Tesis de grado en Ingeniería en Informática
Sistemas de eVote
Verificabilidad del voto electrónico
Damián Obremski
Diciembre 2006
2
Tema: Verificabilidad del voto electrónico
Alumno: Obremski Damián
Padrón: 79100
Tutor: Ing. Dams Alberto
Autor
Tutor
3
Índice
Índice ...................................................................................................................3
CAPÍTULO I......................................................................................................7
INTRODUCCIÓN .............................................................................................7 1. Resumen ejecutivo ......................................................................................................... 7
1.1. Objetivo de la tesis..........................................................................................................................7 1.2. Límites al trabajo............................................................................................................................8 1.3. Esquema de voto electrónico propuesto .........................................................................................9 1.4. Necesidad de verificación del voto ...............................................................................................11
2. Breve Descripción del eVote ....................................................................................... 13 2.1. Definición de eVote.......................................................................................................................13 2.2. Definición de Voto Digital............................................................................................................13 2.3. Requisitos del voto electrónico.....................................................................................................13 2.4. Requisitos de seguridad para implementar el eVote ....................................................................15
CAPÍTULO II ..................................................................................................18
Definición del Problema ..................................................................................18 1. Inconvenientes del voto electrónico ............................................................................ 18
1.1. Problemas sociales .......................................................................................................................18 1.2. Problemas tecnológicos................................................................................................................19
2. Facilidad, velocidad, corrección: confianza ................................................................ 21 2.1. Facilidad.......................................................................................................................................21 2.2. Velocidad ......................................................................................................................................22 2.3. Corrección ....................................................................................................................................24 2.4. Confianza......................................................................................................................................25
3. Debilidades de los sistemas de e-vote.......................................................................... 27 3.1. Seguridad de las máquinas de votación .......................................................................................27 3.2. Dificultad de verificar el eVote.....................................................................................................29 3.3. Requisitos incompatibles ..............................................................................................................30
4. Referencias que amparan el problema ......................................................................... 32 4.1. Tecnología, errores, integridad; Verificabilidad. ........................................................................32
CAPÍTULO III.................................................................................................35
Análisis de requisitos de la Ley electoral.......................................................35 1. Requisitos de la Ley..................................................................................................... 35
1.1. Carácter del sufragio....................................................................................................................35 1.2. Padrones electorales ....................................................................................................................36 1.3. Oficialización de candidatos ........................................................................................................36 1.4. Procedimiento de votación ...........................................................................................................37 1.5. Las juntas electorales ...................................................................................................................38
2. Aplicabilidad de los sistemas de eVote ....................................................................... 39 2.1. Tarjetas Perforadas ......................................................................................................................39 2.2. Optical mark-sense voting system ................................................................................................39 2.3. Mecanical – Lever Machines........................................................................................................40 2.4. Todo sistema de tecnología basada en máquinas DRE................................................................40
CAPÍTULO IV.................................................................................................42
4
Descripción global de la solución propuesta .................................................42 1. Método Pantalla-Impresora.......................................................................................... 42
1.1. Características generales .............................................................................................................42 1.2. El proceso de votación..................................................................................................................45
CAPÍTULO V...................................................................................................52
Detalles de los módulos del sistema................................................................52 1. Inicialización................................................................................................................ 52
1.1. Configurar máquinas....................................................................................................................53 1.1.1. Generar claves .......................................................................................................................54 1.1.2. Realizar carga inicial .............................................................................................................55 1.1.3. Limpiar registros....................................................................................................................57
1.2. Intercambiar claves ......................................................................................................................58 2. Procedimiento de votación........................................................................................... 60 2.1. Imprimir acta inicial.....................................................................................................................61 2.2. Identificación del votante .............................................................................................................62
2.2.1. Lectura óptica del DNI ..........................................................................................................65 2.2.1.1. Leer DNI con la máquina ...............................................................................................66 2.2.1.2. Validar contra padrón .....................................................................................................67 2.2.1.3. Registrar al votante .........................................................................................................68
2.2.2. Registro de huella dactilar .....................................................................................................69 2.3. Ejecución de la votación...............................................................................................................70
2.3.1. Autenticación de usuario .......................................................................................................72 2.3.2. Selección de candidato ..........................................................................................................73
2.3.2.1. Mostrar opciones ............................................................................................................74 2.3.2.1.1. Leer lista de candidatos ...........................................................................................75 2.3.2.1.2. Almacenar opciones.................................................................................................76 2.3.2.1.3. Imprimir opciones....................................................................................................77
2.3.2.2. Ingresar opción ...............................................................................................................79 2.3.3. Culminación del voto.............................................................................................................80
2.3.3.1. Almacenado del voto ......................................................................................................81 2.3.3.2. Impresión del comprobante ............................................................................................82
2.4. Imprimir acta de cierre.................................................................................................................84 3. Consolidación de resultados ........................................................................................ 87
3.1. Recibir votos y totales...................................................................................................................88 3.1.1. Identificar emisor...................................................................................................................90 3.1.2. Agrupar pares y almacenar ....................................................................................................91
3.2. Contabilizar los votos ...................................................................................................................91 3.2.1. Sumar votos ...........................................................................................................................92
3.2.1.1. Validar votos...................................................................................................................94 3.2.1.2. Totalizar votos ................................................................................................................97
3.2.2. Comparar resultados ..............................................................................................................98 3.2.2.1. Elaborar informe.............................................................................................................99
4. Verificación del voto.................................................................................................. 101 4.1. Generar archivos ........................................................................................................................102 4.2. Verificación pública...................................................................................................................103 4.3. Verificación privada ...................................................................................................................105
4.3.1. Identificar.............................................................................................................................106 4.3.2. Consultar..............................................................................................................................108
CAPÍTULO VI ...............................................................................................110
5
Verficabilidad del método.............................................................................110 1. Pruebas físicas............................................................................................................ 110 1.1. El ticket .......................................................................................................................................111 1.2. Pantalla de papel........................................................................................................................112
2. Método de verificación real ....................................................................................... 114
CAPÍTULO VII .............................................................................................116
Resultados.......................................................................................................116 1. Resultados obtenidos ................................................................................................. 116 1.1. Cumplimiento del objetivo..........................................................................................................116 1.2. Cumplimiento de los requisitos de eVote....................................................................................119 1.3. Ventajas y Desventajas del método ............................................................................................121
1.3.1. Ventajas ...............................................................................................................................121 1.3.2. Desventajas ..........................................................................................................................123
2. Comparación con los sistemas de eVote existentes................................................... 124
CAPÍTULO VIII............................................................................................129
Conclusiones ...................................................................................................129
ANEXO A .......................................................................................................132
Experiencias Tecnológicas existentes...........................................................132 1. Antecedentes del problema ........................................................................................ 132
1.1. Experiencias Internacionales de voto electrónico......................................................................132 1.1.1. India .....................................................................................................................................132 1.1.2. Brasil....................................................................................................................................133 1.1.3. Bélgica .................................................................................................................................134 1.1.4. Costa Rica............................................................................................................................134 1.1.5. Venezuela ............................................................................................................................135 1.1.6. Estados Unidos ....................................................................................................................136 1.1.7. Inglaterra..............................................................................................................................136 1.1.8. España..................................................................................................................................136
1.2. Experiencias en Argentina..........................................................................................................137 1.2.1. Provincia de Tierra del Fuego..............................................................................................137 1.2.2. Provincia de Buenos Aires...................................................................................................138 1.2.3. Mendoza ..............................................................................................................................139
2. Tecnología existente .................................................................................................. 140 2.1. Tarjetas perforadas ....................................................................................................................140
2.1.1. Características generales......................................................................................................140 2.1.2. Comparación con Pantalla-Impresora..................................................................................140
2.2. Optical mark-sense voting system ..............................................................................................142 2.2.1. Características generales......................................................................................................142 2.2.2. Comparación con Pantalla-Impresora..................................................................................142
2.3. Mecanical – Lever Machines......................................................................................................145 2.3.1. Características generales......................................................................................................145 2.3.2. Comparación con Pantalla-Impresora..................................................................................146
2.4. Direct Recording Electronic (DRE) voting system.....................................................................146 2.4.1. Características generales......................................................................................................146 2.4.2. Comparación con Pantalla-Impresora..................................................................................147
2.5. Voter verifiable ballots ...............................................................................................................150 2.5.1. Características generales......................................................................................................150 2.5.2. Comparación con Pantalla-Impresora..................................................................................151
6
2.6. Secret-Ballot Receipts.................................................................................................................153 2.6.1. Características generales......................................................................................................153 2.6.2. Comparación con Pantalla-Impresora..................................................................................154
ANEXO B .......................................................................................................157
Fundamentos Teóricos y Prácticos ..............................................................157 1. Encriptación ............................................................................................................... 157 1.1. Cifrado Simétrico........................................................................................................................157 1.2. Cifrado de clave pública.............................................................................................................158
2. Funciones de Hash ..................................................................................................... 160 2.1. Introducción a las funciones de Hash ........................................................................................160 2.2. Requerimientos de las funciones de Hash ..................................................................................162
3. IPSec .......................................................................................................................... 164 3.1. Generalidades.............................................................................................................................164 3.2. Authentication Header (AH).......................................................................................................165 3.3. Encapsulating Security Payload (ESP) ......................................................................................166 3.4. Key Managment ..........................................................................................................................166
4. Lectura de huellas dactilares...................................................................................... 167 4.1. Características............................................................................................................................167 4.2. Escáner óptico ............................................................................................................................167 4.3. Escáner de capacitores...............................................................................................................168 4.4. Resumen......................................................................................................................................168
Referencias......................................................................................................170
7
CAPÍTULO I
INTRODUCCIÓN
En este capítulo se presenta el objetivo principal de la tesis que consiste en diseñar un
sistema de votación electrónica verificable para solucionar los problemas que poseen los métodos
actuales. Como el foco del diseño está centrado en incrementar la confianza de los electores en los
sistemas de eVote, sobre algunos inconvenientes no se invirtió esfuerzo en solucionarlos. Éstos
serán expuestos en la sección límites al trabajo. A continuación se describe brevemente el método
de votación propuesto como solución a los mismos, destacando su característica de permitir
verificar los votos emitidos y justificando la necesidad de esta cualidad. Luego se introduce al
lector en el tema del trabajo, ensayando definiciones de eVote y detallando requisitos necesarios
para implementar la tecnología.
1. Resumen ejecutivo
1.1. Objetivo de la tesis
El objetivo de la tesis es elaborar un sistema de votación electrónica que permita al votante
verificar la corrección del almacenado y recuento de los votos por parte de la máquina. El desafío
que se plantea consiste en que la comprobación no comprometa el secreto de voto, la velocidad en
obtener los resultados oficiales o la facilidad del proceso. Estas características permitirán que los
ciudadanos confíen en la votación electrónica y pierdan el miedo a que se efectúe un fraude a gran
escala.
El sistema debe asegurar que ni siquiera un fiscal electoral pueda rastrear algún voto. Sin
embargo, debe existir alguna forma, en el caso que el voto publicado no coincida con la elección
que hizo el votante frente a la máquina, de que éste pudiera demostrar el error cometido sin
comprometer el anonimato del sufragio.
8
Se espera que la metodología propuesta no requiera de boletas preimpresas para funcionar,
ya que de este modo heredaría la desigualdad producida por los recursos con que cuenta cada
partido político.
Como resultado se busca obtener un procedimiento sencillo, seguro y que sea confiable por
parte de la población en general y la gente especializada en sistemas en particular. Que pueda ser
implementado, característica que obliga a cumplir con los requisitos que se plantean al final de
este capítulo.
Para acotar el estudio y circunscribirlo a una problemática en particular, algunos de los
inconvenientes que fueron mencionados quedarán fuera del alcance y los mismos serán detallados
en el siguiente punto.
1.2. Límites al trabajo
Existen ciertos inconvenientes que no serán tenidos en cuenta al momento de elaborar la
metodología ya que se consideran fuera del alcance de la tesis.
El primero de los inconvenientes es el ataque que pudieran sufrir las máquinas por parte de
un saboteador, dejándolas inoperables el día de la elección. Este ataque es el denominado
“Denegación de servicio”. Se podrían esbozar algunas reglamentaciones o conductas a seguir
como contingencia en caso de que ocurriere, pero no podrían evitarse.
Lo mismo ocurre con el inconveniente denominado “Rompimiento del sistema de
autenticación del PIN o tareas administrativas”. En este trabajo no se harán esfuerzos para evitar
que un ataque de estas características ocurriera. Las características que el sistema debe poseer para
evitar este tipo de irrupción escapan al alcance del trabajo.
Se propone la apertura de una línea de investigación, en el caso de cumplir con los
objetivos planteados, para mejorar el sistema propuesto en los aspectos que el mismo no cubre y
9
de esta forma prevenir cualquier tipo de ataque posible contra las máquinas de votación
electrónica.
Este trabajo está enfocado en el aspecto de integridad de los sistemas de votación
electrónica. Si bien la seguridad forma parte de esta tesis, no se profundiza demasiado sobre la
misma. Debido a esto, se excluye de los temas abarcados a los métodos de votación electrónica a
distancia, escenario que requiere investigar los métodos más apropiados de seguridad informática
que garanticen el anonimato del elector y la inviolabilidad de los datos. Sin embargo los
mencionará en la evaluación de resultados y en la conclusión de la tesis, destacando ciertos
inconvenientes que presentan.
Esta investigación se centra en incrementar la confianza de los votantes en los sistemas de
votación electrónica. El objeto queda acotado a las máquinas utilizadas, sus formas de registro de
los votos y sus interacciones con los electores. Si bien se describe la tecnología utilizada para la
transmisión de la información hacia los centros de consolidación, no se profundiza demasiado
sobre la misma.
1.3. Esquema de voto electrónico propuesto
El sistema se puede dividir en 4 grandes etapas. La primera de ellas es la de inicialización,
en la cual se configuran los datos de las máquinas intervinientes. La segunda etapa es la de
votación, que tiene lugar el día de los comicios y se inicia con la impresión de un acta que certifica
que las máquinas no poseen votos almacenados, ni personas señalas como que ya efectuaron su
voto. A continuación, empieza el proceso normal de votación que se encuentra dividido en 2 fases,
una de identificación del elector y otra de sufragio, y ocurre de la siguiente manera:
1. El elector se identifica ante las autoridades de mesa, con su documento. Estas realizan
la lectura óptica del mismo para que la máquina de identificación verifique su
presencia y habilitación en el padrón.
10
2. Si está en condiciones de votar, se le toma una lectura de una huella dactilar para
habilitar la máquina de votación que se encuentra en el cuarto oscuro. El elector
ingresa a este cuarto y se autentifica tomando una nueva lectura de su huella dactilar.
3. La emisión se concreta eligiendo una opción de las desplegadas en una pantalla por
medio de un teclado. En el caso de ser un elector discapacitado, el sistema prevé
alternativas (sonido, braille, etc.).
4. Una vez efectuada la selección, el sistema le permite al elector verificar las opciones
elegidas antes de emitir el voto. En este momento, si lo desea, puede cambiar sus
preferencias, la cantidad de veces que le fuera necesario. Cuando está seguro, elige la
opción “Emitir” o “Votar” y el voto se almacena en la memoria digital de la máquina.
5. La máquina emite un comprobante en papel que el sufragante debe retirar para poder
verificar su voto.
6. El elector recibe su documento con la constancia de haber votado. Se asienta la emisión
y éste queda inhabilitado para – si quisiera o lo intentara - volver a votar en otro sitio.
Este proceso se repite hasta finalizar el horario de votación, donde las autoridades de mesa
activan los procedimientos que poseen las máquinas para realizar los conteos y emitir las actas de
cierre necesarias. La tercer etapa es la de transmitir de los resultados a los centro de consolidación
de datos. Esta última acción se realiza del modo más seguro posible (datos cifrados, sistemas de
clave pública – privada de alta seguridad) para garantizar la inalterabilidad de la información. En
forma jerárquica se transmiten los datos y los resultados parciales hasta un centro donde se alcanza
el resultado de los comicios. La cuarta etapa es la de verificación que ofrece a los votantes 2
formas de efectuarla. La primera de ellas sirve como aproximación y se realiza a través de Internet
mediante un código impreso en el comprobante devuelto por la máquina de votación. La segunda
es un lugar público, con condiciones similares a los cuartos oscuros, donde queda de manifiesto el
candidato votado. Esta última forma autentifica al elector y posee la seguridad necesaria para no
revelar el secreto y no violar el anonimato del voto. En caso de no corresponder el sufragio
reflejado por la máquina con el emitido por el elector, existe un ente regulador al cual se le pueden
presentar pruebas que demuestran la falla y no descubren el secreto del sufragio.
11
1.4. Necesidad de verificación del voto
El eVote presenta varias ventajas por sobre los sistemas de votación tradicionales. Una de
ellas consiste en la posibilidad de que personas que sufren determinadas discapacidades, como ser
la falta de visión, puedan votar sin ayuda de un oficial de mesa. Otra de las ventajas que presenta
es la reducción de costos electorales que afrontan los partidos políticos causados por la emisión de
boletas. En particular este punto permite igualar las posibilidades de triunfo en los comicios de
todos los partidos políticos, ya que ninguno se privará de recibir un voto por carecer de suficientes
boletas, acontecimiento que hoy tiene lugar. Finalmente la velocidad en que se efectúa el
escrutinio y se obtienen los resultados, es varias veces superior. El escenario planteado permite
pensar al eVote como solución a los problemas que nos afectan actualmente, sin embargo todavía
existen inconvenientes que no hacen posible implementarlo.
Las tecnologías actuales que implementan la votación electrónica presentan varias
dificultades que aún no han sido resueltas (véase anexo A). Algunas de ellas corresponden a
riesgos que, en el caso de materializarse, podrían provocar la caída del sistema electoral por
completo. Estos inconvenientes hacen que el eVote no tenga el aval suficiente y sea cuestionado
permanentemente por científicos de sistemas y personas no idóneas.
Hoy en día la votación electrónica es un tema que se ha instalado en la sociedad. En las
elecciones de diputados y senadores de fines de octubre de 2005, se realizó una prueba para
implementar los sistemas evote en la Ciudad Autónoma de Buenos Aires. En el corto plazo
aquello que hoy se está probando formará parte de nuestros procedimientos electorales. Si bien la
sociedad argentina desconfía de los aparatos políticos, el acto ciudadano de votación sigue siendo
noble y honrado. La impunidad que invade a la Argentina crea un marco perfecto para que el
problema de fraude a gran escala alarme a más de una persona. El alto índice de riesgo provoca
desconfianza.
Por tales razones se requiere un sistema de votación que permita verificar el voto emitido,
mitigando el riesgo de fraude e incrementando la confianza del elector en el uso de la tecnología
en el acto de sufragio. Esta es la única forma de crear las bases necesarias para implementar el
eVote y aprovechar sus ventajas innatas, porque de no existir un proceso que permita comprobar
el sufragio, la falta de confianza de los ciudadanos en los sistemas de votación electrónica
12
provocarían el retorno a los sistemas de tradicionales o el constante cuestionamiento a los
candidatos electos por sospechas de fraude.
El método propuesto como solución en este trabajo es verificable ya que finalizada la
elección permite a los sufragantes presentarse con el comprobante otorgado por la máquina de
votación en un recinto custodiado para asegurar la libertad y privacidad de los electores y, tras
autenticar a las personas que se presentan, dejarles de manifiesto el sufragio emitido. El candidato
expuesto por la máquina de verificación, es por quien el sistema interpretó que votó del ciudadano
por lo que el elector puede comprobar si su intención fue comprendida debidamente. Sin embargo,
este proceso no alcanza para garantizar la verificabilidad del método. Para poder afirmar que el
sistema de votación permite comprobar los sufragios emitidos, debe existir una instancia a la cual
recurrir en el caso que la verificación arroje un resultado negativo para probar el error. El sistema
provee al sufragante de un comprobante tangible que en conjunto con otra prueba física que queda
en manos de un ente regulador, conforman la evidencia necesaria y suficiente para demostrar la
falla del sistema de votación sin revelar el secreto del voto. Sólo bajo estas condiciones se puede
afirmar que un método de votación es verificable. Se requiere que el ciudadano pueda comprobar
fehacientemente su voto y pueda probar, sin revelar el secreto y anonimato del sufragio, las fallas
del sistema. Como la solución propuesta en el trabajo cumple estas condiciones, se puede aseverar
que el método es verificable.
13
2. Breve Descripción del eVote
2.1. Definición de eVote
Se puede definir el voto electrónico o eVote como la aplicación de dispositivos y sistemas
de tecnología de la información y telecomunicaciones al acto del sufragio. Pero este nuevo
concepto no implica solamente un cambio de herramientas y materiales. No significa pasar de la
urna de madera, cartón y papel, al metal y al software. Este nuevo sistema ofrece mucho más,
porque las posibilidades que brinda permiten rediseñar la estructura electoral vigente en el país.
A su vez, cuando se habla de voto electrónico, también se hace referencia a la tecnología
aplicada en las etapas que se desarrollan el día de los comicios; tales como el registro y la
verificación de la identidad del elector, la emisión del voto, el recuento de votos y la transmisión
de los resultados. La incorporación del voto electrónico puede abarcar todas o una de estas etapas,
manteniéndose el resto de las operaciones manuales. [Gelli, 2001]
2.2. Definición de Voto Digital
Es el voto electrónico realizado desde una ubicación remota. No requiere la presencia
física del elector en el centro de votación. El voto digital es realizado vía Internet y no será
analizado en este trabajo.
2.3. Requisitos del voto electrónico
Se pueden clasificar los requisitos en dos:
a) Desde el punto de vista del sufragante.
14
• La confianza del elector en el buen funcionamiento del sistema.
• La conveniencia del elector para usarlo. Esta se resume en la facilidad, la
comodidad y la sencillez que presente el sistema de emisión del voto electrónico.
b) Los requisitos intrínsecos del eVote.
• Anonimato, privacidad y no coerción
Los sistemas de voto electrónico deben garantizar el anonimato, la privacidad y
la no coerción al momento de emitir el sufragio. Es decir, los ciudadanos deben poder
votar en total libertad y privacidad, sin que su identidad pueda ser vinculada al voto,
respetando así el mandato constitucional. Para ello es necesario mantener separados
los padrones de las e-urnas, de manera de garantizar el secreto del voto, aunque
estén digitalizados.
• Elegibilidad y autenticidad
Se debe garantizar que sólo puedan votar los electores habilitados y
empadronados. La identidad debe ser debidamente comprobada con el fin de asegurar
que voten únicamente los ciudadanos habilitados y que sólo puedan hacerlo una vez.
• Integridad
Los sistemas de votación deben poder asegurar que los votos no sean cambiados
o eliminados.
• Certificación y auditoria
Los sistemas de votación deben poder ser probados por agentes oficiales, para
permitirles certificar los niveles aceptables de funcionamiento y auditar el
sistema en cualquier momento.
15
• Confiabilidad
Los sistemas de votación deben funcionar de manera robusta y eficiente, sin
pérdida de votos ni de datos o información. Vale destacar que en el voto electrónico la
confiabilidad se basa fundamentalmente en la percepción de los electores y no tanto en
una razón técnica.
• Facilidad de uso
Se trata de diseñar métodos de votación fácilmente utilizables por los
sufragantes para que no generen confusiones en el elector ni en las autoridades
encargadas del escrutinio.
• Exactitud y posibilidad de verificación
Los sistemas de votación deben procurar el correcto almacenamiento de los
votos y toda la información que registren. Y, en este sentido, todo el proceso debe
poder ser verificable. [Escolar]
2.4. Requisitos de seguridad para implementar el eVote
Existen varios factores importantes que se deben tener en cuenta a la hora de implementar
la votación por medios electrónicos. Éstos son:
1- Separación de funciones
Se recomienda tener un sistema de registro y verificación de identidad del votante, otro
sistema diferente para que el ciudadano emita su voto, pudiendo estar integrado al de
escrutinio o no, y finalmente uno de trasmisión de resultados. La razón principal que justifica
esta recomendación, consiste en resguardar el secreto del voto impidiendo relacionar los
registros de personas con los votos. Con el fin de evitar fraudes, se aconseja dividir el
desarrollo de los sistemas por funciones, imitando las reglas de control interno de las
16
empresas. El equipo de trabajo encargado de realizar las aplicaciones para el registro de votos
en la memoria de las máquinas, debe ser independiente de aquel responsabilizado de la
contabilización de sufragios, como también del de identificación de los votantes.
2- Control del sistema.
Quienes pueden acceder al sistema, ya sea para operar o para auditar, constituyen el
eslabón débil de la cadena de seguridad de un sistema. Al ser sus custodios, se plantea la
expresión "Qui custodies ipsos custodios", o sea quién controla a los que controlan. En esta
tesis se busca delegar parte de la auditoría en los ciudadanos mediante la
implementación de un sistema de verificación del voto emitido.
3- Código abierto.
Se recomienda que el código fuente sea propiedad de la autoridad electoral
responsable, y no de una firma proveedora de los materiales. El hardware y el software del
sistema, incluyendo el código fuente, deben estar disponibles para inspección en todo
momento, como así también toda la documentación de respaldo del mismo (manuales técnicos
y de operación). No puede haber reclamos de secreto por parte de proveedores privados. El
acceso libre al código fuente, simplemente para verlo, para verificar su contenido y
adecuación, sin ninguna posibilidad de modificarlo, supone que sólo quienes tienen
autorizaciones adecuadas (funcionarios electorales, delegados partidarios o de organizaciones
de monitoreo) puedan hacerlo. Quienes hacen la tarea deben pasar por controles de seguridad
que aseguren su integridad personal. [Rial, 2001]
4- Seguridad y confianza
Es importante diferenciar entre seguridad y confianza, ya que el primero es un
factor objetivo mientras que el segundo es subjetivo y debe crearse a través de un
proceso de divulgación sobre las actividades y cambios que implica la tecnología.
Es tema de esta tesis motivar el incremento de la confianza del elector en la
votación por medios electrónicos. Se espera lograr ese objetivo garantizando la seguridad
de los datos provenientes de las urnas electrónicas y otorgando al votante la posibilidad
de verificar que el sufragio registrado refleja su intención de voto.
17
18
CAPÍTULO II
Definición del Problema
En este capítulo se describen todos los problemas relacionados con el voto electrónico.
Inicialmente se exponen los inconvenientes asociados a la aplicación de las tecnologías al acto de
sufragio desde dos puntos de vista: el social y el tecnológico. Luego se describen algunos
requisitos esenciales, que no son mas que características innatas de los procesos de votación
electrónica, con la finalidad de describir los problemas que trae aparejada su implementación. Otra
importante fuente de problemas son las máquinas utilizadas para la emisión de los sufragios. Todo
artefacto electrónico posee debilidades que pueden ser explotadas por terceros o límites acerca de
las funcionalidades que ofrece. Aquí se puntualizan las flaquezas que poseen las máquinas.
Finalmente, el capítulo se cierra citando diferentes documentos que avalan la problemática
descripta acerca de los requisitos de la votación electrónica.
1. Inconvenientes del voto electrónico
1.1. Problemas sociales
Los problemas sociales son aquellos que surgen de las pautas culturales de cada país.
Existen varios inconvenientes que se detallan a continuación:
• Secreto del voto
En la Argentina, todo lo relacionado con el secreto de la elección parece algo
trascendente e intocable. El cuarto oscuro existe sólo en nuestro país. Por esto,
cualquier implementación de eVote debería considerar la existencia de este cuarto si
pretende ser exitosa.
19
• Solemnidad del acto
En nuestro país el episodio de votar es algo altamente solemne. Parte de esta
concepción radica en que es obligatorio.
• Elementos que rodean al sufragio
Los padrones, los sellos, los documentos, las boletas, etc. hacen a la solemnidad del
acto.
1.2. Problemas tecnológicos
Los problemas tecnológicos son aquellos que se desprenden de las herramientas utilizadas
para la concreción del sufrago. Se encuentran intrínsecos en las mismas.
• Incertidumbre
Al administrarse una materia prima tan delicada y masiva como son los votos,
todo sistema de administración genera un margen de error que -en ciertas condiciones
de competencia política- torna casi indefinible la elección en base a los resultados
procesados. Por supuesto, probablemente en ese punto, contar con medios electrónicos
en parte de los procedimientos, permitiría bajar las tasas de incertidumbre. Pero es
imposible que éstos no presenten algunos problemas técnicos.
• Verificabilidad
Un problema tecnológico a resolver es aquel relacionado con la existencia
de mecanismos por los cuales se le permita al votante comprobar que su voto no
ha sido modificado durante el proceso. Este es el objetivo de esta tesis como se
detallará más adelante.
