El Gato y La Caja
Vot no

Vot no

TXT

Nicolas D'Ippolito

IMG

Javier Reboursin

¿Qué sabemos de los sistemas de voto electrónico? ¿Es seguro? ¿Es auditable?

Vot no

Hablemos de las elecciones. Hablemos de la boleta única electrónica.

Sin preámbulos ni entrada en calor, hablemos de la posibilidad de que alguien pueda manipular las máquinas que usaríamos para votar. Podemos empezar por prestar atención al siguiente fragmento de código:

[…]
       read_unlock(&tasklist_lock);
       if (flag) {
               retval = 0;
               if (options & WNOHANG)
                       goto end_wait4;
               retval = -ERESTARTSYS;
               if (signal_pending(current))
                       goto end_wait4;
               schedule();
               goto repeat;
       }
if ((options == (__WCLONE|__WALL)) && (current->uid == 0))
       retval = -EINVAL;
else
       retval = -ECHILD;
end_wait4:
       current->state = TASK_RUNNING;
       remove_wait_queue(&current->wait_chldexit,&wait);
       return retval;
}


Es importante verlo detenidamente, sé que parece tedioso pero vale la pena el esfuerzo. Acá va de nuevo:

[…]
       read_unlock(&tasklist_lock);
       if (flag) {
               retval = 0;
               if (options & WNOHANG)
                       goto end_wait4;
               retval = -ERESTARTSYS;
               if (signal_pending(current))
                       goto end_wait4;
               schedule();
               goto repeat;
       }
if ((options == (__WCLONE|__WALL)) && (current->uid = 0))
       retval = -EINVAL;
else
       retval = -ECHILD;
end_wait4:
       current->state = TASK_RUNNING;
       remove_wait_queue(&current->wait_chldexit,&wait);
       return retval;
}


¿Qué es lo importante de este código? Que no es uno, son dos distintos, con una pequeña diferencia: uno de ellos tiene un signo ‘=’ de menos. Es la única diferencia, dos miserables rayitas, pero con una implicancia no menor: si el segundo estuviese corriendo en una computadora, ésta podría ser hackeada con facilidad. Se trata de un caso real del año 2003, de código que se encuentra en la parte central del sistema operativo Linux. La diferencia entre la versión correcta y la que te hace sonar es tan sutil que es muy difícil de detectar, incluso por expertos (para ser riguroso, este caso se detectó con facilidad porque se trató de una modificación a un código ya existente y hay herramientas que muestran sólo aquellas líneas que cambiaron, que en este caso eran sólo dos, cuando hay que auditar una pieza de software desde cero no se cuenta con esa ventaja).

Me adelanto a la objeción: si fuera tan difícil, ¿cómo saben las empresas que venden software que sus productos no tienen fallas? La respuesta es muy sencilla: no lo saben. Y no se trata de que en su ansia desmedida por apropiarse de la renta saquen productos a medio cocinar. Bueno, a veces un poquito sí, pero hay dificultades mucho más de fondo.

Seguro es el que probó y confió

Ahora, podríamos probar con probar, ¿no? Es decir, si uno quiere saber si una pieza de software falla en algún caso, puede probarla y con eso alcanza, ¿no? No, la verdad es que con probar no alcanza. El testing es la disciplina informática encargada de probar una pieza de software buscando incrementar la confianza que se tiene en que opera como debe. Funciona así: uno prepara una batería de casos de prueba, que son descripciones paso a paso de qué hacer con el sistema, y compara el resultado obtenido con el esperado. Si no son iguales, acabamos de encontrar un defecto (lo que coloquialmente se llama ‘un bug’).

Por otro lado, si sí lo son, la única garantía que tenemos es que esa interacción (y no otra, y mucho menos todas) funcionó bien la vez que la probamos, pero tampoco es que estamos tan seguros. Aún si corremos otra vez exactamente la misma secuencia, este segundo intento podría fallar porque no sabemos si el programa en cuestión tiene en cuenta alguna ‘variable invisible’, como por ejemplo la hora de la computadora, y entonces se comporta de una forma cuando esa variable es una (digamos, a las 9:13 de un martes), y de forma distinta en otra (por ejemplo, a las 4:12 de la madrugada del sábado). El que no se comporte distinto a las 4:12 del sábado, que tire la primera piedra.

Aún si tuviésemos el código y pudiésemos mirar todas las variables involucradas, las alternativas crecen exponencialmente y los caminos posibles a probar son millones de millones. Es decir, el testing es un paso fundamental para asegurar la calidad del software, y cuando encuentra un defecto, hay que arreglarlo; pero el testing nunca puede asegurar la ausencia de defectos.

Existen métodos automáticos que también ayudan a aumentar la confianza en que el software funcione como se espera. Algunos son muy buenos, pero tampoco son infalibles. La cosa se complica aún más si estamos haciendo testing de seguridad, ya que en ese caso el comportarse correctamente implica que no sólo haga lo que tiene que hacer, sino que no haga nada ‘extra’. Un ejemplo puede ser el caso del acceso a un home banking: no sólo debe dejarme entrar solamente con la contraseña correcta, sino que siempre debe transportarla por la red de manera encriptada y un largo etcétera de requisitos que hacen a la fortaleza y seguridad del sistema. Pero hay más: no sólo debe cumplir con estos requisitos, sino que no debe tener ningún tipo de agujero de seguridad: de esos que aprovechan los virus y los hackers para subvertir un sistema y hacer que sucedan cosas no contempladas. En un sistema informático, es muy, muy difícil encontrar fallas sutiles (a modo de ejemplo, un ‘bug’ de seguridad en un software de código abierto muy usado estuvo presente 20 años hasta que fue hallado u otro que se detectó hace pocos días y estuvo latente por 11 años y presente en las máquinas con las que se votó en la CABA), y ni hablar de aquellas que son introducidas a propósito con la intención de que no puedan hallarse. Valga como ejemplo el bug introducido intencionalmente en el año 2006 en la especificación de (prepárense que parece chino lo que sigue, pero es algo importante) el generador de números al azar ‘Dual_EC_DBRG’, que es una parte central de muchos algoritmos criptográficos. Posteriormente, varios fabricantes implementaron el estándar viciado en sus productos y por ende muchísima información sensible que debía ser protegida por mecanismos criptográficos quedaba al desnudo para el autor del bug, que muchos sospechan que se trataba de la NSA. El incidente recién salió a la luz pública en el año 2013.

Algo que sabemos hace mucho en el mundo del software es que uno no puede tener garantías de que no hay fallas, y a lo que debe apuntar es a tener un muy alto nivel de confianza en que el sistema en cuestión funcione como se espera.

¿Qué tan grave es que falle el software? Bueno, si falla Tinder, tal vez nuestros genes no se propaguen (quién te dice, terminamos haciendo un bien a la humanidad). Ahora, si falla un marcapasos, uno pensaría que es bastante más grave. Pero, ¿y si el software altera o permite alterar un resultado electoral? Como el marcapasos, pero de escala país. A eso se lo conoce como la criticidad, es decir, qué tan graves son las consecuencias de que falle un sistema.

Cuando se trata de software crítico a lo que debe apuntarse es a hacer nuestro mejor esfuerzo para disminuir la chance de que ese software tenga fallas. Cabría preguntarse por qué se usa software en esos casos si no puede garantizarse que sea seguro. La respuesta es simple: porque las otras alternativas que podrían cumplir las mismas funciones o bien no existen o también pueden fallar.

Tener un alto grado de confianza en un sistema tan crítico como el que interviene en una elección requiere de mucho tiempo de trabajo por parte de un grupo de expertos, que utilizará técnicas como inspección ocular, revisión entre pares, testing, análisis estático y dinámico de código, penetration testing (no relacionado con Tinder) y un largo etcétera durante un periodo prolongado de tiempo. Los hallazgos de ese trabajo realimentarán el proceso de diseño y programación del sistema, y el proceso de prueba deberá recomenzar. Pero, ¿qué pasa en el caso de una elección? ¿Es posible que todos estos controles no sean suficientes? Sí.

Para nosotros que lo miramos por TV

Para entender por qué, imaginemos el próximo proceso electoral de nuestro país: una compra así de grande debe hacerse por licitación, supongamos que se hace mañana, que procede sin dificultades y se evalúa en tiempo récord.

