La votación por Internet está sujeta a riesgos para la seguridad e integridad similares a los que enfrentan las máquinas de votación por RED, acrecentados por riesgos similares a los que tienen la votación postal u otras formas de votación remota, y aún más, implica riesgos inextricables por el uso de computadoras poco seguras que se usan en casa y por el Internet público.
La explosión que tuvo la Internet y la telaraña mundial a finales de la década de 1990, ocasionó que muchos individuos fuera y dentro del campo de la administración electoral, especularan sobre la posibilidad de usar este nuevo recurso público para mejorar la eficiencia, efectividad y legitimidad de las elecciones democráticas. Siguiendo esta discusión, se desarrollaron muchos estudios y experimentos en distintas jurisdicciones que obtuvieron resultados mixtos. El consenso generalizado que se obtuvo de estos estudios es que la votación por Internet implica varios riegos que deberían resolverse antes de que su uso se pueda extender.
¿Porqué considerar la votación por Internet?
La ventaja más evidente de la votación por Internet es la comodidad que implica para el elector. Independientemente de qué tan bien estén diseñados y distribuidos los sitios de votación, nunca habrá un lugar más conveniente para votar que la comodidad del hogar. Al hacer que la participación electoral sea tan fácil como ingresar a un sitio de Internet, revisar unos cuantos recuadros de un formato y oprimir en el botón de “votar”, es más probable que la participación de los electores y por lo tanto, la legitimidad de los resultados mejoren considerablemente. También podría contribuir a ahorrar dinero porque se evita el despliegue y la operación de los sitios de votación, siempre y cuando la votación por Internet sea generalizada. Además, el escrutinio y la tabulación de los votos electrónicos es mucho más rápida y sencilla que cuando se cuentan las papeletas impresas en papel, o incluso que cuando se usan los escáner ópticos y las papeletas perforables, cuestión a su vez contribuye a ahorrar.
Se pueden distinguir tres métodos distintos de votación por Internet:
1. Votación por Internet en el sitio de votación- en donde los electores emiten sus votos por Internet usando máquinas que se encuentran en el sitio de votación, tanto el equipo como los programas están controlados por los oficiales electorales, y la autenticación de los electores se realiza con los medios habituales.
2. Votación por Internet en quioscos- en donde los electores emiten sus votos mediante máquinas para clientes que están distribuidas en lugares públicos (centros comerciales, etc.); tanto el equipo como los programas están vigilados por los oficiales electorales, pero la autenticación no se encuentra bajo su control.
3. Votación remota mediante Internet- en donde ni las máquinas ni el entorno físico están bajo el control de los oficiales electorales. Aunque los dos primeros métodos son más seguros, también presentan pocas ventajas sobre los métodos de votación tradicionales. El “encanto” de la votación por Internet solo se cumple por completo en los sistemas en donde los usuarios se pueden autenticar y emitir su voto en el lugar que más les convenga, en su casa, lugar de trabajo, o terminales públicas con Internet. Desafortunadamente, este es el método que presenta los riesgos más serios e incorregibles.
Repercusiones a la seguridad por el uso de la votación remota mediante Internet
Los posibles beneficios que se podrían obtener con la votación por Internet deberían contrastarse con los riesgos que implica. Como se ha enfatizado en diversas ocasiones, todas las elecciones sin importar los medios con que se conduzcan, deberían cumplir íntegramente con los mismos principios de secrecía, anonimato, justicia, precisión y transparencia.
