Esta semana se llevará a cabo en Lima el IV Encuentro Nacional sobre Democracia Digital que organiza Democracia & Desarrollo Internacional. Se trata de uno de los eventos más importantes del año en materia de tecnología e interés público del país. Este año, el programa reune a más de cuarenta expositores en cuatro sesiones plenarias y seis sesiones paralelas y espera recibir a más de 300 personas en la Universidad de Ingeniería y Tecnología (UTEC) en Barranco.
Esta semana, el Poder Ejecutivo publicó el Decreto Legislativo 1410 que añade cuatro nuevos delitos al Código Penal, todos relacionados al acoso y la difusión de material con contenido sexual sin consentimiento. Se ha anunciado que el objetivo de estos cambios es proteger a potenciales víctimas de estos delitos, especialmente a las mujeres. Sin embargo, no todo está claro respecto de la eficacia de estas medidas y existe un gran desconocimiento sobre sus alcances.
Antes de la publicación del DL 1410, el acoso en cualquiera de sus modalidades no era un delito. En 2003 se publicó la Ley N° 27942 “Ley de prevención y sanción del hostigamiento sexual” y luego la Ley N° 30314 “Para prevenir y sancionar el acoso sexual en espacios públicos”. Sin embargo, estas normas sólo servían para castigar el acoso en ámbitos muy específicos (como el centro laboral) o dejaban en manos de los gobiernos locales la regulación del acoso en la vía pública, limitando las sanciones a llamados de atención, detenciones temporales y multas.
Continuamos con nuestro ciclo de Conexiones, este martes 18 de septiembre tendremos como invitado a Daniel Olivares, abogado y comunicador. Ha trabajado en la campaña presidencial de Julio Guzmán, en la Presidencia del Consejo de Ministros y es el actual Director de Experiencia en la agencia Copiloto.
Conversaremos con Daniel sobre su experiencia usando la tecnología como un elemento en distintas campañas de comunicación y del rol que la comunicación cumple en la política.
El evento será el martes 19 de septiembre a las 6:45 pm en Fundación Euroidiomas (Libertad 130, Miraflores).
El ingreso es libre, previa inscripción en este formulario.
Conexiones es un ciclo de conversaciones mensuales con las ideas, personas y proyectos más interesantes del ecosistema tecnológico local. En cada edición conversamos con un invitado o invitada sobre su relación con la tecnología, cómo la incorpora en su trabajo y hacia dónde cree que va. Cada edición es grabada y publicada como podcast y también como audio en Youtube. Puedes escuchar nuestro capítulo anterior, donde tuvimos como invitada a Milagros Olivera y conversamos sobre los retos y oportunidades de hacer activismo sobre género en Internet.
El día 15 de mayo de este año, la Presidencia del Consejo de Ministros (PCM) ha expedido el Decreto Supremo Nº 050-2018-PCM que aprueba la definición de “Seguridad Digital”, un concepto que venía trabajando a través de la Secretaría de Gobierno Digital (ex ONGEI) desde el año pasado. Este es un paso previo al desarrollo de un Plan Nacional de Ciberseguridad, una política pública importante pero hasta ahora ausente en nuestro incipiente ecosistema digital.
¿Por qué es importante que la PCM haya definido qué es Seguridad Digital? Principalmente por dos motivos: El primero es que esta definición le da un fina feliz a una controversia surgida el año pasado con motivo de un Proyecto de Ley que comentamos en su momento. Dicho Proyecto proponía la ampliación de competencias de la Dirección Nacional de Inteligencia (DINI) dentro del Sistema Nacional de Inteligencia (SINA) en materia de ciberseguridad, pero no lo hacía del todo bien: se superponían competencias, se entregaba demasiado poder a la DINI, se dejaba sin piso a espacios de coordinación participativos, etc. Felizmente, luego de varias Mesas de Trabajo, el Proyecto se mejoró y solo quedaba pendiente la definición que iba elaborar la PCM y que ahora ya tenemos.
Hace unas semanas estuvimos presentes en el evento de «Hackathon» de ONPE sobre la seguridad del Voto Electrónico Presencial (VEP). Aunque se explicaron algunos conceptos del software y hardware que se usará en las elecciones de Octubre, salimos con algunas preguntas que nos parece son importantes para todos, como ciudadanos antes que especialistas.
