I Informe
TECNOLOGÍAS DE VOTO ELECTRÓNICO
Informe a los presidentes de España y de Castilla y León,
D. José María Aznar y D. Juan Vicente Herrera
La comunicación que decide
EMISIÓN: 15-08-2002
--Ignacio Basallo

Índice

LA COMUNICACIÓN QUE DECIDE

El derecho a votar, el ciclo biológico y la fractura digital
La carga de la prueba
Pánico al agujero negro
La fuerza de la confianza percibida
Manipulación de votos y suplantación de identidad
Amenazas al Voto Electrónico
Soguar cuya funcionalidad debe estar bajo control
Voto electrónico y tecnologías implicadas
Importancia Estratégica del Voto Electrónico Distribuido

Existen dos tipos de votación electrónica:

Presencial. Sistemas de captación electrónica del voto con transmisión y conteo utilizando los colegios electorales tradicionales.

Remota. Voto que se pueden realizar desde el hogar u otros dispositivos con la seguridad requerida para validar sus resultados y solución natural dentro de la Sociedad de la Información y la era del conocimiento


> El derecho a votar, el ciclo biológico y la fractura digital

Mientras existan personas con derecho a voto que por razones de edad, de renta económica o falta de infraestructuras, no puedan ejercerlo desde sus casas a través del ordenador o cualquier otro dispositivo, existirán colegios electorales repartidos por todo el territorio. Es una circunstancia, sin embargo, que no interrumpe la conveniencia de captar el voto de manera electrónica en los distintos colegios electorales. Actualmente se trabaja sobre diversos sistemas que no alteran la funcionalidad del proceso actual pero con papeletas y urnas que realizan el recuento de manera automática y lo trasmiten electrónicamente. Los resultados totales se conocen al cierre de los colegios. Otros sistemas, con pantallas táctiles se han experimentado con demostrado éxito. Recientemente en Brasil se ha puesto en marcha un ensayado sistema de captación electrónica del voto que se almacena en un respositorio electrónico. El nuevo sistema permite a ese inmenso país, con bastas zonas con débiles infraestructuras de telecomunicación, conocer los resultados en el mismo día. Brasil venía necesitando entre siete o diez días para computar los resultados. El voto electrónico, además, ha mitigado sino eliminado el grueso de los incidentes asociados a los intentos de manipulación y extorsión. Es un sistema de gran interés para grandes países, grandes extensiones y débiles infraestructuras de telecomunicaciones.

El sentido común, no obstante, nos dice a todos que la organización electoral que hoy conocemos terminará aligerándose y haciéndose mucho más eficiente, con traslado del sistema hacia soluciones de voto mixtas (remotas y presenciales) en una primera fase, y remotas en la fase siguiente.

> La carga de la prueba
Los sistemas electorales son sistemas que organizan la desconfianza, los hacen viables sin necesidad de renunciar a la desconfianza. Es una definición áspera de los procesos electorales. Los procesos electorales podrían describirse, asimismo, como un sistema cívico para vencer la desconfianza. Es menos áspero y se pone el acento en la parte más amigable, la regulación de la convivencia.

El debate sobre el voto electrónico no es nuevo, se corresponde con una necesidad sentida por las administración públicas del mundo entero y hace tiempo que inició su recorrido. Transcurrido cierto tiempo, digamos el primer asalto, es evidente que se ha tratado de un debate atormentado por los problemas de seguridad con la melodía de fondo de la desconfianza.

Nadie ha dudado de la irreversibilidad del proceso tecnológico. Se ha dudado de los sistemas para organizar la confianza en la nueva capa tecnológica. En los sistemas electorales tradicionales es habitual pasar los resultados por teléfono o por ordenador para un conteo central informático. Es cierto que existe el respaldo de las actas electorales para los supuestos de alegaciones o impugnación, que se trasportan personalmente hasta la junta electoral de distrito, pero no lo es menos, que las nuevas tecnologías ya están presentes. Por lo tanto es más ajustado partir del hecho contrastado de que el voto electrónico ya está presente en la mayor parte de los procesos electorales que se registran en el mundo.

El sistema que hoy conocemos, que ya sabemos que es mixto (manual-electrónico) se apoya en la confianza que proporcionan las mesas electorales en las que están representadas las partes y la autoridad electoral. La confianza se cimenta en la existencia de un conteo manual y transparente y una documentación compartida y por escrito de las cuentas de las distintas mesas electorales.

El supuesto de partida es que estamos ante un proceso electoral que capta el voto manualmente (papeletas y urnas) y cuyo recuento viaja electrónicamente para un conteo informático). La siguiente fase es la captación electrónica del voto en sustitución al proceso manual.

