Voto sin secretos
Un equipo de investigadores de Exactas UBA se presentó ante un plenario de comisiones del Senado y demostró, en vivo, lo sencillo que resulta vulnerar el secreto del sufragio con un sistema electrónico, aun sin el chip en la boleta e imprimiendo el voto con una impresora hogareña. Luego de la presentación, contestaron preguntas de los legisladores y expusieron otras graves deficiencias del proyecto que impulsa en Poder Ejecutivo.
Imaginemos la siguiente situación: en un país sin nombre, en un tiempo indeterminado, el Presidente de la Nación envía al Parlamento un proyecto de ley que propone sumar una nueva vacuna al calendario sanitario que, según promete, traerá aparejada una mejora revolucionaria para el bienestar de la población. Los legisladores lucen muy entusiasmados con la propuesta y prometen darle una rápida aprobación. Sin embargo, cuando comienza la ronda de consultas, prácticamente la totalidad de la comunidad científica y médica, de ese país y del exterior, se manifiesta absolutamente en contra de la iniciativa y asegura que, de aplicarse, la nueva vacuna afectará gravemente la salud de la gente. Para disipar cierta incredulidad manifestada por los congresistas, los expertos realizan demostraciones en las que inyectan una dosis a diferentes voluntarios que, rápidamente y ante la vista de los legisladores, comienzan a sufrir todo tipo de síntomas negativos. Frente a un escenario de estas características, ¿estarían dispuestos esos diputados y senadores a seguir adelante con esa iniciativa?
Cualquier coincidencia de esta historia con la situación que se está viviendo la Argentina a partir del proyecto que impulsa la adopción del voto electrónico, no es pura coincidencia. La semana pasada, en un nuevo capítulo de las audiencias públicas convocadas por la Cámara Alta para escuchar las opiniones de las distintas partes interesadas en la iniciativa, un equipo de investigadores del Departamento de Computación de la Facultad de Ciencias Exactas y Naturales de la UBA, concurrió al plenario de comisiones para demostrar, delante de todos presentes, de qué manera se podía vulnerar el secreto del voto si se aplicaba el sistema electrónico.
Participaron de la presentación Nicolás D’Ippolito, licenciado en Computación de Exactas UBA, doctorado en el Imperial College de Londres; Hernán Melgratti, ingeniero en Sistemas de Información de la Regional Santa Fe de la UTN, doctorado en la Universidad de Pisa. Ambos son, además, investigadores de CONICET y docentes de la Facultad. Ellos contaron, también, con el apoyo del licenciado en Computación Matías López.
Voto cantado
La reunión había sido convocada para la tarde del jueves 17 de noviembre en el Salón de las Provincias del Senado de la Nación. Allí tuvo lugar un plenario de comisiones, presidido por Marcelo Fuentes (FPV Neuquén), durante el cual, una docena de senadores de diferentes partidos y provincias escucharon por más de cuatro horas los argumentos a favor y en contra del proyecto enviado por el Ejecutivo, que cuenta con media sanción de la Cámara de Diputados. A favor: representantes de empresas y funcionarios del Gobierno. En contra: científicos y expertos de una gran diversidad de instituciones académicas y organizaciones no gubernamentales.
Aproximadamente una hora después de comenzado el encuentro fueron convocados los informáticos de Exactas UBA. La presentación requería de un trabajo previo de conexión de una laptop y una impresora hogareña. Además, a través de un proyector, todos los presentes podían observar lo que se hacía en la computadora.
Hernán Melgratti tomó la palabra para explicar que la idea era reproducir una situación de voto con el sistema electrónico. Para eso se iban a necesitar cinco colaboradores: uno de ellos iba a hacer las veces de fiscal; otro, de escribano, y el resto, de sufragantes. Tendrían que optar por alguno de los tres candidatos previstos: Mafalda, Clemente y Patoruzú. Una vez decididos, debían apretar un botón en la pantalla y el voto saldría impreso. Melgratti aclaró que, para esta demostración, la boleta no contenía ningún chip y que se utilizaría «una impresora sencilla como la que cualquiera puede tener en su casa». Luego, el votante debía controlar que en la boleta apareciera el candidato por el que votó y el «escribano» certificaría el voto y lo mantendría bajo vigilancia para evitar que pudiera ser cambiado.
Antes de comenzar la escenificación, se le pidió a D’Ippolito que se despoje de todo aparato electrónico y, luego, se lo hizo sentar con los ojos tapados, de espaldas a la pantalla, de manera que fuera imposible que viera la elección de cada senador. «Al mejor estilo Tu Sam», bromeó Fuentes.
Una vez que todo estuvo listo, cada uno de los tres «colaboradores» fue pasando y emitiendo su voto sin inconvenientes. La operación era seguida con atención por todos los presentes. Finalizada la «elección», se le pidió al «escribano» que mezcle los votos.
D’Ippolito, ya sin la venda, pidió las papeletas, una birome y un par de minutos para completar la operación. El ambiente se cargó de tensión y ansiedad. Finalmente, el informático se dirigió al auditorio y señaló: «María votó por Patoruzú, Rosita por Clemente y Omar por Patoruzú». Ciento por ciento de efectividad, lo que provocó el asombro generalizado.
Antes de explicar el método aplicado para llegar a tan certera «adivinación», D’Ippolito repartió las boletas entre los senadores y les pidió que las revisaran con detenimiento para ver si encontraban algún tipo de irregularidad. La respuesta fue negativa en todos los casos.