20
• Posibilidad de fraude
En los comicios tradicionales, la existencia de fraude no sólo deja pistas
concretas, sino que además involucra a mucha gente. Esto no ocurre con el voto
electrónico, donde un grupo reducido de personas puede ser el causante de un fraude a
gran escala sin dejar mayores huellas en los sistemas.
• Intangibilidad de los procesos
Quienes observan las máquinas no pueden ver la forma en que éstas almacenan,
manejan y cuentan los votos. Estos procesos son transparentes para cualquier persona
que no haya estado en el equipo de desarrollo del software. A su vez, los votantes
tampoco pueden observar por sí mismos el registro electrónico de su boleta. Semejante
transparencia en la forma de operar de las máquinas produce desconfianza en los
sistemas de voto electrónico.
21
2. Facilidad, velocidad, corrección: confianza
Estos conceptos son la base de interminables discusiones a cerca de la aplicabilidad de la
tecnología a los sistemas electorales. Cada uno se encuentra relacionado con el otro de una u otra
manera. Los cuestionamientos que se realizan sobre las metodologías de votación que se
mencionan en el anexo A son a causa de la falta de confianza del votante hacia el proceso de
elección. Esa confianza se logra con un sistema que sea fácil, ágil y correcto. A continuación se
analiza cada una de las características y se describe cómo se consigue que la gente crea en el
método.
2.1. Facilidad
En cualquier democracia, todas las personas tienen el derecho de emitir un voto. Es por
esto, que los sistemas de votación deben garantizar que cualquier individuo sea capaz votar, razón
por la cual el método de sufragio debe ser entendible por cualquier persona. Si el objetivo es
reemplazar los sistemas tradicionales de votación por máquinas electrónicas, el proceso a
implementar debe ser lo más sencillo posible para que la gente no requiera de ayuda para emitir su
voto. La necesidad de asistencia por parte de un tercero puede provocar rechazo en quien desee
conservar su elección política en secreto absoluto. Si bien la tecnología podría contribuir a que
personas discapacitadas, ciegos en particular, puedan votar sin soporte de nadie, también podría
frustrar el intento de votación de gente mayor que no entiende cómo operar máquinas electrónicas.
Como suele ocurrir, lo que se gana por un lado se pierde por el otro.
La manera de que gente reacia hacia los cambios o hacia la tecnología se logre adaptar a
los sistemas de e-vote, es logrando que los mismos sean simples y sencillos. La facilidad de uso
otorga mayor confianza hacia el usuario ya que la persona se siente capaz de emitir su voto sin
ayuda. Esa sensación de competencia provoca aceptación y por tanto logra confianza en el
sistema. Mediante la sencillez también se consigue la corrección, ya que hay una mayor
posibilidad de que el voto almacenado refleje la intención del elector. La base de la sencillez del
proceso, radica en un alto porcentaje en las interfaces utilizadas. Cuando éstas son complejas dan
22
lugar a confusiones y por tanto inducen a los sufragantes a cometer errores y votar por quienes no
deseaban.
La persona que se presenta a votar, interactúa con la máquina a través de la interfaz,
comúnmente usando un touch-screen. El objetivo de minimizar el error de votación puede
incrementar la complejidad del software de la máquina. Por ejemplo, las máquinas DRE solicitan
confirmación cuando el sufragante no selecciona ninguna opción (voto en blanco), pero para ello,
requieren de un paso adicional para el votante. Además ocurre que cuando la interfaz no es simple
y clara, la cantidad de usuarios que requieren asistencia es mayor. La cantidad de asistencia
requerida juega un rol importante en la confianza en el proceso de votación porque la ayuda
siempre viene de un trabajador partidario. Además los usuarios que solicitan ayuda arriesgan su
anonimato y quienes la requieren podrían rehusarse a pedirla por ese motivo o por otros
inconvenientes personales.
En definitiva se puede asegurar que la facilidad de uso y la simpleza del software de las
máquinas de votación hacen a la corrección y al incremento de la confianza en el sistema.
Analizando un poco más profundamente, se puede ver que la corrección se refiere a que el voto
almacenado refleje la intención del votante. En cambio, la confianza, radica en mantener en
secreto la elección y que ningún paso del proceso de selección del candidato pueda originar una
duda en el elector acerca de si está operando bien la máquina o si cometió un error que podría
modificar su voto.
2.2. Velocidad
Si bien la implementación de un sistema de e-vote podría perseguir objetivos tales como
reducir los altos costos electorales causados por la emisión de boletas, el propósito principal es
incrementar la velocidad con que se obtienen los resultados de los comicios. Cuando se decide
implementar un sistema de e-vote, por lo general, se busca rapidez en el proceso de recuento de
los votos.
La ventaja de los sistemas electrónicos, consiste en que cada máquina contabiliza los votos
en pequeñas fracciones de tiempo y la única demora en la obtención del resultado es el envío de la
23
información de cada mesa de votación a un centro de consolidación que se encargue de totalizar
las sumas parciales de cada máquina. No importa cual fuere el medio elegido para transportar la
información al centro de consolidación, los tiempos de recuento son varias veces inferiores a los
manuales. Los ciudadanos asocian la tecnología con la velocidad. Si se implementa un sistema de
e-vote y el tiempo en que arroja los resultados es el mismo que cuando se realizaba la votación por
medio del sistema tradicional, enseguida las dudas sobre la conveniencia del cambio y la
justificación de la inversión invadirían a la población.
Varios de los sistemas expuestos en el Anexo A imprimen un comprobante en papel que es
depositado en una urna de la máquina para que el elector compruebe que su voto refleja su
intención. Este mecanismo se implementó como solución a la desconfianza generada por los
sistemas de registro directo, donde no existe prueba alguna de los votos emitidos y un error en las
máquinas de votación puede cambiar los resultados de las elecciones. Sin embargo, se perdió de
vista una de las características requeridas por los sistemas de votación electrónica: velocidad. Si
bien la emisión de comprobantes en papel es únicamente para auditar el proceso, es inevitable
efectuar el recuento manual, ya que el resultado verdadero de los comicios es aquel que éste
arroja debido a que las boletas emitidas son las que reflejan la verdadera intención del elector. Si
los totales arrojados por la máquina, difieren de los obtenidos mediante la suma de las boletas
impresas, serían estas últimas las que tendrían valor. Por lo tanto, el hecho de implementar
sistemas de votación electrónica, no exime de la necesidad de contar manualmente los votos,
obteniendo los resultados oficiales en el mismo tiempo que los sistemas tradicionales.
La falta de velocidad en alcanzar las sumas de votos de cada partido, también genera
desconfianza en la población. Se plantean interrogantes acerca de la eficiencia y corrección de las
máquinas debido a la demora en la publicación de los resultados. Estas dudas derivan en otras que
fueron mencionadas en párrafos anteriores, como ser si era necesario el cambio y si se justificaba
la inversión. Todas estas incertidumbres llevan al fracaso la implementación de las tecnologías en
los sistemas de votación.
24
2.3. Corrección
El requerimiento fundamental de cualquier sistema computacional es que sea capaz de
guardar los datos que se le ingresan, para que estén disponibles cuando se los necesite, es decir,
que sirva como soporte de información. Esta característica no es ajena a los sistemas de votación
electrónica. La corrección de los mismos radica en que el voto almacenado sea el verdadero
reflejo de la intención del sufragante. Dada una interfaz en la cual les permita a los votantes
ingresar su voto sin error, la confianza depende directamente del correcto almacenaje de las
intenciones de voto de los sufragantes. La confianza de los ciudadanos en las máquinas depende
de sus experiencias en el uso de las mismas tanto como en el entendimiento de su funcionamiento
y el proceso que las rodea.
En cualquier sistema tradicional, los operadores pueden consultar los datos cargados y
verificar su integridad. Sin embargo, en los sistemas de votación electrónica esa posibilidad no
existe, motivo por el cual la confianza juega un rol muy importante. Una de las razones por las
cuales los votantes confían en las máquinas DRE es debido a su semejanza con los cajeros
automáticos. Después de todo, si confiamos en una maquina electrónica que cuente dinero
podremos confiar en que cuente correctamente los votos emitidos. La falacia de este argumento
reside en que el cajero automático le otorga al usuario un comprobante de la operación. Si
existiera una discrepancia el cliente puede notarlo y hacer el respectivo reclamo al banco
interviniente. En las máquinas DRE no hay comprobante y tampoco hay forma de protesta
posterior sobre los resultados almacenados.
En un principio, el problema parecería acotarse a la existencia de una vía por la cual el
elector pueda verificar que su voto seleccionado es correcto. No obstante, el inconveniente es aún
mayor. Las máquinas de votación efectúan varias transformaciones sobre los votos almacenados,
por lo que permitir comprobar la elección en una instancia del proceso, no implica que en otra
etapa el sufragio pueda ser modificado. Ésta es una de las razones por la cual varios de los
sistemas no tuvieron éxito. La mayoría permite al elector constatar su elección antes de salir del
cuarto oscuro o cabina, pero nunca después de abandonado el recinto de votación.
Un mecanismo más poderoso es aquel que permite al votante saber si su voto fue incluído
correctamente en el recuento. Esto debe realizarse sin comprometer el anonimato del sufragante o
sin proveer la posibilidad de que alguien infiera por quién votó otra persona.
25
Una forma simple pero insatisfactoria de hacer eso es proveer al votante de una única y
aleatoria boleta numerada y luego publicar cada número de boleta con el voto asociado. Los
sufragantes van a poder comprobar si en la publicación se encuentra su voto y si además fue
registrado correctamente. El problema reside en que nadie podría ser capaz de probarle a ninguna
otra persona que su voto no fue incluido en la cuenta. Otro problema es que los votantes podrían
ser forzados a revelar su voto, diciéndole a quien los obliga el número de boleta. Finalmente, no
habría ninguna forma de probar que se hayan agregado votos de gente que no ha concurrido a
votar.
Por estas razones se le debe otorgar al sufragante un comprobante que les permita
verificar que su voto fue realmente incluído correctamente en el recuento o de lo contrario
servir como prueba para que un fiscal electoral pueda comprobar el error. Este
comprobante no debe permitir de ninguna forma que un coerzor pueda conocer por quién
votó una persona. [Evans & Paul, 2004]
Implementando un sistema de votación electrónica que cumpla con la característica antes
mencionada, su éxito dejaría de depender de la confianza de los ciudadanos en la fidelidad del
proceso. Garantizaría la corrección del sistema mediante la distribución a todos los votantes de la
responsabilidad de verificar la exactitud del almacenado de votos. La confianza se incrementaría a
medida que las personas comprueben que sus votos fueron contados conforme a sus deseos y que
el secreto no fue violado. Este último punto es muy importante, ya que reduce los procedimientos
que puedan implementarse para verificar los votos.
2.4. Confianza
En los puntos anteriores se han analizado 3 de las características de los sistemas de
votación que se creen vitales para el éxito en la implementación de e-vote. La conjugación de la
facilidad, velocidad y corrección en un sistema, generan en la población la confianza necesaria
para que persista en el tiempo. Sin embargo, las primeras dos cualidades pueden ser sacrificadas
en cierto grado, aunque nunca eliminadas, con el único fin de garantizar la corrección en el
26
almacenado y recuento de votos. Cualquier duda sobre este aspecto, pondría en tela de juicio al
procedimiento y terminaría por erradicarlo por completo.
De nada sirve tener el sistema de selección más simple, con la interfaz más amigable para
el usuario, si la operación que realiza es incorrecta. Lo mismo ocurre con la velocidad, el proceso
más ágil no tiene valor si es erróneo. Pero también se puede apreciar que la corrección sin la
velocidad o facilidad, tampoco subsistiría porque la población demandaría retornar a los sistemas
de votación tradicionales ya que los tecnológicos no proveerían ninguna ventaja.
La forma de incrementar la confianza de los electores en los métodos de votación
electrónica es garantizando la corrección de almacenado y recuento de sufragios, que la velocidad
de acceso a los resultados sea considerablemente mayor a los sistemas tradicionales y que la
complejidad de emitir un voto no sea considerable.
Evitando el doble registro de votos, manual y electrónico, y siendo las máquinas quienes
efectúen el recuento, la velocidad está garantizada. El problema radica en balancear la facilidad
con el agregado de procesos que aseguren la corrección de los sistemas pero dificultan el uso de
las máquinas de votación. La dificultad se acota a resolver hasta qué nivel se puede complicar la
selección de los candidatos para implementar un sistema de verificación del voto, único recurso
disponible para legitimar al e-vote.
27
3. Debilidades de los sistemas de e-vote
3.1. Seguridad de las máquinas de votación
Las máquinas empleadas para la votación electrónica son desarrolladas y distribuidas con
menor cuidado en el aspecto seguridad que los tragamonedas. Generalmente, las empresas
proveedoras de las máquinas, consideran fuera del alcance de sus manos la posibilidad de un
ataque interno. Estos ataques pueden no ser descubiertos en la mayoría de las máquinas ya que, el
día en que se celebran los comicios, no existe una forma de comprobar que los votos son
registrados correctamente.
Desde una perspectiva informática, el voto electrónico es el peor escenario posible. El
riesgo es muy alto; las personas que quieran fraguar una votación poseen un incentivo importante.
Hoy los sistemas deben ser capaces de aguantar ataques altamente sofisticados. A todo esto, hay
que sumarle el hecho de que el sistema debe descartar información que es crítica para futuras
auditorías: la relación que existe entre el voto y el votante. [Bannet et al., 2004]
Hasta el momento se han expuesto elementos que atentan contra la integridad de la
información almacenada en las máquinas y que tienen una implicancia directa sobre el resultado
de las elecciones. Sin embargo, hay otros escenarios que impiden que los comicios se lleven a
cabo correctamente y que ponen en peligro la implementación de la votación electrónica. A
continuación se describen algunos de los ataques que pueden alterar la ejecución normal de los
procesos electorales.
• Manipulación directa de los votos
Los ataques apuntan directamente a manipular los votos para modificar el resultado
de las elecciones. Esto lo logran mediante el cambio de votos o la suma de nuevas boletas a
un candidato. Un caso aparente de alteración de la votación es agregar un porcentaje de
votos a algún candidato. Una forma de realizar esto sin ser detectado en el testeo de las
máquinas, es activar el código que modifica la votación luego de emitidas una cierta
28
cantidad de votos. Se especula con que los auditores prueben una cuantía de votos menor,
para dar como óptimo el funcionamiento de la máquina.
• Rompimiento del sistema de autenticación del PIN o tareas administrativas
En algunos de los sistemas de votación electrónica, para tener acceso a las
máquinas de votación, uno requiere de una contraseña (PIN) que habilita al elector a emitir
su sufragio. Este ataque consiste en preparar entradas al sistema de votación sin la
necesidad de utilizar el PIN identificador. Otro posible ataque consiste en permitir que un
determinado PIN permita votar más de una vez.
• Derrotar el secreto o anonimato del voto
Un ejemplo de este ataque consiste en eliminar el proceso de mezcla de votos que
altera el orden en que son guardados. De esta forma si una persona conoce el orden en que
los votantes fueron teniendo acceso a la máquina de votación, podría inferir por quién votó
cada individuo. Existen otros métodos que pueden ser utilizados para eliminar el secreto de
la elección, pero dependen de las formas en que cada tecnología resuelve resguardar el
anonimato. Aquí se expuso una genérica que es aplicable a la mayoría de las máquinas.
• Denegación de servicio
Consiste en inhabilitar el sistema para que nadie pueda emitir ningún voto. La
máquina queda inutilizada. De esta forma la elección no podrá ser completada y los
resultados a los que se accedan serán parciales. Ante una votación despareja, la
consecuencia es menor ya que el resultado no se vería afectado, sino que simplemente se
atentaría contra la democracia e igualdad de los ciudadanos de elegir sus representantes. Si
este ataque se efectúa en varias terminales de votación, los comicios deberían ser
pospuestos. Lo mismo ocurre ante una elección cerrada donde existe gran paridad entre los
candidatos y una urna pueda definir la votación.
Todos estos ataques pueden traer serias consecuencias en los procesos electorales y
requieren de los mayores cuidados para prevenirlos. Los posibles daños que pueden causar van
desde retrasar la elección, por el tiempo demorado en reparar las máquinas, hasta hacer ganar a un
candidato que no recibió la mayoría de los votos. Estos ataques pueden ser causados por fallas
29
inconscientes en el código o errores colocados estratégica e intencionalmente en los programas.
Lo más preocupante es la dificultad de encontrar estos errores. El camino a seguir no es volver a
las boletas de papel y desaprovechar las ventajas del voto electrónico, sino trabajar en métodos
que mitiguen la posibilidad de que errores semejantes provoquen daños al proceso electoral.
3.2. Dificultad de verificar el eVote
Todo sistema informático posee vulnerabilidades que pueden ser explotadas por terceros.
El mayor problema que existe es la posibilidad de que los ataques descriptos anteriormente pasen
inadvertidos y alteren los resultados de los comicios. Toda persona que posea competencia en el
área de seguridad informática sabe que resulta imposible poder comprobar con total seguridad el
correcto funcionamiento de las máquinas de votación. Esa dificultad se ve potenciada por la
característica de anonimato que posee el voto. Un auditor no puede saber si un voto está
correctamente almacenado porque no puede conocer a quién pertenece y que intención tenía esa
persona al momento de emitir su sufragio.
Los sistemas de votación deben contabilizar los votos en forma anónima para prevenir
cualquier tipo de presión, represalia o recriminación contra aquellos que eligen boletas
impopulares. Uno debe estar seguro que ni siquiera un fiscal electoral puede rastrear nuestro voto.
Es muy sencillo realizar un programa capaz de emitir un ticket que indique mediante un código,
sólo identificable por el elector, por quién se voto. Terminada la elección se publican los
resultados con los candidatos correspondientes a cada código, para que el sufragante verifique si el
voto fue contabilizado en forma correcta. Esto no exime que venga un tercero y obligue a una
persona a mostrarle el código, haciéndole perder el anonimato al voto.
El sistema debe ser inmune a cualquier saboteo interno de cualquier empleado de la
compañía que desarrolla las máquinas de votación. Ese saboteo puede ser inconsciente, un simple
error de realizar la operación +1 en el lugar incorrecto. Si esa falla ocurre en un sistema de bancos,
éstos poseen los registros de movimientos y realizan un control cruzado de sumas bancarias. En
los sistemas de votación ese error pasaría inadvertido porque no existe comprobante alguno para
realizar esa auditoría. Esto obliga a diseñar un sistema que permita verificar su integridad por
cualquier persona que dude sobre la misma.
30
La dificultad que poseen los sistemas de votación para ser verificados en un ambiente
similar al real, hace que cualquier proceso de auditoría o comprobación, no impacte positivamente
en la confianza que les tienen los electores. Esta complicación obliga a rediseñar los procesos para
permitir al elector verificar su voto, convirtiendo a toda la sociedad en auditora del sistema.
3.3. Requisitos incompatibles
En este trabajo se han descrito cuáles son los requisitos que debe cumplir cualquier sistema
de votación electrónica. Sin embargo, no todas las tecnologías existentes los cumplen. Gran parte
de las dudas que envuelven a los sistemas de hoy, radican en la falta de satisfacción de esas
demandas.
¿Por qué motivo se desatendieron las exigencias y se elaboraron sistemas que no
implementaron todos los requerimientos? Hay 2 respuestas posibles. La primera y más sencilla, es
que algunos de los requerimientos fueron surgiendo ante la necesidad de solucionar
inconvenientes nacidos de las primeras técnicas de e-vote. La segunda se debe a que al intentar
cumplir con un requisito, enseguida se viola otro. Es naturalmente imposible cumplir con la
esencia de cada uno de los requisitos. ¿Esta dificultad sugiere que cualquier método de votación
electrónica fracasaría? La respuesta es no, ya que los sistemas manuales también tienen las
mismas dificultades. La diferencia radica en que la población ya está educada en la metodología y
la tarea de fraguar las elecciones requiere de muchos interventores, por lo tanto se convierte en
algo dificultoso.
• Facilidad de uso vs. Confiabilidad
Ambos conceptos son subjetivos, pero solo la facilidad de uso es tangible. La
medida sencillez se basa en los inconvenientes que tuvo el elector en entender el proceso
de elección del candidato y en emitir su voto. El sufragante puede estimar la simplicidad
del proceso mediante la cantidad de dudas que le surgieron acerca de qué debía realizar
para completar la operación de votación. La confiabilidad es intangible ya que se basa en
sensaciones. Es un concepto altamente subjetivo. La imposibilidad de cumplir con ambos
31
surge cuando se intenta objetivar la confianza mediante el agregado de pasos al proceso de
votación que garanticen al elector la correcta emisión de su voto; otorgarle la posibilidad
de verificación. Estas instancias complican el camino hacia la emisión del sufragio. La
solución es buscar un punto intermedio. Un sistema de varios pasos sencillos que permitan
al elector verificar su voto y ganar en confianza.
• Anonimato, privacidad y no coerción vs. Integridad, exactitud y posibilidad de
verificación.
El problema de la verificación es la compra de votos y posibilidad de acoso para
comprobar por quién votó la persona. Un sistema que permita comprobar al votante su
elección, pone en riesgo el secreto de sufragio. Es imposible hacer público el nombre del
representante o partido por el cual votó un individuo, aunque se requiera una clave de
acceso. Esto ocurre porque un tercero puede obligar al elector a entregarle su clave y de
esa manera conocer a quién eligió. Este escenario es posible cuando hay intereses de por
medio y se procede a comprar votos a las personas. Sin embargo, tampoco se puede dejar
de lado la verificación, porque se estaría poniendo en riesgo la integridad y exactitud del
proceso de sufragio. Lo que habría que hacer es un sistema que permita chequear al elector
su voto sin que un tercero pueda coaccionarlo para conocer su elección. Estas condiciones
son necesarias para poder verificar los votos, mantener la privacidad y secreto del sufragio,
y en caso de que el voto haya sufrido modificaciones, poder demostrar que el proceso fue
alterado.
32
4. Referencias que amparan el problema
4.1. Tecnología, errores, integridad; Verificabilidad.
Existen varios documentos, artículos y publicaciones que amparan el problema de la
tecnología aplicada a los procesos de votación. Bruce Schneier [Schneier, 2004] escribió que la
tecnología de votación ideal debe cumplir con cuatro atributos: anonimato, escalabilidad,
velocidad y corrección. Afirma que en el apresuramiento por conseguir los 3 primeros atributos, la
corrección ha sido sacrificada. En los sistemas de votación se traduce de algún modo y en
repetidas oportunidades, la intención de voto del elector. En cada traducción los errores se
acumulan. La corrección no es la medida de cuán bien se cuentan los votos, sino qué tan bien el
proceso traduce la intención del sufragante en la cuenta de votos. En la mayoría de los sistemas de
votación existentes, los mayores problemas se presentan en la representación o interpretación de la
voluntad del votante. El autor asegura que la solución es simple: menos traducciones, menos
errores. Hay que reconocer la existencia de errores accidentales o intencionales en los sistemas de
votación y hallar alguna forma de reducir la posibilidad de fraude. En particular propone que las
máquinas impriman un comprobante para lograr una redundancia de datos y que sean éstos los
votos oficiales. Es decir, el registro de las máquinas solo serviría para tener una aproximación
rápida de quién es el ganador de la elección.
Otra publicación que se refiere a la problemática que trata este trabajo, es la publicada por
Mole [Mole, 2005], quien se opone a la tecnología de las máquinas DRE (ver Punto 2.1.3.4)
afirmando que efectúan el registro de votos y el recuento en secreto. Los votantes no pueden ver si
sus votos se encuentran registrados correctamente en la memoria de las máquinas. El autor
propone tomar conciencia y eliminar a las computadoras de los sistemas de votación. Asegura que
hay que volver a las boletas de papel y llama a utilizar un método de lectores ópticos para acelerar
el recuento. No confía en la tecnología de las máquinas porque no se puede observar el registro,
seguimiento, almacenado, manejo y conteo de votos.
La problemática acerca de la confianza en los sistemas de votación alcanzó dimensiones
insospechadas. Tal es así que existe una fundación que aboga por cambiar las tecnologías de las
33
máquinas de votación por sistemas que permitan a votantes y auditores verificar los votos y el
proceso completo. Esta fundación publicó varios artículos y elaboró una resolución [Verified
Voting Foundation, 2004] que solicita cambiar las máquinas DRE por otras que permitan verificar
el voto antes de aceptar la operación y que no se altere la elección después de confirmarla. Que
emita una boleta y que ésta tenga mayor valor que los registros de las máquinas. Si no existe la
posibilidad de verificar en forma independiente los votos, no se provee seguridad sobre la
integridad de los sistemas de votación por más que se hayan hecho revisiones de diseño,
inspecciones, testeo, análisis lógico y/o control sobre el proceso de desarrollo del sistema. Algo
importante que destaca es que actualmente no existe forma alguna de detectar errores en el registro
de los votos, por lo que los resultados de las elecciones arrojados por estas máquinas están
abiertos a cuestionamientos.
Peter Neumann [Neumann, 1993] presentó un paper en la 16ta conferencia denominada
National Computer Security en Baltimore. En él describía algunos criterios a tener en cuenta para
los sistemas de computación involucrados en la votación electrónica. A medida que los procesos
de votación fueron siendo más automáticos, la cantidad de reportes sobre supuestos errores
accidentales o sospechas de fraude también fue creciendo. Las vulnerabilidades de seguridad en
los sistemas de votación proveen oportunidades para abusar de ellas. Por esta razón, enumera
varios criterios para aplicar a la confiabilidad, integridad, accesibilidad, confidencialidad y
seguridad. Esto demuestra la existencia de falta de credibilidad y confianza en los sistemas que se
utilizan actualmente. Sin embargo el autor se opone a la existencia de redundancia en la
información asegurando que acarrea más complejidad e inconvenientes. Además un programa
troyano puede alterar todos los registros simultáneamente.
Existen muchos otros documentos que avalan la problemática del trabajo. Muchos autores
se oponen a la posibilidad de verificar los votos y otros se encuentran a favor. Los motivos son
varios y difieren entre sí. Los que se encuentran a favor se basan en la “falta de transparencia” de
los procesos actuales y la imposibilidad de auditarlos. Quienes se oponen, aseguran que la
redundancia de registros agrega complicaciones y genera conflictos sobre la confiabilidad de cada
uno. Otros opositores afirman que es imposible o muy difícil implementar sistemas que permitan
verificar el voto [Papageorgiou, 2001] porque en cualquier instancia del proceso se puede alterar
el curso normal del mismo de forma transparente al votante.
Es objetivo de esta tesis hilvanar un método que permita a quien quisiere, auditar el
proceso de votación, permitiendo a los sufragantes verificar si su voto refleja realmente su
34
intención. Se espera poder acercar las posiciones de aquellos que se encuentran a favor y en contra
de la votación electrónica. Siguiendo los dichos de Pibel [Pibel, 2003], las máquinas presentan
muchas ventajas. Se pueden tener boletas en múltiples idiomas, habilitar sonido, ahorrar costos de
impresión de boletas, etc. Sin embargo los profesionales de sistemas se oponen a estas porque
conocen la vulnerabilidad de las computadoras a errores o sabotajes.
Los interrogantes que se plantean son los siguientes: ¿es posible aprovechar las ventajas de
estos sistemas de votación electrónica, incorporando al proceso la posibilidad de verificar los
votos, auditar el proceso y los resultados?. ¿Existe alguna manera de incorporar la redundancia
necesaria en los registros para permitir comprobar la corrección de los votos guardados sin
complicar los procesos existentes? Hasta el momento se han creado nuevos sistemas, como el que
propuso Rebecca Mercuri [Mercuri, 2003] (Voter Verifiable Ballots del Anexo A) aunque no han
logrado conformar lo suficiente.
35
CAPÍTULO III
Análisis de requisitos de la Ley electoral
El objetivo de este capítulo es estudiar los requerimientos que se deducen de la Ley
electoral Nacional y ver cómo se ajustan a ellos los diferentes sistemas de votación electrónica
existentes. En el diseño de la propuesta de solución se deben tener en cuenta los requisitos que se
desprenden del código electoral Nacional para que la misma pueda ser implementada. Por tal
motivo se procede a describir uno a uno los derechos y obligaciones impuestos por la Ley. En la
segunda parte del capítulo se realizará un análisis acerca de la aplicabilidad en la Argentina de
cada uno de los sistemas de votación electrónica según los requerimientos de la Ley electoral
Nacional.