Todos los sistemas de votación, ya sea que usen papel y lápiz, tarjetas perforables, pantallas táctiles (RED), o cualquier otro método, deberían garantizar que los electores se puedan identificar acertadamente y que sus votos se escruten de forma precisa. En la mayoría de los casos esto se puede cumplir cuando se evita que existan medios para asociar los votos con las personas que los emitieron. También resulta esencial que la ciudadanía tenga confianza en los resultados; en otras palabras, que el sistema escogido no solo cumpla con los requisitos básicos, sino que también lo haga de una forma que sea clara y entendible para todos los participantes. Todos los métodos de votación deberían ser tan secretos, anónimos, justos, acertados y transparentes como los que utilizan lápiz y papel:
“Es más, si los empleados perfectos se encargan de conducir las elecciones utilizando papeletas impresas, este será el mejor modelo que se tenga para realizar una elección pública. Por ejemplo, dicha elección sería: anónima (evitando conspiraciones y coerción), secreta (todos los votos emitidos se desconocen hasta que termina la elección), correcta (si se cuentan todos los votos), honesta (ningún elector puede votar dos veces o modificar el voto de otros), y algunas veces completa (todos tienen que votar o justificar su ausencia). En dicho sistemas, aunque conozcamos al elector (durante el registro) no se puede saber cómo voto y si se conoce el voto (durante el conteo) no se sabe a quién pertenece. Después de una elección, se conoce públicamente a los electores y a los votos –pero su conexión es improbable y desconocida.”
SafeVote Inc., Requerimentos de los sistemas de votación, The Bell, febrero de 2001.
Todos los sistemas de votación que solamente sean electrónicos deberían considerar la necesidad de salvaguardar la precisión del escrutinio de votos, a pesar de la falta de representación física del voto. Además de estas preocupaciones, la votación por Internet está sujeta a otros riesgos por la inseguridad inherente que tienen las máquinas de los usuarios y de la conexión de red que se usa para contactar al servidor o tabulador central.
En la actualidad, cerca del 90% de las computadoras en los hogares utilizan un sistema operativo de Microsoft Windows. Este sistema operativo no fue concebido para lidiar con aplicaciones muy delicadas o criticas, su objetivo principal es el de ser lo más fácil de operar que se pueda para los usuarios novatos o casuales. Por eso, no se han realizado esfuerzos de proteger al sistema operativo para evitar que aplicaciones maliciosas ejecuten acciones indeseadas, o que realicen cambios en la operación y en la configuración de la computadora. Este contexto de inseguridad, junto con la expansión en el despliegue de “lenguajes macro” para las aplicaciones como Word u Outlook, ha contribuido a suministrar un campo fértil para las distintas formas de virus computacionales como “gusanos”, “espías” o “caballos de Troya”. A pesar del uso tan extenso que tienen los corta fuegos y los programas de antivirus, se ha estimado que el 20% de todas las computadoras personales están infectadas con algún tipo de “malware”. En otras palabras, actualmente no hay forma de que los diseñadores de los sistemas de votación por internet puedan garantizar que las computadoras de los electores no peligren, de tal manera que puedan poner en duda la confiabilidad del proceso.
Asegurar la conexión entre las computadoras de los electores y el servidor central también resulta problemático, pero por lo menos en esta área, el uso correcto de la codificación de las llaves públicas concede cierto grado de confianza en la integridad de este canal de comunicación. Específicamente, los protocolos de CES (Capas con Enchufes de Seguridad) y CST (Capa de Seguridad para el Transporte) que usan los buscadores y servidores para crear canales seguros para el comercio electrónico y para la banca por internet, fueron diseñados para prevenir el ataque de los “hombres de en medio” que interceptan las transmisiones que tienen dos puntos finales que se comunican con otro. Los CES utilizan llaves codificadas que son revisadas por un “certificado de autorización” confiable, para evitar que los atacantes modifiquen el contenido de la comunicación sin revelar el suceso del ataque. Lamentablemente, aunque la tecnología se use de forma correcta, continúa siendo vulnerable a otros tipos de ataques que se pueden caracterizar por “denegar el acceso” o “burlas”. Un ataque con denegación del servicio sucede cuando el atacante aunque no puede alterar o interferir en la sustancia de una comunicación, sí es capaz de evitar que se lleve a cabo, generalmente sobrecargando uno de los puntos finales. Los ataques de burla ocurren cuando las partes que se comunican son engañadas para que abran una conexión segura a un sitio que está controlado por el atacante. Los ataques de burla que se conocen popularmente como “phishing” se han vuelto muy comunes en años recientes, generalmente incluyen un correo electrónico que contiene un vínculo para un sitio que fue creado para imitar perfectamente a otro sitio (por ejemplo, el de una institución financiera), y van acompañados de solicitudes urgentes para volver a ingresar información personal delicada (números de la tarjeta de crédito, contraseñas, etc.). Esto se relaciona con otra forma de ataque más generalizada que se conoce como “ingeniería social”; que consiste en eludir las medidas de seguridad técnicas dirigiéndose a los usuarios del sistemas, quines con frecuencia tienen poco entendimiento de las ellas.
A pesar de la difusión que ha tenido el despliegue y utilización de internet para las transacciones bancarias y otras igualmente delicadas, resulta importante enfatizar que garantizar la seguridad de la votación por internet es un problema sumamente difícil por dos razones fundamentales. En primer lugar, a diferencia de las transacciones financieras, en la mayoría de las jurisdicciones se desconoce la relación entre el elector y su voto; por lo tanto, el mantenimiento de un registro y la capacidad de realizar auditorías que se pueden aplicar en el mundo financiero no resultan factibles para los sistemas de votación en línea. En segundo lugar, el descubrimiento de anomalías o errores durante la transmisión o registro de los votos no necesariamente implica la corrección de los resultados. En el mejor de los casos, dicho descubrimiento podría generar que se invaliden los votos afectados; en el peor, podría provocar que se invalide la elección. Resulta casi innecesario decir que dicho resultado tendría efectos desastrosos en términos de la confianza pública en la legitimidad de todo el proceso.
Instauración de la votación por internet en la vida real
Tal vez el Estado de Geneva en Suiza es la primera circunscripción del mundo en establecer la votación por internet de forma extendida. Desde principios del 2003 los ciudadanos de Geneva han tenido la opción de emitir sus votos en línea. Los motivos detrás de esta decisión, así como las estrategias para obviar las amenazas a la seguridad que se mencionaron con anterioridad, se deben en parte a las particularidades que tiene Geneva, cuestión que reduce su aplicabilidad para otras circunscripciones.
Geneva se diferencia de otras localidades porque pide a sus ciudadanos que voten con frecuencia, generalmente de 4 a 6 veces por año en lugar de una vez cada 2 o más años, ya que tiene un sistema de “democracia directa” en donde cualquier voto del parlamento está sujeto a ratificación o rechazo por parte de la ciudadanía. Como consecuencia de esto, las autoridades electorales de Geneva están bajo mayor presión que sus contrapartes en cualquier otro lugar del mundo, por lo que tienen la necesidad de que el proceso de votación sea tan simple y conveniente como sea posible. Como respuesta a esta presión, en 1995 los oficiales electorales de Geneva instrumentaron un sistema de votación remota por vía postal que rápidamente se convirtió en el método más popular de votación, y que además incrementó la participación de los electores en un 20%. Aceptar la viabilidad de la votación postal tiene el efecto de “bajar la guardia” en términos de las cuestiones de seguridad y aceptación pública que enfrentan otros métodos de votación remota; cualquier sistema nuevo solo tiene la necesidad de alcanzar el mismo nivel de seguridad y aceptación que la votación postal. Por ejemplo, los electores con registro de Geneva ya recibían las credenciales para votar mediante el correo, las cuales incluían información que les permitía regresar su voto por el mismo medio. La votación por internet se concibió como una extensión de este servicio que ya estaba bien establecido; por lo tanto, los diseñadores del sistema no atendieron los problemas potenciales como la compra de votos o la coerción, con medidas técnicas, en lugar de ello, para ofrecer protección contra esta posibilidad, solo dependen de la normatividad sociocultural y de los mecanismos legales.
Otro experimento importante sobre la votación por internet que obtuvo un resultado un tanto negativo, fue conducido por el ejército de los Estados Unidos para ofrecerlo al personal militar que estaba en servicio fuera de su país. El proyecto piloto se condujo durante la elección general de noviembre del 2000, en donde a pesar de los $6.2 millones de dólares que costó, solamente participaron 84 militares, además, se consideró que el proyecto falló al tratar de atender las cuestiones de seguridad básicas.
