jueves, 13 de diciembre de 2007

¿Es conveniente el voto electrónico?

En base a las irregularidades denunciadas durante las últimas elecciones nacionales, se comenzó a hablar de impulsar el voto electrónico ya que teóricamente estos problemas no pasarían si se usara esta forma de votar.

Como contrapartida, también hay mucha gente que se opone argumentando que el voto electrónico no haría otra cosa que facilitar el fraude escondido detrás del misterio de la tecnología, ya que la mayoría de la gente no podría auditar que ocurre realmente dentro de una máquina de voto electrónico.

En este artículo voy a tratar de contar mi experiencia haciendo una máquina de voto electrónico que se utilizó en las elecciones de presupuesto participativo de la ciudad de Rosario en el año 2006, y cuales son mis opiniones personales sobre el (posible) fraude en las elecciones.

Desde 1995 hasta mediados del 2007, trabajé en una empresa (MSA) que a partir del año 1999 participó en varios procesos de recuentos de votos, en un par de ocasiones implementando algún método de voto electrónico. Aclaro que mis opiniones no son las de la empresa, y no tengo una postura definida sobre si el voto electrónico es mejor o peor que el sistema tradicional (boleta y sobre).

Recuento de votos

Como primer punto, me gustaría comentar que en ninguno de los procesos electorales que hicimos recibimos ningún tipo de presión de partidos politicos, entidades gubernamentales, etc, para influir de alguna forma en el resultado del proceso.

Durante los procesos de recuento, constantemente hay fiscales informáticos de los diferentes partidos políticos pidiendo todo tipo de información, y luego del proceso, generalmente se les da una copia de la base de datos para que crucen los datos con sus propios recuentos. Por ende, no sería una buena idea hacer fraude en este punto ya que sería descubierto tarde o temprano.

Emisión del voto

En el caso de las máquinas de voto electrónico, no es tan fácil auditar todas las máquinas ya que seguramente van a estar distribuidas geográficamente, y se necesita personal capacitado para controlar que no haya fraude. En esto estoy de acuerdo, pero...

Algo que generalmente se deja de lado cuando se ennumeran las características negativas del voto electrónico, es que en realidad el voto electrónico puede ser tan seguro y secreto como se quiera hacer, y por otro lado, el sistema de voto tradicional tampoco asegura que los votos sean registrados correctamente.

Haciendo una analogía un poco apresurada, es como decir que viajar en avión es más peligroso que viajar en auto, porque si se cae no hay muchas chances de salvarse. Es verdad. Pero hay más accidentes de autos que de aviones. De echo, en Argentina cualquiera de las dos cosas son peligrosas... y ese me parece que es la base de ambos problemas: que estamos en Argentina. :(

La máquina de voto electrónico


Cuando hicimos la máquina de voto electrónico, tratamos de hacerla lo más segura, secreta y accesible que pudimos:
  • La máquina era un LiveCD que podía funcionar en cualquier PC. De esta forma nadie tenía acceso al software antes de iniciar las máquinas, a excepcion de los auditores del juzgado electoral. Es más fácil mantener seguros unos cuantos CDs no regrabables, firmados fisicamente, que la misma cantidad de máquinas.
  • Al votar se emitía una boleta de papel con la selección impresa. La boleta era ingresada en una urna tradicional, y en el peor de los casos se podía hacer el recuento manualmente.
  • Los votos no se registraban en la PC. Tampoco en medios remobibles. En la misma boleta de papel se almacenaban los datos del voto en un medio elecrónico no reescribible. No se si la empresa terminó patentando esto, pero a fines prácticos supongamos que imprimimos un código de barras con la información de los votos.
  • El elector podía verificar el voto emitido. Aparte de leer el texto impreso en la boleta, ingresando la misma en un lector el sistema le muestra las opciones almacenadas, que deberían ser las mismas que están impresas.
  • Se podían leer los fuentes del software en ejecución. Dado que el sistema estaba totalmente escrito en Python (que no necesita ser compilado) se daba la posibilidad de auditar el sistema de la máquina leyendo el CD desde cualquier PC.
  • Accesibilidad. Gracias a la facilidad de integración de las herramientas que disponemos en el software libre, los usuarios con problemas de visión podían utilizar un modulo especial que leía las opciones sin mostrar nada en la pantalla. Por primera vez, una persona ciega tuvo la posibilidad de votar sin alguien que lo asista, simplemente usando auriculares y un teclado numérico con etiquetas braille.
Una vez terminada la elección, el recuento se hizo con el mismo software. Todos los CDs tenían un modulo de recuento, con el cual se juntaban los resultados y se enviaban al centro de computos.