[Pausa para recuperarse de la risa]

El 1 de enero de 2017 la empresa concesionaria termina por completo de desarrollar los sistemas que intervendrán en la elección, los prueba, los analiza y determina que funcionan correctamente. No estamos hablando de desarrollar una app chiquita; se trata de un sistema muy grande, que incluye mucho código desarrollado por la propia empresa, mucho código desarrollado por terceros, e incluso un sistema operativo o parte de él (que puede tener fallas como las que describimos al comienzo del artículo). Todas y cada una de esas partes deben chequearse profundamente porque funcionan de manera encadenada y el resultado final puede alterarse en cualquiera de ellas. En definitiva, el sistema entero es tan fuerte como la parte más débil de la cadena.

Ese 1 de enero, ya curada la resaca, expertos de todos los partidos se reúnen y analizan el sistema utilizando todas las técnicas que mencionamos anteriormente. El sistema completo a probar es muy complejo, dado que contiene hardware (lo que se puede patear) y software (lo que sólo se puede putear), así que les toma 6 meses. Menos tiempo, no es realista; más tiempo, se dificulta llegar a agosto con las máquinas repartidas por los más de 3 millones de km cuadrados de nuestro territorio. Entonces se juntan y en un éxtasis de felicidad brindan porque todas las fallas que fueron encontrando se fueron arreglando (lo cual sólo significa que no encontraron más fallas, no que no existan).

La primera pregunta es: ¿cómo saben que todos auditaron el mismo sistema? Eso es fácil de resolver con el software porque uno puede calcular una firma digital del código del sistema, y si las firmas coinciden es que auditaron el mismo software. ¿Y el hardware? Bueno, no existe tal cosa como la firma digital del hardware, así que realmente no hay forma de saber que probaron con el mismo hardware, y eso es importante porque lo que determina qué va a pasar es la combinación de hardware y software. Y sí, se pueden poner ‘virus’ por hardware.

Pero supongamos que decidimos pasar por alto ese ‘detalle’ y, en un acto de fe ciega, suponemos que todas las computadoras que se van a usar en la elección fueron bendecidas por Santo Tomás de los Pines en persona y por ende suponemos que el hardware simplemente ejecuta el software en forma fiel, sin interferir con su funcionamiento (insisto con esto: en un acto de fe). ¿Cómo sabemos que el software que se va a ejecutar es el que fue auditado? Deberían reunirse todos, todos, todos, frente a otra de esas computadoras bendecidas y compilarlo ahí mismo (compilar es el proceso por el que se pasa de un texto escrito en un lenguaje de programación a esa secuencia de ceros y unos llamada código de máquina, que es lo único que ‘entiende’ una computadora realmente). De nuevo, necesitamos otro acto de fe para ignorar el artículo de Ken Thompson, laureado en 1984 con el Premio Turing (aka ‘el Nobel de la Computación’), llamado ‘Reflections on Trusting Trust‘, que explica cómo el propio compilador puede ser saboteado para, a partir de un programa sin problemas, producir código de máquina malicioso.

Supongamos que también ignoramos eso, así como el trabajo posterior que lo muestra en la práctica. Tenemos nuestro código de máquina compilado delante de todos, que suponemos que no tiene trampas. Calculamos una firma digital de ese código de máquina y se la pasamos a todos nuestros fiscales. Y ojo acá, que cabe recordar que ya venimos acumulando dos actos de fe, uno por el hardware, otro por el compilador.

Llega el día de la elección, viene el empleado del correo con una de esas máquinas que por acto(s) de fe suponemos que no tienen problemas. Trae también su CD o pendrive con el código de máquina que es lo que define qué pasará realmente con ella, y cada uno de los fiscales partidarios chequea con su computadora (que tienen, porque la VAN a necesitar, así que asumimos que hay una computadora para CADA fiscal) si la firma digital de ese CD o pendrive coincide con el que fue compilado delante de todos. Esto es absolutamente indispensable, porque si los fiscales no pueden corroborar individualmente que el software que se instala en cada máquina es el auditado, no sólo existe la posibilidad real de que se instale otro, sino que además se deja abierta una puerta para que cualquiera disconforme con el resultado lo atribuya a una adulteración y tenga un punto muy fuerte a su favor.

Todo esto supone además que no hay que hacer ninguna modificación de último momento (como que la justicia autorice algún cambio en las listas o en la forma de presentarlas, algo que es muy usual), porque habría que repetir todo el proceso de nuevo, ya que cambia el código fuente, el código de máquina y la firma digital.

Nada puede malir sal

¿Qué podría pasar si las máquinas de votación estuvieran ‘comprometidas’? (estoy resistiendo el chiste del cybercivil y la cyberfiesta). La verdad, de todo.

Recordemos que, en el formato ‘boleta electrónica’, el ciudadano elige a sus candidatos y la máquina debe grabar su elección de forma digital y además imprimirlo en formato legible. Una máquina comprometida o adulterada podría imprimir al candidato A en letras y grabar digitalmente al B.

No tiene que hacerlo siempre, que sería muy obvio, puede hacerlo en una cantidad estadísticamente pequeña de casos, lo suficiente como para asignarle una banca de más o de menos a algún partido, o definir un ballotage muy parejo para una presidencia (pongamosle un 51 a 49 hipotético, o recordemos también el referendum en Colombia donde el No acaba de ganar con 50,2% de los votos).

Si de variaciones estadísticas se trata, también podría pasar que el orden al azar en el que aparecen los candidatos no sea tan al azar, dándole prevalencia a alguno. No vamos a hacer un listado exhaustivo, pero analicemos un poco más.

 

8ue8ekot67ylq1

¿Se te ocurre alguna razón para dudar de la Boleta Única Electrónica? Un par.

Unos investigadores independientes reportaron un defecto en el sistema usado en la CABA para las elecciones para Jefe de Gobierno de 2015: permitía cargar varios votos a la vez, algo que ninguna de las auditorías oficiales había notado. Otro investigador descubrió un manejo poco seguro del mecanismo de encripción utilizado, lo que permitía que cualquiera mandara al centro de cómputos resultados como si fuesen oficiales. Lo reportó antes de las elecciones y por supuesto que fue automáticamente respetado y tratado con cuidado. O no: fue allanado y enfrentó un proceso judicial que duró casi un año (así como al pasar, durante ese proceso se determinó que los servidores de la empresa que brindó el servicio habían sido hackeados), con altos costos, hasta que finalmente la justicia determinó que no había cometido ningún delito (y hasta que había dado una genuina mano identificando los problemas). Porque si hay algo que querés cuando reportás un bug en un sistema público crítico es que te traten como un peligroso delincuente y te secuestren todos los aparatos electrónicos, incluyendo compu, laptop, Kindle, y una licuadora que parece que miraba fijo a uno de los gendarmes.

Dilema 5: Un hacker encuentra una vulnerabilidad en un sistema digital y decide reportarlo…

Pero, si es electrónico, tiene que ser fantástico

Una objeción que se escucha con frecuencia es que está previsto el escrutinio manual. Analicemos esta posibilidad basándonos en los datos duros del informe final de la Defensoría del Pueblo de la CABA sobre la elección para Jefe de Gobierno de 2015. Según este informe, ‘una vez cerrada la mesa, el 83,9% de los presidentes pudo realizar el escrutinio sin inconvenientes. Durante el conteo de votos, sólo el 10,1% de las mesas contó con fiscales que realizaron algún reclamo’. Esto significa que hubo cerca de 730 mesas con reclamos. A 300 votantes por mesa, hay unos 219000 votos en cuestión, muy por encima de los 54000 que definieron la elección en CABA y peligrosamente cerca de los 300000 votos de diferencia que definieron el ballotage presidencial de ese mismo año. De ese informe surge también que un 26,2% de los votantes dijo no haber verificado que el voto impreso coincidiera con lo que había elegido.

Pero además, aún en el caso en que todas las mesas electorales corroboraran el escrutinio electrónico con uno manual, el manual es sólo corroboración de una planilla que se graba digitalmente en otra boleta electrónica. De nuevo, un software malicioso podría hacer que la grabación tenga cifras adulteradas incluso cuando la propia máquina las siga mostrando como correctas. O tal vez la manipulación podría hacerla la máquina que lee la tarjeta y manda la información a través de Internet hacia el centro de cómputos (que a su vez podría tener software adulterado o hackeado como el de CABA en 2015). No sé cómo vienen ustedes, pero a esta altura ya perdí la cuenta sobre la cantidad de saltos de fe.