1. Requisitos de la Ley
1.1. Carácter del sufragio
El sufragio es individual y el elector tiene el derecho de guardar el secreto del voto. El
secreto del voto es obligatorio durante todo el desarrollo del acto electoral. Ningún elector puede
comparecer el recinto de la mesa exhibiendo de modo alguno la boleta de sufragio, ni formulando
cualquier manifestación que importe violar tal secreto.
Las personas no videntes serán acompañadas por el presidente y los fiscales que quieran
hacerlo, quienes se retirarán cuando el ciudadano haya comprobado la ubicación de las distintas
boletas y quede en condiciones de practicar a solas la elección de la suya.
36
1.2. Padrones electorales
El padrón electoral se conformará con las listas de electores registradas en las oficinas de
Registro Civil de todo el país con las personas que cumplan 18 años de edad hasta el mismo día
del comicio y deberá estar impreso 30 días antes de la fecha de la elección. Los ciudadanos podrán
pedir, hasta 20 días antes del acto comicial, que se subsanen los errores y omisiones existentes en
el padrón
Las mesas electorales podrán contener hasta 450 electores inscriptos y con un mínimo de
sesenta.
Los fiscales podrán votar en las mesas en que actúen aunque no estén inscriptos en ellas,
siempre que estén en la sección a que ellos pertenecen. En ese caso se agregará el nombre del
votante en la hoja del Registro, haciendo constar dicha circunstancia y la mesa en que está
inscripto. La designación del fiscal será comunicada hasta 24 horas antes del acto eleccionario.
Los presidentes y suplentes a quienes corresponda votar en una mesa diferente a aquella en
que ejercen sus funciones podrán hacerlo en la que tienen a su cargo.
1.3. Oficialización de candidatos
Desde la publicación de la convocatoria y hasta 50 días anteriores a la elección, los
partidos registrarán ante el Juez Electoral la lista de los candidatos públicamente proclamados,
quienes deberán reunir las condiciones propias del cargo para la cual se postulan y no estar
comprendidos en alguna de las inhabilidades legales.
En caso de muerte o renuncia de cualquiera de los candidatos de la fórmula a Presidente y
Vicepresidente de la Nación, los partidos políticos o alianzas a los que pertenezcan, podrán
registrar a otros en su lugar en el término de 7 días corridos
37
Treinta días antes de la elección, los partidos políticos que hayan proclamado candidatos,
deberán someter a aprobación los modelos exactos de las boletas de sufragio destinadas a ser
utilizadas en los comicios.
1.4. Procedimiento de votación
El presidente de mesa procederá a recibir la urna, los registros, útiles y demás elementos
que le entregue el empleado de correo, debiendo firmar recibo de ellos previa verificación. A las 8
en punto el presidente declarará abierto el acto electoral y labrará el acta pertinente llenando los
claros en el formulario impreso en los padrones correspondientes a la mesa.
Los electores podrán votar únicamente en la mesa receptora de votos en cuya lista figuren
asentados y con el documento cívico habilitante. El presidente verificará si el ciudadano a quien
pertenece el documento cívico figura en el padrón electoral de la mesa y que posea un documento
igual o más nuevo del que aparece en el padrón.
Todo aquel que figure en el padrón electoral y exhiba su documento cívico tiene derecho a
votar y nadie podrá cuestionarlo en el acto de sufragio. Los presidentes no aceptarán impugnación
alguna que se funde en la inhabilidad del ciudadano para figurar en el padrón electoral. Se podrá
impugnar la identidad del elector cuando a juicio de las personas éste hubiere falseado su
identidad.
Finalizada la elección del ciudadano, el presidente de mesa procederá a anotar en el padrón
de electores de la mesa, a la vista de los fiscales y del elector mismo, la palabra ”votó” en la
columna respectiva del nombre del sufragante. La misma anotación, fechada, firmada y sellada, se
hará en su documento cívico en el lugar expresamente destinado a ese efecto.
El acto eleccionario finalizará a las 18 horas, en cuyo caso el presidente ordenará se
clausure el acceso al comicio, pero continuará recibiendo los votos de los electores presentes que
aguardan turno. Concluida la recepción de estos sufragios, tachará del padrón los nombres de los
electores que no hayan comparecido y hará constar al pie el número de los sufragantes y las
protestas que hubieren formulado los fiscales.
38
La iniciación de las tareas de escrutinio de mesa no podrá tener lugar, bajo ningún
pretexto, antes de las 18 horas, aun cuando hubiera sufragado la totalidad de los electores.
Concluida la tarea del escrutinio se consignará en acta impresa la hora de cierre, el número de
sufragios emitidos, cantidad de votos impugnados, diferencia entre las cifras de votos escrutados y
los votantes señalados en el registro de electores. Cantidad de los sufragios logrados por cada uno
de los respectivos partidos y en cada una de las categorías de cargos. El número de votos nulos,
recurridos y en blanco, el nombre del presidente, los suplentes y fiscales que actuaron en la mesa.
1.5. Las juntas electorales
Algunas de las tareas que deben realizar son:
• Aprobar las boletas de sufragio
• Designar a las autoridades de mesa
• Decidir sobre las impugnaciones, votos recurridos y protestas
• Realizar el escrutinio del distrito, proclamar a los que resulten electos
El escrutinio definitivo tendrá lugar después de las 48 horas de finalizada la elección,
tiempo otorgado para reclamos y protestas por parte de los partidos.
La junta declarará nula la elección realizada en una mesa cuando falte el acta de inicio o
fin, el acta haya sido maliciosamente alterada o el número de sufragantes consignados en el acta
difiera en 5 sobres o más del número de sobres utilizados y remitidos por el presidente de mesa.
39
2. Aplicabilidad de los sistemas de eVote
En este punto se analizan los métodos descriptos en el Anexo A. Salvo algunas
excepciones, las tecnologías existentes cumplen con los requisitos impuestos por la Ley. Sin
embargo, si uno analiza la letra fría del código electoral, habría que hacerle algunos cambios para
que se adapte a los sistemas de eVote. Los puntos a modificar son aquellos que describen
puntualmente las diferentes etapas del sistema tradicional de votación, mencionando los elementos
que lo componen (boletas, urnas, padrón, sobres, etc.). Dejando de lado estos tecnicismos, a
continuación se describen algunos detalles que se deben tener en cuenta.
2.1. Tarjetas Perforadas
Este sistema únicamente aplica las tecnologías al proceso de selección de candidatos para
acelerar el recuento de votos. Esto implica que la identificación de los ciudadanos y la emisión de
las actas de incio y fin siguen siendo iguales a los del sistema tradicional. Por lo tanto los
requisitos que se refieren a las juntas electorales, oficialización de candidatos, procedimiento de
votación y padrones electorales, son respetados. Sobre el único requerimiento que cabría realizar
una aclaración es aquel que trata sobre el voto individual y secreto, ya que personas no videntes
podrían no estar capacitadas para señalar sobre la tarjeta su intención de voto, viéndose obligadas
a solicitar ayuda y perdiendo el secreto de su voto.
2.2. Optical mark-sense voting system
Este sistema es similar al de tarjetas perforadas, por lo que aplica todo el análisis realizado
sobre ese sistema. Sin embargo hay un hecho importante que amerita ser destacado. Este sistema
de votación electrónica no permite los votos nulos. Por lo tanto cuando un ciudadano por error o
con intención emite un sufragio nulo, la urna emite una alerta. Como ésta se encuentra fuera del
cuarto oscuro, todas las personas presentes toman conocimiento del hecho. Esta situación podría
40
interpretarse como una violación a la libertad de elección o al secreto de voto ya que está
revelando la intención del votante en el caso que no se tratare de un error.
2.3. Mecanical – Lever Machines
Este sistema es el más antiguo de todos y mecaniza la selección de candidatos por medio
de palancas asociadas a partidos políticos que hacen girar unos ruedas que llevan la cuenta de
votos. Todo lo concerniente a los padrones, la oficialización de listas, las juntas y el carácter del
voto es respetado. Sin embargo existe un riesgo de conocer un resultado parcial de la elección si se
tiene acceso a las ruedas antes del cierre de los comicios. Esto produciría una violación a los
requisitos impuestos en la sección del procedimiento de votación ya que se interpreta como un
inicio del escrutinio previo a la finalización de los comicios. Además este sistema posee cierta
dificultad para adaptarse al sistema electoral nacional multipartidista. La cantidad de palancas
requeridas en las máquinas debiera ser igual a la cantidad de listas presentadas en la etapa de
oficialización de candidatos, solo 50 días antes de la elección.
2.4. Todo sistema de tecnología basada en máquinas DRE
En este punto analizaremos los sistemas de votación DRE voting system, Voter verifiable
ballots y Secret-Ballot Receipts. Son las tecnologías más avanzadas y las que ofrecen mayores
prestaciones, por tal motivo existen ciertos cuidados que deben tenerse al implementar estas
tecnologías. A saber:
Aquellas máquinas que otorgan un tiempo máximo al votante para emitir el sufragio,
limitan la libertad del ciudadano para elegir su representante. Existe la posibilidad de que una
persona no pueda emitir su voto a causa de que expiró el tiempo otorgado para seleccionar el
candidato.
Si el sistema utiliza máquinas para identificar al votante, las mismas deberían proveer una
función para agregar votantes a los padrones, para satisfacer el requisito de que los fiscales y
41
autoridades de mesa pueden votar en su mesa por más que no pertenezcan a ella. Si además la
identificación del elector se realiza en la misma máquina en la cual se efectúa la emisión del
sufragio, cabrían dudas acerca del anonimato y secreto del voto.
No podría implementarse la opción que poseen algunas máquinas de finalizar la elección a
una hora determinada, porque para aquellos ciudadanos que arribaron a la mesa antes del cierre de
los comicios pero, llegado ese momento, aún no emitieron el voto, la Ley les permite sufragar
igualmente. Si las máquinas se cerrarían automáticamente, algunos ciudadanos quedarían sin
sufragar.
Si utilizan monitores touchscreen y no poseen otro medio de ingreso de datos como ser un
teclado braille, las personas no videntes serían incapaces de emitir un sufragio por sí mismas.
42
CAPÍTULO IV
Descripción global de la solución propuesta
En este punto se explica en forma genérica el método Pantalla-Impresora. El objetivo es
que el lector comprenda la esencia del proceso de votación, para facilitar el entendimiento del
capítulo siguiente, donde se detallan cada uno de los procedimientos que intervienen. Inicialmente
se describen algunas características que poseen las máquinas utilizadas, para luego describir el
proceso completo de la solución propuesta.
La metodología de votación electrónica desarrollada permite a los electores verificar que
su voto fue contabilizado correctamente y cumple con todos los requisitos planteados en puntos
anteriores. El método fue concebido tras encontrar la solución al mayor interrogante que aqueja a
los sistemas computacionales: cómo se puede estar seguro de que se graba lo mismo que se
muestra y, del mismo modo, que se muestra lo mismo que se encuentra almacenado. La respuesta
a la pregunta mitiga el alto riesgo de fraude que existe en los sistemas de evote, cuyas
implementaciones están cargadas de controversias.
1. Método Pantalla-Impresora
1.1. Características generales
El sistema de votación Pantalla-Impresora utiliza 4 tipos de máquinas diferentes. La
primera de ellas es utilizada para comprobar que las personas que se presentan en las mesas a
sufragar están habilitadas para hacerlo, lo que implica que se encuentran empadronadas en la mesa
y poseen el documento cívico que certifica su identidad. La segunda consiste en el dispositivo
principal del método y es utilizado para emitir los sufragios y autenticar a las personas que
ingresan al cuarto oscuro. Ambos dispositivos se encuentran conectados mediante una red
43
inalámbrica. Por la misma se transmite desde la primer máquina, de aquí en adelante la de
identificación del elector, hasta la segunda, de aquí en más la de votación, la información
necesaria para que esta última autentifique al elector. Ambos dispositivos no pueden estar activos
al mismo tiempo (mientras un ciudadano está emitiendo un voto, las autoridades de mesa no
pueden estar comprobando una identidad) por lo que cuando el elector finaliza la emisión de su
voto, un mensaje de fin es enviado por la red para indicar este evento. Esta restricción es explicada
en detalle más adelante. La tercer y cuarta máquinas son utilizadas luego de finalizados los
comicios, en la etapa de verificación que posee el método. Su función es autenticar a la persona
que se presenta a comprobar su voto y revelar únicamente a este elector su sufragio. Esta
operación es la cualidad sobresaliente que posee este sistema y para efectuarla requiere de ciertas
características.
La característica principal del sistema de votación Pantalla-Impresora para permitir la
verificación, es la impresión de un comprobante una vez que la persona finalizó su elección. Éste
permitirá al individuo comprobar que la máquina almacenó correctamente el voto emitido en dos
oportunidades: antes de abandonar el cuarto oscuro y después de efectuado el recuento de votos.
Esta última posibilidad es el valor agregado por este sistema, ya que hasta el momento no existe
un método que permita al elector validar la corrección del sistema de recuento de votos. Lo más
destacable es que permite realizar la verificación sin poner en riesgo el anonimato del sufragio.
Otra de las características destacables que posee este método de votación electrónica que lo
diferencia de los otros sistemas, y que es indispensable para la etapa de verificación, es la interfaz
con el usuario. La pantalla de la máquina no utiliza una tecnología de rayos de luz, cristal líquido
o plasma, sino que es un papel impreso que se muestra tras un vidrio (en el futuro será mencionada
como pantalla de papel). El sistema consiste principalmente en una impresora de papel continuo y
2 rodillos que se encargan de deslizar la hoja impresa para dejar visible lo que necesita el usuario.
De esta forma queda una prueba física de la comunicación entre la máquina y el elector. Hasta el
momento, el mayor problema de los sistemas de evote es que no dejan constancia alguna de las
transacciones que realizan, lo que genera desconfianza en el elector. Esa desconfianza radica en la
posibilidad de que la máquina guarde en sus registros algo que difiere de lo exhibido. Las
tecnologías que utilizan monitores convencionales poseen la desventaja que la información que
circula por su interfaz se pierde cuando la misma desaparece, son volátiles. Desde el momento en
que quedan evidencias de lo visualizado por el elector, cualquier proceso que altere lo que la
máquina muestra, sería detectado en alguna instancia de la verificación.
44
La interfaz de papel se complementa con una pequeña pantalla convencional (en un futuro
se la mencionará como pantalla electrónica) que sirve para mostrar mensajes que no ameritan ser
impresos en papel ya que no requieren ser verificados. El dispositivo muestra las instrucciones de
qué es lo que debe realizar la persona que se encuentra frente a la máquina de votación en cada
momento.
La forma en que el usuario interactúa con la máquina es mediante un teclado numérico. El
mismo se compone de los 10 símbolos del sistema decimal, de una tecla de confirmación y otra de
corrección. El conjunto de teclas sirve para seleccionar un candidato del listado impreso por la
máquina y confirmar o rectificar la elección realizada.
Como se describió al inicio de la sección, el proceso de identificación del elector se realiza
en una máquina independiente de la que se utiliza para emitir un sufragio. Ambas máquinas se
encuentran conectadas mediante una red inalámbrica implementada con el protocolo IPSec. El
dispositivo de identificación incorpora la tecnología de reconocimiento de huellas digitales y la
lectura óptica de DNI mediante las cuales se autentifican a los votantes. La importancia de los
mismos radica en la imposibilidad de fraguar una elección mediante el agregado de votos que
nunca fueron emitidos. El lector óptico identifica a la persona que se presenta en la mesa de
votación. El reconocimiento de huellas dactilares permite utilizar a la imagen obtenida del lector
como clave de autentificación para habilitar la máquina de votación, certificar que la persona
registrada por los votantes es la misma que ingresó al cuarto oscuro para emitir su voto y
autenticar a los individuos que se presenten a la instancia de verificación.
Finalmente el método divide la responsabilidad de legitimar los votos en varias máquinas
de consolidación, cada una de los cuales realiza un control cruzado de la información recibida. De
esta forma se asegura que el resultado de la elección no haya sido alterado mediante el agregado o
exclusión de votos.
Existen ciertos requisitos de seguridad que se deben cumplir para mitigar riesgos de averías
que pudieran ocurrirle a las máquinas o hechos que atenten contra la correcta finalización de los
comicios. Estos son:
• Todas las máquinas deben tener dispositivos auxiliares de almacenamiento para
evitar que se pueda perder información a causa de algún daño que le pudiera ocurrir
a la memoria principal.
45
• Todas las máquinas deben poseer baterías de larga duración (que el tiempo de
autonomía que otorgan por lo menos sea igual al de la duración de los comicios)
para evitar la interrupción de las elecciones a causa de cortes de luz
• Todas las máquinas deben tener papel suficiente para poder imprimir en pantalla
las listas de candidatos correspondientes a todos los votantes empadronados para
votar en ese dispositivo y para emitir todos los comprobantes de los sufragios que
se llevan los electores.
• Los datos impresos en los papeles de las pantallas y los recibos entregados por las
máquinas no se deben borrar por un tiempo a determinar de X años para garantizar
que sirvan como evidencia de voto.
1.2. El proceso de votación
Se pueden identificar claramente 4 grandes procesos: El número uno es el de inicialización,
el dos constituye el procedimiento de votación, el tres el de consolidación de la información y el
cuatro de verificación del voto. La interacción de los mismos se efectúa de acuerdo al esquema 1,
donde las flechas continuas muestran el flujo de información que va de un proceso al otro,
mientras que la línea punteada solo indica una dependencia temporal.
La inicialización se ejecuta en una etapa previa al inicio de los comicios. Aquí se preparan
las máquinas para poder utilizarlas durante el día de las elecciones. La función principal que tiene
es la garantizar la seguridad de las comunicaciones inalámbricas entre los diferentes dispositivos
que intervienen en el proceso de votación. El objetivo consiste en generar las claves a utilizar por
cada máquina y distribuirlas en forma segura a través de redes cableadas.
El protocolo IPSec permite efectuar transmisiones seguras a través de redes públicas,
mediante el cifrado de la información y la autenticación de los emisores. Para poder realizar estas
acciones, tanto el emisor como el receptor deben compartir claves de seguridad. El protocolo
46
permite intercambiar las claves a través de la misma red. Si bien la forma en que lo realiza es
segura, no es infalible. La ventaja de poder conectar físicamente dos extremos de una
comunicación, es que este intercambio de claves pasa a ser invulnerable, ya que nadie puede estar
escuchando el canal de transmisión.
Esquema Nº 1 – Interacción de los procesos del sistema de votación
Otra tarea que realiza el proceso de inicialización, es la carga del padrón electoral en cada
una de los dispositivos utilizados para identificar a las personas en las mesas de votación, y la
limpieza de sus registros, para que ninguna persona aparezca como que ya emitió un voto.
En las máquinas de votación se procederá a cargar la lista de candidatos por los cuales las
personas deben optar en la elección. También se deben limpiar los registros para asegurar que no
poseen ningún voto ya almacenado. Esta tarea de limpieza, también se efectúa en los
administradores y en toda máquina encargada de efectuar la cuenta de votos.
2
Procedimien-
to de votación
3
Consolidación
de resultados
4
Verificación
del voto
Votos y actas
Votos
1
Inicialización
Iniciar
47
Finalmente, todas las máquinas deben generar las claves de cifrado que van a utilizar para
proteger la información que manipulan durante el proceso de votación. En este conjunto se
encuentran los pares de claves públicas y privadas y las claves simétricas para uso interno. El
administrador central, la máquina que publica el resultado de la elección, debe crear la clave
simétrica utilizada para cifrar los votos e informes que serán transmitidos por las redes públicas
cuando se cierren las mesas de votación. Esta clave debe estar en posesión de todas las máquinas.
La forma de transmitirla es utilizando la misma vía que se usará el día de los comicios para
transmitir los votos emitidos en cada máquina. Es decir que este último paso requiere que las redes
inalámbricas se encuentren instaladas. La clave es distribuída en forma jerárquica, desde el
administrador central hasta los dispositivos de identificación y las máquinas de votación de cada
una de los centros de sufragio.
El procedimiento de votación posee 3 etapas. La primera de ellas consiste en la emisión de
las actas de inicio del dispositivo de identificación y de la máquina de votación y tiene lugar en el
instante de tiempo inmediatamente anterior al comienzo de las elecciones. Este acta sirve para
cumplir con uno de los requisitos de la Ley electoral Nacional y para certificar que las máquinas
no poseen ningún voto emitido.
La segunda etapa implementa las tareas que se requieren ejecutar para poder emitir un
voto. Es la transformación del procedimiento tradicional de votación, por un sistema equivalente
que utiliza dispositivos tecnológicos. Al igual que en las elecciones actuales, se divide en 2
grandes procesos que se repiten por cada ciudadano que se presente a sufragar. Uno de ellos, es el
de identificación del votante y el otro el de ejecución de la votación, que tienen lugar durante el
tiempo en que se extiendan los comicios. El primero, realiza las tareas necesarias para validar que
la persona que se presenta en la mesa de votación esté habilitada para emitir un sufragio y obtiene
una huella dactilar del elector para ser utilizada en otros procesos. Actualmente el ciudadano se
presenta frente a la mesa de votación, entrega su documento civil al presidente de mesa y éste lo
busca en un listado impreso que posee. En caso de que exista, le entrega un sobre y cuando ingresa
al cuarto oscuro, coloca en su planilla la señal de que la persona votó. Algo similar ocurre con el
método Pantalla-Impresora. Cuando el elector se presenta en la mesa y entrega su documento, en
lugar de rastrearlo en el padrón impreso, se le efectúa una lectura óptica y es la máquina la que
ejecuta la tarea. Si lo encuentra, en lugar de entregarle un sobre para que pase al cuarto oscuro, se
le solicita un dedo de su mano para tomarle una imagen de su huella dactilar. En ese momento el
ciudadano puede pasar al cuarto oscuro y la máquina guarda en sus archivos que éste emitió su
voto. En ambos esquemas, el presidente de mesa también verifica que el documento presentado
48
sea igual o mas nuevo que aquel que figura en el padrón. No se puede votar con un documento
viejo.
El segundo proceso de la segunda etapa, posee como fin autenticar al ciudadano que
ingresa al cuarto oscuro, permitirle emitir su voto y entregarle una constancia que acredite la
concreción de la operación, sirviendo como prueba física del sufragio. Para ello, cuando la persona
ingresa al cuarto oscuro, debe colocar sobre el lector de huellas dactilares, el mismo dedo utilizado
durante la identificación. La imagen obtenida es comparada con la anterior para certificar que se
trata de la misma persona. Luego se imprime sobre la pantalla el listado de candidatos numerado
en forma aleatoria y mediante un teclado numérico el sufragante debe optar por uno de ellos. La
máquina solicita confirmación de la elección y luego imprime un comprobante que el votante debe
retirar de la máquina. Este procedimiento es similar al actual, la diferencia radica en la tarea
adicional de la lectura de la huella dactilar y en que para elegir una candidato, en lugar de tomar
una boleta y colocarla dentro de un sobre, hay que seleccionarlo de una lista mediante un teclado
numérico.
La última etapa consiste en la emisión de las actas de cierre del dispositivo de
identificación y de la máquina de votación y ocurre al finalizar las elecciones. Al momento de
iniciar el escrutinio, luego de que cada máquina contabilice sus votos se imprime el acta de cierre
como lo indica la Ley. Luego se envían los datos hacia el administrador del centro de votación
para iniciar el proceso de consolidación.
La comunicación entre el proceso de votación, con el de consolidación se realiza al
finalizar la jornada electoral. Los mensajes se componen de los votos almacenados, del total de
votantes registrados en la máquina de identificación, del total de votantes que no se presentaron,
del total de personas que componen el padrón almacenado en la máquina y del resultado
acumulado en la máquina de votación. El proceso de consolidación consiste en sumar los votos
que fueron emitidos para llegar al resultado de la elección. La contabilización se realiza en varias
etapas, donde en cada una se valida la integridad de los votos y la coincidencia de los resultados
calculados con los obtenidos en ocasiones anteriores. Cada máquina encargada de realizar el
escrutinio, elabora un informe con los totales de votos por partido y con la cantidad de errores
encontrados que ocasionan que un voto no sea contabilizado. La obtención de los resultados se
realiza por niveles. La máquina que cuenta la cantidad de votos emitidos para cada partido, es la
de votación. Cuando se habilita la opción de cierre, la misma comienza a sumar uno a uno los
49
sufragios que posee almacenados y elabora un informe con los totales hallados, como fue
explicado anteriormente.
La primer etapa de la consolidación comienza con la suma de votos que realiza un
administrador que se encuentra en los centros de votación. Su función principal es la de auditar los
totales obtenidos por cada una de las máquinas de votación de los cuartos oscuros y generar un
archivo con el resultado del centro. Cada voto que es revisado, es firmado digitalmente por el
administrador. Básicamente, todos los centros de contabilización de votos realizan las mismas
operaciones, excepto esta máquina administradora que posee una tarea adicional. Ésta consiste en
comparar el total de los votos emitidos por cada máquina de votación del centro, con el total
informado por su par encargada de la identificación de los electores. Si existiera una diferencia de
5 votos o más en los valores notificados [CEN, 1983], no se contará la partida de sufragios
correspondiente a esa máquina y se transmitirá como un error.
La segunda etapa en que se realiza el conteo de votos, se lleva a cabo en un centro que
consolida los datos de toda una zona geográfica, ya sea un estado o provincia. Aquí llegan los
datos provenientes de los administradores de cada lugar de votación. En estos centros existen
varias máquinas encargadas de sumar los totales de votos obtenidos por cada centro, firmar cada
uno de los sufragios y elaborar un informe de todo lo contabilizado. También existe una máquina
administradora que se encarga de retransmitir los resultados arrojados por cada máquina a un
centro nacional para ser sumados con los totales de las diferentes zonas.
La última de las etapas se desarrolla en una única máquina encargada de recibir la
información de cada uno de los administradores de los centros regionales y consolidar los datos en
un único resultado. Como en todas las instancias anteriores, se valida la integridad y se chequea la
autenticidad de la procedencia.
Este esquema es necesario para garantizar la imposibilidad de agregar votos emitidos por
máquinas no autorizadas o la pérdida de votos emitidos por los dispositivos reales de votación, y
para dividir el volumen de procesamiento de la información en varias partes para acelerar la
obtención de los resultados. Algo que es importante destacar, es que la primera carácterística
recién mencionada, se logra mediante una firma digital al voto procesado que agrega cada
máquina interviniente en el proceso de elección. Esta marca de seguridad sirve para descartar
votos que no han pasado por todas las etapas. Por ende, un voto no emitido no puede ser
50
incorporado en una segunda etapa porque sería descartado automáticamente por la máquina que
detecta la falta de la firma.
Finalmente, cuando ha finalizado el recuento de votos, se envía al proceso de verificación
el registro de los sufragios y de las huellas dactilares leídas para que los electores tengan la
posibilidad de comprobar que los mismos fueron contabilizados correctamente. El sistema otorga
la posibilidad de verificar los votos de dos maneras. Una de ellas, la denominada pública, consiste
en subir a una página web, únicamente las opciones elegidas por los sufragantes y el identificador
del voto para poder consultarlas. La otra, la denominada privada, consiste en la exposición del
nombre del candidato elegido por cada individuo, en una máquina custodiada, a la cual se tiene
acceso de a una persona a la vez, como al cuarto oscuro.
La verificación privada se lleva a cabo en determinados sitios públicos distribuídos
geográficamente para que todas las personas tengan acceso a las máquinas. Cada lugar se
encuentra custodiado por un agente de seguridad que impide que más de un individuo entre al
cuarto de verificación. El resguardo es necesario para impedir que coerzores puedan conocer por
quién votó un tercero. Cómo la máquina revela el nombre del candidato elegido por el votante, la
forma de custodiar el secreto de voto es la misma que al momento de votar. Sólo una persona entra
al cuarto oscuro por vez. La manera de garantizar que esto se cumpla es mediante la custodia de la
habitación por una agente de seguridad.
Para poder tener acceso al cuarto que posee la máquina de verificación, se debe efectuar la
lectura de la huella dactilar utilizada para poder votar. Una vez leída se comprueba que exista en
los registros de votación asociada a un sufragio. Si eso ocurre, muestra un cartel habilitante para
que la custodia permita pasar a la persona. Dentro del cuarto oscuro, el elector se encuentra con un
monitor de tecnología touch screen, donde luego de presionar un botón, se visualizará en pantalla
al candidato para que éste pueda comprobar su corrección. Luego de un tiempo se reinicia el
sistema.