A pesar de los resultados, el proyecto se desarrollo por completo bajo la administración del Programa de Asistencia para Elecciones Federales (PAEF), y recibió el nombre de Experimento para el Registro y Votación Electrónica Segura (ERVES), el que se instrumentó de forma generalizada en las elecciones generales de noviembre del 2004. Antes de este despliegue, un grupo de expertos en seguridad para las computadoras desarrolló un estudio detallado del sistema, en donde concluyeron que:
“La barrera real para tener éxito no es la falta de visión, habilidad, recursos o dedicación; es el hecho de que, debido a la tecnología de seguridad que existe para internet y para las computadoras personales, y por el objetivo de asegurar todos los sistemas de votación remota electrónicos, la PAEF se comprometió a desarrollar una tarea esencialmente imposible de cumplir. No existe un medio efectivo para instaurar dicho sistema de votación sin que se presente un cambio radical en la arquitectura global de internet y en las computadoras personales, o que se de un gran avance en materia de seguridad. Por lo tanto, el proyecto ERVES está lejos de ser apto para nuestro tiempo y debería reconsiderarse hasta que se presenten mejoras en la infraestructura de seguridad.”
Un análisis de la seguridad del Experimento para el Registro y Votación Electrónica Segura (ERVES).
Como secuela de este reporte, el Secretario de Defensa de los Estados Unidos Paul Wolfowitz anunció la cancelación del proyecto en febrero de 2004, citando como razón primordial las cuestiones de seguridad que permanecieron sin resolver.
Conclusiones
Aunque es probable o casi inevitable que la votación por internet se generalice, las razones citadas dejan en claro que los diseñadores e instrumentadotes de los sistemas de votación por internet enfrentan grandes dificultades que deben superar antes de que se pueda generalizar. Las consideraciones más importantes son el grado en que los elementos cruciales del esquema para la votación por internet están fuera del control de las autoridades electorales, con el resultado de que será difícil que se tenga cierto grado de confianza en dichos sistemas, a menos que la arquitectura de internet y de las computadoras personales evolucione a un nivel superior del que se tiene actualmente.
El Dr. David Jefferson de los Laboratorios Nacionales Lawrence Livermore en Berkeley California, que es uno de los autores del reporte sobre ERVES declaró que:
“Los sistemas de votación por internet son vulnerables a los ataques mediante denegación del servicio, ataques de burla, códigos maliciosos, espías, administración remota y a los esquemas de asignación automática de los votos. Estos ataques son lo suficientemente poderosos como para comprometer a un gran número de votos, ya sea mediante la suplantación de electores, espiando sus votos, cambiándolos o comprándolos. Estos ataques podrían tener éxito en su intento de cambiar los resultados de una elección y pasar totalmente desapercibidos. Pudiendo ser lanzados por cualquier persona en el mundo, desde un adolescente trastornado hasta por un gobierno. Estas vulnerabilidades son fundamentales. No pueden ser modificadas o reparadas con la generación actual de equipos y programas de cómputo, ni con los protocolos de internet vigentes. La cuestión de la votación por internet para elecciones públicas debería dejarse a un lado, hasta que llegue el tiempo en que la arquitectura de la seguridad en internet y en las computadoras se vuelvan a diseñar por completo, y que estos diseños sean difundidos ampliamente, a lo que le podría faltar una década.”
David Jefferson, Las vulnerabilidades de seguridad inherentes a la votación por internet (abstracto).
De acuerdo con el especialista en seguridad y codificación para las computadoras Bruce Schneier, refiriéndose específicamente al contexto estadounidense:
“Construir un sistema de votación por internet que sea seguro es un problema muy difícil, aún más que todos los demás problemas de seguridad computacional que se han tratado de resolver y han obtenido resultados negativos. Considero que los riesgos para la democracia son tan grandes como para intentarlo.”
Bruce Schneier, Crypto-Gram, 15 de febrero de 2001.