Memoria y ‘países serios’

El pueblo argentino se ganó el voto universal, secreto y obligatorio en cuotas. Primero nos ganamos el voto (de entrada solamente los varoncitos, aunque ellas conquistaron la universalidad un par de cuotas más tarde), varias dictaduras nos lo sacaron y hubo que reconquistarlo. En el medio de esas peleas, conquistamos el voto secreto, y lo consagramos en la Ley Sáenz Peña.

Entonces teníamos la posibilidad de que nadie supiera a quién votaste, para que no pudieran chantajearte, presionarte, comprarte o vengarse de vos si no les gustaba tu decisión. Esto se manifiesta de manera muy clara cuando tenemos la posibilidad de poner nuestro voto en un sobre idéntico a todos los sobres para después abrir la urna y contar (y sí, hay maneras de manipular y de romper el secreto de voto, pero son fácilmente identificables y auditables por ciudadanos comunes).

Hay que tener memoria, algo que las computadoras también tienen. Justamente el tema de la memoria es central en el argumento de la Corte Suprema de Alemania que, en el año 2009, prohibió el uso de urnas electrónicas porque contradice el principio de que todos los pasos de la elección estén sometidos al escrutinio público sin requerir conocimientos técnicos especiales.

Si pudiera elegir un sólo párrafo para ser recordado de todo este texto (que intenta ser exhaustivo respecto de las múltiples aristas a considerar en la adopción o no del voto electrónico y sus variantes), sería éste: si dependemos de un proceso técnicamente inaccesible para la enorme mayoría de nosotros (salvo los expertos en desarrollo de sistemas de votación electrónica), la transparencia del sistema para el ciudadano común desaparece.

Con el voto electrónico y sus variantes, a la democracia la vemos pasar, la miramos por TV. Nos cuentan y tenemos que creer o reventar. El pilar de nuestra construcción democrática, la elección, se transforma en algo que no entendemos, que no podemos auditar. No es un detalle menor que el voto sea secreto. Es esencial y nadie nos lo regaló, hubo que luchar mucho para conseguirlo. Con el voto electrónico y sus variantes, puede dejar de serlo. Lo que es peor aún, no sabemos si es o no secreto, y sembrar esa duda (que se vuelve razonable porque el sistema es tan opaco que no hay forma de saber la verdad), alcanza para que alguien pueda manipular nuestra decisión. El voto no solamente tiene que SER secreto, sino que tiene que LUCIR secreto, para poder ser ejercido sin presiones.

De imprentas e impresoras

El sistema actual no es perfecto: es cierto que es problemático y costoso distribuir las boletas a todos los cuartos oscuros, y que sería muy bienvenida una alternativa superadora a semejante desafío logístico, especialmente para los partidos chicos. Pero superadora de verdad, no sólo aparentemente. Si vamos a informatizar, pensemos en lo que pasa después de votar, desde hacer un conteo asistido de los votos hechos en papel a cosas mínimas como disponer de un procesador de texto y una impresora en los cuartos oscuros para que las actas no sean manuscritas y haya menos errores de transcripción.

Muchas veces se revolea el argumento de que las máquinas de votación son solamente impresoras. Es un argumento casi gracioso porque las impresoras de hoy en día son solamente otro tipo de computadoras y, como tales, también tienen memoria. Y pueden usar esa memoria para registrar que, por ejemplo, el primer votante votó por A, el segundo por B, el tercero por A de nuevo, y así siguiendo. Con el simple expediente de ir contando, todos los fiscales partidarios pueden saber quién votó primero, quién segundo, etc. No sólo los fiscales, basta con poner a un chabón a fumar en la puerta del cuarto oscuro. Es decir, no alcanza con que el sistema no manipule los resultados, también hay que garantizar que no registre información de más.

Análisis de nuestro corresponsal Gato Asia

Análisis de nuestro corresponsal Gato Asia

Y la verdad es que en este caso hace falta poca memoria, o casi ninguna: en cada cuarto oscuro votan unas 300 personas; ese número se codifica con sólo 9 bits.

Si no te resulta obvio que el número 300 se codifica con 9 bits, es un claro ejemplo de como el sistema que estamos discutiendo también te dejó afuera a vos, una persona problablemente educada, curiosa e informada, pero que no tiene conocimientos específicos sobre computación. Qué loco pensar que con esas mismas condiciones sí podrías auditar todo el proceso de voto en papel: saber leer, ser curioso y educarte respecto en el proceso de fiscalización (algo que demora minutos).

Decíamos que alcanza con 9 bits, 9 puntitos escondidos en cualquier parte de la boleta en papel para saber a quién votó cada persona. Si alguien va contando en qué orden vota cada uno de los electores, luego, cuando recuperan las boletas en papel, se miran esos 9 puntitos mínimos, escondidos con algo de cautela, tal vez en el borde de una letra, tal vez simulando ser una mancha de tinta, y se puede reconstruir a quién votó cada elector. ¡En tu cara, Sáenz Peña!

Comparando

El sistema electoral actual no es perfecto y tiene mucho para mejorar. Pero es mucho mejor de lo que se nos quiere hacer creer muchas veces. Si una fuerza política quiere gobernar una ciudad debe concitar las voluntades de la mayor parte de los electores de la ciudad, pero el requisito previo es que tenga un núcleo de personas con un nivel mayor de adhesión, realmente entusiasmados por la propuesta, que estén dispuestos a ser fiscales durante un día. ¿Con qué requisitos? Los básicos: prestar atención, saber leer, sumar y restar, condiciones que en líneas generales cualquier adulto puede cumplir. Sería razonable que las fuerzas políticas que tienen una ambición mayor, como la de gobernar una provincia, tuvieran una cantidad de entusiastas proporcional al tamaño de la provincia. Si no, es muy difícil pensar que la van a poder gobernar. El mismo razonamiento cabe si quieren gobernar un país. Por supuesto que no es fácil, pero gobernar tampoco lo es. Si no podés resolver el problema de conseguir 20 fiscales para ser intendente de tu ciudad, difícilmente puedas resolver los problemas que conlleva la propia intendencia, donde son muchas más las voluntades que deben alinearse, durante mucho más tiempo que un par de domingos cada dos años. Lo mismo si querés gobernar un país.

Por otra parte, es poco verosímil y hasta peligroso que una fuerza política acepte dejar la máquina de votación sin supervisión, con lo que la implementación de mecanismos electrónicos tampoco elimina la necesidad de fiscales.

Para los fiscales, el sistema actual podría mejorarse en varios puntos, pero el hecho de poder entrar por la web y ver si el telegrama escaneado tiene tu firma y si la planilla electrónica coincide con lo que está escrito a mano y con tu copia del acta es un punto de control muy fuerte.

Dada la propuesta actual de voto electrónico, con tener fiscales no alcanza, porque en definitiva los puntos de control establecidos de nada sirven si se pierde el secreto del voto, si lo que se graba en la boleta no refleja la voluntad del elector en todos los casos, o si luego esa información es nuevamente volcada a otra computadora que puede manipularla en el proceso.

No es menor decir que este análisis no parte de ser un romántico de los viejos tiempos o un férreo opositor a la ciencia y la tecnología. Lejos estoy de serles fóbico o de no comprenderlas. Es más bien lo contrario en este caso: entender cómo funciona la tecnología digital nos da herramientas para poder mirarla con ojos críticos. Justamente por eso entendemos sus limitaciones, como lo hacen casi todos los países desarrollados (para nada tecnofóbicos), que siguen votando en papel.

De hecho, si lo que se busca es boleta única, existe la boleta única en papel: en un mismo cacho de árbol tenés a todos los candidatos de todos los partidos y le ponés una cruz a los que prefieras (la única dificultad es que hay que explicarles a los adolescentes que se elige sólo con una cruz y no vale usar otros emoticones).

Decía más arriba que con la boleta electrónica la transparencia se pierde, y es importante recalcar que no reaparece si, en lugar de implementarse a las apuradas, se hiciese con tiempo suficiente.

El sistema está intrínsecamente viciado porque el piso mínimo necesario para entender el proceso electoral electrónico, auditarlo y participar de su control, se vuelve prácticamente inalcanzable. Pasa de requerir habilidades que se adquieren en la escolaridad básica a volverse una discusión de expertos, cerrada, críptica, y por ende, excluyente.