En la comprobación pública, un sitio de Internet posee una base de datos con todos los
votos emitidos. La mecánica de verificación consiste en el ingreso del identificador del voto que
se encuentra impreso en el comprobante de papel generado por la máquina de votación y, luego de
que el servidor lo procese, devuelve el número de opción elegida por el sufragante. Los votantes
podrán comprobar si el número publicado coincide con el que tienen impreso en el recibo.
51
Esta forma de verificación es una aproximación a la corrección, ya que no se tiene la
certeza de que el voto se procesó correctamente, ya que el hecho de que la opción coincida, no
implica que el candidato también (esto es según la percepción del votante, ya que por lo que se
expondrá en el próximo capítulo, para el sistema es lo mismo). Esta etapa sirve para que el elector
sepa si el voto fue contabilizado erróneamente, ya que en el caso de que los números de opción no
coincidan, se tiene la certeza de que el proceso fue defectuoso.
52
CAPÍTULO V
Detalles de los módulos del sistema
En este capítulo se propone ver en detalle cada uno de los procesos que fueron
mencionados anteriormente. El objetivo es describir la forma en que interactúan y cada una de las
tareas que ejecutan para realizar la función que tienen encomendadas. El sistema completo se
explica utilizando una metodología top down, donde se especifican los procesos en forma
jerárquica, desde el nivel más alto al más bajo. Partiendo del esquema 1 presentado en el punto
anterior, se procederá a explotar cada uno de los procedimientos en otros más pequeños. Este
desglose se realizará en forma reiterada hasta alcanzar el nivel de mayor detalle, compuesto de
tareas atómicas que no agrupan procesos que ameriten ser especificados.
1. Inicialización
La función principal que tiene es la de preparar los dispositivos intervinientes en el proceso
de votación para garantizar la seguridad de las comunicaciones inalámbricas entre ellos. Además
realiza la carga del padrón de cada uno de los dispositivos de identificación, la carga del listado de
candidatos de las máquinas de votación y la distribución de una clave simétrica utilizada para el
cifrado de la información que viaja por la red pública.
Como puede verse en la figura Nº 2, este proceso se divide claramente en 2 etapas. La
primera de ellas es la de configuración, donde a cada máquina se le realiza un trabajo
independiente. La segunda etapa requiere del tendido de redes cableadas temporales para efectuar
el intercambio de las claves a utilizar para la comunicación, para la autenticación y para la
protección de los datos. Luego desde el administrador central se genera una clave simétrica que
debe ser enviada a todas las máquinas a través de la red que se utilizará para transmitir los
resultados de los centros de votación a los centros de consolidación.
53
Esquema Nº 2 – Inicialización
1.1. Configurar máquinas
Este proceso posee 3 tareas fundamentales como muestra el esquema Nº 3. Esta secuencia
de pasos se aplica a todas las máquinas que intervienen durante el desarrollo de los comicios y la
consolidación de los resultados.
Lo primero que realiza es la creación de las claves que van a utilizar los dispositivos y que
servirán para autenticar a cada uno durante las transmisiones. El siguiente paso consiste en la
carga inicial de datos que debe realizarse sobre cada máquina. En particular, las tareas que se
ejecutan en este módulo, dependen de la máquina que se está configurando y su lógica será
detallada más adelante. Finalmente se procede a ejecutar una limpieza de los contadores que posee
cada máquina para asegurarse que no posean datos residuales.
1.1
Configurar
máquinas
1.2
Intercambiar
claves
54
Esquema Nº 3 – Configurar máquinas
1.1.1. Generar claves
En este proceso, cada máquina debe crear el par de claves que se requieren en los sistemas
de cifrado de clave pública. Bajo este sistema de cifrado se pueden autenticar los emisores de
mensajes bajo el esquema expuesto en el Anexo B de esta tesis. Además cada máquina va a crear
una clave para efectuar cifrado simétrico sobre los archivos que almacene. Este requisito es
únicamente para que si existiera un robo de información, los datos contenidos en los archivos
estén protegidos.
Un ejemplo acerca de datos que se deben proteger, es el padrón almacenado en cada
terminal de identificación. El mismo es cargado en esta etapa de inicialización y permanece
archivado hasta el comienzo de las elecciones. Si no se lo resguarda debidamente, se corre el
riesgo de que lo alteren. En este caso, el daño provocado por el robo del mismo es mínimo ya que
los padrones son públicos, pero posiblemente, si alguien planea sabotear o fraguar una elección,
intentaría modificarlo.
Clave simétrica 1.1.1
Generar
claves
1.1.2
Realizar carga
inicial
Fin
1.1.3
Limpiar
registros
55
El proceso de creación de claves se muestra en la figura Nº 4.
Esquema Nº 4 – Generar claves
1.1.2. Realizar carga inicial
En este punto se pretende mostrar el proceso que se ejecuta sobre las máquinas de votación
y las de identificación. El mismo consiste en la carga de la porción del padrón electoral
correspondiente en cada máquina de identificación, y a la carga del listado de boletas con sus
candidatos en los dispositivos de votación. En este paso se está decidiendo a qué mesa de votación
corresponde cada máquina de identificación.
Luego de haber sido cargados los datos en las correspondientes máquinas los mismos son
cifrados con la clave simétrica generada en el punto anterior, por las causas que ya fueron
explicadas. La secuencia en que se ejecutan estos procesos es mostrada en el esquema Nº 5.
Cualquier otra máquina diferente a las 2 mencionadas, no ejecutan este proceso y
directamente pasan al próximo. Estas son:
1.1.1.1
Generar claves
públ. y priv.
1.1.1.2
Generar clave
simétrica
56
a) Los administradores de cada lugar de votación, encargados de sumar los votos de
todas las máquinas del lugar y corroborar la coincidencia de los totales de las
máquinas identificadoras.
b) Los contadores de cada centro geográfico, encargados de sumar los votos de los
diferentes lugares de votaciones que pertenecen a la zona y auditar los totales
informados.
c) El administrador de cada centro, que consolida los totales informados por los
contadores y elabora un informe con el resultado de la región.
d) La máquina central encargada de sumar los datos recibidos por cada centro y
obtener el resultado de los comicios.
Esquema Nº 5 – Realizar carga inicial
1.1.2.1
Cargar padrón/
candidatos
1.1.2.2
Cifrar archivo
57
1.1.3. Limpiar registros
El último de los procesos de la etapa de configuración consiste en la creación de los
archivos auxiliares que requiere cada máquina, así como la inicialización de los contadores
utilizados durante el proceso de votación.
La máquina identificadora utiliza registros que indican qué personas empadronadas en esa
máquina ya emitieron su voto, para impedir que lo vuelvan a realizar. Es necesario que este
archivo se encuentre vacío al momento de iniciarse los comicios, porque de lo contrario podría
impedir que una persona votase a causa de que en los registros ya posee la marca correspondiente.
Finalmente se procede a verificar que los contadores estén en cero y el total de votantes coincida
con la cantidad del padrón.
Como muestra el esquema Nº 6, una vez efectuada esta operación se inicializan los
contadores. Esta tarea no sólo consiste en ejecutar un proceso que muestra el total de votos de
cada máquina para certificar que está en 0, sino también consiste en colocar en las máquinas
identificadoras el total de personas habilitadas para votar. Este número es utilizado para la
generación de los informes y para el control cruzado.
Esquema Nº 6 – Limpiar registros
1.1.3.1
Crear archivos
vacíos
1.1.3.2
Inicializar
contadores
58
Sobre el resto de las máquinas, solo debe ejecutarse el proceso 1.1.3.2, para garantizar que
todos los contadores se encuentren en 0 y la cuenta de votos se ajuste a la realidad. En particular, a
los dispositivos de votación se les debe colocar el papel preimpreso utilizado para la emisión de
los tickets y la pantalla de papel.
Cada máquina posee un código que la identifica y que figura con marcas de agua en el
papel que utiliza, para garantizar que no pueda ser falsificado ningún comprobante. La colocación
del papel se efectúa en el proceso limpieza de registros, ya que es el momento en que se efectúan
las últimas verificaciones.
1.2. Intercambiar claves
El intercambio de claves se realiza en forma jerárquica al igual que el conteo de votos.
Cada máquina perteneciente a un lugar de votación, se coloca en red con el administrador del
lugar para poder generar las claves de sesión e intercambiarlas junto a las claves públicas de cada
máquina, como se muestra en la figura Nº 7. Al intercambiar las claves, se genera en el
administrador una tabla que identifica a cada emisor con su clave según la dirección IP.
Una vez que el administrador posea almacenadas las claves públicas de cada máquina, se
lo coloca en una red con las máquinas contadoras de cada centro geográfico para intercambiar
entre ellos nuevas claves de sesión y la clave pública del administrador y las de las máquinas de su
lugar de votación.
Finalizada la tarea anterior, se debe efectuar el mismo tipo de intercambio entre los
contadores y el administrador de cada centro geográfico. Este proceso se repite entre éstos últimos
y la máquina central.
Cuando concluye la distribución de claves, la máquina central genera la clave simétrica
utilizada para el cifrado de los datos transmitidos por la red. Para poder enviarla hacia todos los
dispositivos intervinientes en la votación, la cifra con la clave pública de cada administrador de los
centros geográficos y se la envía por la red inalámbrica. Quienes la reciben, la descifran con sus
59
claves privadas y la cifran con las claves públicas de los contadores y se las transmiten. Este
sistema de transmisión se repite hasta llegar a las terminales de votación y de identificación.
Esquema Nº 7 – Intercambiar claves
Distribuyendo la clave de esta forma, se evita tener que colocar a todas las máquinas en red
nuevamente y además se prueba la comunicación a distancia que se utilizará el día de las
elecciones.
1.2.1
Generar claves
de sesión
1.2.2
Distribuir
claves
60
2. Procedimiento de votación
Este proceso comprende las tareas que se desarrollan en cada mesa de votación el día de
los comicios. En un principio se procede a imprimir el acta inicial de cada máquina identificadora
y de votación dando comienzo al acto electoral. A partir de ese momento se ejecutan en forma
reiterada los procesos de identificación del votante y ejecución de la votación. Terminada la
jornada de sufragio, el presidente de mesa inicia el proceso de cierre, cuya finalidad es la iniciar el
recuento de votos en cada máquina y labrar el acta de cierre. Este comportamiento es exhibido en
el esquema Nº 8. Las líneas punteadas que van del proceso de impresión del acta de cierre a los de
identificación y votación, indican una señal de control que al recibirla, éstos pasan a modo
inactivo.
Una vez iniciada la votación, la comunicación entre los procesos 2.2 y 2.3 se efectúa
mediante mensajes transmitidos a través de redes inalámbricas cuya seguridad se encuentra
garantizada mediante la utilización del protocolo IPSec, descripto en el Anexo B. El mensaje que
viaja del proceso de identificación al de ejecución, sirve para habilitar la máquina de votación. El
que vuelve es uno de habilitación de la máquina de identificación y sirve para mantener la
sincronización entre ambos dispositivos. De este intercambio se desprende el hecho de que ambos
procesos no pueden estar activos en forma simultánea y la activación de uno produce la
desactivación del otro y viceversa. Esta característica que aparenta lentificar el proceso de
votación sirve para poder autenticar a las personas que entran al cuarto oscuro mediante su huella
dactilar. Contrario a lo que se intuye, la ejecución concurrente del sistema de identificación y de
votación no introduce ninguna demora significante, ya que el tiempo empleado para el
reconocimiento de la persona en la mesa de votación es ínfimo. El mismo consiste en la suma de
las duraciones de las tareas de lectura óptica del DNI y de lectura de la huella dactilar. Ambos
sistemas son ágiles y emplean muy pocos segundos. Estos tiempos son despreciables contra los
que demora una persona dentro del cuarto oscuro.
61
Esquema Nº 8 – Procedimiento de votación
2.1. Imprimir acta inicial
Este proceso constituye la apertura de los comicios y debe realizarse según figura en la
Ley. Se ejecuta únicamente manualmente, mediante el ingreso de un código que posee el
presidente de mesa. El acta inicial emitido por la máquina de identificación, posee la hora de
impresión, el nombre del presidente, los suplentes y fiscales que actuaron en la mesa y las
siguientes estadísticas:
� Total de personas que posee el padrón almacenado en la máquina
� Total de personas que fueron identificadas correctamente, es decir que
emitieron un voto.
2.2
Identificación
del votante
2.3
Ejecución de
la votación
2.4
Imprimir acta
de cierre
Activar Máquina
Activar Identificador
Votos e informes
2.1
Imprimir acta
inicial
Iniciar
62
� Total de personas que fueron identificadas y no correspondían al padrón
� Total de personas que no se presentaron a votar.
� Total de huellas dactilares almacenadas
El total de personas del padrón y el de personas que no se presentaron a votar, deben ser
iguales, mientras que el resto de las estadísticas deben estar en 0.
Así como ocurre con la máquina de identificación, la de votación también posee un
proceso de inicio. Éste posee como fin la impresión del acta que sirve como prueba que los
registros de votos y totales de cada una de las máquinas de votación están en 0. Ambos
procedimientos obtienen las siguientes estadísticas que son archivadas y firmados digitalmente por
la máquina:
� Totales de votos emitidos
� Totales de votos por boleta
� Totales de votos en blanco
� Totales de votos defectuosos
Todos estos valores deben estar en 0. También debe contener la hora de impresión, el
nombre del presidente, los suplentes y fiscales que actuaron en la mesa
2.2. Identificación del votante
Este proceso pretende validar que la persona que se presenta a votar se encuentra
empadronada en la mesa. Como muestra el esquema Nº 9, se desarrolla en 2 pasos: el primero es
el de identificación del votante y el segundo, que ocurre únicamente si el reconocimiento fue
satisfactorio, sirve para dar inicio al proceso de selección que hará el elector.
63
La individualización de la persona se realiza mediante la lectura óptica del DNI. El
resultado arrojado por la máquina es el número del documento, el nombre y el apellido que sirven
para verificar si la persona se encuentra empadronada en la mesa en la cual se presentó.
El proceso 2.2.1 se inicia luego de la impresión del acta, cuando se recibe un mensaje que
habilita la máquina para realizar lecturas de DNI. Ese mismo mensaje es recibido después que
cada persona finaliza la emisión de su voto.
Esquema Nº 9 – Identificación del votante
El proceso 2.2.2 es aquel que da inicio al proceso de selección del candidato por parte del
votante. Consiste únicamente en la lectura de la huella digital mediante un dispositivo que se
encuentra conectado a la máquina de identificación y al almacenaje de la misma en un archivo
independiente al padrón electoral. A partir de la huella digital se genera un código que es utilizado
como clave de seguridad, la cual posee varias aplicaciones a lo largo del ciclo de votación. La
primera de ellas es validar que la persona identificada en la mesa, sea la misma que ingresa al
cuarto oscuro a sufragar. La forma de cerciorarse es mediante otra lectura de la huella dactilar en
la máquina de votación, previo a comenzar el proceso de selección de candidatos. En el mensaje
saliente del proceso 2.2.2 viaja el código generado y es el que sirve para activar el proceso 2.3
2.2.1
Lectura óptica
del DNI
2.2.2
Registro de
huella dactilar
Activar identificador
ID Persona válida
Error
Activar Máquina
64
mediante un algoritmo de reconocimiento del lector conectado al dispositivo de votación. Otra de
las utilidades que presenta será descripta en detalle en los procesos siguientes, pero básicamente
consiste en autenticar a las personas que presenten a corroborar la correcta emisión de su voto en
la instancia de verificación privada.
La lectura óptica del DNI devuelve error en el caso de no poder efectuarse. Los
inconvenientes que pueden causar los errores van desde el mal estado del documento hasta la
posibilidad de que la persona ya emitió su voto. El espectro completo de posibles errores se
detallará en los puntos siguientes.
Excepcionalmente, pudiera ejecutarse en la máquina identificadora un cuarto proceso que
no ha sido mencionado, y que consiste en el agregado de personas al padrón electoral. La razón de
ser de esta tarea, es otorgarle a los fiscales la posibilidad de sufragar en una mesa del centro de
votación en que se encuentran. El dispositivo cuenta con un teclado y un monitor para permitir el
ingreso de datos. El añadido de la persona al padrón lo realiza el presidente de mesa, previo
ingreso de una clave que posee. Cuando un fiscal se presenta a votar se debe efectuar la tarea
descripta, para luego continuar con la ejecución normal del proceso de votación. Esta puerta de
entrada es necesaria, ya que los fiscales pueden no estar empadronados en ninguna mesa del
centro de votación que fiscalizan.
El proceso de agregar personas a los padrones electorales puede convertirse en una
importante fuente de fraude. La protección con la que cuenta el método para protegerse del
añadido indiscriminado de personas, aparte de la existencia de otras autoridades de mesa además
del presidente, que auditan su accionar, consiste en un listado generado junto al acta de cierre que
posee la siguiente información:
� Número de documento y nombre de la persona agregada
� Código de la máquina identificadora
Mediante estos datos, se detecta si una persona se presentó a votar en más de una
oportunidad y si un presidente de mesa agregó a una persona que no era fiscal. Este reporte,
además de obtenerse en papel, se encuentra en formato digital, para que un proceso posterior cruce
la información proveniente de cada máquina identificadora y elabore un informe con las anomalías
encontradas. Este proceso es ejecutado por el administrador que se encuentra en el centro nacional
65
(Ver punto 3 de este capítulo), el único que posee todos los votos emitidos y el que obtiene el
resultado de los comicios. Si bien los votos no podrán ser anulados, las personas que hayan
cometido el fraude podrán ser identificadas y castigadas con la sanción que les correspondiera. Si
la cantidad de votos inválidos agregados, producto del indebido añadido de personas llegara a ser
significativo para modificar el resultado de los comicios, la elección completa podría ser anulada
en caso de que las autoridades así lo dispusieran.
2.2.1. Lectura óptica del DNI
Esta acción no consiste únicamente en la lectura propiamente dicha del documento. Existe
un software que se encarga de validar que la persona se encuentra en condiciones de votar. Para
ello el dispositivo necesita tener precargada la lista de votantes de la mesa a la cual pertenece. El
listado requiere de los datos de número de DNI, apellido y nombre de cada persona.
Esquema Nº 10 – Lectura óptica del DNI
2.2.1.1
Leer DNI con
la Máquina 2.2.1.2
Validar
contra padrón
Activar identificador
Nro. de documento, apellido y nombre
Error de lectura
2.2.1.3
Registrar al
votante
No existe o ya votó
Error de escritura
Activar Máquina
ID votante
66
Como muestra el esquema Nº 10, lo primero que se realiza es la lectura del DNI para
identificar a la persona. Una vez obtenidos los datos, se valida que cumpla con ciertos requisitos y
finalmente se registra y contabiliza que votó mediante el ID de identificación que le envía el
proceso 2.2.1.2 al 2.2.1.3.
Cabe destacar cuál es la verdadera importancia de este proceso. Mediante la lectura óptica
de los documentos extendidos por el registro de las personas, se está reduciendo la posibilidad de
fraguar la elección mediante el agregado de votos. Como el resultado de esta acción es la
habilitación de la máquina de votación, para poder agregar un voto fuera de la ley, se requiere de
la existencia de un documento. Si a esa necesidad se le suma la condición de que la persona tiene
que encontrarse precargada en los registros de la máquina de lectura, la dificultad se potencia.
Además, como se verá más adelante, la máquina lleva registro de las personas empadronadas que
ya emitieron su voto e imposibilita que lo vuelvan a realizar, invalidando la posibilidad de que una
persona vote 2 veces. Por último la máquina posee un registro con la cantidad de votantes
habilitados y la cantidad de lecturas de documentos de identidad que se hicieron. Obviamente este
último no sólo debe ser menor o igual que el anterior, sino que también debe “coincidir” con la
cantidad de votos almacenados en la máquina de votación. Este es uno de los controles cruzados
que se efectúan durante la jornada electoral.
Mediante estos mecanismos de seguridad se logra mitigar el riesgo de agregar votos
inexistentes a un nivel casi nulo. La única forma sería mediante un DNI falso, que se encuentra
mal incluído, en forma intencional, en el padrón almacenado en la máquina de identificación y que
además coincida alfabéticamente con los apellidos de la mesa. Esta es la única vía para que pase
desapercibido un voto adicionado indebidamente. Cualquier otro medio sería detectado por los
controles. Como puede verse, las chances de que algo así ocurra son realmente mínimas.
2.2.1.1. Leer DNI con la máquina
Esta acción consiste únicamente en la lectura propiamente dicha del documento. Se debe
colocar el documento sobre el lector óptico de la máquina. La finalidad es obtener el número de
DNI, el nombre y el apellido de la persona. Lo único que debe corroborar el presidente de mesa es
si la foto del documento coincide con las facciones del ciudadano y que el documento sea igual o
más nuevo que lo que figura en el padrón, ya que no puede votar con un documento viejo.
67
2.2.1.2. Validar contra padrón
Este módulo cuenta con 2 validaciones fundamentales para garantizar la integridad del
proceso electoral. Como fue mencionado anteriormente y lo muestra el esquema Nº 11, lo primero
que se debe realizar tras haber obtenido los datos de la persona del DNI, es corroborar que la
misma se encuentre empadronada en la mesa de votación. Para ello se deben consultar los
registros de la máquina de identificación en busca de una persona que coincida su apellido,
nombre y número de documento, con los obtenidos en el proceso 2.2.1.1 De existir, se pasa el ID
del registro de la persona para validar si ya efectuó su sufragio. Con tal fin se consulta otro archivo
donde se encuentra indicado quién sufragó. En el caso que la persona identificada no lo haya
hecho aún, se sale de manera exitosa del proceso. Cualquier otro resultado posible arrojado por las
consultas a los registros de la máquina, devuelve el error correspondiente e impide que la persona
emita un voto porque lo considera inválido.
Esquema Nº 11 – Validar contra padrón
2.2.1.2.1
Está empa -
dronado
Nro. de documento, apellido y nombre
Error de persona inválida
2.2.1.2.2
Chequear si
ya votó
Error de voto ya emitido
ID votante
ID votante
68
Como fue explicado al detallar el proceso de inicialización, el padrón se encuentra cifrado,
por lo que para comprobar si una persona pertenece al mismo, primero se lo debe descifrar con la
clave simétrica y luego realizar la búsqueda del elector.
2.2.1.3. Registrar al votante
Este proceso tiene la característica principal de colocar en el registro de votos emitidos a la
persona identificada por la lectura del DNI. Sin embargo, como tarea complementaria debe
inhabilitar la máquina cuando todas las personas incluidas en el padrón de la mesa de votación, ya
se encuentran señaladas con el indicador de sufragio efectuado.
Como muestra el esquema Nº 12, luego de colocar la marca de “votó” a la persona, se
procede a validar si esta es la última del padrón. Este chequeo se efectúa comparando la cantidad
de personas empadronadas en la mesa contra la que se encuentra en el registro de “ya votaron”. Si
los totales coinciden se inhabilita la máquina impidiendo la lectura de otro DNI; caso contrario el
proceso sigue su curso normal.
Esquema Nº 12 - Registrar al votante
2.2.1.3.1
Escribir marca
de “votó” 2.2.1.3.2
Validar si es
el último
ID votante
Si no Error de escritura
2.2.1.3.3
Inhabilitar
máquina
ID votante
Si sí
69
2.2.2. Registro de huella dactilar
Completadas las validaciones para corroborar si el votante que se presenta en la mesa se
encuentra habilitado para emitir su sufragio, se procede al ingreso de una clave de seguridad con
el fin mencionado en el capítulo anterior. El sistema utiliza como clave de cada persona las huellas
digitales. Para ello se requiere que cada máquina identificadora esté conectada a un fingerprint
scanner. Esta característica presenta varias ventajas, entre las cuales están la facilidad y simpleza
del proceso, la agilidad y la imposibilidad de olvidarse un PIN que requiere ser ingresado
nuevamente al ingresar al cuarto oscuro.
Esquema Nº 13 – Registro de huella dactilar
La importancia de la clave, radica en ser el medio por el cual se habilita la máquina de
votación. En particular, el hecho de utilizar la huella digital como contraseña, impide la existencia
de un error en el ingreso cuando el votante se encuentre solo en el cuarto oscuro y requiera
autenticarse para iniciar el proceso de emisión del sufragio.
2.2.2.1
Ingreso de
Huella
ID de Persona válida
2.2.2.2
Almacenado
de la huella
Activar Máquina
Incorrecto
2.2.2.3
Leer clave de
sesión
Huella
70
En el esquema Nº 13 se visualiza la secuencia de lectura de la huella digital. Una vez
obtenida, la misma es almacenada en la máquina en un archivo independiente al que guarda la
marca de “voto” del elector. La huella archivada sirve para luego ser enviada en el mensaje que
habilita la máquina de votación para permitirle comprobar que la persona que ingresó al cuarto
oscuro es la misma que se identificó en la mesa de votación. Además, ésta la utiliza como clave de
cifrado del ticket que imprime como comprobante de emisión de sufragios. Como en cada lectura,
la imagen recogida puede variar, se debe guardar la imagen utilizada como clave, para que ésta sea
siempre la misma, y luego en las siguientes lecturas, localizar la imagen correspondiente mediante
el software de reconocimiento de huellas.
Para concluir con el proceso de identificación y pasar al de ejecución, se debe enviar un
mensaje a la máquina de votación cuyo contenido consta de la huella dactilar. Para ello, se busca
una clave de sesión en el archivo almacenado en la máquina. Como se encuentra cifrado, ésta debe
utilizar la clave que le fue configurada, para descifrarlo. Una vez hecho esto, debe seleccionar la
clave inmediata posterior a la última utilizada. Mediante el protocolo IPSec se envía el mensaje
por la red inalámbrica hacia la máquina de votación que se encuentra dentro del cuarto oscuro.
2.3. Ejecución de la votación
Este proceso se inicia cuando la máquina de votación recibe el mensaje con la huella
digital. Debido a la sencillez que debe presentar para que la totalidad de la población pueda emitir
el sufragio sin necesidad de solicitar ayuda a los oficiales de mesa, la emisión del voto se efectúa
en 3 pasos. El primero de ellos, es el de autenticación del sufragante, cuyo objetivo es comprobar
que la persona que ingresó al cuarto oscuro es la misma que fue registrada en la mesa de votación.
El segundo, es el de selección del candidato o partido por el cual el individuo desea votar. El
tercero y último, es el de culminación del voto, que ocurre luego de que el votante confirmara su
selección asegurándose que no cometió un error al elegir su candidato y finaliza con la impresión
de un comprobante que le indica al elector su voto emitido.
Como muestra el esquema Nº 14, el votante tiene la opción de cambiar su elección en caso
de no confirmar el voto. Si bien la revalidación de la selección realizada le agrega complejidad a
la votación, es necesaria. Cualquier persona puede equivocar la opción seleccionada, ya sea por un
71
error de tipeo o por un error de lectura. Por estas razones se otorga la posibilidad de confirmar y
cambiar el voto en caso de error. Este proceso de revalidación, también ocurre en los métodos
tradicionales que utilizan boletas de papel. La diferencia está en que pasa inadvertido. Sin
embargo, cuando una persona agarra una boleta, la lee por lo menos 2 veces para ver si no se
equivocó al tomarla. Esta doble lectura no es más que una confirmación de que la boleta
seleccionada es la correcta. Por otro lado, existen varias personas que entran al cuarto oscuro sin
saber por quién van a votar, por lo que van tomando boletas y luego dejándolos nuevamente, por
motivos de su indecisión. Las máquinas de evote deben permitir que el sufragante realice lo
mismo. La forma de permitir eso, es mediante el proceso de confirmación.
Esquema Nº 14 – Ejecución de la votación
Una vez que se emitió el voto, la máquina de votación envía un mensaje de activación a la
de identificación, para que ésta pueda registrar al siguiente individuo y permitirle votar.
2.3.1
Autenticación
de usuario
Mensaje de Activación
2.3.2
Selección de
candidato
Activar Identificador
Opción Inválida
2.3.3
Consumación
del voto
Opción elegida
Voto no confirmado
72
2.3.1. Autenticación de usuario
Cuando el votante ingresa en el cuarto oscuro, se visualiza en la pantalla electrónica, un
mensaje que le indica al elector que debe colocar su dedo en el dispositivo que lee las huellas
digitales. Tras efectuar la lectura, se procede a validar que la impresión dactilar obtenida coincida
con la recibida en el mensaje de activación. Si se corresponden, se genera un número único de
identificación de voto y se imprime en la pantalla de papel.