Durante la capacitación para la hackathon, el personal técnico de ONPE explicó a grandes razgos la arquitectura y el diseño del sistema del VEP. De manera resumida, el VEP consiste en que los electores seleccionen su preferencia electoral, por ejemplo alcalde para su distrito, en una pantalla en lugar de en una cédula de papel, como toda la vida.
El «pitch» de venta de ONPE es que esta solución va a hacer más rápido y simple el voto, va a hacer más rápidos los resultados, y es «cien por ciento segura».
De cara al votante, el sistema del VEP está dividido en dos componentes: la estación de identificación y la estación de votación. Ambas estaciones consisten en un tablet Samsung Galaxy que usa un sistema Android personalizado («ONPEDroid»), y una aplicación visual que cumple las funciones específicas de cada estación.
El proceso está pensado para que el votante llegue a la mesa de sufragio, se identifique en la primera estación, que es manejada por los miembros de mesa, reciba una tarjeta que le permite votar en la estación de votación, y luego devuelve la tarjeta a los miembros de mesa, cerrando el proceso.
La comunicación entre estas dos estaciones es mediante tarjetas con chip, smartcards, tales como las de débito o crédito que usamos diariamente. Ninguno de los tablets está conectado a internet.
##FOTO
Aunque ya escapa a la intención de este artículo, también hay otros dos sistemas que son de particular interés desde el punto de vista de la seguridad: el sistema de transmisión de resultados, y el sistema de despliegue del software a los tablets.
El sistema de transmisión de datos es un punto obvio de ataque, lo único que sabemos de este aspecto es que se usan certificados digitales para la comunicación, y que la información entregada por cada estación es recibida cifrada, pero no sabemos si es transmitida a la central de ONPE cifrada o no.
Por otro lado el despliegue del software a los tablets, es decir la instalación del software de ONPE en cada tablet antes de ser distribuidos, también es un punto crítico de potencial ataque por parte de un actor malicioso o infiltrado en ONPE. De esto tampoco logramos recoger detalles.
Nuestra primera preocupación es que justamente estos procesos, altamente técnicos, son difíciles de dimensionar por parte de personal o ciudadanos que no son especialistas. Para un observador casual, transmitir los resultados por internet podría sonar infalible, pero como cualquier entusiasta del software sabe, eso es mas bien una gran superficie de ataque si no es manejada con mucho cuidado por los detalles.
El sistema base de los tablets para el VEP es Android, específicamente «ONPEDroid», una versión personalizada por ONPE. Según lo que explicaron, ONPEDroid está basado en Android KitKat 4.4 (cuyo soporte terminó en 2014), con los sistemas de red, wifi, bluetooth, navegación y notificación desactivados.
Además, ONPEDroid tiene un servicio de «cripto sistema» desarrollado internamente por ONPE (!!), un sistema GNU/Linux virtualizado para poder imprimir desde los tablets (!!!), y las aplicaciones de votación o identificación. El sistema además viene configurado con llaves de cifrado, que se corresponden entre la estación de votación y la estación de identificación, no está claro cómo se usan estas llaves o dónde se almacenan.
A pesar de las repetidas menciones de nombres y tipos de algoritmos y seguridad basada en llaves, no se explicó exactamente para qué o cómo son parte del sistema, especialmente en el contexto del «cripto sistema». Tampoco se dio ningún detalle sobre cómo se generan estas claves, dónde se administran, o cómo se comprueba luego si los tablets estaban tal como salieron del centro de despliegue de software.
La primera pregunta en todo este enredo es justamente qué código ha desarrollado ONPE y cómo exactamente funciona. Es de especial interés entender cómo están garantizando la integridad de los datos y su cifrado. El personal de ONPE mencionó que hay hashes de comprobación a lo largo del sistema pero sin ver el código es imposible saber qué tan fiable es el proceso de creación de los hashes, y de validación de los mismos.
Un posible problema, por ejemplo, sería que los hashes se corresponda al número de serie de la máquina, o al nombre de archivo («votos.xml», por ejemplo). O quizá el código que comprueba si el hash es válido da por asumido que el archivo ya fue verificado en otra forma previamente, o solo verifica el hash del archivo, pero no la coherencia interna del contenido.
Igualmente nos gustaría haber tenido oportunidad de conocer cómo es el formato XML en el que se almacenan los votos en la estación de votación, qué se incluye en las tarjetas SD de backup en las estaciones de votación, cómo se transmiten los datos a la central de acopio, si es que hay opciones de desarrollo que por error podrían quedarse activadas, si es que las claves de cifrado dependen de algún factor externo, exactamente cómo funciona el sistema de despliegue del software a los tablets en la central de ONPE, etc.
La complejidad y cantidad de partes involucradas en el sistema no es pequeña, y en todas esas interacciones es donde existe el potencial para errores, o problemas de seguridad. No es necesario imaginar un escenario de catástrofe en el que un actor malicioso logra vulnerar la seguridad del VEP, bastaría con que los tablets fallen o comiencen a emitir errores a mitad de jornada, cosa que una cédula de papel no hace.
Dentro de lo que pudimos conocer del sistema tomamos nota de algunos factores particulares que pueden presentar los problemas más graves. Sin conocer el código, no podemos más que especular, pero nos parece razonable que estos sean puntos de análisis.
Según explicó el personal de ONPE, las estaciones de votación vienen precargadas con un archivo XML que contiene una cantidad total y fija de líneas donde se almacenan los votos emitidos. Estas líneas, conocidas como nodos o registros, vienen ya cargadas y se usan de forma aleatoria para evitar que posteriormente se pueda identificar a un elector según el momento en que votó.
Es decir, en vez de registrar un voto tras otro, de forma secuencial (por ejemplo, del voto #000 al #230), el archivo XML ya viene cargado con el total de registros necesarios (en este ejemplo 230), y cuando se registra un voto se selecciona de manera aleatoria dónde almacenarlo. De esta manera el primer votante podría ser almacenado en el registro #129, el siguiente votante podría ser registrado como el #012, y así sucesivamente.
La estación de votación además tiene tarjetas de memoria SD que sirven como backup en caso de que el tablet fallase. El backup busca proteger los votos emitidos, para que siempre se pueda contabilizar lo votado, así haya algún error durante el proceso.
Nuestras dudas respecto a esa tarjeta SD es exactamente qué contienen y cómo se valida la confiabilidad e integridad de las mismas. Si bien a lo largo del sistema de ONPE se repite e insiste en el concepto de cifrado y hasheado de todos los elementos, ese tipo de medidas depende siempre de qué tan bien escrito y considerado está el código que valida las medidas.
Un ejemplo sería que para vender licor nos pidiesen nuestro DNI, pero el encargado de verificar nuestro DNI hubiese perdido sus lentes. Sí, hay una comprobación de la medida de seguridad (el DNI), pero dicha comprobación no es óptima.
Por último nos queda una fuerte duda sobre cómo y qué es lo que ONPE ha desarrollado o añadido a Android. Durante las presentaciones se mencionó el famoso «cripto sistema», y una serie de cambios para deshabilitar opciones de comunicación en los tablets. Todo esto suena muy bien, pero el nivel de complejidad de modificar e implementar un sistema operativo entero es muy alto. Solamente en la configuración del núcleo del sistema, el software que comunica el hardware con las aplicaciones, ya hay miles de opciones que requieren de entendimiento especializado para modificarse.
Además de los potenciales problemas técnicos, creemos que existen variables sociales que pueden ser fácilmente explotadas por atacantes o actores maliciosos.
Un primer problema en la promesa del VEP es que llegada la hora de cierre, bastará con unos minutos de interactuar con los tablets y le mesa de votación tendrá impreso el acta de cierre, lista para ser firmada. Sin embargo, creemos que se instala un incentivo perverso para que miembros de mesa y personeros simplemente firmen la mesa y se vayan tan pronto como puedan a sus casas.
Imaginemos un escenario en el que un personero con experiencia técnica detecta algo extraño en el cierre de la mesa. Quizá un tablet se tuvo que reiniciar, o alguna de las tarjetas con chip se perdió, o se dio por inoperativa. Si este personero exige un conteo manual, las otras cuatro o cinco personas de la mesa van a querer matarlo. A diferencia de una elección con papel, en el escenario del VEP, el conteo manual es «un último recurso». Se da por asumido que la máquina no puede equivocarse, y no puede ser engañada. Por supuesto, todos sabemos que no es el caso.
Otro problema social consiste en que en el sistema del VEP, la identificación es mediante el número de DNI (leído con un lector de código de barras, o ingresado manualmente). El presidente o un miembro de mesa recibe el DNI del votante, lo busca en el sistema, y si a su criterio la foto coincide con la persona, la persona es autorizada para votar por ese número de DNI.
A primera vista, parece el proceso de siempre, pero ahora existe una diferencia crucial: no es necesario firmar ni dejar la huella digital. Aunque esto parezca conveniente para evitar tener que quitarse la tinta de los dedos, resulta en realidad en un problema de confiabilidad.
Si anteriormente era necesario falsificar firmas y huellas para generar un voto fraudulento, en el sistema del VEP bastaría con la complicidad de los miembros de la mesa, o algún fallo de software que permita registrar los votos antes o después de la votación oficial. Recordemos que la única comprobación de identidad es la coincidencia visual de foto y persona, y eso es totalmente según criterio del miembro de mesa que opera el tablet de identificación.
Finalmente, otro grave problema social es que el conocimiento requerido para entender, identificar, y auditar problemas en el proceso del VEP es altamente especializado. No cualquier persona puede notar una manipulación técnica de los tablets o el software en ellos. Menos aún, desde fuera, la ciudadanía puede auditar las etapas del proceso.
Imaginemos un caso en el que una mesa de sufragio está compuesta por personas que tienen fobia a la tecnología. Todos conocemos gente de todas las edades que tienen profundo miedo a las computadoras para cualquier cosa más complicada que mandar correos o entrar a redes sociales. Pensemos en qué tan complicado sería engañarlas o confundirlas para manipular las estaciones del VEP frente a ellos.
Esta crítica no es exclusiva de nuestra experiencia, en 2009 la Corte Constitucional Federal de Alemania determinó que el voto electrónico era inconstitucional puesto que el público no era capaz de escrutar de manera significativa el proceso, justamente porque al volverse electrónico muchas etapas se convertían en opacas, o absolutamente incomprensibles para el público no especialista.
La pregunta sobre seguridad empieza en 5:23.
En una entrevista reciente con Canal N, Frank Guzmán, gerente de informática de ONPE, fue cuestionado sobre cómo es que el sistema del VEP estaba siendo garantizado y analizado por potenciales problemas de seguridad, dado que muchos especialistas habían manifestado sus dudas. La respuesta de Guzmán fue que la seguridad estaría justamente dada por el evento de la Hackathon.
Como dijimos recientemente, un evento de tipo Hackathon, y con claros cortes publicitarios, no es suficiente para garantizar la seguridad de un sistema tan complejo como este, menos aún un sistema que tendrá a cargo algo tan importante como la elección de autoridades populares.
Creemos que es responsabilidad de ONPE respaldar sus afirmaciones de seguridad, simpleza y confiabilidad. No es responsabilidad de estudiantes o entusiastas absorber el costo de consultorías y auditorías de seguridad que ONPE debería haber encargado de manera pública y transparente.
Es muy importante para nosotros dejar claro que nuestra exposición de estas dudas y preocupaciones no es un ataque al equipo de ONPE, ni tampoco una denuncia de malos manejos o malas intenciones. Creemos que el equipo de ONPE tiene las mejores intenciones en el desarrollo de su sistema, pero como especialistas también sabemos que desarrollar soluciones de software de esta complejidad, sin opiniones externas, es muy difícil, y es aún peor si el tema que se está atendiendo es tan crítico como la elección de nuestras autoridades. Nos parece que con el afán de mantener en secreto el sistema, se están perdiendo valiosas oportunidades de mejora.
Esperamos que ONPE flexibilice su actitud hacia su solución y tome medidas para hacerla realmente confiable, sin tener que confiar en su palabra, o en el entusiasmo de un grupo de estudiantes desvelados durante un fin de semana.
Hace unas semanas inauguramos la lista de correos del Foro de Gobernanza de Internet de Perú (IGF Perú), que nace con el fin de crear un espacio virtual público de fácil acceso para conectar a toda la comunidad alrededor de este evento.
Puedes unirte haciendo click en el siguiente enlace. No hay requisitos de ingreso y los contenidos no están moderados, no obstante los administradores revisarán regularmente las solicitudes de suscripción para evitar el spam.