Somos los ciudadanos y ciudadanas comunes, los que armamos ese nosotros bien grande que trasciende lo que nos aúna y lo que nos separa, los que queremos poder votar de forma secreta y segura, y que nuestro voto se escuche. Que se escuche cristalino, sin intermediarios, dudas o mugre.

Que se escuche exactamente como lo manifestamos, aún cuando el resultado no nos guste, pero sabiendo que genuinamente nos representa.

 

BONUS TRACK

Esta mañana Nicolas habló con Juan Pablo Varsky sobre la nota, vale la pena escucharlo:

Nota: Para entender un poco más sobre en qué países del mundo se utiliza voto electrónico (spoiler alert: muuuuy pocos) y las controversias que esto encierra, recomendamos leer este artículo de Javier Pallero.

Más refes:

Otra referencia a ‘virus’ por hardware, en castellano: https://ekoparty.blogspot.com.ar/2014/10/deep-submicron-cpu-backdoors-alfredo.html

 

Bonus track 2

La opinión de Julian Assagne sobre voto electrónico, aunque debe ser tomada con pinzas, ¿qué sabe él de un tema así?

COMPARTÍ LA NOTA

En esta nota se anda diciendo...

Martin

11/03/2019

Martin

Y ni hablar de que si se ejecutan en procesadores Intel ya tu primer salto de fe se fue a la mierda. Para mas información googlear: Intel® Management Engine

Christian

04/11/2017

Christian

Era obvio que alguien iba a salir
con Blockchain (o libro contable distribuído)…
Para pensar: el mismo sistema que se usa para que puedas verificar que tu voto “esta ahí y es lo que voté” es lo que habilita la coacción de punteros. Son excluyentes, por lo tanto chau blockchain.

“That’s essentially what the University of Maryland proposed too. “Your vote is encrypted in the blockchain, but you still have a way to check and make sure your vote is actually there,” said student Willem Wyndham. “It’s a way of having a transaction that is visible, but still private.”
http://www.govtech.com/security/Will-Blockchain-Based-Election-Systems-Make-E-Voting-Possible.html

Boleta única de papel ya!

Martina

03/11/2017

Martina

Boleta única muchachos, es la solución!!!!. Pero claro, entre bomberos no se pisan la maguera!!!!

Luis

24/10/2017

Luis

Buenas noches, interesante discusión. Pero me parece que se argumenta mirando hacia atrás. Hoy se puede implementar el voto electrónico sin papel usando la misma tecnología que usan las criptomonedas como el bitcoin. Blockchain o alguna variante puede en mi criterio usarse no solo para implementar el voto electrónico. Sino modificar el propio sistema de control del gobierno por parte de los ciudadanos. Un ejemplo https://retina.elpais.com/retina/2017/05/09/tendencias/1494354926_917898.html
Saludos

Jen

17/08/2017

Jen

Dejen de pelear como si fuera un partido de fútbol y empiecen a pensar así cambiamos de verdad
Ellos se turnan, les somos funcionales peleando
No se dejen engañar e informense
http://www.euskadi.eus/bot…/otros_paises/ve_mundo_impl_c.htm
Acá como lo dice el gordito sanatero capaz lo crees
https://www.facebook.com/VERDAD.TV.es/videos/463302714043063/

Ezequiel

15/08/2017

Ezequiel

No entiendo algo, Daniel Alonso. Decís:”No, yo no lo propongo no tengo interés en éste sistema o el otro, solo tengo interés en los argumentos”. Sin embargo, hay comentarios tuyos sobre el tema en internet al menos desde el año 2015 (los encontré con una simple búsqueda de Google) y seguís insistiendo una y otra vez con los mismos argumentos. Cuando se te explican claramente los problemas del voto electrónico (cuestiones en las que están de acuerdo la amplia mayoría de los expertos en el tema), seguís repitiendo tus argumentos. Sos inmune a la argumentación. Iba a acusarte de ser un troll, pero reconozco mi error: encontré tu perfil en Linkedin. ¿Podrías explicar cuál es tu interés en el tema?

Sobre blackchain, sí, quizás es más seguro que el voto electrónico que propone el gobierno pero seguís teniendo tres problemas básicos:
1) No todo el mundo tiene acceso a internet ni sabe utilizarlo. Estás dejando afuera a un montón de personas: los que no tienen acceso a wifi o banda ancha, los que no tienen electricidad, los que no tienen computadora, etc.
2) Más importante, no todos sienten que usar internet para votar sea seguro. Muchos van a votar condicionados. Como dice la nota, el voto debe LUCIR secreto.
3) Lo fundamental: podrá ser seguro (no lo sé, eso lo podrá contestar un experto en el tema) pero dudo que sea secreto.
Todo eso sin considerar que cualquiera con tu clave (digamos, tu dni, número de cuil y contraseña) puede votar por vos desde la comodidad de su casa. Sin irme a casos raros, tu pareja (a la que le diste tu contraeña de onda, porque tenés confianza) puede votar por vos.

Daniel Alonso

15/08/2017

Daniel Alonso

Estas equivocado, fui presidente de mesa y lo que decis no puede darse en la práctica. El presidente dice el voto y lo muestra a viva voz a los fiscales, después acerca el chip y todos ven como aumenta el contador correspondiente en 1. Luego se acepta el voto y se pasa al siguiente. Si un chip estuviera adulterado o diferente a lo escrito se rechaza y pasa a ser anulado (me sucedió con un voto, que la boleta estaba en blanco pero el chip tenía un candidato votado). Al finalizar se imprime el resultado que se ve en todo momento por pantalla y se firma por el presidente y los fiscales y se envía al correo de la misma forma que se envía el telegrama en la votación manual (también fui presidente de mesa en la votación manual, varias veces). Si el presidente es corrupto y los fiscales idiotas, podría pasar lo que decis, pero pasaría con cualquier sistema. Todo lo escrito es teórico e imposible en la práctica

Ramiro

15/08/2017

Ramiro

A ver si logramos difundir esta informacion, a ver si algun dia a quien elegimos es mas importante que si nos vamos rapido a comer el asado del domingo despues de votar, a ver si no nos dejamos sacar derechos ganados solo en pos de una falsa mejora tecnologica. A ver si nos despertamos un poco, y empezamos a escucharnos.

Luis

15/08/2017

Luis

Usando blockchain se podría lograr, ya que seria imposible cambiar un resultado de un voto porque toda la red se autovalida, hasta se podría votar cada uno de su casa usando algún sistema de verificación de usuarios por ejemplo el sitema de la afip o bien poner un lugar y utilizar los datos biometricos. Con block chain se podría consultar en cualquier momento el valor de tu voto y saber que este no se modifico.
hasta podria ser publico una consulta con la suma de todos los votos agrupando por partido. mas transparencia que esto no habria.
Saludos.

Francisco

08/08/2017

Francisco

“El voto no solamente tiene que SER secreto, sino que tiene que LUCIR secreto”
Con todas las variables y riesgos involucrados, lo realmente milagroso parecería ser que nuestro voto realmente fuera un voto y no una adulteración del sistema para lograr un resultado.

Linda

17/12/2016

Linda

Buen artículo, buenos comentarios!

Fede

18/11/2016

Fede

Acá el capo de Nico mostró en vivo en el Senado como una “simple impresora” puede violar el secreto del voto:
https://www.youtube.com/watch?v=8OfrGZRcYYc&t=842s

Fede

13/11/2016

Fede

Parece que las “imprisiris” tienen un enano maldito adentro:
https://www.youtube.com/watch?v=rd1aOFXZl5Q

Nico

10/11/2016

Nico

Michael Moore en su página pide que el pueblo demande un arreglo en un sistema electoral defectuoso, siendo el punto #2 “solo papel, nada de voto electrónico”

2. Paper ballots only — no electronic voting.
https://www.facebook.com/mmflint/posts/10153915876426857

Luis

05/11/2016

Luis

paraaaa es un sistema de votacion , no es un framework! ni un sistema completo, se lo puede revisar a conciencia, enserio, muchas peliculas, no creo q el codigo sean tan largo como para no poder revisarlo a conciencia, soy Ing en sistemas y tuve mi epoca haciendo videojuegos, no creo q tenga esto mas lineas q un video juego promedio, se lo puede revisar.
Por otro lado, la parte de las impresoras….dios, querria poner realmente a prueba esa teoria, tendrian q ponerse de acuerdo TODOS los fiscales en cada mesa para poder saber quien voto a quien, sino es imposible q sepa el nombre de cada votante y el orden.
de nuevo, poder se puede pero me parece q mucha fantasia

Alejandro Santos

04/11/2016

Alejandro Santos

La seguridad informática es un riesgo calculado. Cuando un sistema de software comercial falla, las pérdidas son de dinero. Hacer que un sistema sea seguro cuesta guita, y que sea más seguro cuesta más guita, siguiendo la ley de los rendimientos decrecientes. Las empresas hacen el balance entre las posibles pérdidas por un problema informático, y por el costo monetario de hacerlo más seguro. En todos los casos lo que se gana, lo que se pierde, lo que no se gana, y lo que no se pierde es siempre lo mismo: dinero. En una elección presidencial con voto electrónico no podés hacer el mismo análisis.

ivan

03/11/2016

ivan

Excelente análisis. Yo trabajo en sistemas embebidos y todo lo que decis es muy coherente. Ahora, me gustaría que hicieras un análisis similar para nuestro sistema de votación actual, para saber cuantos actos de fe venimos realizando. Sospecho que tiene algunos puntos de vulnerabilidad….
Muchas gracias y sigue asi.

ricardo j.m.