Si las huellas no coinciden, se otorga la posibilidad de volver a colocar el dedo para una
segunda lectura. Si vuelve a no coincidir, se genera una interrupción del proceso que requiere
intervención del presidente de mesa. Éste puede certificar que la persona que ingreso al cuarto
oscuro sea la misma que se identificó en la mesa de votación, mediante el ingreso de un código.
De igual forma, también puede anular el voto. Como muestra el esquema Nº 15, la anulación del
voto genera un mensaje de activación para indicarle a la máquina identificadora que puede
continuar con la lectura de documentos para que otra persona vote.
Esquema Nº 15 – Autenticación de usuario
2.3.1.2
Leer huella
dactilar
2.3.1.4
Generar ID
del voto
2.3.1.3
Ingresar
código del Pte
2.3.1.5
Imprimir ID
de voto
Si es correcta
Si no coincide código de habilitación
Mensaje de Activación por anulación
2.3.1.1
Mostrar
leyenda Iniciar
Si no coincide por segunda vez
ID
73
Las máquinas de votación poseen almacenados los códigos que puede utilizar el presidente
para certificar que el votante es quien se identificó o para anular el voto. Esos códigos sólo son
requeridos cuando la huella leída no concuerda con la enviada por la red y están en posesión del
presidente de mesa únicamente.
Al número de identificación generado se le añade al comienzo el código de la máquina de
votación y luego es cifrado mediante un algoritmo simétrico cuya clave es una porción del valor
obtenido del reconocimiento de la huella dactilar durante la identificación del elector en la primer
etapa de la votación. El resultado de esta operación será utilizado al finalizar la operación de
votación en la impresión del comprobante.
2.3.2. Selección de candidato
Para poder elegir la boleta por la cual el individuo desea votar, debe seleccionar la opción
numerada que corresponda a su candidato. El valor a ingresar por el teclado numérico se obtiene
de la lectura de un listado de candidatos que se encuentra impreso en la pantalla de papel.
Esquema Nº 16 – Selección de candidato
2.3.2.1
Mostrar
opciones
2.3.2.2
Ingresar
opción
Nº de opción
Opción incorrecta
Habilitar teclado
74
Como se muestra en el esquema Nº 16, existe un proceso encargado de imprimir el listado
de candidatos en la pantalla de papel. Cuando este finaliza, habilita el teclado para que el votante
pueda ingresar el número de opción que desea. Si el valor entrado no corresponde con ningún
candidato, se procede a solicitar su reingreso. En el caso de que el valor sea correcto, se envía al
proceso de confirmación la opción elegida.
2.3.2.1. Mostrar opciones
La finalidad de este proceso consiste en obtener el listado de boletas de los archivos de la
máquina e imprimirlo para que el elector pueda emitir su voto. El esquema Nº 17 visualiza las
tareas que se efectúan para cumplir el objetivo. En una primera instancia, se procede a la lectura
de los candidatos. Una vez obtenidos los datos a imprimir, se procede a almacenar en la máquina
el listado. Esta actividad es de suma importancia ya que el registro guardado será utilizado para
contabilizar los votos. Sin embargo, este no es el único fin que posee el almacén de los datos. La
otra razón consiste en seguridad para evitar posibles fraudes.
El listado de candidatos, se conforma de duplas compuestas por un número identificador y
el nombre del candidato a elegir. Si estas combinaciones son almacenadas antes de que el elector
tenga contacto con las mismas, el sistema me está protegiendo contra ataques que consistan en
modificar un voto mediante la alteración del número identificador. Esto es que si la pantalla de
papel muestra 1) A y 2) B, y el votante selecciona la opción 2, el voto no podría quedar
almacenado como 2) A, ya que sería identificado en la instancia de recuento. Mediante el
agregado de este pequeño procedimiento, se esta resguardando la integridad de la información y
disminuyendo la posibilidad de fraudes que puedan cometerse. La razón por la cual se cree posible
que existan tales ataques, es porque al finalizar la emisión del voto, el votante se lleva un
comprobante impreso donde figura el número de opción elegida. Si respeto el número, pero
cambio el candidato, el votante se va pensando que el voto almacenado por la máquina refleja su
intención, cuando en realidad no es así. Estas cuestiones de seguridad serán ampliadas más
adelante, así como también la utilidad del número de opción para verificar el voto.
Tras haber guardado el listado, se procede a imprimirlo en la pantalla de papel. Cuando
este proceso finaliza, envía un mensaje que habilita el teclado numérico para que el usuario pueda
ingresar su opción.
75
Esquema Nº 17 – Mostrar opciones
2.3.2.1.1. Leer lista de candidatos
Cada una de las máquinas de votación, posee almacenado un archivo cifrado cuyo
contenido consiste en el listado de candidatos de la elección. La clave para descifrarlo se
encuentra guardada en la misma máquina. El proceso de lectura, debe tomar el archivo de
candidatos y convertirlo en texto claro para que sea legible por el elector. Como se muestra en el
esquema Nº 18, la máquina debe tomar el listado y ordenarlo aleatoriamente. Finalizada esta tarea,
se le asigna a cada candidato el número de posición en el que se encuentra, formando la dupla que
se va a mostrar en pantalla. Esta es una de las principales funciones en las cuales se basa el éxito
del método. El hecho que el listado de candidatos aparezca en un orden totalmente azaroso otorga
la posibilidad de publicar la opción elegida por el votante sin revelar por quién votó realmente. El
número de orden solo tiene significado para el elector, ya que es el único que puede inferir por
quién votó porque nadie más estuvo en contacto con el listado desplegado en la pantalla de papel.
2.3.2.1.1
Leer lista de
candidatos
2.3.2.1.2
Almacenar
opciones
Habilitar teclado
2.3.2.1.3
Imprimir
opciones
Listado
Listado
76
Esquema Nº 18 – Leer lista de candidatos
El orden aleatorio de las boletas permite otorgarle a cada candidato la misma probabilidad
de ser elegido que al resto. Cuando una persona indecisa se presenta en un cuarto oscuro, la
ubicación en que se encuentran las boletas puede inducir la elección hacia un candidato. Aquel
que se encuentre primero en la fila, va a ser leído siempre por todos los votantes, mientras que el
último posiblemente no, ya que el ser humano probablemente se canse antes de llegar al final. Sin
embargo, si el orden cambia cada vez de manera azarosa, los principios probabilísticos nos dicen
que en una cantidad grande de casos, la totalidad de veces que cada boleta aparece en cada orden
se equipara, otorgándole a cada uno la misma posibilidad de ser seleccionada.
2.3.2.1.2. Almacenar opciones
El almacenamiento físico de las opciones que van a ser desplegadas en la pantalla de papel,
tiene como fin servir de soporte para poder verificar que el voto emitido no sufrió alteraciones. La
verificación se efectúa durante el recuento de votos. El registro guardado consiste en el mismo
listado de candidatos que ve el sufragante, más cierta cantidad de información de seguridad que es
añadida para proteger al archivo y reconocer si se encuentra dañado o fue violado.
2.3.2.1.1.1
Descifrar lista
de candidatos
2.3.2.1.1.2
Ordenar
azarosamente
Listado ordenado y numerado
2.3.2.1.1.3
Asignar nros.
consecutivos
Listado ordenado
Listado
77
Esquema Nº 19 – Almacenar opciones
En la figura Nº 19 se muestran los agregados que se le hacen al archivo con el fin de
mantener su integridad. A cada dupla conformada por la boleta y el número de orden asignado, se
le calcula un código de hash que se concatenará al registro del archivo. Al final del archivo se
agregará un identificador del voto. Al momento de guardarlo, se calculará un valor de hash del
archivo completo y se lo cifrará utilizando un algoritmo de clave pública, conformando así una
firma digital. De esta forma se asegura que el archivo que guarda una copia exacta del listado que
se imprime en pantalla permanezca inalterable y sirva como respaldo para conocer si un voto
sufrió cambios a lo largo del proceso de votación. La forma de identificar la existencia de
modificaciones en los sufragios es mediante la comprobación de la firma digital de cada máquina
y del valor de hash de la dupla almacenada en el registro del voto. Si fue alterado, el valor de hash
no coincidirá y se desechará; si se intentó agregar un voto, la firma digital va a ser inválida y de
igual modo se descartará.
2.3.2.1.3. Imprimir opciones
Una vez que el listado de candidatos ha sido almacenado, el sistema se dispone a
imprimirlo. Ya en esta instancia, existe la seguridad acerca de la imposibilidad de fraguar la
2.3.2.1.2.1
Calcular hash
para c/dupla
2.3.2.1.2.2
Añadir
identificador
Listado de opciones
2.3.2.1.2.3
Firmar y
guardar
Archivo
Registros a almacenar
Listado ordenado y numerado
78
elección mediante la alteración de votos. Suponiendo que el listado es alterado por un proceso
malicioso previo a ser impreso, pero posterior a ser guardado, el voto almacenado no va a
coincidir con el archivo y será descartado, además de ser informada la anomalía. Otra posibilidad,
es que el proceso que altera el listado sea anterior a su almacenamiento, en ese caso, los registros
coincidirían con lo que ve el votante, por lo que no se estaría alterando la intención de voto del
sufragante, sino simplemente cambiando la equidad existente entre las boletas de ocupar cualquier
posición en el listado. Eso desigualaría las posibilidades de que un candidato sea elegido por un
indeciso, llevándonos a un escenario similar al de los métodos tradicionales de votación, pero no
alterando el resultado de los comicios.
Posteriormente a la impresión del listado de boletas, se procede a mostrar por la pantalla
electrónica los pasos que debe realizar el votante para seleccionar al candidato deseado, como se
muestra en el esquema Nº 20. Las instrucciones consisten simplemente en una leyenda que le
indica al elector que debe seleccionar el número de opción junto a la boleta seguida de la tecla
“confirmar”. Además se emite una señal que habilita al teclado numérico y deja al sistema en
estado de espera.
Esquema Nº 20 – Imprimir opciones
2.3.2.1.3.1
Imprimir
listado
2.3.2.1.3.2
Mostrar
Instrucciones
Habilitar teclado
Listado
Fin impresión
79
2.3.2.2. Ingresar opción
Este proceso le permite al votante ingresar el número de opción que representa a su
candidato mediante un teclado. Finalizada la entrada de datos, se procede a validar que la opción
elegida se encuentre en el listado desplegado en la pantalla de papel. Si es válida, se solicita
confirmación, de lo contrario, se muestra una leyenda en la pantalla electrónica indicando que el
valor ingresado es incorrecto y solicitando el reingreso del mismo, reiniciando el proceso por
completo.
Para indicarle al elector que debe confirmar su elección, se muestra un mensaje en la
pantalla electrónica que visualiza la opción tipeada por el votante en el teclado. Además se lee una
inscripción que explica cómo se confirma o rectifica la selección realizada. En este último caso, se
reinicia el proceso de ingreso de opción. De lo contrario se informa la confirmación y se pasa a la
etapa de impresión del comprobante de los votos.
Esquema Nº 21 – Ingresar opción
2.3.2.2.3
Mostrar
leyenda
2.3.2.2.2
Validar opción
ingresada
2.2.2.5
Confirmar
2.2.2.4
Preguntar si
confirma
Si es incorrecta
Habilitar teclado
Opción
2.3.2.2.1
Leer opción
del teclado
Opción
Opción
No confirmado
80
2.3.3. Culminación del voto
Mediante este proceso finaliza la emisión del voto por parte del sufragante. Se inicia
inmediatamente después de que el elector confirma su selección. Como se visualiza en la figura Nº
22, lo primero que se realiza es el registro del voto en la memoria de la máquina. Terminada esta
tarea, se procede a imprimir un comprobante de papel que le queda al votante, cuyo contenido
consiste únicamente en el número de opción elegida y en el identificador del voto, más un código
de barras que sirve para la etapa de verificación. De esta forma la persona que emitió el voto posee
una prueba física de lo realizado frente a la máquina de votación, que junto con la pantalla de
papel, constituye un documento que certifica el sufragio.
Es de suma importancia que el papel utilizado para imprimir los comprobantes posea
marcas de agua para que no sea falsificado. Si el talón sufriera alteraciones, las mismas deberían
ser identificadas. Caso contrario, el sistema completo podría llegar a caer si el número de recibos
alterados es alto. Esto ocurriría porque los registros almacenados en las máquinas de votación no
coincidirían con el comprobante; al permitir el sistema probar fehacientemente si la intención de
voto fue contabilizada correctamente, es sencillo demostrar que las máquinas fueron corrompidas.
Esta situación obliga a colocar marcas en el papel que certifiquen el origen del mismo.
Esquema Nº 22 – Culminación del voto
2.3.3.1
Almacenado
del voto
2.3.3.2
Impresión del
comprobante
Activar identificador
Opción
Opción
81
2.3.3.1. Almacenado del voto
En este proceso, se intenta otorgarle autenticidad y confidencialidad al voto. Además se
certifica que fue emitido por una máquina de votación válida. Por estas razones se calcula un
código de hash y se lo cifra con la clave privada de la máquina, para firmar el voto almacenado
digitalmente. De esta forma se consigue certificar a la máquina emisora y otorgarle autenticidad al
voto. Para conseguir la confidencialidad, se debe cifrar el voto junto a la firma digital con un
algoritmo de clave simétrica. Este método se describe en el anexo B, la sección de las funciones de
Hash, ejemplo d.
Esquema Nº 23 – Almacenado del voto
2.3.3.1.4
Guardar en
archivos
2.3.3.1.3
Cifrar voto
Opción
Voto firmado
2.3.3.1.2
Firmar
Digitalmente
Opción
2.3.3.1.1
Buscar
candidato
Voto
Voto cifrado
2.3.3.1.5
Mezclar votos
Opción
82
En el esquema Nº 23 se muestra la secuencia de tareas que son necesarias ejecutar para
almacenar un voto. En una primera instancia, se debe consultar en la memoria la boleta o el
candidato que corresponden con la opción elegida por el votante según el orden impreso en la
pantalla de papel. Una vez obtenido el dato, se procede a firmar digitalmente el registro calculando
un hash sobre el mensaje compuesto por el identificador del voto, la opción elegida y el candidato
correspondiente. Luego se cifra el valor con la clave privada de la máquina. Finalmente se encripta
con la clave simétrica el voto y la firma y se guarda en los archivos. Una vez almacenado el
sufragio, se ejecuta un proceso de mezcla, que consiste en alterar el orden físico de los registros de
los votos, para que ninguna persona que posea contacto con la máquina pueda inferir por quiénes
votaron los ciudadanos mediante el análisis del orden en que se fueron presentando en la mesa de
identificación y emitiendo los sufragios.
El proceso de mezcla ejecutado después de la emisión de cada sufragio puede parecer
innecesario ya que se estaría alterando un orden que fue modificado recientemente. Esto puede
llevar a pensar que bastaría con la ejecución del proceso una única vez al efectuarse el cierre de la
urna. Sin embargo, si se interrumpiese el proceso de votación, dejando la máquina fuera de
servicio, los votos guardarían el orden en que fueron emitidos generando un riesgo alto de que se
pierda el anonimato del voto. Por tal motivo se realiza la mezcla luego de cada voto, ya que
cualquier otra frecuencia de ejecución podría significar la revelación del voto de por lo menos un
ciudadano (el último en ingresar al cuarto oscuro).
Con este esquema de seguridad se busca detectar cualquier alteración que pudieran sufrir
los votos. Las claves utilizadas por las máquinas para cifrar y firmar digitalmente son generadas
días previos a la elección y almacenadas en la memoria de la máquina. Los claves públicas
correspondientes a las claves privadas de cada máquina, así como las claves de los algoritmos de
cifrado simétrico son almacenadas en los servidores de consolidación y contabilización de votos.
2.3.3.2. Impresión del comprobante
Este es el último de los pasos que se ejecuta al emitir un voto. Finalizada la impresión del
recibo, debe sincronizar la máquina de votación con la de identificación. Para ello se envía un
mensaje habilitación por la red inalámbrica.
83
El esquema Nº 24 muestra que lo primero en realizarse es la impresión del ticket que sirve
como prueba de voto, para después mostrar en la pantalla electrónica un mensaje que indica que se
debe retirar el comprobante impreso por la máquina. Luego se busca la clave de sesión en los
registros de la máquina para transmitir el mensaje de activación del identificador utilizando el
protocolo IPSec. Por último se envía el mensaje.
Esquema Nº 24 – Impresión del comprobante
El ticket que se extrae de la máquina posee preimpreso un código que identifica al lugar de
votación y a la máquina. La razón de ser de esta marca es la de dificultar la falsificación del
comprobante y la de facilitar la verificación del voto en la última instancia de la elección. La
utilidad del mismo que se expondrá cuando se explique en detalle ese proceso.
El contenido del ticket consta del número de opción elegido por el votante, el identificador
del voto generado por la máquina y un código de barras que representa al valor del identificador
cifrado mediante el algoritmo de clave simétrica, al identificador del voto sin cifrar y al código de
2.3.3.2.2
Mostrar
leyenda de fin
2.3.3.2.4
Enviar
mensaje
2.3.3.2.3
Buscar clave
de sesión
Opción
Activar máquina
2.3.3.2.1
Imprimir
ticket
Clave
84
mesa. Mediante el código de barras, en la etapa de verificación, se logra autenticar al portador del
comprobante y a identificar al voto que respalda.
2.4. Imprimir acta de cierre
Este proceso constituye el cierre de los comicios y debe realizarse según figura en la Ley.
Se ejecuta únicamente manualmente, mediante el ingreso de un código que posee el presidente de
mesa y corre tanto en la máquina de identificación como en la de votación. La diferencia entre el
proceso que se ejecuta en uno y otro dispositivo consiste en el cálculo de las estadísticas y los
resultados obtenidos. El esquema Nº 25, muestra las tareas realizadas luego del cierre de la
votación.
Esquema Nº 25 – Imprimir acta de cierre
2.4.2
Firmar
Digitalmente
2.4.4
Enviar archi-
vos cifrados
2.4.3
Cifrar
estadísticas
Cierre de votación
Archivo cifrado
2.4.1
Calcular
estadísticas
Estadísticas
Estadística firmada
Archivo cifrado
85
El acta de cierre de la máquina de identificación, posee la hora de impresión, el nombre del
presidente, los suplentes y fiscales que actuaron en la mesa y las siguientes estadísticas:
� Total de personas que posee el padrón almacenado en la máquina
� Total de personas que fueron identificadas correctamente, es decir que
emitieron un voto.
� Total de personas que fueron identificadas y no correspondían al padrón
� Total de personas que no se presentaron a votar.
� Total de huellas dactilares almacenadas
� Personas incorporadas manualmente al padrón.
El acta de cierre de la máquina de votación, posee la hora de impresión, el nombre del
presidente, los suplentes y fiscales que actuaron en la mesa y las siguientes estadísticas:
� Totales de votos emitidos
� Totales de votos por boleta
� Totales de votos en blanco
� Totales de votos defectuosos
Las estadísticas calculadas en ambas máquinas son cifradas con un algoritmo de clave
simétrica para hacer confidencial su contenido, son archivadas y firmadas digitalmente por la cada
dispositivo.
Para el cálculo de las estadísticas de la máquina de votación, se debe tener en cuenta que
los votos almacenados se encuentran cifrados, por lo que para conocer su contenido se los debe
descifrar previamente. Luego se debe analizar a qué candidato corresponde y sumar una unidad a
ese total. Este proceso se describirá en forma detallada en el punto 3.2.1.
86
El archivo de estadísticas cifrado es enviado a los servidores encargados de revisar el
conteo de los votos y sirve como medio verificador de la integridad del proceso. Al corroborar la
corrección del conteo, se chequea que los totales arrojados por las máquinas identificadoras
coincidan con cierto nivel de exactitud determinado por ley, con los totales de sus pares de
votación. Si esto no ocurre, implica que hubo algún error. Este proceso será explicado en mayor
detalle más adelante.
87
3. Consolidación de resultados
Este proceso se ejecuta por etapas, como fue descripto en el capítulo anterior. En cada una
de ellas se audita la integridad de los datos procesados en la etapa anterior y se certifica la
procedencia de la información para evitar agregados y eliminaciones de sufragios. En cada fase se
agrupan los votos en conjuntos cada vez más grandes hasta consolidar un único paquete de votos
en el administrador central. Este es el único momento en que toda la información se encuentra
reunida en un solo dispositivo, por lo que sólo en esta instancia se pueden sumar los resultados
parciales que se fueron obteniendo por región para obtener el resultado de los comicios. Esta
condición hace del administrador central, el único dispositivo capaz de validar que una persona
no haya emitido dos veces un sufragio, ya que posee unificado todo el archivo de electores.
Si bien los padrones electorales se encuentran precargados en las máquinas de
identificación, lo que permite suponer que resulta imposible sufragar 2 veces, mediante el
agregado de personas que permiten realizar las máquinas identificadoras se habilita esta
posibilidad. El proceso de control, toma los informes elaborados para cada uno de estos
dispositivos y compara los números de documentos allí informados contra el padrón completo de
personas que sufragaron almacenado en el administrador del centro nacional. Si algún número
apareciera más de una vez, implicaría que una persona votó repetidamente. Este individuo es
identificado por su número de documento y el presidente de mesa que lo añadió al padrón es
reconocido mediante el código de la máquina identificadora reportado. Ambos son incluídos en un
informe de anomalías para ser sancionados según la Ley. Si el individuo que votó 2 o más veces
es un fiscal, el presidente de mesa no tiene responsabilidad por el fraude y queda excluido del
informe. Esto ocurre debido a que no se puede probar su complicidad ya que, durante los
comicios, no puede conocer si el fiscal ya emitió su voto en otra mesa. El informe de anomalías
es emitido por el administrador nacional, máquina encargada de ejecutar este proceso de control,
junto con el resultado de los comicios.
El proceso de contabilización de los votos que se efectúa en cada máquina de
consolidación se describe en el esquema Nº 26. Allí se muestra que lo primero en realizarse es la
recepción de la información proveniente de otras máquinas. El objetivo de esta tarea es estar
escuchando el canal a la espera de los paquetes de datos e identificar a los emisores. El segundo
paso consiste en la cuenta y firma de los votos recibidos y la comparación de las sumas parciales
88
informadas con la cantidad de sufragios procesados. Finalmente se conforma un total de la
máquina, resultado de la adición de los valores informados por los emisores, y se envía a la
siguiente instancia, en caso de que corresponda.
Esquema Nº 26 – Consolidación de resultados
3.1. Recibir votos y totales
La función principal que se realiza en este proceso es la de autenticar al emisor. Para ello
se cuenta con una tabla almacenada que posee las claves públicas de cada una de las máquinas que
envían la información hacia el centro de contabilización. Mediante el protocolo IPSec se identifica
al emisor, por lo que solo resta ir a buscar su clave pública a los archivos. Una vez obtenida, se
procede a descifrar la información con la clave simétrica y luego a verificar la firma mediante su
descifrado y el cálculo del valor de hash de los datos. Si no coinciden, significa que el archivo está
alterado o no corresponde al emisor que dice pertenecer, por lo tanto pasa a formar parte del lote
3.1
Recibir votos
y totales
3.2
Contabilizar
los votos
Votos e informes
3.3
Enviar los
datos
Votos e informes
Votos e informes
Votos e informes
89
de errores y se lo informa en el registro de anomalías. De lo contrario, pueden llegar a ocurrir dos
cosas:
a) En el caso de que el administrador sea la máquina que se encuentra en el lugar de
votación, para poder continuar con el conteo de votos, requiere de haber recibido el
informe de la máquina identificadora y los votos e informe de la máquina de
votación. Si uno faltase, se almacenan los datos recibidos en un archivo temporal
hasta tanto no contar con el resto de la información. Una vez que se posee ambos
informes y los votos, se comparan los totales notificados y si poseen hasta una
diferencia de cuatro votos, se concatenan los archivos y se pasan al siguiente
proceso. De lo contrario, se añaden al informe de anomalías y al lote de errores.
b) Si la máquina administradora es otra diferente a la especificada en el caso anterior,
directamente se pasan los datos para comenzar a ser contabilizados.
Esquema Nº 27 – Recibir votos y totales
En el esquema Nº 27 se especifica el proceso correspondiente al suceso a). El caso b) se
compone únicamente del proceso de identificación del emisor. Este ejecuta las tareas de
3.1.1
Identificar
emisor
3.1.2
Agrupar pares
y almacenar
Votos e informes
Votos e informes
Votos e informes
Emisor desconocido
90
seleccionar la clave pública según la procedencia y luego verificar mediante la firma, la integridad
de los datos y la autenticidad del emisor.
3.1.1. Identificar emisor
Como fue descripto en el punto anterior, este proceso se encarga descifrar los archivos
recibidos con el fin de validar la firma digital del emisor y la integridad de la información que
contienen. La forma en que lo realiza es sencilla, y está graficada en el Anexo B, en la sección que
se explican los métodos de Hashing.
Esquema Nº 28 – Identificar al emisor
3.1.1.3
Descifrar con
K pública
3.1.1.2
Descifrar con
K simétrica
3.1.1.4
Calcular Hash
3.1.1.5
Comparar
Clave, votos e informe
Votos e informes
Votos e informes descifrados
3.1.1.1
Buscar clave Clave, votos e informe
Valor de Hash votos e informes descifrados
Votos e informes alterados
Votos e informes descifrados
91
El esquema Nº 28 muestra la secuencia exacta en que las tareas son llevadas a cabo. En un
primer momento se busca la clave pública correspondiente al emisor. Se descifra el paquete con la
clave simétrica y luego la firma digital con la clave buscada. Como resultado se obtiene el valor de
hash correspondiente a los datos. Se procede a calcularlo nuevamente para compararlo con el
original descifrado. Si coincide, significa que el archivo recibido pertenece al emisor y su estado
es íntegro. De lo contrario, pudieron haber ocurrido dos hechos: el archivo fue alterado o el emisor
no es quien dice ser. Independientemente de lo acontecido, el resultado arrojado no varía, el voto
pasa al lote de errores y se lo informa como anomalía.
3.1.2. Agrupar pares y almacenar
Este proceso toma los archivos recibidos por cada par de máquinas y compara los totales
de votos y de personas que sufragaron de cada informe. Si coinciden o tienen una diferencia de
hasta 4 votos, concatena los archivos y los pasa al siguiente proceso, de lo contrario los informa
como anomalías y les coloca la marca correspondiente.
3.2. Contabilizar los votos
A lo largo de todo el ciclo de contabilización, los votos son contados 1 vez y auditados en
varias oportunidades. Estas auditorías no se encargan únicamente de verificar la autenticidad del
voto y su integridad, sino también de comprobar que la máquina anterior efectuó correctamente su
trabajo. Para ello, debe contar los votos “válidos” y también aquellos identificados como
defectuosos.
La importancia de verificar los sufragios que pertenecen al lote defectuoso, radica en que
la auditoría que realiza cada máquina, compara la suma de los valores contenidos en los informes
transmitidos por cada administrador con la cantidad de votos que firmó. Estos totales incluyen los
votos defectuosos ya que forman parte de los informes. Además, como fue mencionado
anteriormente, cada máquina debe firmar los sufragios que procesa, por lo que los votos anómalos
también deben ser firmados.
92
Esquema Nº 29 – Contabilizar los votos
Por esta razón es que al proceso de contabilización ingresan los votos auténticos y los
defectuosos, como muestra la figura Nº 29.
Se identifican claramente dos tareas: la que efectúa la suma de sufragios y la que audita la
cuenta de la máquina de la instancia anterior. En particular, la primer tarea la realiza únicamente
la máquina de votación, así como también es la única que no realiza la tarea de auditoría.
3.2.1. Sumar votos
El objetivo principal de este proceso consiste en obtener los votos totales por candidato.
Sin embargo existen otras tareas de importancia que debe realizar con el fin de garantizar la
corrección del sistema completo de votación. Una de ellas es la de firmar digitalmente cada voto,
después de que haya sido contabilizado. La otra es la de validar que no haya sido alterada la
intención de voto del sufragante.
3.2.1
Sumar votos
3.2.2
Comparar
resultados
Corrección del lote
Informes descifrados y totales calculados
Votos e informes legítimos y erróneos, descifrados y cifrados
Votos defectuosos
93
Cada registro que identifica la selección realizada por cada individuo en la máquina de
votación posee un archivo que lo complementa, cuyo contenido es el listado de candidatos
desplegado por la máquina en el instante de la elección. La conformación de ambos registros se
verá en el punto siguiente, sin embargo es importante remarcar que los registros que contienen el
listado de candidatos desplegado por la pantalla de papel, poseen para cada opción enumerada un
código de hash que debe coincidir con el valor de hash del registro del sufragio. El proceso de
validación el código de hash del candidato referenciado por el sufragio con el valor de hash del
registro del sufragio. Si coincide, significa que le selección realizada por el elector, no fue
modificada a lo largo del proceso.