¿Es vulnerable el actual sistema electoral?. Es de justicia reconocer que el proceso disfruta de confianza y credibilidad. A pesar de lo cual el sistema no puede impedir incidencias y episodios de distinta naturaleza siendo el más llamativo la compra de votos o la invención de votos, episodios aislados e irrelevantes en los países democráticos y más o menos generalizados cuando la parte más turbia de la naturaleza humana se superpone sobre valores y sistemas cívicos mutuamente compartidos. Es correcto, por lo tanto, advertir que los problemas de seguridad son provocados por la naturaleza humana y no por los sistemas, cuya misión es la eficiencia.

La carga de la prueba reside en la naturaleza de la condición humana y el desarrollo cívico de las distintas sociedades. El sistema que hoy se conoce, produce distintos resultados dependiendo del tipo de sociedad que lo ejecute. La carga de la prueba recae en las sociedades que despliegan los sistemas hoy conocidos. En sociedades evolucionadas o transparentes, con sólidos principios y separación de poderes la eficiencia del sistema está fuera de discusión. Al revés, cuando los principios flaquean y la separación de poderes ha sido suplantado por regímenes personales o autoritarios, los sistemas electorales tienden a transmutarse en poco fiables.

A los sistemas electorales, por tanto, conviene exigirles la máxima eficiencia posible y sobre todo que sean perfectibles. Es un error desenfocar el problema y pedirle al sistema, y poco importa que sea manual o electrónico, que responda a cada una de las desconfianzas de los electores o a las ineficiencias de las autoridades electorales o las partes contendientes. Al sistema hay que exigirle eficacia debidamente contrastada que es lo que le pedimos a cualquier sistema. Pedirle al sistema que se comporte con eficacia fuera de contexto, que sea eficaz de manera universal y se sobreponga a la condición humana es desenfocar el problema.

> Pánico al agujero negro
¿Cómo sé que mi voto ha llegado al sistema? ¿Y si los votos fueran tragados por un gigantesco agujero negro?. Es el miedo al hombre del saco. Sin darle al sistema la posibilidad de que demuestre su eficiencia son muchos los que se disponen a pedirle todo tipo de garantías. En dicha dirección trabajan casi todos los proyectos y todas las soluciones. Se intenta construir sistemas de alta garantía, para que proporcionen pruebas de que el voto ha sido emitido y recibido. Y tanto celo se pone en garantizar dicho proceso que se pretende en ocasiones que el sistema, a mayores, proporcione pruebas a cada elector de que su voto se ha computado correctamente.

La exageración del celo y las cautelas, como se ve, puede llegar al absurdo o a la desnaturalización del proceso electoral poniendo en riesgo, incluso, el anonimato necesario del voto y sentando las bases de su trazabilidad y por lo tanto, de los mecanismos de coerción o defraudación democrática.

> La fuerza de la confianza percibida
Existen dos tipos de confianza para el caso que nos ocupa
Positiva. La que se deriva de la eficiencia del sistema
Reactiva. La que necesita ser demostrada segundo a segundo, continuamente, de por vida, y de uno en uno.

La primera de ellas es una confianza funcional, real, con eficacia empírica, así percibida, y que no necesita demostrar que es verdadera. La segunda es un confianza imposible de alcanzar y se corresponde con un estado de ansiedad. Es un tipo de confianza que busca la verdad extraviando su significado y excediendo los límites de la ley.

La confianza percibida es la piedra angular para la implantación de cualquier sistema. La confianza percibida es directamente dependiente de la confianza positiva y se
construye con la funcionalidad del sistema que se pretende implantar. La confianza percibida se construye sobre la eficiencia del sistema y la comunicación, que es imprescindible desarrollar para facilitar su acogida social. A los méritos del sistema, aportando sus índicadores de eficiencia, conviene reforzarle o arroparle con los preceptivos esfuerzos de comunicación para facilitar su aceptación social.

Un caso paradigmático de fallo continuado del sistema son los sistemas mecánicos de captación del voto (La Florida) con un nivel de incidencias muy superior al soportable. Se les imputa que generan demasiados papeletas con error con las correspondientes pérdidas para los candidatos en liza, es decir, desperdician votos o derechos ciudadanos en una cuantía que excede lo consentible por imperfección de los procedimientos.

> Manipulación de votos y suplantación de identidad
Cualquier sistema electoral tiene que garantizar

1.

Que el voto es secreto y no existen procedimientos que estimulen la coerción (confirmaciones de voto)

2.