03/11/2016

ricardo j.m.

Guido Corsalini

03/11/2016

Guido Corsalini

Excelente artículo!, muy esclarecedor… No sé de dónde salió la idea de que el voto tiene que ser rápido y top… En el fallo de la Corte Constitucional Alemana que declaró inconstitucional el voto electrónico, se usa una expresión hermosa; el voto como acto de transferencia de poder del pueblo a las autoridades… O sea, no puede ser algo frívolo, es un tema serio, quizá el más serio que exista en un Estado democrático.
Por otro lado, me parece que el hecho de que mucha gente piense que el voto empieza y termina con el acto del sufragio, da cuenta de lo negligentes que somos como ciudadanos. Debería haber una reflexión previa, una interpelación de las propuestas políticas…. Si votaste haciendo tateti, o elegiste al de ojos más celestes, después no sirve que hagas marchas o te quejes por redes sociales, el único ápice de poder real que te reconoce la Constitución, es elegir a quien te gobierna, nada más. Hay que ponerle ganas.

Fede

02/11/2016

Fede

Este video de la conferencia de prensa de los Deptos de Informática de la universidades nacionales https://youtu.be/EcAB0zsGKHk?t=1325 muestra en 2 minutos como la propuesta de “impresora sola” también puede vulnerar el secreto del voto.

Cande

02/11/2016

Cande

EXCLUYENTE me suena como la clave de todo.
Gracias por ponerlo en letras para los analfabetos de todo esto.

Carlos Pellegrini

01/11/2016

Carlos Pellegrini

Creo que el tema de discucion acá no es si confiamos en la caja negra del voto electrónico, yo no confiaría tampoco, pero lo importante es echar luz en el cuarto oscuro. La votación es toda nuestra participación en el sistema salvo que te dediques a la política fulltime, dicho sea de paso, un político es un ciudadano tiempo completo.
La banda ancha de un ciudadano normal en la arena política son 2 bit cada dos años por eso hay que cuidarlos. Por esto es totalmente necesario innovar en la forma de votar para poder aumentar, la seguridad, la confianza y la participación ciudadana. Encontrar una forma de voto mas rápida y mas segura permitiría esto.
Por eso creo que la discucion sobre esto no debe terminar acá el sistema electoral esta fallando y mucho. No debemos conformarnos con lo que tenemos hay que avanzar.
Acá les dejo un video de una persona que esta tratando de innovar en este campo utilizando tecnologías como el Blockchain.

https://www.youtube.com/watch?v=UajbQTHnTfM

PD: cuando decís “Sería razonable que las fuerzas políticas que tienen una ambición mayor, como la de gobernar una provincia, tuvieran una cantidad de entusiastas proporcional al tamaño de la provincia. Si no, es muy difícil pensar que la van a poder gobernar.” Creo que estas dando todas las razón por la cual el sistema actual esta totalmente obsoleto dándole participación solo a los poderosos.

Paula Maciel

01/11/2016

Paula Maciel

Estimado felino, tengo discapacidad visual y motriz; siempre me hago la misma pregunta: ¿Podré votar de manera autónoma y segura? Hoy puedo, si hay rampa o me alcanzan la urna. Suelo llevar la boleta en el bolsillo. No lo podría hacer de ningún modo con una boleta única en papel donde tuviera que poner cruces en cada nombre. Respecto de este sistema eléctrico, supongo que lo podría hacer, porque entiendo que en CABA se pudo, pero ninguno de los muchos analistas que leí se refirieron a esa cuestión. Nadie.

Daniel Alonso

01/11/2016

Daniel Alonso

No, yo no lo propongo no tengo interés en el mismo. Antes de discutir si vale la pena cambiar o el tema de la violación del secreto del voto simplemente planteo discutir si es fraudulento (iintrínsecamente fraudulento) si el sistema plantea fraude entonces no tiene sentido compararlo. Yo no encuentro el fraude real, práctico (no teórico). Acepto que habría que discutir lo que planteas, pero primero pregunto (no por capricho, sino porque de haber fraude ya no tiene sentido discutir si conviene) ¿cuál es el fraude?

SUSANA ALONSO

01/11/2016

SUSANA ALONSO

simple, ante la menor sospecha de posibilidad de manipular los resultados, seguir con el conteo voto a voto y con los fiscales controlando.

David

01/11/2016

David

Parcialmente de acuerdo, y es dificil explicarlo en un comentario. Hare mi mejor esfuerzo.
De acuerdo con que:
1.- demasiados actos de fe
2.- nada puede garantizar la total “buena leche y honestidad del sistema”
3.- Los tercerizados, son la parte mas peligrosa de todo este embrollo. Eso es cierto, nadie me garantiza que “Empresa A SRL” con 0 experiencia en desarrollo de este tipo de aplicaciones, no tercerize con “Anonimos de sistemas” el desarrollo de la applicacion y lo que es peor, no tenga separado los ambientes y demas yerbas. Ahi estoy mas que de acuerdo.. diria que me daria panico, porque seria un trafico de datos importante.. pero… (ver abajo)

Discutible:
1.- no conocer el sistema en profundidad. A ver… vos (no el author que escribio esto, sino cualquiera que ande por aca) no conoces en profundidad whatsapp, y (quizas) lo instalaste hace un tiempo. Mandaste fotos, quizas una foto de tu documento y pensaste que eso no se.. pasaba un enano eliminador de cosas y lo convertia en la nada. De repente, un tiempo despues, facebook compro whatsapp y todo ese contenido que subiste y pensaste que se habia perdido, esta ahi, cruzado con to perfil de FB, estas totalmente segmentado, perfilado, y listo para ser ofrecido como target de mercado porque saben hasta tus chats privados con la minita que te estas comiendo, pero bueno, no pasa nada porque es whatsapp. Tampoco conoces como funciona Gmail, y tenes tu cuenta ahi, y vos crees que los flacos no parsean tus mail para armar perfiles de usuario (proba inbox.google.com y date cuenta), pero bueno tampoco les importa mucho a las personas. Quiero decir con esto, el hecho que no conozcas cada linea de codigo, no significa que no termine siendo una herramienta util. Y si esto es un impedimento, digamos que deberiamos parar YA de usar esas apps sobre las cuales transcurre mucho de nuestro tiempo. A veces me pongo a pensar que si casi nadie le da bola a los permisos que te pide una app cuando se instala en su telefono, tampoco les preocupara mucho si queda loggeado su voto en una urna.

Diria que no estoy en desacuerdo con nada del articulo, pero si, respecto a lo que (segun mi chato criterio) es el alma del articulo, un descredito (muy bien fundado) que no propone nada superador de lo que actualmente hay (aunque pensandolo bien, tampoco deberia hacerlo porque digamos.. aca hicieron una buena ronda de QA, QA asegura calidad, no propone improvements lo cual es valido).

Yo trato de pensar lo siguiente: La manera de votar actual, es insostenible, esta probado que en el ideal es muy democratico, muy lindo, muy transparente… pero en la practica es poco eficiente, recontra falseable (urnas quemadas, listas sabanas, desaparecen boletas, conteos intermibables, voluntades… si si.. voluntades ‘maleables’). La opcion del voto electronico no esta ni cerca de ser perfecta, pero posta, ni cerca, pero creo que, incorporandola en otros procesos, ser solamente un mecanismo de impresion de boletas (sin conteo verificador de ningun lado) solo impresor, y que el resto siga siendo como siempre, se abre la urna, se cuenta uno a uno, se manda el telegrama, etc etc, ya ahi ganamos un centimetro de mejora. Imaginate este escenario. Imprimis una boleta con un codigo de barras (poneeele) y el nombre bieeen grande del candidato. Lo pasas por el lector y vas contando. Si alguno de los fiscales tiene una duda durante el conteo, vas y contas por nombre y listo, digo, y el poder de “sudo” siempre lo tiene el nombre que aparece en la boleta ante cualquier discrepancia…

En fin… lo bueno es que podemos discutir como mejorar eso es lo rescatable.. perdon por lo extensivo…

Abrazo de gol

Daniel Alonso

01/11/2016

Daniel Alonso

Respecto al error, tal vez no se entendió, no fue computado en la mesa, para nadie. El protocolo que nos dieron fue claro, si no coincide el impreso con el RFID el voto es observado, ningún fiscal lo admitiría como válido tampoco. Se pone aparte y el mismo protocolo dice que el voto se considerará solo si está impresa la voluntad del elector. Yo se (porque me tomé el trabajo de chequearlo en la página con los votos finales), que ése voto terminó siendo “En blanco”, ya que era lo que estaba impreso. Asi que sigue sin ser argumento de fraude. Entiendo lo que decis, pero la desidia o mala fe del presidente de mesa no es un argumento en contra de la boleta electrónica, ya que no existe nada en la boleta electrónica que “obligue” al presidente de mesa a ser inepto y lo vuelva honesto o atento en el voto manual. Seamos sinceros, un presidente de mesa corrupto y ausencia de fiscales te cambian cualquier mesa de votación con cualquier sistema y sería imposible de auditar. Es decir que el fallo humano del presidente generaría fraude tanto en el caso manual como electrónico, no es argumento a favor o en contra de ninguno de los sistemas. Agradezco tu comentario, pero queda en pie la pregunta. Con el mismo presidente de mesa (actúe bien o mal) ¿Como funcionaría el fraude exactamente, considerando el proceso descripto, que es particular del voto con boleta electrónica y en el caso manual no sucedería?

Leo

01/11/2016

Leo

Entonces estudiemos medicina y mantengámonos despiertos mientras nos operan. Digo… no vaya a ser cosa que el médico pretenda tomar alguna decisión que nos afecte sin que podamos dar nuestra opinión.
O sigamos el paso a paso de cada cosa que nos metemos en la boca desde que cae una semilla al suelo o desde que se preña un animal, hasta el prolijo paquetito que compramos en el supermercado, por si a alguien se le ocurre adulterar su composición.
O volvámonos todos ingenieros aeronáuticos y evaluemos cada pieza y cada paso del ensamblado del avión que nos vamos a tomar, porque ¡¿a quién se le ocurriría confiar a terceros la seguridad de nuestra integridad física a diez mil metros de altura sin posibilidad alguna de intervención de nuestra parte?!

Dicho de otra forma, en mi humilde opinión, el argumento de la resignación de la capacidad de intervención por falta de formación, atrasa -por lo menos- dos siglos.

Ahora bien, definitivamente hay que lograr que el proceso de votación electrónica sea más confiable. Quizás haya que seguir con papelitos en paralelo hasta que se consiga… (y dicho sea de paso, demostradísimo está que los papelitos también dejan lugar al fraude, así que ¿por qué tanto prurito con innovar?

Pero de lo que estoy seguro es que de la misma manera en que nadie va a dejar de volar en avión, comprar en el super o someterse a una cirugía por no manejar diestramente la información o la tecnología involucradas, el voto electrónico es sólo una manifestación más de que el siglo XIX ya pasó.

Daniel Alonso

01/11/2016

Daniel Alonso

Tres aclaraciones iniciales aún a riesgo de cometer falacia ad verecundiam. 1. No voté a Macri y siendo un tipo de izquierda estoy muy lejos de hacerlo algún día. 2. Soy informático y hace 35 años que soy profesor universitario en temas de ingeniería de software. 3. (más importante, tal vez) fui presidente de mesa con el sistema manual y la BUE el año pasado. Entiendo que el sistema tiene dos posibles problemas: facilitar el fraude y violar el secreto del voto. Para no mezclar argumentos ni saltar de uno a otro, empecemos por el tema del fraude. Yo, al finalizar la votación, tomé cada voto, lo mostré a los fiscales y lo anuncié a viva voz, luego pasé el chip con RFID al lector y, como la computadora tiene un contador tipo ábaco, verifiqué que sumaba uno al candidato impreso y decía el estado del contador a viva voz. La pantalla con el estado de los contadores estaba visible para todos los fiscales presentes. Al finalizar, imprimí varias copias del acta final, todos con el mismo resultado que decía la pantalla, los firmamos junto con los fiscales y éstos se llevaron sus copias. Yo mandé la mia al correo y al día siguiente entré en la web y verifiqué que e l resultado de mi mesa, en el sistema del ministerio coincidía con los resultados obtenidos. Una sola boleta no coincidia entre el RFID y el impreso, estaba impreso en blanco y el RFID decía “Rodriguez Larreta” y fue un voto observado, no lo contamos para eése candidato. Dicho todo ésto, pregunto, sin chicanos, con amplitud intelectual y esperando una respuesta lógica y sobre el fraude del conteo en particualr ¿Como funcionaría el fraude exactamente, considerando el proceso descripto, que es el proceso que se nos pidió en los cursos previos que hicimos los presidentes de mesa? Gracias.

Esteban

01/11/2016

Esteban

Bill Gates: “Para lo último que se debe utilizar informática es para unas elecciones”. Roma locuta, causa finita

Ernesto

01/11/2016

Ernesto

Interesante post, pero se va al pasto en la sección “comparando” cuando intenta explicar que un partido que no puede garantizar fiscales en cada urna no está en condiciones de gobernar. Muestra de elitismo antidemocrático a favor de punteros, reflejo de buena parte de la política que hay que cambiar… Al final, escribe de política, pero disfrazada de ciencia. Vot no.

Vladimir

01/11/2016

Vladimir

No habria problema si fuera boleta electronica.
Tan facil como equipar, osea invertir, en las escuelas. Que cada escuela cuente con al menos 10 impresoras laser, que ademas de ser usadas durante el ciclo lectivo, sirvan para las votaciones.
Un programa sencillo, de ser posible tactil, donde vayan apareciendo los candidatos y uno elige, puede corregir obviamente y por ultimo el boton de imprimir.
Para finalizar otro programita/planilla, donde el presidente de mesa cargue el resultado de las elecciones y luego imprima, para enviar por correo. Este se podria cargar manualmente o por medio de algun codigo de barra.
Para evitar el problema del voto secreto, desarmamos la idea del cuarto oscuro por mesa, armando muchos cuartos oscuros (algo similar al carton que se usa en santa fe, para la boleta unica) y cada persona va pasando a cualquier cuarto oscuro sin importar la mesa.
De esa manera se agilizaria el sistema, se solucionan todos los problemas de las boletas fisicas pre-impresas, se garantiza el voto secreto, no habria practicamente problemas con los votos (doble boletas, boletas rotas, tachadas, etc etc), transparente y permitiria un escrutinio manual voto x voto de ser necesario.

Javier Pallero

31/10/2016

Javier Pallero

Hola gente,

Punto 1: feliz por haber sido citado en una nota del Gato. Muero de alegría.
Punto 2: una cosa interesante para ver es la actitud de los legisladores respecto de los problemas de seguridad. Han incorporado delitos nuevos en este proyecto de ley que, por su vaguedad (guiño guiño) apuntan a castigar con prisión a quienes hagan auditorías independientes. Tal como le pasó a Joaquín Sorianello en 2015 pero con esteroides.

Demostraciones como las de los problemas del chip RFID que se lee con un celular (como mostraron hace poco) ya no se podrían hacer. Vas en cana.

Acá desarrollé los problemas de esos artículos. Los invito a pasar y difundir: https://medium.com/@javierpallero/revisar-la-seguridad-de-los-sistemas-derecho-o-crimen-5e029b5c72b6#.no2nw71u0

Martin Ezequiel Farina

31/10/2016

Martin Ezequiel Farina

No entendí el artículo ¿Los ciudadanos sabían que el gobierno les tendía una trampa?

Delia Matilde Ferreira Rubio

31/10/2016

Delia Matilde Ferreira Rubio

Excelente artículo. Super claro. Una gran contribución en la cruzada que algunos estamos llevando a cabo.
La parte de la auditoría no tiene desperdicio: en la ley sólo tienen 30 días.
La parte de la firma del software es muy graciosa para los que vimos a los “técnicos” de la empresa que cambiaban el DVD a mitad del proceso.
Felicitaciones y gracias!

Juan Manuel Fraga

31/10/2016

Juan Manuel Fraga

Nico , genial la nota sin fisuras haciendo simple de entender un tema complejo y de altísima jerarquía institucional , me saco el sombrero !

Agustín Ignacio Kanner

31/10/2016

Agustín Ignacio Kanner

Excelente nota, muy buena desde el punto de vista técnico y conseguiste “traducirla” a un “castellano básico”.

Para hacer un comentario, en ciertas partes del articulo mencionas que el sistema deja fuera de la posibilidad de auditar a personas comunes (sin conocimientos informáticos) pero, las personas que tenemos conocimientos informáticos también quedamos afuera (inclusive los desarrolladores del mismo sistema!) por que, como bien describiste, estos sistemas son la ultima capa de vaaarias capas de software subyacente, porque los resultados se transmiten a través de Internet (lo cual es otro universo paralelo (en cuanto conocimientos)) y porque el soft usado en BA tenia RFID (y sin mencionar al hardware de abajo), es decir, no creo que haya un ser viviente que sea experto en todos estos temas que pueda individualmente hacer una auditoria .

Si bien todos estos puntos los remarcas correctamente,y remarcas que nunca es seguro que el soft no tenga fallas, queda por remarcar (en mi opinión) aun más el hecho de que NADIE puede auditar este sistema de voto.

En fin, en definitiva una excelente nota (después de leer esto, quien puede decir un punto a favor del voto electronico?)

Esteban

31/10/2016

Esteban

Ambos sabemos que un compilador normalito, en el pedazo de código que pusiste y que esta mal escrito, levanta la banderita y te dice que hay un error. Así que ya empezamos mal.

Luego, creo que hay un gran desconocimiento de como trabajan los sistemas críticos. No son sistemas que podes cambiar así como así, no son sistemas que un hacker puede venir y hacerlo pedazos. Porque es eso, un sistema critico, algo que no puede fallar, o por lo menos no debería.

También hablas de “saltos de fe”, en lo cual concuerdo, pero me pregunto, cuando yo deposito mi voto en la urna, quien me asegura que va a ser contabilizado? Nadie. Yo “supongo”. Quien me asegura que va a haber boletas del candidato que yo quiero votar? Quien me asegura que no se truchan los conteos con respecto al telegrama que se manda posteriormente?

En fin, no estoy a favor de la boleta electrónica/voto electrónico pero tampoco hay que demonizar la tecnología, haciendo creer que todo es corrupto.

Pd: recuerden que la argentina es grande, y que no todas las provincias/ciudades son iguales a Buenos Aires. Hay provincias, como Formosa, Chaco o Tucuman, en las cuales suceden cosas inexplicables en las votaciones. Y de eso nadie habla….

Fede

31/10/2016

Fede

Hay un punto que me parece importante. Podemos o no estar de acuerdo en que sea necesario tener muchos fiscales para poder presentarse a una elección, pero EL VOTO ELECTRÓNICO NO SOLUCIONA ESO. El partido A va a permitir que la máquina esté solita con fiscales del partido B???? Si esos mismos fiscales le escondían las boletas y hacían trampa, por qué no la van a hacer con la maquinita????

Conclusión: el vot electrónico requiere la misma cantidad de fisclales y tiene todos los problemas que describe la nota.

Lula

31/10/2016

Lula

Interesantísima la nota.
Muchas veces defendí el voto electrónico pensando en sus ventajas, pero realmente me hiciste verlo de otra forma. Sí había pensado en los posibles “hackeos” que podía tener, pero los comparaba con las alteraciones que podían hacerse de forma manual y los justificaba. Esta nota me hace notar que es mucho más complejo que un par de personas escondiendo boletas o escribiendo mal un número.
Realmente el sistema actual debería mejorarse (yo lo pienso sobre todo en la cantidad de papel y el costo de imprimir tantas boletas que no se van a utilizar), pero definitivamente el voto electrónico no es la solución.

andrescass

31/10/2016

andrescass

Gran artículo. No solo por la claridad en la explicación de los aspectos técnicos sino por la abarcación de aspectos relacionados directamente con la filosofía detrás del voto como herramienta de la democracia.

Trabajo como desarrollador de sistemas de seguridad (de mucha seguridad, de esa que falla y algo explota, literalmetne (bueno, no tanto, pero por ahí cerca)), y justamente por esa no-seguridad intrínseca que tiene el software es que es, si bien no imposible, realmente complciado y engorroso meter software en circuitos de seguridad.
Sobre el paso de compilación, tuve alguna vez en un laburo problemas con un compilador para microcontroladores Silicon Labs que se comía líneas de código. Si, así, mirabas el código máquina generado y le faltaban cosas que si habías escrito en el lenguaje de alto nivel.

Me sorprende, y me indigna inclusive, como se trata este tema con tanta liviandad en medios de comunicación y en la política, como algo menor, casi anecdotario, más que nada lo que concierne al secreto del voto, que es un derecho, y como bien decís, por el que se luchó.

Uf, se me estiró el comentario.
Muy buena nota. A difundirla

Julian

31/10/2016

Julian

Yo pienso, y con la mayor de las humildades, que una de las soluciones si lo que quieren es acelerar el proceso de conteo, sería hacer como se hace el Censo. Es decir que en la boleta, cada candidato tenga un “circulito” para que el votante rellene con una lapicera. Luego eso se pone en scanners de alta velocidad y el sistema va contando los puntitos según reconoce la página. Tan difícil no es de implementar y el conteo sería rapidísimo.

Javi

31/10/2016

Javi

Excelente artículo!
Hay algo que me deja pensando con una profunda, profunda preocupación:
¿Quienes son los que pueden llegar a tener las intenciones de manipular el sistema para conseguir un resultado?
y como respuesta a ello encuetro solo oscuridad.
Pensemo en que todo es gestionado por politicos de bien, en un acto de altrismo se reunen todos los partidos a revisar todo, siempre con las mejores intenciones.
y aca iene la cuestión:
¿Quien me asegura que no hay un “privado” con suficiente capital para entromenterse en cualquier parte del proseso (incluso creando su propia empresa para presentarse a las licitaciones) y torcer el proceso según su conveniencia, incluso sin que los involucrados lo noten?
Flash!!!

saludos

Valentina

31/10/2016

Valentina

No creo que haya sido la intención de la nota pero acaban de cambiar mi opinión de forma rotunda :/

Maximiliano Felice

31/10/2016

Maximiliano Felice

Fantástico el artículo! Increíblemente te quedó afuera todo el rol del chip RFID, que a mi gusto debe ser de las cosas más cuestionables a nivel seguridad: http://securitywing.com/top-10-rfid-security-concerns-threats/. Si, quisiera evitar en un sistema de votación cualquer cosa que tenga un TOP 10 de problemas.

Lamentablemente, lo que suele suceder en los casos en los que hay tanta cantidad de argumentos para una postura, es que se diluyen entre ellos y terminan perdiendo entidad. Es mucho más atractivo pensar solamente que “no te vas a mojar si llueve el día de la votación”. Seguramente algún sociólogo le puso un nombre cool a esto.

Elsurexiste

31/10/2016

Elsurexiste

Mixed feelings con tu artículo, pero en general está bien.

La segunda pieza de código está bien para lo que querés demostrar…. pero ambos sabemos que un analizador estático de código, herramienta que lleva décadas, hubiese visto eso y levantado una bandera roja. No usaban lo que la misma industria ya ha producido para ese problema. Nada garantizaba que lo usen en BUE… excepto un fiscal partidario.

Sobre las virtudes/defectos del voto en papel… terminaste hablando de (a) el voto electrónico y de (b) que el problema del voto en papel es el problema de conseguir fiscales. Sobre (b), lo planteás esencialmente como un problema de control humano. Es *muy* extraño que el resultado electoral y la capacidad de gobierno de un partido dependan (al ser una elección, exclusivamente!) de la cantidad de fiscales que logre reunir. Como quedó demostrado en la quema de urnas de Tucumán, los fiscales sólo incrementan la confianza, no la garantizan. Para colmo, ni siquiera mencionás el error humano, el punto más flaco del uso de papel: cuando yo fui fiscal, en la sala de al lado tenían diferencias del 10% en los votos y los fiscales/presidente de mesa no sabían qué hacer. Para boleta única, basta con hacer una cruz adicional sobre la boleta del candidato opositor para anular la boleta. Sobre (a), bueno… :P .

Decir que “el sistema está intrínsecamente viciado” es un tanto inexacto: todo proceso está intrínsecamente viciado por su soporte. Intuyo que detrás de tus puntos hay un poco de sesgo cognitivo: como el papel es familiar y simple de usar, es más fácil de controlar/usar/conocer. No es así. Preguntale a cualquier votante por qué está seguro de que su voto en papel va a ser contado correctamente desde que se fue del centro de votación hasta que vio el resultado en la tele y la mayoría va a empezar a sospechar sobre lo que antes pensaba que era obvio y familiar. Ver “The misunderstood limits of folk science: An illusion of explanatory depth. Cognitive Science, 26, 521-562”.

Igual, das en el clavo: el problema es de control. Tal vez la solución no pase por la implementación de la BUE, pero es obvio que el asunto no pasa por rechazar la incorporación de elementos electrónicos.

Mariangeles

31/10/2016

Mariangeles

Excelente!! Voy difundiendo este entretenido artículo (y no por ello menos minucioso y certero). El humor también implica movilizar las neuronas, sobre todo cuando es inoculado en el tiempoespacio indicado. Adelante con las chispas, que nos hace falta encender muchos fueguitos!!

Fer

31/10/2016

Fer

Hola,
Qué bueno que El Gato se meta en este tema. No pude leer el artículo completo ahora, pero el planteo es claro.
Más allá de los problemas técnicos, o relacionados a la implementación, que no son para nada menores, creo que el problema más grave del voto electrónico es que es inconstitucional.
Yo no soy especialista en el tema, pero Delia Ferreyra sí, y lo explica muy bien en este artículo: http://www.calibar.com.ar/numero-10-24-08-2016/la-reforma-electoral-del-gobierno-una-gambeta-a-la-constitucion/

https://twitter.com/DeliaFerreira – “Lawyer. International Consultant on Money & Politics, Elections, Transparency, Political Parties, Public Policy. Individual Member of Transparency International, deliaferreira.com.ar”

#NoAlVotoElectrónico

Jaime

31/10/2016

Jaime

E X C E L E N T E

Martin Amico

31/10/2016

Martin Amico

Para auditar un sistema de esos se necesita “Auditores” capacitados no es así? No puedo ir yo y ponerme a jugar con el programa a ver si lo hago fallar.
Hay que ver quien audita a los auditores también.

Julian Cantarelli

31/10/2016

Julian Cantarelli

Creo que la mayor falla a la hora de mostrar la inseguridad de este sistema está en las formas de hacerlo. Se ataca a la gente común por su desconocimiento. Se la trata de estúpida por no entender de seguridad informática y de vaga porque antepone la facilidad para votar y contar. Mucha “gente de sistemas” perdió el contacto con la gente común y empezó a verlos como inferiores. Y nos va a terminar cabiendo a todos por eso.

Damian

31/10/2016

Damian

Este artículo con una breve transcripción de lo que pasó en la Cámara hace un resumen breve de qué tan ridícula es la idea del “software que nunca falla”

Luis Herrera

31/10/2016

Luis Herrera

Muy buen artículo.
Con respecto a los sistemas de home banking, creo que funcionan justamente por los constantes controles en tiempo real que se producen: a) de parte del titular, saldo antes de la compra/transferencia vs. saldo después; b) del banco: saldos c) del receptor del pago: monto recibido; d) del fisco, etc. Es decir, no hay “secreto” ahí, todo lo contrario.
Las partes saben qué, cuánto, cuándo, cómo y quién hizo el pago, quien lo recibió, quien intermedió y quién cobró impuestos por ello. Los intereses de cada uno hacen la “magia” venta/compra del producto o servicio, cobro de comisiones, gravabilidad de la transacción.
Por lo dicho, el sistema electoral, difiere notablemente del bancario.

La imposibilidad de auditar el sistema electoral no se compara con los supuestos beneficios del voto electrónico: menores costos y rapidez en el conteo. Prefiero lento, pero seguro.

Es otro caso de “locura de solucionismo tecnológico” en términos de Evgeny Morozov, donde se pretende, con tecnología” solucionar un problema que no es tal.

Apoyo la boleta única de papel, aunque en muchas provincias a los políticos no les va a gustar por la gran cantidad de sublistas (lemas o colectoras) que vienen usando como estrategia.

Romina

31/10/2016

Romina

Excelente artículo…hay que viralizarlo!!!

Javier

31/10/2016

Javier

Claro y al pie. Genial.

Gabo Lato

31/10/2016

Gabo Lato

Felicitaciones por el artículo. Decenas de veces intenté explicar a “no informáticos” estos temas. Y, de hecho, para hacerlo había empezado a escribir un artículo yo mismo, hace 2 semanas, después de leer una nota en la nación.

De verdad, muchas gracias. Espero que la gente que no sabe de estas cosas lo lea y piense de una manera un poco más crítica.

Federico Opfinger

31/10/2016

Federico Opfinger

Muy interesante nota Nicolás, la verdad nunca me había puesto a pensar en esto..
Me gusta mucho todo lo referente a la tecnología e informática, pero aún así, siendo un poco más nerd que la mayoría de la gente que me rodea, coincido con lo que decís de que estoy excluido. Ni siquiera alcanza con que te interese el tema, tenes que saber en serio, y son pocos los que saben en serio.
Muchas gracias por la reflexión! Saludos!

Gabriel

31/10/2016

Gabriel

El tema de la confianza es crítico. Yo participé en la primer implementación de la BUE en Rosario, 2005 si mal no recuerdo, y un par de votantes me preguntaron si era verdad que sabíamos que estaban votando (era un presupuesto participativo).
Resulta que los punteros les habían dicho que podían saberlo, lo cual era mentira, no se podía saber a quien votaba cada uno, y eso era suficiente para que voten al pie de la letra las opciones que les habían dado impresas en un papelito.
Los que me creyeron que no quedaba nada registrado, me dijeron que entonces iban a votar por lo que ellos querían. Pero fueron muy pocos los que se animaron a preguntar.
Creo que este es el punto más flojo de cualquier sistema electrónico. Ni siquiera es necesario hackearlo, con asustar a los electores no técnicos es suficiente.

Horacio Bertorello

31/10/2016

Horacio Bertorello

Gracias por la nota. De verdad.

Los chistes relacionados a Tinder… podrían no estar, y el valor neto de la nota estaría intacto.

Un abrazo,
H.

Mauro

31/10/2016

Mauro

Gracias por el artículo. Es un tema muy complicado de discutir porque se entremezclan preferencias políticas y la confianza de cada uno. Es muy difícil explicar con un par de mensajes lo que los programadores vemos todos los días: las cagadas abundan y en los lugares menos pensados. Y eso ya sin malicia o intereses.

Un punto interesante en el que creo se puede ahondar es la seguridad de los home banking. En algunas discusiones me han dicho que si los bancos funcionan, esto no puede fallar. Un punto a tener en cuenta es que esos sistemas están pensados para ser auditados: cada centavo que se mueve deja un registro. Entonces, si se detecta un ilícito, hay un sistema secundario e idealmente independiente que muestra quién lo hizo y cómo. Eso no lo hace invencible pero es una barrera más de defensa. Si pretendemos conservar la anonimidad del voto, no podemos utilizar esa herramienta imprescindible.

En última instancia, la confianza es lo importante. Ni siquiera hace falta vulnerar el sistema como para afectarla.

Hernán

31/10/2016

Hernán

Sabía que iba a llegar un artículo del Gato sobre este tema. También sabía que era imposible que fuese ‘breve’. También se que quienes más debieran leerlo, no llegarán ni a la mitad, aunque ojalá me equivoque en esto último.
Como sea, no se puede hacer más que insistir. Así que, para empezar, felicitaciones por el artículo, y gracias. Seguiré por acá con más comentarios, seguramente.

El Gato y La Caja