Como se puede ver en una foto que anda dando vueltas por la red, me comí todo el día en uno de los centros de votos asistiendo a la gente en la operación de las máquinas. Algunas de las cosas que pude observar:
  • Curiosamente, la gente mayor era la más contenta estaba con el sistema. Los abuelos estaban fascinados, y nos pedían por favor que utilicemos este mecanismo para las elecciones presidenciales (como si fuera nuestra desición :) )
  • Al igual que en el sistema tradicional, llegaban micros con gente para votar a quienes les habían dado un papelito con los números que tenían que votar.
En mi opinión, en esto último esta el principal problema, y no tiene mucho que ver con que método se use. Me resultaba increíble ver con que desinterés votaba esa gente. Si bien no se trataba de elegir cargos, votaban sin chistar los números que les habían dado. Parece que les daba absolutamente lo mismo votar, no votar, o que voten por ellos.

En el sistema tradicional, se acostumbra a utilizar otros métodos como el voto cadena o las boletas dobladas de una forma determinada, o sea que este tipo de corrupción no se puede evitar.

Conclusión

Lamentablemente, cualquiera de los dos métodos permite más o menos los mismos métodos de fraude, ya que no hace falta que se hagan en el momento del voto, sino que el fraude ya viene hecho de antes, o se hace después, modificando las planillas de recuento antes que sean procesadas. Esos son los momentos donde es más dificil hacer una auditoria.

Por otro lado, si bien una persona sin conocimientos técnicos no puede auditar una máquina de voto electrónico, tengo entendido que tampoco puede estar presente cuando se abre la urna, se cuentan los votos, y se escribe la planilla de resultados en el sistema tradicional.

En este momento, me parece que la única gran diferencia entre un método y otro es el costo y la velocidad de proceso. Ambos son superiores en un sistema electrónico que en el tradicional: más caro pero más rápido. Supongo que para saber cual es mejor, habría que ver de cuanto dinero se dispone, o cual es el apuro para obtener los resultados.

Más allá de estar o no en contra, pienso que en el futuro el voto electrónico va a ser la norma, ya que toda la sociedad apunta al camino de la tecnología. En este punto me parece que la solución más acertada sería que las organizaciones promotoras de software libre se encarguen de proponer sistemas/máquinas de voto electrónico de código libre. Es sabido que el software libre tiene entre sus ventajas los miles de ojos que lo auditan, imaginense cuantos ojos van a querer auditar el código de una máquina de voto electrónico!!!

Por supuesto esto no asegura que el último código que se ejecute sea el mismo que se escribió, a menos que se usen lenguaje como Python, que permiten leer el mismo código que se está ejecutando.

La comunidad del software libre debería interesarse seriamente en este tema, antes que se haga moneda común que las máquinas de voto electrónico sean algo cerrado y propietario como las que existen actualmente. Ahí si que estaríamos en problemas. Si el único que puede ver que pasa dentro de la máquina es el que la hizo, estoy totalmente de acuerdo... el voto electrónico no sirve.

Gabriel E. Patiño

Creative Commons License
This
work is licensed under a Creative Commons Attribution-Share Alike 3.0 License.

5 comentarios:

Juan Ahumada dijo...

la gente mayor era la más contenta estaba con el sistema.
Eso no dice nada. El sistema puede ser todo lo amigable y bonito que quieras, pero lo que se discute del voto electronico es la transparencia.

Al igual que en el sistema tradicional, llegaban micros con gente para votar a quienes les habían dado un papelito con los números que tenían que votar.
En el sistema actual de votación vos necesitas un aparato muy grande para hacer fraude a escala y de ultima el corrompido es parte del padron, la misma gente que tiene su derecho. En el voto electronico solo te alcanza con arreglar con una empresa para hacer fraude a escala. Me parece que estas mezclando cosas distintas.

Si esa empresa es, ademas extranjera. El portencial conflicto de intereses es enorme.

Por otro lado, si bien una persona sin conocimientos técnicos no puede auditar una máquina de voto electrónico, tengo entendido que tampoco puede estar presente cuando se abre la urna, se cuentan los votos, y se escribe la planilla de resultados en el sistema tradicional.

Lo que decis no es cierto. Los fiscales participan en el recuento y son los que firman el acta. Para ser fiscal alcanza con que te acerques a un partido politico previo las elecciones.

Aun suponiendo que lo que decis es cierto, cosa que no lo es, seria una cuestion de reglamentacion y no tecnica. Dado el caso se puede cambiar esa regla, mientras que en el voto electronico necesitas conocimientos tecnicos muy especificos para poder fiscalizar y en muchos casos las empresas que hacen las urnas electronicas no publican el codigo y si asi lo hicieran tenes el problema de garantizar que el codigo en ejecucion es el mismo que auditas...

Gabriel Patiño dijo...

Jaun,

Estoy de acuerdo en tus argumentos relacionados a que las empresas no publiquen el código, al final de las conclusiones opino que si este es el caso, estoy en contra del voto electrónico. Si el código fuera abierto, libre y accesible por el público en general, otra sería la historia.

El resto de las opiniones que publico son en base a hechos reales, principalmente los relacionados con irregularidades en las actas, a las que tuve acceso en varios procesos de recuento. No es raro que lleguen planillas firmadas por los fiscales, pero cuyos datos estan tachados o 'corregidos', incluso con otros colores de lapicera (tambien diferentes a los de las firmas de los fiscales)

Lo que quiso comentar es que en ambos métodos hay posibilidad de hacer fraude, y no necesariamente en el voto electrónico es más fácil.