Que votan, exclusivamente. los que tienen derecho a hacerlo

3.

Que el voto una vez emitido no es modificado

4.

Que el voto se contabiliza una única vez

5.

Que los votos con errores no son contabilizados

Se insiste con frecuencia sobre la conveniencia de que el sistema de voto electrónico proporcione garantías ciudadano a ciudadano sobre su confiabilidad. No estamos seguros de que se trate de un asunto capital. Nos parece un asunto menor cuya conjetura se disipa con la eficiencia que el sistema debe demostrar. En ocasiones se confunden los problemas de rechazo tecnológico o prejuicios preestablecidos, de naturaleza ajena a la funcionalidad o a la eficiencia con la que el sistema resuelve los procesos que ejecuta, con problemas técnicos. Conviene saber que las soluciones técnicas nunca podrán dar cumplida satisfacción, no está a su alcance, a los prejuicios de distinta naturaleza.

No se dice que no se deba auditar los procesos de los sistemas de voto electrónico, se señala que para los errores de procedimiento, con toda la casuística que se quiera añadir existen auditorías de procedimiento. El sistema electrónico debe entrar en funcionamiento cuando la ley lo decida, en las condiciones que decida, con las precauciones que decida y custodiar los datos en el soporte más conveniente y menos expuesto a ataques o manipulaciones.

La arquitectura web o la ingeniería de procesos que se siga, con un servidor central, con servidores distribuidos, reproduciendo el organigrama de los distritos o las juntas electorales y descentralizando los riesgos, o añadiendo confiabilidad con dos estructuras paralelas, datos que corren al servidor central y a los servidores distribuidos y cuyos resultados necesariamente tienen que coincidir, constituye un elemento opinable de la arquitectura.

La arquitectura del sistema es una pieza clave para rebajar los riesgos de ataque o conspiración y para garantizar que el voto es fácil, que la tarea de votar, leer y contar está limitada en el tiempo por la capacidad de computación de la plataforma más la velocidad de las redes, y que la arquitectura elegida es neutral al tamaño de la población o los problemas de escalabilidad.

> Amenazas al Voto Electrónico
Los problemas asociados al voto electrónico están perfectamente identificadas.

1.

Problemas o errores de procedimiento (arquitectura lógica y física y administración del sistema)

2.

Soguar cuya funcionalidad no está bajo control (no se dispone del código-fuente)

3.

Manipulación de votos y suplantación de identidad

Para dichos problemas existen cuatro amenazas reconocibles:

1.

Ataque interno realizado por quien suministra o administra la solución

2.

Ataque privilegiado por parte de las autoridades electorales

3.

Ataque de crackers individuales

4.

Que el voto se contabiliza más de una vez

5.

Ataque de una organización muy poderosa, utilizando medios combinados (electrónicos y operaciones especiales)

La conspiración desencadenada por organizaciones muy poderosas tendría que ver con la manipulación de los resultados de distritos clave o decisivos, la sustitución de la señal o la manipulación remota de las tareas de computación (entrada en el sistema). Conspiración que nos parece desmedida si el sistema ha sido probado y auditado correctamente. Si no se cumple ninguno de los supuestos antedichos sería preciso corromper a las autoridades electorales, interventores y administradores de los distintos servidores. Se trata de circunstancias que escapan, en buena parte, de ámbito de la tecnología y entran de lleno en el campo de las contramedidas de inteligencia y la defensa de las garantías constitucionales cuando del interés general se trata.

Los peligros asociados a los crackers deviene en casi todos los casos de los siguientes planteamientos:

1.

Trabajar fuera de la institución

2.

Declarar que la institución es malvada

3.

Retar a la institución

4.

Subvertir la institución

5.

Convertirse ellos mismos en institución

6.

Atraer la atención de la institución

7.

Repensar la institución

Son planteamientos que no se consideran especialmente amenazantes para los sistemas de votación electrónica. Se corresponden por fortuna, con las posibilidades que los sistemas democráticos brindan a sus ciudadanos que, en ocasiones, es cierto, algunos interpretan de forma excesiva.

De otro modo no conviene exagerar las demandas de privacidad por encima de las leyes físicas que gobiernan las sociedades enlazadas, organizadas, interdependientes, que precisan de la organización de complejos flujos de intercambio de información y servicios. Los discursos sobre seguridad tan al uso tienden al choque de trenes entre la privacidad y la transparencia, dos categorías enfrentadas y que sin embargo están llamadas a convivir. Se reclama máxima transparencia de lo público y máxima privacidad de lo privado como si ambas entidades no fueran entidades de relación, precisamente lo que las permite existir.

La privacidad es un concepto histórico influible y opinable, en nada se parece a un derecho infinito. Muchos discursos sobre la seguridad en las redes tienen más que ver con exageraciones que con un razonamiento lógico. Los ataques que dichos grupos pueden realizar contra el sistema, no siendo imposibles, dado que la seguridad 100 no existe, forman parte constitutiva de los retos a superar. El mejor certificado para cualquier plataforma es la eficiencia demostrada.

> Soguar cuya funcionalidad debe estar bajo control
No es un tema menor, subalterno o despreciable. Es un tema estratégico y de importancia capital. Sistemas de voto electrónico con tecnologías de soguar cerradas y cuya funcionalidad escapa al control de las autoridades electorales y a los interventores, son sistemas que las administraciones públicas deben rechazar, salvo que se quiera quebrar alegremente la línea de confianza que exige todo el proceso.

La arquitectura lógica, la capa lógica, el soguar, debe aportarse en código abierto, legible por humanos y deben descartarse por la inseguridad y perturbación que aportan, aplicaciones cerradas, cuya funcionalidad no está bajo control de las administraciones, con los problemas derivados, muy graves, de opacidad y ruptura de la cadena de valor o línea de credibilidad.

> Voto electrónico y tecnologías implicadas
Para los sistemas que se apoyan en mesa y colegios electorales, los sistemas que están implantándose o en fase de estudio son variados:

1.

Pantallas táctiles con fotografías de los candidatos

2.

Papeletas especiales que se pliegan sobre sí mismas y cuyo contenido es leido por una máquina antes de caer en la urna (sistemas electro-ópticos)

3.

Reconocimiento de identidad vía DNI electrónico o firma digital

El voto electrónico remoto le debe mucho a Lorrie Faith Cranor [http://lorrie.cranor.org/] y sus trabajos iniciales que [http://lorrie.cranor.org/pubs/hicss/hicss.html] se remontan al año 1996. Trabajos que, aún no siendo los primeros —todos somos deudores de nuestros antecesores— han sido fuente de inspiración para la totalidad de los proyectos privados y públicos que poco poco se han ido desarrollando. Podría decirse que la totalidad de proyectos de investigación que hoy están en marcha tributan a Lorrie Cranor desde el punto de vista tecnológico y a Schoenmarker, desde el punto de vista de la encriptación homomórfica.

Las herramientas de doble clave (PKI), pública y privada, el lenguaje de encriptación y la adecuada arquitectura web constituyen piedras angulares de las soluciones de voto remoto. Todo ello sin demérito de la extraordinaria complejidad de que da fe la inexistencia de soluciones terminadas, si se exceptúa a VotoHere (empresa de los EE UU) cuya tecnología ha sido probada en supuestos reales.

La encriptación homomórfica (pruebas de conocimiento cero) aporta

1.

Que nadie sabe qué ha votado el elector

2.

Que se pueden contabilizar correctamente los votos sin desencriptarlos

Todo el mundo conviene que el sistema de clave compartida o rota en los pedazos que se decida, en manos de personas distintas, garantiza que el sistema se pone en funcionamiento a la hora prevista, en el momento previsto, en las condiciones previstas y de igual modo su parada. Sobre el almacenamiento de los datos y su custodia las posibilidades son variadas dependiendo de las garantías adicionales que se persigan.

> Importancia Estratégica del Voto Electrónico Remoto
El uso de voto electrónico para acompañar decisiones ejecutivas para diferir su decisión al electorado o a su base social, para mejorar su calidad o reforzar una negociación irá ganando terreno poco a poco. Los procesos de información y consulta irán poco a poco invadiendo el ámbito de las decisiones solitarias. La interacción entre individuos, entre grupos sociales, entre electores y elegidos, entre administraciones y entre estados no cesa de crecer. El voto electrónico y las soluciones cualificadas que se están construyendo, desde luego perfectibles, contribuirán sobre manera a agilizar, estructurar y consolidar lo que en la vida real ya es un hecho.

El voto electrónico distribuido irá ganando, poco a poco, espacio en nuestras vidas de la mano de las soluciones que hacen fácil y sencillo ejercer nuestro derecho al voto, participar en los asuntos públicos y desde luego, en todos aquellos procesos electorales, indicativos o con cumplimiento, que numerosas entidades de derecho público y privado desarrollan.

Los sistemas de voto electrónico están siendo orientados al Voto de Estrategia Declarada, es decir, voto efectivo + voto de puntuación [http://lorrie.cranor.org/dsv.html] (entre cero y más parámetros), hablamos de fundir el sondeo y el voto decisivo en un nuevo concepto de voto. Los sistemas avanzarán hacia soluciones tecnológicas que puedan computar el voto decisivo + el voto expresivo. Su importancia estratégica deriva del hondo impacto sobre los sistemas de elección que hoy conocemos, sobre la sofisticación y calidad que añade y el modo en que transforma nuestras instituciones. Estamos ante un problema matemático y de programación, pero también ante un problema cívico-político.

Estamos hablando de internet, de la nueva capa tecnológica que hace posible lo que hasta hace bien poco era un sueño. ¿Es imaginable, en un horizonte de muy pocos años, un CIS (Centro de Investigaciones Sociológicas), sin el apoyo de estructuras de voto electrónico?; ¿es imaginable universidades sin el apoyo de estructuras complejas de voto electrónico?, por poner un ejemplo. ¿Cómo se configurarán los órganos de representación y decisión del futuro, cómo afectará a su fluir?.

Los sistemas de voto electrónico remoto alcanzará fuerza jurídica y su despliegue se acompasará al ritmo de evolución de las distintas sociedades. Su importancia descansa en la fuerza jurídica de sus resultados y su importancia estratégica en la fuerza indicativa (expresiva) de los resultados. Los sistemas de voto electrónico tendrán como primer efecto el reforzamiento de todo tipo de poderes y al tiempo, como paradoja, una mayor democratización de los mismos.

Las plataformas que hacen posible el voto electrónico distribuido, generarán en el curso del tiempo numerosas empresas con capacidad y competencia para implantarlas. Estarán construidas con código abierto para auditar su eficiencia y proporcionar disponibilidad plena de su funcionalidad a las distintas administraciones, instituciones o entidades, públicas y privadas, incluidas las empresas. Y será código que se protegerá o encriptará para preservarlo de manipulaciones.

--------------------
Texto.
Documento elaborado por el OVE
Fecha.
15/Agosto/2002

Primera
Informes a los Presidentes
La llave · Revista
OVE
Ediciones Votobit
Misiones de Observación
Consultoría
Certificación
Master Internacional*
(*) En preparación
• IV Informe
¿Cuánto vale confiar?
OVE • Emisión 15-09-2004

• III Informe
El Efecto hip-hop sobre el voto-e
OVE • Emisión 15-07-2003

• II Informe
La urna que guarda silencio
OVE • Emisión 15-01-2003

• I Informe
La información que
decide

OVE • Emisión 15-08-2002
NUEVO Emisión 24-06-05
Diseño de una plataforma de democracia digital
Por Ana Gómez Oliva, Sergio Sánchez García, Carlos González Martínez, Emilia Pérez Belleboni y Jesús Moreno Blázquez
r


NUEVO Emisión 27-05-05
Is there a future for internet voting?
Por Stephen Mason, Barrister

NUEVO Emisión 27-05-05
Voto Electrónico. Antecedentes y despliegue
Por Macarita Elizondo Gasperín

El computador cuántico y el final de la criptografía de clave pública
Por Fernando Acero Martín
Emisión 15-03-2005

El caso Indra
Por Antonio Yuste
Emisión 01-03-2005

Cuestionario OVE
Prueba Piloto en España de Voto por Internet
Observatorio Voto Electrónico Emisión 27-01-05

Consejo de Europa Recomendaciones legales y técnica sobre voto electrónico
Emisión 05-10-04

Informe. Elecciones catalanas de 2003
Por Jordi Barrat i Esteve y Josep Maria Reniu i Vilamala

DNI electrónico y firma electrónica

Por Fernando Acero
Emisión 24-04-03

La democracia
se pone al día

Por Javier Tornadijo
Emisión 28-03-2003

La automatización del proceso electoral
Por Ángel A. de la Rosa
Emisión 07-03-2003

Esto es lo que parece
Por Antonio Yuste
Emisión 10-02-2003

Los núcleos de decisión entran en el quirófano
Por Jorge A. García Diez
Emisión 03-02-2003


Estrategias civiles para crear transparencia
Por Antonio Yuste
Emisión 03-02-2003

El bucle decisor
Por Ángel Alonso
Emisión 15-08-2002

Estándares para los sistemas de votación
Comisión Electoral Federal de los EE UU

Patrocinio · Contacto
OVE (Observatorio Voto Electrónico) · Campus de Vegazana
Edificio Tecnológico, s/n · 24071 León - España · tel +34 987 291 915