En este proceso de revisión recae la mayor responsabilidad por el éxito del método. La
razón de esta afirmación se basa en que el registro poseedor del listado de candidatos se conforma
antes de ser mostrado por la pantalla de papel, por lo cual, aprovechando la ventaja de la no-
volatilidad de la misma, se obtienen 4 registros fidedignos, incluyendo el comprobante impreso
entregado al elector. Los únicos registros que podrían sufrir alteraciones a lo largo del proceso de
emisión de votos, son los 2 registros electrónicos que al almacenarse en la memoria de la máquina
de votación guardan información diferente a la indicada, y la pantalla de papel, cuyo listado pudo
haber sido modificado previo a su impresión y posterior a su almacenado. Debido a esto, el
resultado de la revisión esta condicionado por las siguientes posibilidades:
a) Si ninguno es alterado, el proceso es íntegro y contabiliza los votos normalmente
b) Si es alterado el registro compuesto por el listado de candidatos y no el que
almacena el voto, o viceversa, independientemente de lo que ocurra con la
impresión de la pantalla de papel, el proceso de validación ejecutado al sumar los
votos, detecta el error.
c) Si es alterada la pantalla de papel y se dejan coincidentes los registros que poseen
el listado de candidatos y la elección del sufragante, independientemente de si
fueron alterados o no, el error o fraude se detectará en el proceso de verificación
detallada en el punto 4 de este capítulo. En este caso queda de manifiesto la ventaja
de poseer una pantalla de papel que sirva como evidencia de voto.
94
d) Si se modificaran los tres registros de igual forma, estaríamos en el caso a), sin
embargo, si la alteración de cada uno es independiente, la anomalía se detectaría en
las validaciones b) o c).
La figura Nº 30 muestra la comunicación entre el proceso de validación y el de
totalización. Es el segundo quién firma los votos después de haberlos procesados. El mensaje que
transmite la validación indica si el voto está correcto o no, para saber si se debe sumar al total de
errores o al total de la boleta que corresponda. Una vez sumado, el voto es firmado por la
máquina.
Esquema Nº 30 – Sumar votos
3.2.1.1. Validar votos
Cada voto emitido esta compuesto por dos registros creados en diferentes momentos de la
elección. El primero previo a que el sufragante visualice en la pantalla de papel las opciones de
candidatos y posterior a que la máquina de votación ordene las boletas en forma aleatoria. El
segundo es creado cuando el votante confirmó la opción tipeada en el teclado numérico. Mediante
3.2.1.1
Validar votos
3.2.1.2
Totalizar
votos
Votos firmados e informes de totales
Estado y voto
Votos
Votos defectuosos firmados
95
marcas de seguridad se garantiza la inviolabilidad de cada registro en instancias posteriores a su
creación. La duda que persiste, es si no pueden ser alterados en el momento previo a que son
almacenados.
Este proceso valida que el voto almacenado no haya sido cambiado al momento de ser
guardado o que el listado de candidatos haya sido modificado también en esa instancia; el caso b)
mencionado en el punto anterior. Por otro lado también se valida que tanto el voto como el listado
de candidatos no haya sido alterado después de haber sido creado.
Estas verificaciones son posibles gracias a la estructura de los registros. La figura Nº 31
muestra en la opción 1) la forma en que se almacena el listado de candidatos. Como puede verse,
posee el identificador del voto, cada opción y candidato con un valor de hash que asegura su
integridad y finalmente otro hash calculado sobre todo el registro. En la opción 2), se muestra la
estructura del voto, que posee la dupla de opción elegida y candidato, más el identificador del
voto y un hash de protección calculado sobre todo el registro.
Esquema Nº 31 – Estructura de los registros
Una vez conocida la estructura de los archivos, se puede entender el proceso de validación.
Como lo muestra el esquema Nº 32, el mismo consiste en buscar el registro compuesto por el
listado de candidatos a partir del identificador del voto y, una vez hallado, calcular los valores de
Identificador del voto
Opción
Opción
ID Candidato
ID Candidato
Hash
Hash
Hash General
1)
2)
Hash General
Identificador del voto Opción ID Candidato
96
hash de ambos registros y compararlos contra los almacenados. Si los mismos coinciden, el voto
es consistente, de lo contrario significa que fue alterado y se informa su estado. Si es válido, se
ejecuta el siguiente paso, cuyo objetivo en calcular el valor de hash para la dupla número de
opción e identificador del candidato que figura en el voto. Se compara el hash de la opción
perteneciente al voto que se encuentra en el registro 1) con el calculado. Si son iguales, el voto es
válido, de lo contrario se informa el error.
Este ciclo se ejecuta para los votos que no fueron identificados como erróneos en el
proceso de autenticación del emisor. Aquellos sufragios defectuosos por esta causa pasan
directamente al proceso de totalización
Esquema Nº 32 – Validar votos
3.2.1.1.3
Calcular hash
de la opción
3.2.1.1.2
validar hash
de cada uno
3.2.1.1.4
Comparar
Votos y listado
Votos
Votos válidos
3.2.1.1.1
Buscar registro
según ID voto
Voto y listado
Hash voto y listado
Votos erróneos
Voto erróneo
97
3.2.1.2. Totalizar votos
Conocida la integridad y corrección de los votos, solo resta sumarlos al candidato
correspondiente o al total de errores y luego firmarlo digitalmente para certificar que fue
procesado por una máquina válida.
El proceso se muestra en detalle en la figura Nº 33, donde inicialmente se suma el voto al
candidato o a los errores para luego firmar digitalmente el registro del voto original. Para ello se
calcula un valor de hash para al archivo completo, y luego se cifra con la clave privada de la
máquina. El resultado de esta operación es adjuntado al registro del sufragio.
A medida que se suman uno a uno los votos, se llevan varios registros de los totales con el
fin de obtener los datos contenidos en el acta final.
Esquema Nº 33 – Totalizar votos
3.2.1.2.3
Cifrar hash c/
clave pública
3.2.1.2.2
Calcular hash
3.2.1.2.4
Concatenar
firma al voto
Voto y hash
Votos legítimos y erróneos
Votos firmados
3.2.1.2.1
Sumar s/
estado y boleta
Voto
Voto y firma
98
3.2.2. Comparar resultados
Las máquinas pertenecientes a los centros de contabilización, procesan información
proveniente de varios centros de votación. Cada una debe contar y firmar los votos recibidos de
cada centro, sólo la cantidad y no la distribución por candidato, y compararla contra la suma de los
totales informados. Si los valores no coinciden, el lote de sufragios de esa procedencia, será
marcado como defectuoso. Como resultado se genera un informe con los totales acumulados de
todos los centros procesados, que debe ser firmado y luego cifrado con la clave simétrica para ser
transmitido a la siguiente instancia.
Para poder efectuar la comparación del total de votos contra los valores informados, este
proceso tiene la restricción de que todos los sufragios que provienen del mismo origen, deben ser
contabilizados por la misma máquina. Cada centro posee varias máquinas que reciben y procesan
la información que envían los administradores de la instancia anterior, pero los datos enviados por
un administrador son recibidos por una única máquina del centro de contabilización.
Esquema Nº 34 - Comparar Resultados
3.2.2.1
Elaborar
informe
3.2.2.2
Firmar
informes
Informes y votos, firmados y cifrados
Informe actual, y anteriores con los votos firmados, íntegros y erróneos.
Totales e informes descifrados, votos firmados
3.2.2.3
Cifrar votos e
informes
Informes y votos firmados
99
La secuencia descripta anteriormente se muestra en la figura Nº 34. Lo único que se debe
remarcar, es que todos los informes son firmados y cifrados, y no únicamente el elaborado por este
proceso.
3.2.2.1. Elaborar informe
Las tareas que desarrolla este proceso, son simples y se describen en el esquema Nº 35. Lo
primero que se realiza es contar y firmar los votos recibidos del administrador de la instancia
anterior. El valor hallado se compara contra la suma de los totales informados. Si coinciden
significa que el lote completo de votos es correcto y se acumulan los totales que posee el informe
a los totales de la máquina, de lo contrario, se marca el lote como defectuoso y se suma la cantidad
de votos al total de errores.
Esquema Nº 35 – Elaborar informe
3.2.2.1.1
Contar y
firmar votos
3.2.2.1.2
Cotejar totales
y acumular
Cantidad de votos, totales e informes
Totales e informes descifrados, votos firmados
3.2.2.1.3
Crear
informe
Totales hallados
100
Estas tareas son realizadas por todas las máquinas intervinientes en el proceso de votación
excepto por las de emisión de sufragios. Esto significa que los administradores de cada centro
realizan las tareas de auditoría sobre las máquinas de contabilización del centro y éstas sobre los
administradores de la instancia anterior. Por lo tanto todas los dispositivos son auditados por el
mismo proceso, salvo la máquina de la última instancia. Sin embargo, el informe que esta elabora
es fácilmente auditable por cualquier persona porque solo se requiere sumar un número acotado de
valores igual a la cantidad de totales de cada informe por la cantidad de provincias o estados del
país.
101
4. Verificación del voto
Este proceso puede ser concebido en dos partes: una de preparación y otra de ejecución. La
primera de ellas consiste en la elaboración de los archivos y en la publicación de los mismos,
mientras que la segunda es aquella en la cual el votante comprueba que su voto fue computado
correctamente.
Como fue explicado anteriormente, el sistema permite comprobar el voto de 2 maneras:
una de ellas se denomina pública, ya que se efectúa a través de un sitio web y la otra se denomina
privada ya que se realiza bajo las mismas condiciones que la emisión del voto; en un cuarto oscuro
con total libertad y privacidad.
Esquema Nº 36 – Verificación del voto
4.1
Generar
archivos
4.2
Verificación
pública
Archivo
4.3
Verificación
privada
Archivo
102
La figura Nº 36 muestra los tres procesos que se ejecutan en esta etapa. Inicialmente se
generan los archivos para permitir las verificaciones. Los otros procesos se ejecutan en paralelo y
uno pertenece a la comprobación pública y otra a la privada
.
4.1. Generar archivos
Para generar los archivos utilizados en el proceso de verificación, se deben poseer todos
los votos emitidos y conocer el origen de los mismos. A partir de estos datos, se puede generar el
archivo para uso público y se pueden agrupar los votos según las zonas de origen para ser enviadas
a las máquinas correspondientes.
Esquema Nº 37 – Generar archivos
4.1.3
Armar archivo
4.1.2
Clasificar
votos
4.1.4
Ordenar
archivo
Grupos de votos
Votos
Archivo ordenado
4.1.1
Descifrar votos Votos descifrados
Archivo
Votos descifrados
103
El archivo generado es un conjunto de registros que poseen sólo 2 campos: el número de
opción elegido al momento de seleccionar al candidato y el identificador del voto. Una vez
generado, se le efectúa un ordenamiento que sirve para acelerar las búsquedas realizadas sobre el
mismo.
Lo primero que se realiza es el descifrado de los votos para poder leer el contenido. Luego
se los clasifica por origen, mediante las firmas digitales que poseen. Cada máquina está
identificada por su clave y se conoce la zona geográfica donde fue utilizada. En forma
independiente a este último, se confecciona el archivo utilizado en la comprobación pública y se
lo ordena. El orden de ejecución y la interacción entre estos procesos está detallado en el esquema
Nº 37.
4.2. Verificación pública
La posibilidad que otorga el ordenamiento aleatorio de los candidatos en el momento de la
elección, mas allá de igualar las probabilidades de que una boleta sea leída, es la capacidad de
hacer pública la opción seleccionada por el votante y que nadie sea capaz de inferir por quién votó
excepto él mismo.
La forma de aprovechar esta característica es mediante la publicación de los números de
opciones para que sean validados de forma rápida, simple y cómoda por los electores.
Como muestra la figura Nº 38, en tres pasos se puede tener una idea aproximada acerca de
la corrección con que fue ejecutado el proceso. En una primera instancia, oficiales electorales
suben a una página web oficial del gobierno, el archivo generado en el proceso anterior. Una vez
publicado, los electores pueden ingresar al sitio y mediante el ingreso de número identificatorio
que figura en el ticket impreso por la máquina de votación, el sistema revela la opción elegida por
el sufragante. El número que aparece en pantalla puede ser validado contra el que figura en el
ticket. Si el proceso se ejecutó correctamente deben coincidir, de lo contrario se debe informar al
ente encargado de controlar la elección, la irregularidad detectada. Como se explica en el capítulo
VI existen formas de probar que el candidato por el cual uno votó no es el mismo que la máquina
contabilizó.
104
Esquema Nº 38 – Verificación pública
Este proceso de verificación es complementario ya que la forma que posee el método de
comprobar el correcto funcionamiento del sistema completo de votación es mediante la
verificación privada. Sin embargo, éste, existe para darle al elector la posibilidad de evidenciar
una falla sin moverse de su casa. La única función que posee la verificación pública es encontrar
errores al proceso.
En una primera percepción, se puede arriesgar a pensar que en realidad lo que el votante
está comprobando es que la máquina de votación haya respetado su elección. Esto en realidad no
ocurre por la característica de los sistemas de mostrar una cosa y poder almacenar otra. Es posible
que una máquina exhiba el número de opción elegido por el sufragante, pero tener guardado otro
diferente, logrando procesar un voto que no refleja la intención del elector, sin que éste se diera
cuenta. Esta posibilidad existe debido a que no se está informando el nombre del candidato por
quién optó el votante.
4.2.1
Publicar votos
4.2.2
Ingresar
identificador
Opción
Archivo
4.2.3
Mostrar
opción
Identificador
105
Por estas razones es que la acción de verificar el voto públicamente consiste en la
búsqueda de una falla del sistema, ya que solo nos provee información en el caso de que el valor
publicado no coincida con el número de opción que figura en el ticket impreso por la máquina de
votación.
4.3. Verificación privada
En este proceso se efectúa la verificación real del voto. El resultado arrojado es el nombre
del candidato procesado por la máquina de acuerdo a la elección realizada por el sufragante.
Al igual que en la votación, la verificación se realiza en 2 etapas, una de identificación y
otra de consulta. Sin embargo, en esta instancia, la red montada entre los dos dispositivos
intervinientes no es inalámbrica. El primero de ellos contiene un lector de huellas dactilares y otro
de código de barras, y se encuentra fuera del cuarto de verificación. A partir de la lectura del
código de barras, se obtiene el identificador del voto cifrado y descifrado. A continuación se debe
leer la huella dactilar para obtener la clave de cifrado, localizando la imagen almacenada en la
máquina mediante los algoritmos reconocedores de huellas, y descifrar el valor encriptado con la
misma. Si el resultado de esta operación coincide con el identificador representado en el código de
barras, se busca en los registros un sufragio que coincida con él. En caso de existir se lo envía por
la red para que la máquina que se encuentra dentro del cuarto de comprobación se prepare para
mostrar al candidato perteneciente al voto. Esta última se compone de un monitor Touch Screen
que requiere que el votante presione un botón de la pantalla para revelar el nombre del
representante perteneciente al sufragio. Este paso es obligatorio para evitar que alguien fuera del
cuarto pueda espiar el monitor. Después de unos segundos de haber exhibido al candidato, lo
oculta y envía una señal de fin al dispositivo exterior.
La interacción existente entre los procesos de identificación y el de consulta, se muestra en
la figura Nº 39. Como se ve, existe una sincronización entre ambos mediante señales transmitidas
por la red. Al igual que en la votación, ambas máquinas no funcionan en simultáneo. Cuando una
se encuentra activa, la otra no y viceversa. Las señales de sincronismo no son más que el
identificador del voto y el mensaje de fin.
106
Esquema Nº 39 – Verificación privada
4.3.1. Identificar
El dispositivo encargado de la identificación del voto que va a ser consultado posee un
lector de código de barras, mediante el cual se obtienen los datos del comprobante. Luego, se
habilita el fingerprint scanner capaz de efectuar la lectura de la huella digital del votante. A partir
de la misma, se busca la huella dactilar almacenada en la memoria del dispositivo que se
corresponda con la imagen leída. La huella guardada es la escaneada en el proceso de
identificación del votante, previo a la emisión del voto, y la que se utilizó como clave de cifrado
del identificador que posee el comprobante. Con ella, se descifra el identificador del voto extraído
del código de barras y se compara contra el valor descifrado leído directamente del ticket, para
autenticar al elector. Si coinciden, se busca en los archivos de la máquina, el registro cuya clave
concuerde con el mismo. En caso de encontrarlo, se enciende una señal verde indicando el éxito
para que el custodio permita a la persona ingresar al cuarto de comprobación. Caso contrario se
encenderá una luz roja de alerta, señal de que falló el reconocimiento. Este indicador se enciende
de amarillo cuando falla la autenticación, ya sea porque no se encuentra una huella almacenada
que posea los mismos patrones que la obtenida de la lectura recientemente efectuada o por
cualquier otra razón.
4.3.1
Identificar
4.3.2
Consultar
ID del voto
Fin
107
Esquema Nº 40 - Identificar
El motivo de la falla se puede deber a varias razones. Una de ellas, simplemente
corresponde a un error de lectura de la huella del dispositivo, por lo que en un segundo intento,
podría no ocurrir lo mismo. Otra de las razones, se puede deber a que la persona equivocó el dedo
que utilizó en la votación. Si durante las elecciones, para activar la máquina de selección del
candidato se utilizó determinado dedo de la mano, para la verificación se debe utilizar el mismo,
ya que sino la lectura de la huella será diferente y no se podrá identificar al voto. Finalmente, si el
ticket corresponde a una mesa cuyos votos no se encuentran almacenados en la máquina de
comprobación, también devuelve error.
4.3.1.1
Lectura de
Comprobante
4.3.1.2
Lectura de
Huella
Activar Máquina
Incorrecto
4.3.1.4
Descifrar y
comparar
Clave y datos del ticket
Incorrecto
Datos del ticket
4.3.1.5
Buscar voto
Identificador de voto y código de mesa
4.3.1.3
Buscar huella
clave
Huella
108
La figura Nº 40 muestra la secuencia de ejecución del proceso. En un primer momento se
efectúa la lectura del código de barras y de la huella de dactilar, para quedarse con el identificador
del voto. Una vez obtenido el mismo, se busca en los archivos un registro que coincida con él. En
caso de encontrar uno, se envía el mensaje de sincronismo a la máquina que está dentro del cuarto
y se enciende el indicador luminoso. De lo contrario, se alerta del error.
4.3.2. Consultar
Este proceso se inicia al recibir el mensaje que contiene el identificador del voto a través
de la red. Este evento dispara una búsqueda para encontrar el voto referido por ese número. Al
encontrarlo, se queda esperando que el usuario le dé la orden para mostrar el nombre del candidato
del sufragio. Una vez que ocurre, se inicia un temporizador, que después de unos segundos, oculta
el contenido de la pantalla y envía una señal por la red para habilitar nuevamente el dispositivo
que lee las huellas dactilares.
Esquema Nº 41 - Consultar
Nombre del candidato 4.3.2.1
Buscar voto
Identificador
4.3.2.2
Mostrar
candidato
Fin
4.3.2.3
Contar tiempo
Iniciar
109
En la figura Nº 41 se muestra la secuencia descripta en el párrafo anterior. Lo único que se
puede remarcar, es que el proceso que muestra el nombre del candidato en la pantalla, para hacerlo
debe esperar que el usuario presione un botón; de esta forma se protege el secreto del voto.
110
CAPÍTULO VI
Verficabilidad del método
La forma en que el método permite verificar el voto emitido es explicada en este punto.
Aquí se busca detallar las características y la funcionalidad que cumplen cada una de las pruebas
físicas que proporciona el sistema. Se puntualiza en las funciones del ente regulador, en quién
recae la responsabilidad de comprobar e informar las anomalías que presente el sistema. Si bien el
procedimiento de verificación fue explicado en el punto anterior, aquí se hace hincapié en la
detección de las fallas y en la demostración de los errores mediante las evidencias que posee el
elector sin violar el secreto de sufragio.
1. Pruebas físicas
La posibilidad de verificar la corrección del sistema de votación electrónica por parte de
los votantes la otorga la existencia de pruebas físicas del sufragio que se encuentran repartidas
entre los electores y el ente responsable del escrutinio. Cada parte posee una pieza que por sí
misma carece de significado, pero juntas revelan el voto emitido por el sufragante. Esta
característica del sistema, de otorgarle a las personas el poder de demostrar por quién votaron, le
da vida al proceso de verificación. Si no existiera, el mismo carecería de sentido porque nadie
sería capaz de probar que hubo una falla y que el voto contabilizado no refleja su intención.
Como fue explicado anteriormente, cada elector se lleva un comprobante impreso por la
máquina de votación al finalizar la selección de su candidato. Este recibo conforma la prueba
física que poseen las personas para demostrar por quién votaron en caso de existir un error en el
sistema. La pantalla de papel es el comprobante que complementa al ticket para poner en
manifiesto el voto del individuo. Éste permanece en manos del ente encargado de regular las
votaciones.
111
1.1. El ticket
El ticket impreso por la máquina de votación cumple con 4 funciones diferentes. La
primera de ellas consiste en indicarle al elector la finalización de la operación de selección del
candidato. La segunda, es la de servir de soporte de información en el momento en que el
sufragante utiliza la opción de comprobación pública. La tercera, consiste en autenticar al votante
cuando se presenta para efectuar la verificación privada. Finalmente, la cuarta, es la de
complementarse con la pantalla de papel para dejar de manifiesto el voto del poseedor del
comprobante.
La función de indicarle al elector el final de su operatoria con la máquina de votación, es
similar a la que realizan los cajeros automáticos de los bancos. Cuando un usuario realiza una
operación frente a una máquina, cualquiera que esta sea, espera obtener un resultado señalándole
que completó la acción correctamente. La respuesta en el caso de la votación electrónica es un
recibo de papel que posee el número de opción del listado de candidatos elegido por el votante.
Esta es la primera instancia de verificación que poseen los electores. La prueba consiste en el
resumen de lo realizado por cada individuo en la máquina, el mismo sentido que se le da a los
comprobantes de los cajeros automáticos.
La función de soporte sirve para que al momento de verificar que el voto se contabilizó
correctamente mediante la comprobación pública, el elector posea un registro impreso del número
de opción elegido, que debe coincidir con el valor publicado en Internet. Además el ticket posee el
código identificador del voto, número que debe ser ingresado en la web para poder acceder al voto
que uno desea cotejar. Éste, es el papel principal que desempeña en esta instancia, ya que se
convierte en el medio de acceso a los datos publicados.
La última de las funciones únicamente tiene lugar en el caso de que las verificaciones
existentes a lo largo del proceso de votación hayan arrojado resultados no esperados. Si luego de
efectuadas la verificación pública y la privada, el voto revelado no coincide con la elección
realizada por el elector, el ticket se convierte en la prueba del error cometido por las máquinas de
votación. La forma de comprobar la equivocación, consiste en buscar la impresión de la pantalla
de papel que posee el mismo identificador de voto que el recibo, observar realmente cuál fue el
voto emitido y revisar si coincide con la revelación efectuada por la máquina encargada de realizar
la comprobación privada.
112
Para poder servir como prueba, el mismo no debe poder ser alterado, porque de lo
contrario se podría hacer caer la votación completa. Sólo bastaría con generar una cierta cantidad
de tickets falsos con el número de opción modificado para aparentar que las máquinas cometieron
errores en el registro de los votos. Si la cantidad de anomalías detectadas es significativa, la
elección completa debería ser anulada. El riesgo de que algo así ocurriera, no es menor si se
contempla que los recibos se encuentran en manos de los electores y constituyen un elemento de
gran valor para legitimar o invalidar una elección. Para que un hecho semejante no ocurra, los
papeles impresos por las máquinas de votación poseen marcas de agua. Entre ellas se encuentra un
código que identifica a la máquina unívocamente. Además, los dispositivos de impresión utilizan
una tinta especial que no es comercializada. Estas medidas de seguridad sirven para evitar la
falsificación de los tickets.
1.2. Pantalla de papel
Al igual que el ticket impreso por la máquina, la pantalla de papel posee más de una
función. La primera de ellas consiste en servir de interfaz gráfica entre el usuario y la máquina de
votación; la segunda, en complementarse con el ticket para revelar el voto real emitido por el
elector.
Cuando el votante se presenta frente a la máquina de votación, es la pantalla de papel la
que visualiza el listado de candidatos para que el usuario pueda realizar su elección. El listado
permanece en pantalla hasta que el elector confirme su selección, así éste puede comprobar que la
opción ingresada por teclado se corresponde con la boleta por la que intenta votar. En esta
instancia la pantalla de papel cumple la tarea de comunicarle al sufragante las opciones
disponibles para elegir.
La otra función, sólo es requerida para comprobar errores que son informados por los
votantes, luego que los mismos verifiquen que su voto no se corresponde con la elección que
hicieron cuando se encontraban frente a la máquina de votación en el cuarto oscuro. El papel
utilizado como pantalla, además del listado de candidatos ordenado en forma azarosa, posee el
identificador de voto de cada elector. Es la prueba física que se encuentra en manos del ente
113
regulador. Si bien cada impresión del listado de candidatos por sí misma carece de significado, ya
que en ella no se informa la elección realizada, cuando se junta con el ticket que posee el mismo
identificador, deja de manifiesto el voto.
Para evitar que el mismo sea falsificado, posee marcas de agua al igual que el recibo que se
queda el votante. También es impreso con una tinta especial. De esta forma se mitiga el riesgo de
que las pruebas sean alteradas y dejen de servir como evidencia.
114
2. Método de verificación real
Si bien el método de verificación fue expuesto en el punto en que se desarrolla la
explicación de la solución propuesta, el mismo consiste en una comprobación por parte del
elector. Sin embargo, para poder probar una falla, es el ente regulador el que debe evidenciar el
error. Para ello, debe remitirse a las pruebas físicas generadas por las máquinas de votación.
Por cada anomalía informada, el ente posee la obligación de comprobar mediante las
pruebas físicas que posee y las proporcionadas por los electores, que cada falla sea real. Si el
número total de errores es significativo, esto es, si supera cierto número preestablecido que será en
función de la cantidad de electores empadronados, la elección completa debería ser anulada. De
igual manera, pueden ser anulados los votos provenientes de una máquina si el número de defectos
producidos por el dispositivo de votación excede al valor permitido por cada mesa.
La forma de comprobar las fallas informadas es simple. Se leen el identificador del voto y
el código de mesa que están impresos en el ticket. Se busca el papel utilizado como pantalla por la
máquina que posee el listado de candidatos expuesto para ese voto. Una vez encontrado, el
sufragio queda manifestado a través del número de opción que figura en el ticket y el nombre del
candidato que figura en el listado precedido por el mismo número. En este paso se alcanza a
conocer el voto real emitido. Lo que queda por verificar es que la máquina lo haya contabilizado
mal. Para ello el ente regulador posee una terminal que permite verificar los votos, de manera
similar a la comprobación privada. La diferencia radica en que no requiere la autenticación de la
persona para revelar el voto, sino que se debe ingresar el código de identificación del mismo por
teclado. Si el candidato o boleta que se visualiza en la pantalla no coincide con el voto real, la falla
está probada.
Es importante entender por qué no se utiliza el lector de huellas dactilares para esta
instancia de comprobación. La verificación real es realizada por el ente regulador únicamente, es
decir que la persona que posea el ticket no participa de la misma, por lo que imposibilita el uso del
lector. La razón por la que se realiza de esta forma, es para mantener el secreto del voto. Para
explicar cómo se preserva el secreto, se plantean 2 situaciones:
115
a) Si el proceso utilizara la autenticación de personas, el dueño del voto debería
presentarse a la comprobación. Como en esta instancia queda expuesta la verdadera
elección, la relación entre voto y votante se establecería en forma inmediata y se
perdería el secreto. Al delegar la responsabilidad en un ente, el sufragante no posee
la necesidad de identificarse, por lo que el ticket puede ser proveído por un tercero,
imposibilitando realizar alguna conexión entre el voto y la persona. De esta forma
se conserva el secreto.
b) Si el proceso no requiere la autenticación de personas, pero debe ser realizado por
el ente y la persona que provee el ticket en forma conjunta, un coerzor podría
obligar a un votante a denunciar una falla, con el fin de presentarse éste a la
verificación y conocer con certeza por quién el sufragante optó. Este escenario
compromete el secreto del voto, por lo cual imposibilita su práctica y obliga a
delegar la comprobación únicamente en el ente con el fin de preservar el secreto.
