No debería sorprenderle a ningún lector habitual de esta página el interés que tiene quien escribe en entender el paradigma tecnológico que nos llevaría a una sociedad capaz de autogestionarse de manera muchísimo más eficiente.
Hemos hablado de sistemas de gestión ciudadana a nivel marco (comunidades), de cómo la irrupción tecnológica plantea un escenario de destrucción de trabajo donde la renta básica universal parece, a priori, la única salida, de la necesidad (o no) de tejer una infraestructura de comunicación controlada, de los riesgos y retos que supone la mirada más democrática a la democracia, y como ello tiende a pervertirse.
Hoy quería centrarme en las garantías de los sistemas de voto online. Uno de los pilares en los que asienta esa hipotética sociedad autogestionada, y que evita, gracias a la tecnología, diferentes abusos y limitaciones que tiene el sistema físico de voto de la actualidad.
El tren digital
No hablamos de algo de lo cual no tengamos ya antecedentes.
Sin ir más lejos, el ejercicio que realizó en su momento Podemos para ofrecer un sistema lo más democrático y accesible posible que sirviera a sus bases para gestionar los votos fue ampliamente cubierto (y criticado) por Ricardo Galli en un extenso artículo (ES).
Hace apenas unas semanas se conocía que un grupo de cibercriminales había conseguido acceder a las bases de datos de los votantes de Arizona e Illinois (EN). Sin permisos para modificarla, pero en todo caso, exponiendo los datos privados asociados a ideologías políticas de cerca de 200.000 personas, que se dice pronto.
Y el corolario en ambos casos es el mismo: Tenemos la capacidad de crear un sistema de voto que es a la vez más robusto y débil que el habitual de papeleta en mano.
Hay razones, como decía, para pensar de ambas formas:
- Por un lado, el sistema es más universal: en tanto en cuanto, indistintamente de dónde esté la persona, puede emitir su voto, rompiendo así ese problema que habitualmente salpica a todos aquellos ciudadanos que están, por el motivo que sea, fuera del país, o con incapacidad de acercarse a un colegio electoral. Un porcentaje de la ciudadanía que ve censurado su derecho a voto en base a los problemas logísticos que tendría hacérselo llegar (y si me apura, a intereses de la más diversa índole que no vienen al caso…).
- Por otro, se delega en un software las garantías que anteriormente se delegaban en cada mesa electoral: Un software que no es inexpugnable, y que correrá además por dispositivos que pueden o no estar comprometidos de antemano, con unas comunicaciones que podrían o no estar comprometidas. En una mesa electoral, al menos en teoría, debería haber varios representantes que en su conjunto conforman una suerte de ideologías antagónicas que minimizan el eventual interés de un colectivo en romper esa esperable neutralidad del voto, mientras que un software es, a priori, lo más neutral y objetivo que pueda llegar a ser un algoritmo creado por humanos, con unos vectores de ataque que, al igual que sus usuarios, escalan globalmente.
En seguridad de la información hay un símil muy socorrido para definir este tipo de situaciones: El tren digital.
Antes de la llegada del tren, los bandidos únicamente tenían la capacidad de atracar a pequeños grupos de personas que viajaban en coches de caballos. Con la paulatina democratización de los viajes en ferrocarril, se abrió la veda a que esos mismos bandidos pudieran, de un solo atraco, obtener los bienes de cientos de personas (todos los que viajaban en el tren).
Con la llegada de internet ha pasado lo mismo, pero en vez de haber crecido incrementalmente, hemos pasado a unas gráficas exponenciales.
Todo aquel que se sube al tren digital está, como ocurría con el ferrocarril convencional, expuesto a un atraco masivo. Los bandidos de la actualidad solo tienen que dar un golpe exitoso, a sabiendas de que las víctimas se podrían contar por miles.
Y esto mismo compete al voto online. Basta con que un cibercriminal (o un grupo ciberactivista, o las aspiraciones totalitaristas de un colectivo específico) consiga comprometer la seguridad de ese sistema de voto electoral para que el impacto sea determinante.
