Alquilar urnas electrónicas a Brasil: una pésima idea

En las últimas semanas, diversos actores políticos propusieron migrar el sistema de votación argentino hacia sistemas de voto electrónico. Entre ellos, uno de los más vivos voceros de tal propuesta es el candidato presidencial Sergio Massa, quien desplegó incluso la propuesta de “alquilar las urnas electrónicas a Brasil”.

Más allá de lo que implica utilizar un sistema electoral importado de apuro, es fundamental desmitificar la creencia de que ese sistema funciona correctamente.

Diego F. Aranha, Marcelo Monte Karam, André de Miranda y Felipe Scarel, miembros todos del Departamento de Ciencias de la Computación del Centro de Informática de la Universidad de Brasilia publicaron en 2013 un documento lapidario que refiere a las múltiples vulnerabilidades del sistema de votación utilizado en Brasil.

El paper (disponible en línea en inglés) sintetiza los problemas de la siguiente forma:

Inadecuada protección del secreto del voto: Los votos se almacenan de forma desordenada, pero es trivial y sencillo reconstruir ese orden con productos conocidos y un conocimiento superficial del código fuente, que además es compartido públicamente a los partidos políticos. Esta vulnerabilidad compromete el secreto del voto en tanto este recuendo ordenado de los sufragios es comparable con una lista completa o parcial de electores.

Uso inadecuado de la criptografía: la misma clave criptográfica es compartida por todas las máquinas de votación para cifrar sus tarjetas de memoria. Usando una analogía sencilla, esto es similar a que medio millón de lockers compartan una única y exacta llave. La clave criptográfica está, además, almacenada en texto plano en una parte de las tarjetas de memoria. Usando la misma analogía, esto es comparable a esconder la llave de los millones de lockers bajo la alfombra y confiar en el secreto de esta ubicación como única forma de proteger la confidencialidad de la llave.

Uso de algoritmos de cifrado obsoletos: el sistema SHA-1 que utilizan estos equipos fue deprecado hace años. Ante esta situación de vulnerabilidad, un atacante podría construir software falso que podría suplantar los resultados y hacerlos indistinguibles de los verdaderos.

Modelo de ataque inapropiado: el principal énfasis de seguridad está puesto en un eventual ataque externo, cuando en estos casos, la amenaza interna es mucho más alta.

Procesos defectuosos de desarrollo de software: las malas prácticas de ingeniería habilitan la incorporación de múltiples vulnerabilidades, sean accidentales o maliciosas. El proceso de desarrollo de software del sistema electoral es inmaduro y pobre desde el punto de vista de la seguridad de sistemas.

Insuficiente verificación de integridad: El sistema de verificación de software está integrado en el proceso de inicio, pero toda la información necesaria para subvertir esta verificación está integrada en las máquinas de votación, con diferentes posibilidades de ataque dependiendo del modelo de seguridad del hardware. El problema de la autenticación del software está reducido a si mismo, sin fuentes externas de confianza. El sistema basado en la propia verificación es equivalente a creerle al portador de un documento sobre la validez de tal documento.

Estos son sólo algunos de los problemas detectados en los sistemas utilizados en Brasil. Vale mencionar además que los mismos integran la identificación del elector mediante un sistema de huella digital en el mismo equipo de emisión de los votos y no arrojan papeleta que permita al elector revisar si su voto ha sido considerado correctamente. Entre los sistemas de voto electrónico usados en el mundo, el utilizado en Brasil se caracteriza por las peores prácticas y por lo tanto no es recomendable bajo ningún concepto para el sistema electoral argentino.

Archivo