Saludos,

Fede Heinz dijo...

Gabriel,

hay un par de afirmaciones sin fundamentar en tu post, por ejemplo la de que "el voto electrónico puede ser tan seguro y secreto como se quiera hacer". Al final de este artículo hay unas cuantas referencias, entre ellas un informe de la Universidad de Princeton sobre las máquinas Diebold y el manifiesto de los profesores de informática de Brasil sobre voto electrónico, que arrojan serias dudas sobre la validez de tu afirmación.

Para ser bien específicos, y coincidiendo contigo en que gran parte del problema está, paradójicamente, en el proceso de escrutinio que sí es auditable, creo que se puede mejorar mucho en la transparencia del escrutinio usando mecanismos informáticos. Pero en lo que respecta al acto mismo de emisión del voto, lo más seguro y efectivo es seguir haciéndolo con papel, sobre y urna de cartón (idealmente reemplazando el absurdo sistema de múltiples boletas de hoy por uno de boleta única marcada con tinta).

Gabriel Patiño dijo...

Gracias por tu comentario Federico.
Seguramente no fui del todo claro en el post, pero quiero volver a aclarar que no tengo una postura sobre el voto electrónico, ni a favor ni en contra.

Por supuesto que estoy en contra de cualquier cosa que facilite el fraude, por eso en la experiencia que relato pusimos todo el esfuerzo en la transparencia. A eso me refería con lo de que "el voto electrónico puede ser tan seguro y secreto como se quiera hacer".

Yo fui el principal diseñador de la solución y quien escribió al menos el 50% del código (y revisé el otro 50%). El sistema estuvo muy bien programado, y no encontramos fallas de seguridad en el mismo que permitan trampear el voto de los electores.
Hasta donde se, tampoco hubieron presiones sobre que el software tenga que favorecer a una u otra opción, y estoy 100% seguro que el código no hay nada que permita algo parecido.

El problema que si veo en esta solución, es que el código fuente no es público ni abierto. De haberlo sido podría compartirlo con ustedes.

De esto se desprende la conclusión final: que tarde o temprano el voto electrónico va a ser utilizado, nos guste o no. Cuando llegue ese momento, a mi me gustaría que el código sea público, abierto, accesible... que cualquiera lo pueda ver.

En este sentido me parece que los grupos de SL, aparte de alertar sobre lo malas que son las opciones actuales, deberían empezar a impulsar el desarrollo de una plataforma de voto electrónico auditable y segura.

Es solo una opinión.

Saludos.

Fede Heinz dijo...

Gabriel,

discúlpame que insista, pero repetir tu afirmación de que "el voto electrónico puede hacerse tan seguro como se quiera" no constituye evidencia de que tal afirmación es cierta.

Coincido que las urnas se pueden hacer más o menos seguras, pero eso no quiere decir no haya una cota superior de seguridad que se puede implementar, ni que esa cota alcance para considerarlas suficientemente seguras, ni siquiera que se les pueda atribuir un nivel de seguridad comparable al de la urna de cartón.

De hecho, no sólo tenemos que el consenso entre los especialistas en seguridad informática es que no es posible construir una urna electrónica lo suficientemente confiable, sino que la experiencia nos muestra que las urnas que se han construido hasta ahora son patéticamente inseguras, independientemente de que sus fabricantes protesten lo contrario. Pegate una vuelta por la sección de voto electrónico del sitio de Vía Libre, donde vas a encontrar por ejemplo los casos de California y Ohio, que acaban de darse cuentas que la seguridad de sus urnas electrónicas es inexistente.

Entiendo tu percepción del caso particular en el que participaste, especialmente porque sos una persona honesta, y estuviste involucrado en todo el proceso, pero... imaginá por un momento que vos le das la imagen del CD-ROM a quien maneja la elección, y de allí en adeltante no tenés nada que ver. ¿Tu confianza no disminuye seriamente? Está bien que tengas confianza vos, pero ¿por qué voy a tenerla yo, que no participé del proceso?

Tu conclusión, de que el voto electrónico "se va a implementar, nos guste o no", es un ejemplo de profecía autocumplida. En efecto, si adoptamos esa postura, el voto electrónico terminará por instalarse. Pero no es la única actitud que podemos tomar. Podemos explicarle a la gente que el voto electrónico es la manera de bajar el costo del fraude a gran escala, y que por lo tanto lo que tenemos que hacer es mejorar los mecanismos de votación, pero siempre conservando el medio de papel, sobre y urna, que es más seguro.

Acerca de la actitud que debemos tomar quienes defendemos el software libre, pues es claro que siempre exigimos que el software sea libre en todos los casos, de modo que las urnas no tienen por qué ser la excepción. Pero debemos cuidarnos muchísimo de sugerir que se puede usar software libre para construir una urna confiable, porque no estaríamos diciendo la verdad.