No hablamos de que en tal pueblo la mesa electoral de ese colegio haya tergiversado los votos. Casi podríamos considerar que el error cometido final se ponderará, presuponiendo que corruptos los tenemos distribuidos casi equitativamente entre todas las mesas. Hablamos de un solo ataque exitoso, capaz de cambiar el voto hábil y por ende, el futuro de ese país.
O como ocurría en el caso de los dos estados de EEUU anteriormente mencionados, exponer la ideología política de cada ciudadano en una base de datos que quizás, en el futuro, pueda ser utilizada para fines verdaderamente maquiavélicos.
Si la seguridad es un problema, el anonimato es otro aún mayor
Por supuesto, siempre se puede mejorar el sistema para minimizar ese riesgo. El cifrado de punto a punto evita, en la amplia mayoría de situaciones, cualquier tergiversación que pudiera darse desde el dispositivo emisor al servidor que contabiliza el voto.
El reducir, como han hecho en algunos casos, el número de dispositivos capaces de emitir voto (dejando por ejemplo únicamente aquellos convenientemente controlados a nivel estatal (ES)) también evita esos eventuales casos en los que un malware pudiera interferir en el voto en su momento de emisión, antes de salir del propio dispositivo.
Pero hay un punto que por su complejidad ya adelanto que será el gran problema de estos sistemas:
¿Cómo podemos verificar la exactitud del voto y a la vez mantener el anonimato del mismo?
En los sistemas de voto en mesa electoral esto es relativamente sencillo. Nosotros nos identificamos, pero el voto se entrega en un sobre sellado dentro de una urna que únicamente se abrirá en el momento del conteo final. Se separa por tanto la identidad del voto, que «viajan» en diferentes canales únicamente unidos temporalmente y certificados por la presencia de todos aquellos representantes de la mesa, habida cuenta de que no hay voto sin haber identidad, y la identidad no está asociada a ningún voto tan pronto el mismo se mete en la urna.
¿Pero en el mundo digital? ¿A sabiendas de que cualquier comunicación va ineludiblemente asociada a un identificador?
Lo que en el mundo físico resulta sencillo de solventar, se vuelve un verdadero dolor de muelas en el digital. Tanto como para que paradójicamente, sistemas como el de la empresa española Scytl (EN), utilizados en estados como Alasca, o Everyone, utilizado en California, obliguen al usuario a aceptar su renuncia al derecho de voto secreto.
Que por más que se vanaglorien de ser sistemas «inexpugnables», la realidad es que han tenido que hacer concesiones tan críticas como el que no puedan afirmar con rotundidad que el voto no vaya asociado a la identidad de una persona.
Algo que rema, precisamente, en contra del derecho de voto democrático y anónimo que hasta ahora presuponíamos tener. Y un campo de investigación aún por cubrir, en el que me consta (EN/PDF) se lleva años trabajando sin más resultados (EN/PDF) que los por aquí expuestos.
Buenos días a tod@s y como siempre interesante información, para darle de vez en cuando un poco más a la cabeza… sobre el derecho de voto digital, y super innovador. Como todo lo que crea el hombre siempre hay una pata que cojea ¿no? el otro día leyendo un artículo sobre la seguridad y compras online «la incorporación de la tecla de compra en los teclados» sin necesidad de incluir los datos bancarios a la hora de comprar pero se asocia a una persona. Estaría bueno adaptar el voto digital a ese sistema y educar más a las personas y el estado invertir más en I+D y no solo a su interés…Un saludo
Ten en cuenta que los datos de pago ya están en algún lado. Es decir, el que no los metas cada vez no significa que no los tenga el servicio. Sea datos bancarios, o de servicios de pago online como PayPal.
Y aquí pasaría lo mismo.
Hay un acercamiento que me ronda la cabeza, y pasaría por utilizar un cifrado homomórfico, de tal manera que el sistema de identificación pudiera identificar al ciudadano sin poder descifrar el voto, y el sistema de votación hiciera lo propio con el voto sin tener acceso a los datos identificativos del ciudadano.
Aunque entiendo que el mayor reto radica en simplicarlo de cara al usuario.
como si el voto «en sobre» fuera muy anonimo… todos dejamos las huellas dactilares en el papel y el adn en la saliva con la que cerramos el sobre…
Joer, eso sí es rizar el rizo jajaja. Quiero pensar que los tentáculos totalitaristas no llegan hasta ese punto :P.