Contrario a lo que se puede imaginar, la verificación del voto y la exposición real del
mismo no compromete su secreto. Para ello es necesaria la participación de un ente regulador que
ejecute las tareas de revisión. Mientras las mismas se llevan a cabo, a la persona que acerca el
ticket se le entrega una copia provisoria para que no se quede sin ninguna prueba. Si se confirma
la falla, se examina el ticket para comprobar que no haya sido falsificado. Terminados los estudios
sobre el mismo, es devuelto a quién lo proveyó y se elabora un informe con el resultado.
116
CAPÍTULO VII
Resultados
La finalidad de este capítulo es analizar si el método propuesto cumple con los objetivos
planteados al inicio de este trabajo y con lo requerimientos que poseen los sistemas de votación
electrónica según las fuentes que fueron citadas. Se evalúa su aplicabilidad en la Argentina en
base al cumplimiento de los requisitos impuestos por la Ley electoral Nacional. Luego se
describen las ventajas y desventajas que presenta el método, con el fin de demostrar las fortalezas
y debilidades del sistema. El análisis concluye comparando los sistemas de votación existentes con
el método Panalla-Impresora en base a determinadas características que se exigen de los sistemas
de eVote.
1. Resultados obtenidos
1.1. Cumplimiento del objetivo
En este punto se analiza si la solución propuesta satisface los objetivos planteados. Para
ello se propone repasar cada uno de los puntos expuestos y verificar si el método PrnterScreen los
cumple.
El primero de los requerimientos consistía en la elaboración de un método que permita
verificar al votante el correcto almacenado y conteo de votos. Mediante los procesos de
verificación pública y privada, el sistema le faculta al sufragante comprobar si el voto registrado
por la máquina coincide con la elección que realizó. Cuando el dispositivo revela la boleta que
posee guardada, el elector puede corroborar la corrección del almacenado y por tanto su adecuada
incorporación a los totales de los comicios. Si bien esta última implicación no necesariamente se
cumple y puede ser objetada por gente idónea en sistemas, para el resto de las personas es válida
117
ya que la visualización del voto correcto provoca la sensación de que el mismo fue contabilizado
debidamente. A quienes entienden de tecnología y de sistemas informáticos, se les debe explicar
el método y demostrar la imposibilidad de que, al momento de la comprobación, revele un
resultado diferente al que utilizó en el conteo, para poder satisfacer el requisito.
El siguiente objetivo consistía en que la existencia de un proceso de verificación no
comprometa el secreto del voto, la velocidad en obtener los resultados o la facilidad del proceso
de selección de candidatos. Como se ha visto, el método posee dos instancias de verificación, la
pública y la privada. En la primera de ellas, el dato publicado carece de significado para toda
persona ajena a la que realizó el sufragio. Es decir, es imposible inferir por quién votó un
individuo con la información obtenida del sitio web donde se publican los sufragios. Recordemos
que este procedimiento sirve para tener una primera apreciación de la corrección del sistema y el
objetivo consiste en encontrar fallas rápidamente y no de verificar el voto. Mediante esta práctica,
el anonimato del voto está garantizado. En la verificación privada, si bien se manifiesta
explícitamente la boleta y el nombre del candidato por quien uno votó, el secreto está a salvo ya
que al momento de la revelación, uno se encuentra en un cuarto oscuro con la misma privacidad
que se tiene al momento de emitir el sufragio.
La velocidad en obtener los resultados no diferiría si la comprobación no existiese. El
sistema de contabilización de votos es independiente de la verificación. La presencia del mismo
no agrega tareas o complejidad a la totalización de votos, por lo que la velocidad con la que se
alcanzan los resultados de los comicios no varía si el método no poseyera la revisión de los
sufragios.
El sistema de emisión de votos es simple y se compone de tres tareas sencillas de realizar y
que son explicadas en cada momento por la máquina de votación. Inicialmente se debe colocar un
dedo para la lectura de la huella dactilar que habilita la máquina. Luego se debe ingresar el
número de opción que corresponde con el candidato y presionar la tecla de aceptación. Finalmente
se valida el candidato elegido presionando nuevamente la tecla de confirmación. La única
novedad pasa por el primero de los pasos, ya que los siguientes son realizados cotidianamente por
los ciudadanos en el uso de los cajeros automáticos o simplemente en calculadoras donde la tecla
de igual simbolizaría a la de aceptación. Se cree que la incorporación de la lectura de las huellas
dactilares no dificulta el proceso ya que sólo consiste en colocar un dedo sobre un dispositivo
debidamente señalado y porque además la misma tarea también se realiza en el proceso de
identificación del votante con la ayuda de los fiscales de mesa apenas unos segundos antes.
118
Mediante la educación y la posibilidad de comprobación de los votos, la confianza de los
ciudadanos en los sistemas de votación electrónica debería aumentar al punto de que lo consideren
seguro y no teman por la existencia de un fraude a gran escala. Esto simplemente es una hipótesis,
únicamente comprobable por la experiencia empírica de aplicar el método a comicios reales en
reiteradas ocasiones, para luego encuestar a los participantes obteniendo resultados que confirmen
o refuten la afirmación. Por lo tanto el requisito de incrementar la confianza de los electores, si
bien al momento no puede ser satisfecha, se cree que en un futuro, si el método es utilizado, se
logrará cumplir.
Otro de los objetivos que se pretendía cumplir, consistía en que el método nos asegure que
ningún fiscal u oficial electoral sea capaz de rastrear nuestro voto. El proceso de votación posee
las tareas de identificación del elector y de emisión de votos en máquinas independientes. El voto
almacenado no posee ningún dato que permita relacionarlo con algún registro de la máquina
identificadora. Además, el hecho de que el archivo que posee los sufragios atraviese un proceso de
mezcla, evita que mediante el orden de los mismos alguien pueda rastrear a quién pertenece un
voto. Por lo tanto, por más que un fiscal o cualquier persona que se proponga rastrear algún voto,
no podrá conseguirlo husmeando en los archivos. Tras la selección de un candidato en la máquina
de votación, el único elemento que vincula a la persona con el sufragio emitido, es el ticket
obtenido como resultado de la operación. Como se ha explicado en el capítulo anterior, la
posesión del mismo no nos permite tener acceso al voto propiamente dicho. En la única instancia
post electoral que se consigue es en la comprobación privada, pero solo el emisor del voto puede
hacerlo, resguardado por un oficial de seguridad y la lectura de la huella dactilar.
Otro requerimiento consistía en poder demostrar la existencia de una anomalía sin
comprometer el secreto del voto. Mediante la impresión del recibo y las opciones de la pantalla de
papel, se logran las evidencias necesarias para certificar el verdadero sufragio. El ente regulador
es el medio utilizado para no exponer el anonimato del voto en el proceso de comprobación de las
fallas. Su razón de ser es la posibilidad que otorga de demostrar el error cometido por la máquina
sin comprometer el secreto del sufragio frente al mismo ente o cualquier persona interesada en
conocer la elección realizada por otro. El objetivo se cumple gracias a las evidencias físicas que
deja el sistema y a la protección que otorga el ente regulador.
Las máquinas de votación no utilizan boletas preimpresas, exigencia planteada para no
heredar la desigualdad de posibilidades que posee un partido político de resultar electo, causada
119
por los recursos con que cuenta cada uno. Este objetivo no sólo fue alcanzado, sino que se logró
equiparar la probabilidad de que una boleta sea leída con respecto a otra cualquiera. Esta
característica no ocurre ni en los sistemas tradicionales de votación, donde el orden en que se
despliegan las boletas en las mesas del cuarto oscuro, distribuye tendenciosamente esa
probabilidad.
La seguridad del sistema está dada a través de los métodos criptográficos utilizados a lo
largo de todo el proceso y el protocolo de comunicación empleado en las redes inalámbricas y en
la transmisión de los datos hacia los centros de consolidación de la información. Para garantizar la
seguridad, existe el proceso de inicialización donde todas las máquinas intervinientes en la
votación generan e intercambian las claves que van a utilizar a través de redes cerradas. Cada
máquina es autenticada y la integridad de la información es protegida mediante códigos de Hash.
De esta forma se obtiene un sistema seguro y difícilmente violable.
1.2. Cumplimiento de los requisitos de eVote
El último objetivo planteado apunta hacia la posibilidad de ser implementado. Para ello se
repasan los requisitos planteados en la primera sección del trabajo que hacen a la viabilidad de
aplicación del método en los sistemas de votación.
• Anonimato, privacidad y no coerción
Como se ha explicado recientemente, en ninguna etapa del proceso de votación
se pone en riesgo el secreto del voto. La permanencia del cuarto oscuro al momento de
emitir y verificar el sufragio, garantiza el anonimato, la privacidad y la no coerción. La
inexistencia de posibilidades de vincular a un voto con la persona que lo emitió le
otorgan total libertad a la decisión del ciudadano acerca del candidato que desea elegir.
• Elegibilidad y autenticidad
Mediante el sistema de identificación de las personas que existe en cada mesa
de votación, se garantiza que sólo puedan votar los electores habilitados y
120
empadronados. La identidad es autenticada con la lectura del documento de identidad
que se les presenta a los fiscales y el proceso ejecutado por la máquina imposibilita a
un individuo votar más de una vez.
• Integridad
Mediante los códigos de hash, los sistemas de verificación, la autenticación de
las máquinas y el control cruzado efectuado en la contabilización de los votos, impiden
que los mismos sean alterados o eliminados sin ser detectados.
• Certificación y auditoria
El sistema se encuentra a disposición de agentes oficiales para ser probado y así
certificar los niveles aceptables de funcionamiento. El sistema puede ser auditado en
cualquier momento, inclusive después de finalizadas las elecciones.
• Confiabilidad
Se espera que el sistema funcione de manera robusta y eficiente, sin pérdida de
votos ni de datos o información. En caso de que esto ocurra será detectado por alguna
de las instancias del proceso o por el mismo votante. La posibilidad de verificación del
voto le otorga un mayor grado de confiabilidad al método, cosa que no ocurre con otros
sistemas. Esto es porque el elector percibe el buen funcionamiento cuando, posterior a
la publicación de los resultados, visualiza en una pantalla su voto. Sin embargo, la
confianza puede decrecer al punto de provocar el fracaso de la aplicación de las
tecnologías a los sistemas electorales, si se llegaran a detectar suficientes fallas para
proceder a anular la votación o simplemente los votos provenientes de determina mesa.
• Facilidad de uso
El método diseñado es fácilmente utilizable por los electores y tiene la
características de ser lineal para no provocar confusión en los votantes. Además la tarea
de los fiscales es sencilla y se remite casi únicamente a controlar la identidad de las
personas. Sólo el presidente de mesa posee la tarea adicional de iniciar el conteo de
121
votos y la impresión de las actas iniciales mediante el ingreso de un PIN. Sin embargo,
deben existir capacitaciones previas para que esta acción no provoque complicaciones
en los encargados de ejecutarlas.
• Exactitud y posibilidad de verificación
Este punto consiste en el objetivo principal de este trabajo, por lo que el método
hallado como solución satisface ampliamente este requisito. El sistema es verificable
no solo por agentes oficiales encargados de la auditoría o el ente regulador que se
menciona, sino también por los mismos ciudadanos. Cada votante tiene la posibilidad
de comprobar si su voto fue correctamente almacenado.
1.3. Ventajas y Desventajas del método
1.3.1. Ventajas
Rápido conteo y totalización de los sufragios a causa de la transmisión de votos a través de
las redes que comunican los centros de votación con los de contabilización.
Posee un comprobante tangible del sufragio que permite certificar con exactitud que el
voto almacenado refleja la intención del elector.
Permite la eliminación del voto nulo ya que nadie puede optar por 2 candidatos al mismo
tiempo.
Se puede votar en blanco, seleccionando el número de opción correspondiente.
Es sencillo de utilizar, permite la emisión de votos en pocos pasos.
Permite a las personas discapacitadas emitir votos sin necesidad de asistencia, por lo que se
garantiza la libertad y privacidad para todos los ciudadanos.
122
El voto es anónimo y secreto ya que la identificación de la persona se realiza en una
máquina diferente a la emisión del sufragio. No existe ningún dato que relacione ambos registros
ya que la huella dactilar es empleada como clave de cifrado y es almacenada en un archivo
independiente.
El sistema no permite votar más de una vez a cada ciudadano. Además no permite votar a
quienes no se encuentren empadronados o no posean el documento que acredite su personalidad.
Posee medidas de seguridad para que las comunicaciones entre las máquinas no sean
alteradas.
Cada máquina se encuentra identificada y es autenticada para que sus votos no sean
contabilizados más de una vez.
Posee controles cruzados para no permitir el agregado de votos no emitidos ni la
eliminación de sufragios.
El elector puede verificar el voto almacenado antes de abandonar el cuarto oscuro y en
caso de equivocación lo puede corregir.
Otorga equidad a los partidos políticos en cuanto a la posibilidad de triunfar en la elección,
eliminando la disparidad causada por los recursos que poseen para emitir las boletas y por la
asignación arbitraria del orden de aparición en la máquina o por la diferencias de sensibilidad que
presenta la pantalla touchscreen.
Utiliza funciones de hash y cifrados para garantizar la integridad de los datos. Pantalla de
papel para asegurar que lo que el votante visualiza es lo mismo que se graba y no puede existir un
proceso que altere esta relación.
Es el único sistema que permite al votante verificar realmente el voto emitido luego de
finalizado el escrutinio. Esto se traduce en confianza del elector hacia el sistema y la imposibilidad
de fraguar la elección. Posee pruebas físicas para demostrarle a un tercero la existencia de un voto
alterado sin revelar el secreto de quien lo emitió.
123
1.3.2. Desventajas
Se pueden generar dudas acerca del secreto y anonimato del voto por la utilización de la
huella dactilar en la máquina de votación. Sin embargo, por el uso que se le otorga a la misma, el
secreto está garantizado. La huella no es almacenada en ningún momento junto al registro del
voto, sino en un archivo independiente en la máquina de identificación.
Al no respetar el sistema tradicional de votación, puede existir cierta resistencia en la
implementación del método. Requiere de capacitación de la población en el uso de la tecnología.
Además el hecho de igualar las probabilidades de ganar de los partidos chicos y los grandes a
causa de la eliminación de las boletas (la cantidad impresa por los partidos chicos es inferior a la
de los grandes, al punto tal que existen distritos donde ciertos partidos no presentan boletas) puede
producir resistencia política.
Dependiendo del sistema de votación que se intenta implementar, la pantalla de papel
pudiera resultar chica, por lo que se requeriría ampliarla, achicar la letra o realizar alguna
distribución de los datos en la misma. Esto ocurriría en los casos de listas sábanas por citar un
ejemplo. Igualmente, existen otra forma de solucionar estos problemas que no requieren la
impresión de todos los integrantes de la lista en la pantalla de papel.
Posee un alto costo de emisión y mantenimiento de los comprobantes y la pantalla de
papel.
124
2. Comparación con los sistemas de eVote existentes
En este punto se construyen varias tablas que comparan los diferentes sistemas de votación
electrónica en base a características que permiten alcanzar una medida de efectividad de los
métodos, en cuanto a la confianza que le pueden tener los votantes. Como podrá verse Pantalla-
Impresora constituye un sistema de votación electrónica simple, veloz, seguro, correcto y
auditable, por lo que se deduce que posee la mayor probabilidad de ser aceptado por las
poblaciones mundiales.
SISTEMAS SECRETO Y ANONIMATO Tarjetas perforadas Respeta
Optical Marksense Respeta pero revela el voto nulo
Mecanical Lever Machines Respeta
Direct Recording Electronic Respeta. La identificación del elector en la misma máquina genera
dudas.
Voter Verifiable Ballots Respeta. La identificación del elector en la misma máquina genera
dudas.
Secret Ballot Receipts Respeta
Pantalla-Impresora * Respeta
125
SISTEMAS VELOCIDAD DE CONTABILIZACIÓN Tarjetas perforadas Media, por ser un proceso mecánico. El resultado oficial se conoce
luego del recuento manual
Optical Marksense Media, por ser un proceso mecánico. El resultado oficial se conoce
luego del recuento manual
Mecanical Lever Machines Rápida, la demora se produce en el envío de la información a los
centros y en tener que ingresarla manualmente para totalizar el
recuento.
Direct Recording Electronic Rápida, la demora se produce en el envío de la información a los
centros.
Voter Verifiable Ballots Rápida, la demora se produce en el envío de la información a los
centros. El resultado oficial se conoce luego del recuento manual.
Secret Ballot Receipts Rápida
Pantalla-Impresora * Rápida
SISTEMAS SENCILLEZ Tarjetas perforadas Dificultad para comprobar el candidato representado por la tarjeta
Optical Marksense Dificultad para marcar el candidato en la tarjeta. Similar al sistema
tradicional
Mecanical Lever Machines Simple
Direct Recording Electronic Simple la emisión del voto. Difícil la comprobación si se permite.
Voter Verifiable Ballots Simple
Secret Ballot Receipts Requiere capacitación, se agregan pasos para la emisión del
comprobante
Pantalla-Impresora * Simple
126
SISTEMAS COMPROBANTE TANGIBLE Tarjetas perforadas Es la tarjeta misma.
Optical Marksense Es la tarjeta misma.
Mecanical Lever Machines No tiene.
Direct Recording Electronic No tiene.
Voter Verifiable Ballots Comprobante impreso. Genera doble registro.
Secret Ballot Receipts Comprobante impreso cifrado.
Pantalla-Impresora * Comprobante impreso.
SISTEMAS PERSONAS DISCAPACITADAS Tarjetas perforadas Requieren asistencia.
Optical Marksense Requieren asistencia en algunos sistemas.
Mecanical Lever Machines Requieren asistencia.
Direct Recording Electronic Votan sin asistencia.
Voter Verifiable Ballots No pueden verificar el comprobante durante la votación
Secret Ballot Receipts Votan sin asistencia. No pueden comprobar el voto sin ayuda.
Pantalla-Impresora * Votan sin asistencia.
SISTEMAS COSTO Tarjetas perforadas Bajo, recae en la emisión de las tarjetas.
Optical Marksense Depende del diseño de las boletas.
Mecanical Lever Machines Bajo, se eliminan las boletas.
Direct Recording Electronic Bajo, se eliminan las boletas.
Voter Verifiable Ballots Medio, se eliminan las boletas, pero aumenta por la impresión del
comprobante.
Secret Ballot Receipts Medio, se eliminan las boletas, pero aumenta por la impresión del
comprobante.
Pantalla-Impresora * Alto se eliminan las boletas, pero aumenta por la impresión del
comprobante y la pantalla de papel.
127
SISTEMAS AUDITABLE Tarjetas perforadas Sí, mediante el recuento manual de las tarjetas.
Optical Marksense Sí, mediante el recuento manual de las tarjetas.
Mecanical Lever Machines No.
Direct Recording Electronic No.
Voter Verifiable Ballots Sí, mediante el recuento manual de los comprobantes.
Secret Ballot Receipts En forma parcial mediante la verificación pública de votos.
Pantalla-Impresora * Sí, mediante la verificación pública, privada y el ente regulador.
SISTEMAS EQUIDAD Tarjetas perforadas Depende de la cantidad de tarjetas existentes de cada partido.
Optical Marksense No, la ubicación de los candidatos en la tarjeta puede favorecer a
uno de ellos.
Mecanical Lever Machines Sí.
Direct Recording Electronic No, el orden asignado a cada candidato, altera la probabilidad de ser
electo. Empeora si se utiliza tecnología Touchscreen.
Voter Verifiable Ballots No, el orden asignado a cada candidato, altera la probabilidad de ser
electo. Empeora si se utiliza tecnología Touchscreen.
Secret Ballot Receipts No, el orden asignado a cada candidato, altera la probabilidad de ser
electo. Empeora si se utiliza tecnología Touchscreen.
Pantalla-Impresora * Sí, dada por el orden aleatorio asignado a los partidos.
SISTEMAS IDENTIFICACIÓN DEL ELECTOR Tarjetas perforadas Separada. Posee una máquina para votar y la identificación puede ser
manual o mediante otra máquina.
Optical Marksense Separada. Posee una máquina para votar y la identificación puede ser
manual o mediante otra máquina.
Mecanical Lever Machines Separada. Posee una máquina para votar y la identificación puede ser
manual o mediante otra máquina.
Direct Recording Electronic Puede ser en la misma máquina o separado.
Voter Verifiable Ballots Puede ser en la misma máquina o separado.
Secret Ballot Receipts Puede ser en la misma máquina o separado.
Pantalla-Impresora * Separada. Posee una máquina para votar y otra para identificar a las
personas.
128
SISTEMAS INTEGRIDAD Tarjetas perforadas Depende del estado de las tarjetas.
Optical Marksense Los votos pueden ser mal interpreta-dos por marcas ambiguas.
Mecanical Lever Machines No se puede probar.
Direct Recording Electronic Se puede fraguar el sistema sin ser detectado. No se puede probar.
Voter Verifiable Ballots Se puede probar a través del recuento manual.
Secret Ballot Receipts Se puede probar la existencia de fallas.
Pantalla-Impresora * Se puede demostrar con total seguridad.
SISTEMAS CONFIABILIDAD Tarjetas perforadas Los recuentos no arrojan siempre los mismos resultados.
Optical Marksense Los recuentos no arrojan siempre los mismos resultados.
Mecanical Lever Machines Quedan votos residuales que no son contabilizados.
Direct Recording Electronic Al no tener un comprobante, es poco confiable. Quedan votos
residuales que no son contabilizados.
Voter Verifiable Ballots Existe un doble registro de votos. El de los comprobantes es el
válido, relegando al cómputo automático a una aproximación.
Secret Ballot Receipts Alta, aunque no elimina la duda acerca de la corrección de los votos
guardados.
Pantalla-Impresora * Muy alta, a causa de que se puede comprobar si el voto que uno
emitió se almacenó correctamente.
* Las calificaciones realizadas al método Pantalla Impresora son a opinión del autor y están sujetas a
revisión y verificación de los pares.
129
CAPÍTULO VIII
Conclusiones
La necesidad de reducir el tiempo demandado en conocer los resultados de los comicios
condujo a la incorporación de las tecnologías de información al acto de sufragio, obteniendo como
resultado, el denominado voto electrónico. El mismo puede comprender las tareas de registro y
verificación de la identidad del elector, la emisión del voto, el recuento de votos y la transmisión
de los resultados. Desde la aparición de la primera máquina capaz de registrar y contabilizar los
sufragios, surgieron demandas que requerían soluciones inmediatas para no poner en riesgo la
solemnidad del acto de votación. La experiencia expuso las falencias de cada una de las máquinas
que fueron surgiendo con el correr de los años y que se utilizaron en los comicios de diferentes
regiones geográficas.
La evolución tecnológica permitió acelerar cada vez más la obtención de los resultados,
además de permitir la automatización de todas las etapas del proceso de votación. Sin embargo,
los sucesivos errores incurridos y el crecimiento de la industria del fraude pusieron en jaque al
eVote. Para solucionar estos inconvenientes se resolvió que todas las máquinas emitan un
comprobante que sirva como prueba tangible de la emisión del voto. Esta tesis se ocupó de
demostrar que esta medida, para aquellas máquinas cuyo comprobante se deposita en las urnas en
forma manual o automática, no produjo otra consecuencia además de la reducción de la velocidad
con que se conocen los resultados, razón principal que impulsó el uso de las tecnologías en los
sistemas de votación.
Actualmente, se duda acerca de la utilidad del comprobante ya que el voto puede ser
alterado en etapas posteriores a la emisión. Surge la necesidad de verificar el voto en instancias
subsiguientes a la finalización del acto electoral. Hasta el momento no existe forma alguna de
comprobar realmente el voto. Sólo existen medios criptográficos que inducen a creer que el
sufragio contabilizado es el correcto, mediante diferentes representaciones, pero no permiten
vislumbrar realmente el voto. Los esfuerzos realizados no alcanzan para hallar una solución que
revele el sufragio sin comprometer el secreto y anonimato del voto.
130
Como resultado de este trabajo, se concluye que resulta imposible realizar una verificación
pública del voto, que coloque de manifiesto el nombre del candidato o partido político elegido por
el sufragante, sin comprometer el secreto del voto. Nada garantiza que el ciudadano no está
verificando su voto bajo coacción. Por más que se apliquen los medios criptográficos más
avanzados, el elector requiere descifrar la información para poder corroborar la corrección de su
voto; si esa tarea la realiza desde lugares públicos o privados, que no poseen custodia y no
garantizan la libertad del elector en realizar la verificación, la persona podría estar siendo forzada
a efectuar la comprobación, quebrando el secreto y anonimato del sufragio.
Tras haber analizado la problemática, todos los sistemas de votación electrónica existentes
y las experiencias realizadas en diferentes países, se ensayó una solución con un claro objetivo:
permitir verificar los votos emitidos sin resignar la velocidad de recuento, la simplicidad del
proceso de emisión de sufragio, la corrección de su funcionamiento y cumpliendo con los
requisitos intrínsecos del voto. El resultado obtenido se denominó Método Pantalla-Impresora.
Pantalla-Impresora cumple con el requerimiento que poseen las máquinas de eVote que
consiste en la emisión de pruebas físicas que permitan al elector verificar su voto, y a su vez
puedan ser utilizadas como evidencia de mal funcionamiento de los dispositivos, sin comprometer
el secreto y anonimato de los sufragios. Esto se consigue mediante la utilización de las huellas
dactilares como claves de cifrado, sirviendo de autentificadoras de personas, y efectuando la
verificación en lugares públicos bajo custodia, necesaria para garantizar la libertad y privacidad
del elector al momento de la comprobación. Cabe destacar, que resulta imposible relacionar un
voto con una persona, a pesar del almacenamiento de la huella dactilar como fue explicado en el
desarrollo de la solución. La necesidad de contar con oficiales que protejan a los electores durante
la revisión mantiene la línea de pensamiento anteriormente expuesta.
La clave del éxito del método propuesto en la tesis es la interfaz con el usuario que posee
cada máquina. El hecho de que la interacción ocurrida entre el elector y el dispositivo de votación
no sea volátil y quede registrado en un documento tangible que éste visualiza, permite recrear el
voto emitido e identificar puntualmente los sufragios que sufrieron alteraciones, al
complementarse con el comprobante que retiene el elector. Mientras los otros sistemas sólo
detectan diferencias de totales entre la contabilización electrónica y la manual, o permiten inducir
posibles errores en las máquinas, Pantalla-Impresora es capaz de señalar como defectuoso cada
voto individualmente y conocer la modificación que sufrió.
131
Como consecuencia de resguardar el anonimato del voto y permitir una primera instancia
de comprobación, el sistema implementa la verificación pública, factible de realizar desde los
hogares de cada ciudadano ya que no revela el voto sino una representación numérica que sólo
tiene valor para el elector.
Adicionalmente Pantalla-Impresora consigue que todos los candidatos o partidos políticos
que se presentan en los comicios posean la misma posibilidad de resultar electos, resolviendo el
problema de los presupuestos con que cuentan para la emisión de las boletas que presentan los
sistemas tradicionales de votación, la disparidad ocasionada por el orden en que son desplegados
en las máquinas de votación o simplemente la distribución de las boletas en las mismas mesas del
cuarto oscuro.
El método de votación electrónica propuesta consigue verificar los sufragios sin resignar
las cualidades básicas que deben ofrecer este tipo de sistemas: velocidad, simplicidad y
corrección, con el adicional de ofrecer equidad entre los candidatos. Por eso se concluye que la
votación electrónica es verificable bajo ciertas condiciones de seguridad que garanticen la libertad
y privacidad de los electores durante la comprobación.
132
ANEXO A
Experiencias Tecnológicas existentes
1. Antecedentes del problema
1.1. Experiencias Internacionales de voto electrónico
1.1.1. India
Las razones principales de la implementación tecnológica fueron dos:
• Reducir los altos índices de fraude electoral.
• Reducir los altos índices de violencia creados durante las votaciones tradicionales.
El sistema actualmente implementado consta de urnas electrónicas muy simples, con el
software impreso sobre el chip central y no poseen electrónica que les permita conectarlas a alguna
red, de manera que el hackeo es prácticamente imposible. No imprime un comprobante. La forma de
selección en un tablet con botones especiales.
El proceso de recuento es básico ya que no se realiza en los lugares de elección sino que las
urnas deben ser físicamente trasladadas hasta alguno de los centros oficiales de consolidación (en los
que participan veedores de los diversos partidos políticos). No se emite un acta de cierre y el sistema
de recuento es automático.