¿Qué es el Foro de Gobernanza de Internet de Perú?
El Foro de Gobernanza de Internet es un espacio de diálogo sobre Gobernanza de Internet en el cual distintos representantes del Gobierno, la Sociedad Civil, la Academia, la Comunidad Técnica y el Sector Privado dialogan sobre el uso y desarrollo de Internet en Perú. Además, este espacio busca favorecer la participación informada de los actores del país en foros regionales e internacionales sobre el mismo tema como el Foro de Gobernanza de Internet (IGF) y el Foro Latinoamericano de Gobernaza de Internet (LACIGF).
La Oficina en Lima de UNESCO y el despacho del Congresista Alberto de Belaunde organizan esta semana una Mesa sobre TICs, políticas públicas y ciudadanía en Perú en el Congreso de la República. El evento busca ser un espacio para conocer experiencias y buenas prácticas en estas materia, así como promover la discusión sobre la creación de soluciones tecnológicas a las necesidades del país.
Hiperderecho estará presente a través de Miguel Morachimo, abogado y nuestro Director Ejecutivo, quien a las 2:30 pm presentará algunos de los proyectos recientes de Hiperderecho en materia de tecnología e interés público, como nuestra investigación sobre violencia de género en línea o nuestras recientes denuncias sobre filtrado de datos personales en el Estado.
INFOSOFT 2018 es el evento anual sobre tecnología y computación organizado por la Asociación de Alumnos de Ingeniería Informática de la Pontificia Universidad Católica del Perú. Su finalidad es difundir y fomentar la investigación y desarrollo de proyectos por parte de la comunidad universitaria, así como brindar un espacio de encuentro entre estudiantes y profesionales de diversos ámbitos. Este año se llevará a cabo entre el 3 y 6 de septiembre en el campus de la universidad.
Agosto marcó el regreso de Conexiones, nuestro podcast sobre conversaciones públicas con las personas e ideas más interesantes de la tecnología en Perú.
En este noveno episodio estuvimos con Milagros Olivera, periodista y activista feminista. El trabajo de Milagros va desde ensayos críticos, hasta organización y promoción de colectivos que atienden problemas de mujeres y personas no heterosexuales. Hablamos sobre cómo internet puede ser un facilitador de espacios seguros, de expresión, y hasta un espacio estratégico para promocionar ideas, pero también una herramienta que debe ser usada de manera crítica.
Nuestro agradecimiento a Fundación Euroidiomas por nuevamente ser nuestros anfitriones facilitando el espacio y ayuda necesaria para hacer realidad Conexiones.
Para escuchar esta edición de Conexiones, pueden visitar el sitio web de Conexiones, nuestro canal de YouTube, o en el video incluído en este artículo.
YOUTUBE
Dicen que a la tercera es la vencida o al menos eso debe esperar el Poder Ejecutivo, que el 4 de mayo presentó nuevamente un Proyecto de Resolución Legislativa dirigido a la Comisión de Relaciones Exteriores del Congreso con el fin de que se ratifique la Convención sobre Cibercriminalidad (mejor conocida como el Convenio de Budapest). La ratificación de este Convenio, que viene siendo impulsado desde hace varios años, ha sufrido todo tipo de retrasos e inconvenientes, que esta vez parecen haber sido superados.
Para quienes no lo conocen, el Convenio de Budapest es el primer tratado en el mundo que busca crear un marco comprensivo de acción contra los delitos informáticos a través de tres líneas de trabajo: (1) la creación de un marco penal común, (2) la estandarización de procesos de investigación, y, (3) el fortalecimiento de la cooperación internacional. Creado y aprobado en el seno del Consejo de Europa, ha sido suscrito también por países de diferentes regiones que buscan fortalecer su lucha contra estos delitos.
Perú, como otros países de Latinoamérica, ha visto crecer en los últimos años los delitos cometidos a través de tecnologías de la información y la comunicación. Ante su avance, se han ensayado diferentes respuestas, entre ellas la creación de normas específicas de delitos informáticos, la institucionalización de unidades de respuesta y la aplicación de un marco legal que proteja al Estado y a sus ciudadanos de las amenazas presentes en el ciberespacio. En ese contexto, la adhesión al Convenio de Budapest se vió como un paso más dentro de estos esfuerzos.