Hace unos dos o tres años me hice este curso que habla, precisamente, sobre todo esto.
Muy buen curso y muy bien explicado todo. Luego comprendí lo difícil que era «cualquier» sistema de votación.
https://www.coursera.org/learn/digital-democracy
Buen aporte Manuel, as usual. Me lo apunto para echarle un ojo :).
El sistema de voto tradicional, y en especial el Español que es el que conozco, tiene implementados una serie de medidas de seguridad que lo hacen especialmente robusto y seguro, dejando de lado que el voto por correo no tiene nada de seguro (si no más bien lo contrario) Aunque he leído sobre algunas mejoras, con respecto a que se asegure que el voto sea secreto, que se falsifiquen los datos de una mesa electoral es prácticamente imposible, alterar muchas mesas es impensable. El conteo es algo público en el que cualquiera puede estar presente, los interesados suelen estar para asegurar que no hay fraude. Se imprime un listado y se van tachando los que aparecen (ciertamente esos listados se pueden considerar un leak del sistema) no veo viable una asociación de voto con votante, o por lo menos tremendamente compleja salvo algún tipo de ataque dirigido…
A lo que vamos. El voto electrónico. He leído en varias ocasiones en que punto estamos en el voto electrónico, y el mayor problema es asegurar que el voto sea secreto. Personalmente tengo mis dudas acerca de por que el voto deba ser secreto, pero también las tengo acerca del sistema electoral al completo, el cual considero desde mi humilde punto de vista, una farsa absoluta. Pero dejando de lado este punto que no viene al tema, entre los sistema que me parecen que se acercan más a la solución, he visto algunos sistemas basados en servidores distintos para emitir el voto y para registrar quien ha votado y quien no. El anonimato va a ser complicado, si queremos registrar quien ha votado y quien no, la posibilidad de asociar las marcas de tiempo van a ser complejas de desasociar.
Lo de poder votar desde casa o desde un equipo situado en un punto estratégico tiene sus ventajas y sus inconvenientes. Un equipo personal puede ser secuestrado con más facilidad que un equipo dedicado para emitir votos. Pero por contra que un votante pueda hacerlo desde cualquier equipo facilitaría la participación ciudadana, no solo en la farsa cada cuatro años, si no en una democracia de verdad, en la que el ciudadano podría dar su opinión en aquellas decisiones que considerase oportuna. Incluso, si su voto no es secreto permitiría que en un momento dado, el elector le retirara su apoyo al voto emitido, cambiarlo o recuperarlo para no ser representado y votar por el mismo.
La mayor pega es que el sistema actual ofrece una serie de garantías que el voto electrónico no ofrece, así como tenemos asumidas sus deficiencias.
También es cierto que si ya hay dudas razonables acerca de la manipulación de los resultados electorales en el sistema actual, en un sistema electrónico las dudas y las manipulaciones conspiratorias serían sin lugar a duda mayores.
Y entre las dudas razonables del sistema actual, en tiempos podías consultar en la web del ministerio los resultados de cada mesa, actualmente solo puedes consultar las localidades, en aquellas localidades con una o dos mesas electorales la manipulación es difícil, dado que es fácilmente verificable, pero en ciudades grandes es más fácil perder esa perspectiva, y es aquí donde los conspiranoicos afirman que se han manipulado los resultados electorales. Ciertamente, tengo mis dudas que los representantes de cada partido no registren los resultados por mesa en cada una de las mesas y cotejen los datos, dado que son parte altamente interesada (en concreto los grandes perdedores) Pero si creo que es un derecho tener la absoluta certeza de que no se ha atentado con lo que el poder llama democracia.
En cuanto a dejar las huellas dactilares en los votos, o en los sobres es rizar muy el rizo. En el sobre, que es donde más huellas hay, se pierden al abrirlo. También se mezclan con las huellas los que cuentan, digamos que nos iríamos a lo que se ve en series como csi. Una vez termina el conteo los votos se custodian hasta que se destruyen. Para acabar con la intimidad sería necesario tener acceso a los votos durante la custodia y analizar todos los votos de varias urnas es prácticamente imposible, nada comparable con lo que nos encontraremos con el voto electrónico.