo inquietudes.

    saludos.
    Natty

  2. Jorge Sanchez dice:

    En el voto electronico no hay alternativa de voto viciado,no te dan copia del vaucher,no se si alli se registra x quien vote,el holograma es de pesima calidad de duracion en el tiempo a menos que enmique dni luego del acto de sufragaretc,etc sirvanse contestar a mis interrogantes pues la votacion esta muy proxima Gracias

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *