Artículos

Resulta “técnicamente complejo” asegurar el anonimato del voto online

voto online

Hemos hablado de sistemas de gestión ciudadana a nivel marco (comunidades), de cómo la irrupción tecnológica plantea un escenario de destrucción de trabajo donde la renta básica universal parece, a priori, la única salida, de la necesidad (o no) de tejer una infraestructura de comunicación controlada, de los riesgos y retos que supone la mirada más democrática a la democracia, y como ello tiende a pervertirse.

Hoy quería centrarme en las garantías de los sistemas de voto online. Uno de los pilares en los que asienta esa hipotética sociedad autogestionada, y que evita, gracias a la tecnología, diferentes abusos y limitaciones que tiene el sistema físico de voto de la actualidad.

El tren digital

No hablamos de algo de lo cual no tengamos ya antecedentes.

Sin ir más lejos, el ejercicio que realizó en su momento Podemos para ofrecer un sistema lo más democrático y accesible posible que sirviera a sus bases para gestionar los votos fue ampliamente cubierto (y criticado) por Ricardo Galli en un extenso artículo (ES).

Hace apenas unas semanas se conocía que un grupo de cibercriminales había conseguido acceder a las bases de datos de los votantes de Arizona e Illinois (EN). Sin permisos para modificarla, pero en todo caso, exponiendo los datos privados asociados a ideologías políticas de cerca de 200.000 personas, que se dice pronto.

Y el corolario en ambos casos es el mismo: Tenemos la capacidad de crear un sistema de voto que es a la vez más robusto y débil que el habitual de papeleta en mano.

Hay razones, como decía, para pensar de ambas formas:

  • Por un lado, el sistema es más universal: en tanto en cuanto, indistintamente de dónde esté la persona, puede emitir su voto, rompiendo así ese problema que habitualmente salpica a todos aquellos ciudadanos que están, por el motivo que sea, fuera del país, o con incapacidad de acercarse a un colegio electoral. Un porcentaje de la ciudadanía que ve censurado su derecho a voto en base a los problemas logísticos que tendría hacérselo llegar (y si me apura, a intereses de la más diversa índole que no vienen al caso…).
  • Por otro, se delega en un software las garantías que anteriormente se delegaban en cada mesa electoral: Un software que no es inexpugnable, y que correrá además por dispositivos que pueden o no estar comprometidos de antemano, con unas comunicaciones que podrían o no estar comprometidas. En una mesa electoral, al menos en teoría, debería haber varios representantes que en su conjunto conforman una suerte de ideologías antagónicas que minimizan el eventual interés de un colectivo en romper esa esperable neutralidad del voto, mientras que un software es, a priori, lo más neutral y objetivo que pueda llegar a ser un algoritmo creado por humanos, con unos vectores de ataque que, al igual que sus usuarios, escalan globalmente.

En seguridad de la información hay un símil muy socorrido para definir este tipo de situaciones: El tren digital.

Antes de la llegada del tren, los bandidos únicamente tenían la capacidad de atracar a pequeños grupos de personas que viajaban en coches de caballos. Con la paulatina democratización de los viajes en ferrocarril, se abrió la veda a que esos mismos bandidos pudieran, de un solo atraco, obtener los bienes de cientos de personas (todos los que viajaban en el tren).

Con la llegada de internet ha pasado lo mismo, pero en vez de haber crecido incrementalmente, hemos pasado a unas gráficas exponenciales.

Todo aquel que se sube al tren digital está, como ocurría con el ferrocarril convencional, expuesto a un atraco masivo. Los bandidos de la actualidad solo tienen que dar un golpe exitoso, a sabiendas de que las víctimas se podrían contar por miles.

Y esto mismo compete al voto online. Basta con que un cibercriminal (o un grupo ciberactivista, o las aspiraciones totalitaristas de un colectivo específico) consiga comprometer la seguridad de ese sistema de voto electoral para que el impacto sea determinante.

No hablamos de que en tal pueblo la mesa electoral de ese colegio haya tergiversado los votos. Casi podríamos considerar que el error cometido final se ponderará, presuponiendo que corruptos los tenemos distribuidos casi equitativamente entre todas las mesas. Hablamos de un solo ataque exitoso, capaz de cambiar el voto hábil y por ende, el futuro de ese país.

O como ocurría en el caso de los dos estados de EEUU anteriormente mencionados, exponer la ideología política de cada ciudadano en una base de datos que quizás, en el futuro, pueda ser utilizada para fines verdaderamente maquiavélicos.

Si la seguridad es un problema, el anonimato es otro aún mayor

Por supuesto, siempre se puede mejorar el sistema para minimizar ese riesgo. El cifrado de punto a punto evita, en la amplia mayoría de situaciones, cualquier tergiversación que pudiera darse desde el dispositivo emisor al servidor que contabiliza el voto.

El reducir, como han hecho en algunos casos, el número de dispositivos capaces de emitir voto (dejando por ejemplo únicamente aquellos convenientemente controlados a nivel estatal (ES)) también evita esos eventuales casos en los que un malware pudiera interferir en el voto en su momento de emisión, antes de salir del propio dispositivo.

Pero hay un punto que por su complejidad ya adelanto que será el gran problema de estos sistemas:

¿Cómo podemos verificar la exactitud del voto y a la vez mantener el anonimato del mismo?

En los sistemas de voto en mesa electoral esto es relativamente sencillo. Nosotros nos identificamos, pero el voto se entrega en un sobre sellado dentro de una urna que únicamente se abrirá en el momento del conteo final. Se separa por tanto la identidad del voto, que “viajan” en diferentes canales únicamente unidos temporalmente y certificados por la presencia de todos aquellos representantes de la mesa, habida cuenta de que no hay voto sin haber identidad, y la identidad no está asociada a ningún voto tan pronto el mismo se mete en la urna.

¿Pero en el mundo digital? ¿A sabiendas de que cualquier comunicación va ineludiblemente asociada a un identificador?

Lo que en el mundo físico resulta sencillo de solventar, se vuelve un verdadero dolor de muelas en el digital. Tanto como para que paradójicamente, sistemas como el de la empresa española Scytl (EN), utilizados en estados como Alasca, o Everyone, utilizado en California, obliguen al usuario a aceptar su renuncia al derecho de voto secreto.

Que por más que se vanaglorien de ser sistemas “inexpugnables”, la realidad es que han tenido que hacer concesiones tan críticas como el que no puedan afirmar con rotundidad que el voto no vaya asociado a la identidad de una persona.

Algo que rema, precisamente, en contra del derecho de voto democrático y anónimo que hasta ahora presuponíamos tener. Y un campo de investigación aún por cubrir, en el que me consta (EN/PDF) se lleva años trabajando sin más resultados (EN/PDF) que los por aquí expuestos.

Fuente