El investigador, entonces, comenzó a revelar sus secretos. Explicó que los legisladores no se dieron cuenta de que las boletas tenían unos micropuntos, apenas perceptibles, en algunas de sus letras. “Básicamente, lo que hicimos fue codificar el orden del voto usando micropuntos. Es decir que, mirando esos puntitos se puede determinar el orden del voto (ver foto). Luego, sólo falta que un fiscal amigo u otra persona, tenga el orden en el que sufragaron las personas y ya está. Ya podemos determinar qué votó cada uno. En síntesis: necesitamos un sistema vulnerado, un fiscal amigo y saber dónde buscar los puntitos”.
Un factor inquietante es no hace falta ser un tecnólogo o tener un doctorado para saber interpretar esos micropuntos. Ese trabajo lo puede hacer cualquier persona, con un mínimo entrenamiento previo. Sólo necesita saber sumar y tener buena vista.
“Esta que les cuento es una codificación de orden pero podrían codificarse muchas otras cosas que serían, para nosotros, muy sencillas de implementar. Pero el mundo de la informática es tan vasto que yo no sé cuántas otras puede haber y cuántas otras van a aparecer con el tiempo debido a innovaciones tecnológicas”, se sinceró D’Ippolito y, en seguida, fulminó: “Cuando uno implementa un software para la impresión del voto lo que está pasando es lo siguiente: hay una máquina que tiene memoria, que tiene poder de cómputo, que conoce el orden y el contenido de los votos. Por lo tanto, hablando mal y pronto, estamos implementando el voto cantado. La diferencia es que esa información, en principio, la controla una computadora. Pero la información está ahí y no sabemos si alguien, en algún momento la va a extraer”.
Vulnerabilidades por aquí y por allá
Más adelante, con la ayuda de un Power Point, los investigadores detallaron algunos errores en software crítico que afectaron a empresas multimillonarias que, por supuesto, habían sido testeados y auditados por expertos de gobiernos y del sector privado. En ese sentido, citaron el caso del aeropuerto de Heathrow, el más importante de Inglaterra y uno de los más activos del mundo, donde por un fallo del sistema se perdía una de cada mil valijas, lo que produjo pérdidas multimillonarias. Otro ejemplo fue lo ocurrido con el cohete francés Ariane 5, que explotó 37 segundos después de despegar; debido a un problema del software el vehículo decidió poner en marcha el sistema de autodestrucción. “Hasta aquí hablamos de errores, en sistemas súper auditados y mucho dinero perdido”, precisaron.
Inmediatamente, se refirieron al escándalo de proporciones mundiales que estalló sobre la multinacional alemana Volkswagen cuando se descubrió que había instalado ilegalmente un software para cambiar los resultados de los controles técnicos de emisiones contaminantes en once millones de automóviles con motor diésel, vendidos entre 2009 y 2015. “El software estaba diseñado para comportarse de distinto modo en diferentes momentos. Entonces, cuando el auto se encendía en modo auditoría era el vehículo mas ecológico del mundo. Pero en la calle sus emisiones superaban por mucho los límites establecidos”, cuenta D’Ippolito y concluye: “Yo puedo auditar durante años, con los mejores especialistas del país, un sistema de voto electrónico. Pero nunca voy a a poder garantizar que, el día de la elección, ese software no se comporte de una manera diferente”.
Como cierre de la presentación, los investigadores quisieron remarcar dos ideas claves que querían dejar bien en claro frente a los senadores: “Por un lado, ninguna auditoría puede garantizar la ausencia de vulnerabilidades en el software. Por otro, el software no puede garantizar el secreto del voto. Esto vale, tanto para la boleta con chip, como para el sistema que utiliza una impresora supuestamente simple o boba”.
Preguntas y respuestas
Finalizada la exposición, varios senadores quisieron aprovechar el momento para sacarse algunas dudas. Fuentes quiso saber si era posible, a través de la máquina, cambiar al candidato elegido por el votante. “Si el sistema es vulnerado claramente sí -respondió Melgratti-. Tranquilamente se podría hacer que la boleta impresa no refleje la elección del votante. Así como uno puede introducir manchas también puede introducir cambios aleatorios en los votos”.
Por su parte, el senador Omar Perotti quiso saber si la introducción de un escáner para leer las boletas durante el conteo de los votos podría generar problemas similares a los descriptos con las impresoras. Luego de pensarlo por unos segundos, Melgratti señaló que, en este caso, había una diferencia fundamental: el dispositivo no estaría interviniendo en el momento de la emisión del voto sino que aparecería después. “De allí que, a priori, no parece que pudiera vulnerar el secreto del voto. Aunque pone en peligro otro aspecto: que la cuenta sea la correcta. Allí puede aparecer una vulnerabilidad, pero quizás el recuento manual posterior podría solucionarlo”.
Posteriormente, una senadora consultó a los expertos, sin rodeos, si consideraban más probable la posibilidad de un fraude con el voto electrónico o con el voto en papel. D’Ippolito prefirió no formular una respuesta directa, aunque no dejó de ser contundente: “Lo que te puedo decir es otra cosa, que es muy parecida. Cuando vos tenés un sistema de voto en papel, si vos querés hacer fraude, entiendo que tenés que ir vulnerando urna por urna. El voto cadena y otros mecanismos sobre los que escuché hablar, deben aplicarse urna por urna. Se trata vulnerabilidades locales que requieren muchísimos recursos para implementarse a gran escala. Cuando vos tenés un software de voto electrónico, ese software fue producido y auditado por unas cincuenta o sesenta personas. Si cualquiera de ellas tiene malas intenciones puede vulnerar el sistema a nivel global. No es urna a urna, es global. Entonces, con el voto electrónico, uno abre la posibilidad de que se produzca un sabotaje a gran escala a bajísimo costo”.
Plenario completo
El plenario de comisiones del Senado completo con las exposiciones de todos los especialistas convocados, incluidos los investigadores de Exactas, se puede ver en: http://bit.ly/exactasenelsenado