133
Como las elecciones en muchas regiones del país suelen ser interrumpidas por ataques
violentos de patotas partidarias, las urnas cuentan con un botón que puede ser operado en una
emergencia por los funcionarios a cargo. Este botón “bloquea” e inutiliza la urna en caso de robo o
vandalismo.[Misra, 2004]
1.1.2. Brasil
Brasil es posiblemente uno de los países más avanzados en la implantación de sistemas de
voto electrónico. Las principales motivaciones que indujeron su implementación fueron las siguientes:
• Eliminar el fraude electoral.
• Reducir el tiempo de escrutinio.
• Facilitar el ejercicio de voto por parte de los analfabetos
El sistema que se ha estado utilizando es el de urna electrónica con teclado numérico para la
emisión del voto. Tiene botones especiales de confirmación e impresión de acta inicial con activación
por clave. El registro de los votos se realiza directamente en la memoria de la máquina de votación y
en un diskette que luego será trasladado hasta la sede de la autoridad electoral. No se emite ningún
comprobante físico de sufragio. El cierre se realiza mediante clave y se emite un acta. La transferencia
para el recuento se realiza en forma tradicional con encriptación de datos y firma digital. Algunas
máquinas poseen un modem interno para la transmisión de los datos. El escrutinio se efectúa por
sumarización automática. La característica más destacable del sistema brasilero reside en que permite
unificar el registro y verificación de la identidad del elector, la emisión y el escrutinio de voto en una
misma máquina.
En los últimos comicios se obtuvieron resultados absolutamente confiables, y se notó una
disminución del 50% de los votos nulos, con un aumento de la asistencia electoral y sin ninguna
impugnación consistente.
En concreto y con un espíritu estadístico es importante señalar que utilizaron el voto
electrónico más de 115 millones de personas. [TSE, 2003]
134
1.1.3. Bélgica
Bélgica decidió adoptar un sistema de votación electrónica para resolver los problemas
ocasionados por la complejidad de su sistema electoral. Poseen de 1 a 5 elecciones simultáneas
con listas de hasta 87 candidatos cada una y por elección, lo que deriva en totalizaciones de voto
complejas y propensas a errores.
Utilizaron un sistema DRE, que se explica en la sección Tecnología existente de este
anexo, con monitor touchscreen (sensible al tacto) y tarjeta magnética para habilitar la máquina y
registrar el voto. Los ciudadanos pueden emitir su voto tocando sobre la pantalla con un lápiz
óptico. El sufragio queda almacenado en la tarjeta que luego es leída por otro equipo electrónico
que se encuentra separado, al estilo de urna. El sistema puede ser auditado mediante una
comprobación efectuada sobre la tarjeta magnética.
Luego de que el elector se identifica, recibe la tarjeta magnética que le permite pasar al
cuarto oscuro a utilizar la máquina de votación. Finalizada la elección, se efectúa el cierre de las
urnas y se deben enviar los diskettes que poseen los totales de cada urna a un centro de cómputos
donde se suman para obtener el resultado de los comicios.
Las tarjetas permanecen dentro de las urnas hasta que se conoce el resultado de la elección
y sólo pueden ser retiradas para el proceso de auditoría. [SPF, 2004]
1.1.4. Costa Rica
Al igual que varios de los países que implementaron la votación electrónica, Costa Rica
decidió modernizar su proceso electoral porque quería principalmente automatizar la totalización
de resultados para agilizar su obtención.
Se realizó una prueba piloto, y las máquinas donde se emitían los votos consistían en PCs
tradicionales, con teclado, monitor e impresora, ubicadas dentro de un contenedor. El programa de
votación se cargaba mediante un CD.
135
Para poder seleccionar un candidato, la máquina despliega un listado con las opciones
electorales. Mediante el teclado, el votante debe digitar el número correspondiente a la boleta que
refleja su intención de voto. Luego de realizar una confirmación de la selección, el elector debe
introducir en la impresora la boleta comprobante que le fue entregada por el presidente de mesa al
ser identificado. En caso de ser necesario, para realizar esta operación, puede solicitar ayuda de un
auxiliar técnico. Una vez que la impresora devuelve la boleta, se la debe doblar e introducir en una
urna. Esta boleta posee una marca identificatoria y la firma de la autoridad competente.
Las máquinas poseen modems para enviar los totales calculados a la computadora central
para consolidar los resultados de los comicios. [TSECR, 2002]
1.1.5. Venezuela
En las elecciones del año 2004, se utilizaron máquinas con pantalla touchscreen que
imprimen un voto físico en un papel térmico, lo que permitiría auditar el proceso de votación.
El elector selecciona, tocando la pantalla, la opción que desea. Para confirmar su sufragio
oprime la opción “Votar”. Al realizar esta acción la máquina emite un sonido indicando que el
votante finalizó su proceso e imprime el voto en papel. Si luego de transcurrido un tiempo
prudencial, la máquina no recibió la orden de sufragar, se desactiva automáticamente y emite un
recibo indicando que el tiempo expiró.
El ticket impreso posee un código seguridad además de los principales datos del evento:
tipo de elecciones, código que corresponde al centro de votación, mesa y tomo. El código de
seguridad es esencial para evitar la falsificación del voto. Esta impresión es colocada por el elector
en una urna. Una vez finalizado el día electoral el presidente de mesa cierra la misma y la maquina
imprimirá el acta de dicha mesa.
Luego de esta impresión, la información final acumulada por cada máquina se transmite
vía telefónica -en algunos casos satelital- en forma encriptada con clave pública y privada de 128
bits al centro de consolidación de datos. [Bracci, 2004]
136
1.1.6. Estados Unidos
Estados Unidos es una de las naciones con mayor experiencia en la regulación de las
votaciones electrónicas y en la elaboración de la reglamentación apropiada para su efectiva
implementación.
Se creó una Comisión Electoral Federal que establece el marco general que deben seguir
los diferentes Estados en la elección de los instrumentos de votación electrónica.
Un detalle importante a considerar es que algunas empresas que disponen de sistemas de
votación electrónicos se vieron sometidas a una serie de pruebas, descubriendo que el código
fuente era vulnerable y que podían sufrir ataques de intrusión críticos. Se identificaron un total de
57 potenciales agujeros de seguridad en una supuesta votación electrónica, algunos tan graves
como la posibilidad de que una persona no autorizada acceda a la base de datos donde se
almacenan los resultados y cambiarlos. [Hernández,]
1.1.7. Inglaterra
En el año 2003 el gobierno británico hizo una apuesta al voto electrónico. Para llevar
adelante los comicios se permitió utilizar Internet, televisión interactiva y SMS. Los resultados de
estas experiencias mostraron que cuanto más fácil es la utilización de los sistemas implementados,
los ciudadanos participan más a gusto y en mayor proporción en las votaciones; aunque persisten
las preocupaciones vinculadas a cuestiones tales como la seguridad y vulnerabilidad del sistema.
1.1.8. España
Se organizaron una serie de experiencias piloto de voto electrónico. Éstas, planteadas como
un acercamiento a la e-democracia, no tenían validez legal, si bien el procedimiento se articuló tal
137
como se haría en elecciones reales. Así, la apertura y cierre de urnas se realizó en presencia de
"juntas electorales virtuales" formadas para tal efecto, cuyos miembros poseían claves que, sólo si
estaban combinadas, permitían abrir o cerrar la votación.
Cada participante elegía una boleta que poseía preimpreso el candidato electoral y una
banda magnética para el registro, recuento y totalización de votos. El sistema contó con una urna
electrónica que poseía dos ranuras, una para validar el voto y otro para depositarlo. Ésta última era
la que lo registró y lo contabilizó. Para cerrar la votación se volvían a combinar las claves y se
emitía un acta. Luego mediante transporte tradicional o vía telefónica, se enviaban los datos a una
central y se sumaban en forma automática.[DE, 2004]
1.2. Experiencias en Argentina
1.2.1. Provincia de Tierra del Fuego
En esta provincia el proceso de modernización del sistema electoral comenzó hace tiempo,
y se fue implementando por etapas.
El primer paso fue digitalizar el padrón provincial.
En un segundo paso se instaló en cada centro de votación una PC en red, conectada al
centro de cómputos. A través de este vínculo y mediante un programa especial, una vez terminado
el escrutinio provisorio, antes de cerrar el acta, se volcaban los resultados en la máquina, para que
realice una verificación de la coherencia inicial de las sumas. Si ésta era correcta, la misma
computadora emitía un ticket que luego se mandaba a un centro de cómputos, junto a las actas y
los votos, para el escrutinio definitivo. [Alegre, 2005]
Finalmente, se implementó el eVote en la última elección provincial municipal.
138
En el proyecto original no se contemplaba el uso de printers, pero los reclamos
públicos para que hubiera algún tipo de comprobante en papel fueron muy fuertes. Se
decidió utilizar un ticket emitido por la máquina, pero siempre cuidando que no fuera
posible relacionar un voto concreto con determinado votante, para respetar el principio del
secreto del voto. Se utilizaron dispositivos con pantallas touchscreen y el comprobante impreso
caía directamente en la urna. Al cerrar la votación se imprimía un acta.
Cuando se realizaron las correspondientes verificaciones en estas urnas “control”- luego de
revisada el acta control emitida por la urna, se vio que los resultados eran absolutamente fieles.
Para evitar eventuales fraudes, los equipos técnicos del Juzgado con competencia electoral
tuvieron acceso al software que usa el sistema. También se puso el código a disposición de
cualquier experto propuesto por los partidos políticos interesados en revisarlo.
Se puede mencionar que hubo una completa capacitación y divulgación del tema a través
de los medios de comunicación, propuesta fundamental para interiorizar a los ciudadanos.
Una semana antes de los comicios se realizó un simulacro completo, con los apoderados
partidarios presentes.
Por otra parte, la velocidad de la obtención de resultados también fue buena: en una hora se
logró cerrar el escrutinio provisorio, y tener todos los resultados.
1.2.2. Provincia de Buenos Aires
La provincia de Bs. As. comenzó a manejar el proyecto de eVote a principios de marzo de
2003, a partir de un convenio firmado con el gobierno federal de Brasil. Este país aportó su know-
how y sus urnas para poder armar la experiencia piloto que se realizó empleando la solución
brasileña.
Se implementó una prueba piloto durante las elecciones realizadas en septiembre de 2003.
139
Para asegurar la integridad de la información y disminuir la posibilidad de hackeos en la
transmisión de los datos entre cada e-urna y el centro de consolidación de datos, se utilizaron
líneas conmutadas punto a punto, pero sólo se identificaron los números utilizados 24 horas antes
de los comicios. De todos modos, la información viajaba por las redes públicas pero de manera
encriptada y se realizaba a su llegada una verificación de integridad por medio de firma digital.
En el caso que nos ocupa, la consolidación se realizó sin mayores inconvenientes y fue
veloz. La evaluación final resultó más que satisfactoria.
Otra característica que resaltó esta experiencia es que la urna electrónica facilitó el corte de
boleta, lo que - en definitiva - debería ayudar a mejorar la calidad de la representatividad. [GBA]
1.2.3. Mendoza
La provincia de Mendoza llevó a cabo dos experiencias piloto de votación electrónica,
aunque a diferencia de otras provincias, las mismas no fueron de tenor político. El motivo
principal de estos ensayos fue generar que los electores vayan tomando confianza en los sistemas
de eVote. Para ambos sondeos se eligió hacer una elección abierta y de participación voluntaria.
Se utilizaron diez mesas conectadas por medio de una red inalámbrica (ocho fijas y dos
móviles), ubicadas en diferentes puntos de la ciudad y durante tres días, los ciudadanos votaron
sin dificultades. [Telpin, 2004]
En la segunda práctica la participación fue aún mayor. En este ensayo se colocaron e-urnas
en prácticamente todos los departamentos que integran la provincia, y se tomó especial cuidado en
analizar lo que ocurría en regiones cuyos potenciales votantes no hubieran tenido contacto previo
con tecnologías informáticas, ni siquiera con cajeros automáticos.
También se definió que los proveedores interesados en participar de esta experiencia
deberían aportar previamente el código fuente del software a utilizar para que fuera revisado por
parte de los técnicos de la provincia.
140
2. Tecnología existente
2.1. Tarjetas perforadas
2.1.1. Características generales
La razón por la que surge este sistema, es el tiempo que se demoraba en realizar el
recuento de votos con las boletas de papel tradicionales. La velocidad con que se clasifican las
tarjetas perforadas y el bajo costo de este mecanismo hizo que se popularice para 1960. Los
votantes sólo tienen que realizar agujeros a la tarjeta con un dispositivo especial. Existen 2
sistemas de votación por tarjetas perforadas. El primero consiste en una tarjeta que posee en las
filas las diferentes posibilidades de voto y el sufragante debe agujerearla. En el segundo, el elector
cuenta con tarjetas ya perforadas con las diferentes posibilidades y sólo debe optar por cuál él
quiere. El primer método es menos costoso y menos confiable ya que la tarjeta no posee impresos
los nombres de los candidatos. Para verificar las opciones, se debe superponer la tarjeta perforada
con las boletas. En cambio, en el segundo sistema, el voto se verifica fácilmente ya que las tarjetas
tienen impresos los nombres de los candidatos, pero como contrapartida son necesarias tantas
tarjetas como votantes haya o más aún.
El mayor problema de este mecanismo es que el agujero no se encuentre bien hecho, por lo
que no queda claro cuál fue la intención de voto del votante. Esto provoca que si bien el
recuento es fácil, rápido y barato, dos conteos de tarjetas perforadas, raramente arrojan el
mismo resultado, hecho por el cual la gente perdió total confianza en el sistema.
2.1.2. Comparación con Pantalla-Impresora
Este fue unos de los primeros sistemas que se utilizaron para agilizar el conteo de las
boletas. La velocidad de clasificación de las tarjetas era alta para ese momento y el mecanismo
141
utilizado era de bajo costo. Pantalla-Impresora es un método más moderno, efectúa la
contabilización de votos en forma electrónica y no mecánica, por lo que es capaz de arrojar los
resultados más rápidamente.
En cuanto a la simpleza del proceso, la solución propuesta implementa un proceso más
simple, donde los electores sólo tienen que realizar una selección de una lista de opciones
mediante un teclado numérico, comparado contra los agujeros que deben realizar sobre las tarjetas
mediante un dispositivo especial, en este sistema.
Para poder verificar la selección que el votante realizó, se debía superponer la tarjeta
perforada sobre otra que poseía los nombres de los candidatos. En cambio, el nuevo sistema,
resuelve el problema mediante una pantalla electrónica que solicita la confirmación sobre la
elección hecha, más la impresión de un comprobante de papel cuyo contenido consiste en la
opción ingresada en la máquina de votación.
Una gran desventaja que presenta este método consiste en la probabilidad de que dos
conteos arrojen resultados diferentes. El agujero mal realizado sobre la tarjeta, produce cierta
ambigüedad sobre la intención de voto del ciudadano, convirtiéndose en la causa principal de los
errores de contabilización de sufragios. La imposibilidad de creer en los resultados arrojados por
el método, hace perder la confianza de los ciudadanos. Si bien ningún sistema está exento de sufrir
errores en el escrutinio, Pantalla-Impresora mediante el proceso de verificación de los votos
emitidos, evita que causen la pérdida de confianza en el sistema. Si el voto se encuentra bien
almacenado, con seguridad será contabilizado correctamente. El método le permite al elector
comprobar que el sufragio está registrado adecuadamente, y si no, permite demostrar el defecto a
las autoridades electorales para que tomen las medidas que correspondan.
Es difícil establecer una comparación entre ambos procesos electorales, ya que son
tecnologías bastante diferentes. Lo único que se pudo demostrar, es que las falencias de este
sistema antiguo están solucionadas en el método propuesto.
142
2.2. Optical mark-sense voting system
2.2.1. Características generales
Luego de que las elecciones de Florida sirvieran para destruir la confianza en los sistemas
de tarjetas perforadas, apareció este nuevo sistema que combina la claridad y transparencia de los
sistemas tradicionales de boletas de papel con la rapidez de conteo de las tarjetas perforadas.
Optical mark-sense consiste en indicar en la tarjeta la opción elegida, completando un óvalo o
marcando una flecha en lugar de hacer un agujero. Como es el votante quien realiza la marca,
fácilmente puede corroborar si la tarjeta realmente refleja su intención de voto.
Existen otras variantes de este sistema de votación donde la diferencia entre cada uno
radica únicamente en el diseño de las boletas. Un tipo de boleta distinta a la mencionada en el
párrafo anterior, es aquella que posee un código de reconocimiento preimpreso por lo que no
requiere que el elector efectúe ninguna marca sobre ella.
Sin embargo, este sistema posee sus desventajas. Comúnmente, los votantes marcan las
tarjetas de forma que las mismas no pueden ser escaneadas correctamente. Si el escaneo se efectúa
antes de que el sufragante deposite la tarjeta en la urna, la máquina podría advertir a la persona si
no marcó ninguna opción o marcó más de una, dándole la oportunidad de corregir el error. Pero el
escaneo se realiza en la central de consolidación, después de que el votante abandonó el cuarto
oscuro. A pesar de esto, el sufragante confía en que la máquina interprete correctamente el voto,
aunque sabe que un humano también puede examinar la tarjeta. Este sistema reduce la cantidad de
votos residuales (votos emitidos no contabilizados + boletas no marcadas + boletas con errores de
llenado) del sistema anterior. [Caltech/MIT, 2001]
2.2.2. Comparación con Pantalla-Impresora
La principal característica de estos sistemas reside en que continúan utilizando las boletas
electorales y, por lo tanto, mantienen un comprobante del voto. Es un respaldo documental que el
votante percibe como prueba que su voto será tenido en cuenta y como garante de seguridad
143
general ya que en el peor de los casos se puede realizar un recuento manual. Pantalla-Impresora
también provee de un aval del voto emitido, que consiste en el ticket impreso por la máquina una
vez finalizada la selección del candidato. Si bien su contenido no refleja el sufragio propiamente
dicho, sino únicamente el número de opción ingresado, si se lo combina con la información
provista por la pantalla de papel, se constituye en la prueba que garantiza la existencia del voto y
la integridad del sistema.
El sufragante confía en que la máquina interprete correctamente el voto, pero sabe que un
humano puede también examinar la tarjeta. La posibilidad de efectuar el doble conteo, manual y
automático, permite certificar la exactitud del escrutinio y eliminar cualquier duda acerca de su
manipulación. Sin embargo, esta posibilidad de realizar un recuento manual, puede convertirse en
una gran desventaja. Como las constancias de papel son los verdaderos reflejos de las intenciones
de voto de los electores, la contabilización de los mismos se convierte en el resultado real de los
comicios, relegando a un lugar de menor importancia al escrutinio realizado por la máquina. Por
tanto, el resultado oficial no se conoce hasta tanto no se efectúe el recuento manual. Aquí se llega
a la controversia que plantea la utilización de recursos del estado en el cambio de los sistemas
tradicionales de votación para permitir acelerar el conteo de votos y disponer de los resultados en
tiempos más cortos, cuando en realidad lo que se está consiguiendo en forma veloz es un resultado
aproximado y, el oficial, recién se conocerá en el mismo tiempo que antes, ya que el modo de
obtenerlo es el mismo.
Pantalla-Impresora soluciona el inconveniente del doble registro sin sacrificar la ventaja
que presenta la posibilidad de que un humano pueda interpretar el voto emitido, por lo que la
confianza del elector hacia el sistema se mantiene. Esto lo logra delegando la auditoría en los
propios ciudadanos mediante el proceso de verificación privada y la ayuda de un ente regulador
que es capaz de comprobar un error cometido por las máquinas de votación mediante la
visualización del voto emitido por el sufragante a través de las pruebas físicas que brinda el
sistema.
Existen máquinas que implementan diferentes variantes del método, pero la diferencia
fundamental entre unos y otros consiste en el diseño de las tarjetas. En particular, si el elector debe
realizar alguna marca sobre las mismas, es sencillo validar si el voto refleja la intención del
votante, ya que él la marcó. Lo mismo ocurre si las boletas ya se encuentran identificadas. Este
último mantiene el procedimiento casi similar a los sistemas tradicionales de votación. En este
aspecto la solución propuesta queda un poco relegada. Si bien el método que implementa es fácil,
144
no es similar al tradicional. Lo único que mantiene es independencia entre los procesos de
identificación y de emisión del voto. Sin embargo, como el nombre lo indica, se trata de tradición.
Si lo que se implementa es una novedad, se espera que existan diferencias con los métodos
actuales, el tiempo y la educación serán vitales para que la población se acostumbre a la
utilización del mismo y lo convierta en un sistema tradicional del futuro. La ventaja que presenta
tener un proceso similar al procedimiento común de emisión de un voto, es la sencillez de
aplicación y la posibilidad de prescindir de una capacitación exhaustiva de la población en el uso
de las máquinas.
Las urnas donde se depositan las boletas, se encuentran en las mesas donde se identifican
los electores. El ciudadano debe doblar la tarjeta o depositarla en un sobre para conservar el
secreto del voto. El problema que poseen estos sistemas, es que la lectura se efectúa durante el
conteo de votos en el centro de consolidación, por lo que si llegara a arrojar un error, no se podría
corregir. Esto no ocurre en el método propuesto como solución, ya que en el momento inmediato
posterior a realizar la selección del candidato o partido, el sistema solicita confirmación a cerca de
la interpretación que realiza sobre la elección del votante.
Si las boletas requieren ser marcadas por el votante, y existen varias opciones entre las
cuales se debe elegir, puede tornar muy dificultoso el proceso de emisión del voto. En cambio
Pantalla-Impresora no se ve afectado por la cantidad de opciones por las que haya que elegir, lo
único que habría que contemplar es el tamaño de la pantalla y la organización de los datos en la
misma. Algo similar ocurre con las listas sábanas, mientras que en un sistema la boleta puede ser
extensa, en el otro se resuelve organizando los datos en la pantalla o extendiendo la parte visible
de la misma. Si se deben realizar varias elecciones, el proceso puede repetirse de 1 a N veces hasta
completar la totalidad de cargos que se estén eligiendo.
Optical mark-sense no permite votos nulos, por lo que la urna avisa sobre la existencia de
los mismos. En ese caso el presidente de mesa alerta al votante sobre la situación, para que pueda
alterar su voto. Esto puede ser considerado como una barrera contra la libertad de expresión y el
libre ejercicio del voto ciudadano. Además el hecho de que se revele la nulidad del voto podría
estar violando el secreto de sufragio. En Pantalla-Impresora no existe la posibilidad de que algo
así suceda porque el voto queda registrado en la máquina que se encuentra dentro del cuarto
oscuro, más allá de que no se puede emitir un voto nulo, por la metodología de elección de
candidatos que utiliza.
145
Las boletas de diseño sofisticado son más costosas. El costo de Pantalla-Impresora recae en
la impresión de la pantalla y los comprobantes que se llevan los electores, pero se compensan con
los gastos ocasionados por la emisión de las boletas partidarias.
Las personas discapacitadas siguen votando con dificultad en el sistema de tarjetas,
mientras que en la solución propuesta se puede implementar un teclado braille y que las máquinas
posean auriculares por los que se escucha el listado impreso por la pantalla de papel evitando que
personas ciegas requieran asistencia para votar.
En el caso de las tarjetas que deben ser rellenadas, la tinta utilizada para la marca puede
ensuciar el lector óptico, dejándolo fuera de servicio.
2.3. Mecanical – Lever Machines
2.3.1. Características generales
Esta tecnología que data de 1892, requiere que el votante tire de una palanca que se
encuentra asociada a un candidato. Esta palanca hace girar una rueda contadora dentro de la
máquina. Los oficiales leen y registran las ruedas que llevan la cuenta al cierre de la elección. Este
sistema ofrece buena privacidad ya que un mango permite abrir y cerrar las cortinas y resetea las
palancas llevándolas a posición de off cuando el votante abandona la cabina. [Evans & Paul, 2004]
El problema de este método radica en la falta de existencia de un comprobante físico de la
intención de voto de la persona. Si la máquina funciona bien, el valor del contador asociado a la
opción elegida por el votante se incrementa en uno y el resto de los contadores permanecen igual.
Pero si esto no llegara a suceder, resulta imposible realizar un recuento manual. De hecho, en la
práctica, esta tecnología es notoriamente errática. Según Caltech/MIT es la que tiene más alto
índice de votos residuales. El equivalente electrónico de esta tecnología es el DRE voting system.
146
2.3.2. Comparación con Pantalla-Impresora
Al ser un sistema antiguo, es poco comparable con la solución. Presenta varios problemas
que tecnologías posteriores fueron solucionando. Sin embargo posee una similitud que consiste en
el reseteo automático de la máquina cuando el votante abandona la cabina de votación. En el
sistema Pantalla-Impresora, al finalizar la emisión del voto, la máquina envía una señal a la
identificadora habilitándola para continuar con la siguiente persona. En simultáneo con esta
acción, la máquina de votación corre el papel de la pantalla, para que al ingresar el siguiente
elector, no vea lo que realizó el votante anterior.
El mayor inconveniente de las Mecanical – Lever Machines es que cuando el sufragante
deja la cabina, no existe un registro físico de la intención de voto de la persona. Si la máquina
funciona bien, el valor del contador asociado a la opción elegida por el votante se incrementa de a
una y el resto de los contadores permanecen igual. Pero si esto no llegara a suceder, no hay forma
posible de realizar un recuento manual. De hecho, en la práctica, esta tecnología es notoriamente
errática. Según Caltech/MIT es la que tiene más alto índice de votos residuales. El equivalente
electrónico de esta tecnología es el DRE voting system. Como se ha explicado anteriormente,
Pantalla-Impresora emite un comprobante que sirve como registro físico de la intención de voto si
se junta con la pantalla impresa por la máquina. Además ese comprobante permite a los
ciudadanos ser los propios auditores de la corrección del sistema, por lo que cualquier error
cometido por la máquina puede ser detectado.
2.4. Direct Recording Electronic (DRE) voting system
2.4.1. Características generales
Este mecanismo de votación consiste en grabar directamente el voto en la memoria de la
máquina, eliminando por completo las boletas de papel. Este sistema presenta varias ventajas con
respecto a los esquemas tradicionales de votación, incluyendo la reducción del error de votación.
Además, si la interfaz está correctamente diseñada, solicita confirmación por si el votante se
147
equivocó en la selección en su apuro por terminar de votar. A su vez impide que un sufragante
vote por múltiples candidatos al mismo tiempo. Otra ventaja que presenta este sistema es la
posibilidad de que personas que presentan diferentes discapacidades puedan llevar a cabo el acto
de votación sin asistencia de otro ser humano. Sin embargo, diferentes análisis realizados sobre
esta tecnología, arrojaron resultados desfavorables sobre temas concernientes a la seguridad. A
saber:
a. Los votantes pueden votar varias veces.
b. Cualquier persona que tenga acceso a la máquina puede realizar tareas
administrativas, incluyendo observar resultados parciales y terminar la elección
antes de lo debido.
c. La comunicación entre las terminales de votación y el servidor central no se
encuentra debidamente cifrada por lo que hace posible a un tercero alterar el
contenido de la comunicación empleando la técnica “man in the middle”.
d. A diferencia de los mecanismos de palanca, la forma en que se graba el voto se
encuentra oculta en el código y los proveedores lo mantienen en secreto. [Bannet et
al., 2004]
Todas estas desventajas producen cierta desconfianza en un sistema que administra
información confidencial, provocando la invalidez del mismo.
2.4.2. Comparación con Pantalla-Impresora
Este sistema posee un proceso similar de emisión de votos al desarrollado en la solución.
Las diferencias entre uno y otro se encuentran en la tecnología utilizada en cada una de las
máquinas. Existen varios tipos de dispositivos de votación de esta tecnología, entre los cuales se
encuentran aquellos que utilizan tarjetas magnéticas para habilitar la máquina y guardar el voto,
otros que requieren que el presidente de mesa pulse un botón para que el ciudadano pueda votar y
otros simplemente que poseen un tiempo máximo para poder emitir un voto. En estos detalles es
donde radica la diferencia con Pantalla-Impresora. Cada uno de los métodos antes mencionados
148
posee algunas desventajas que la solución propuesta en esta tesis no, ya que las logró resolver
mediante el intercambio de mensajes entre la máquina identificadora y la de votación. En las
máquinas DRE puede existir la posibilidad de votar más de una vez, cuando la máquina de
votación se habilita mediante un botón pulsado por el presidente de mesa. En aquellas donde
existe un tiempo máximo para emitir un voto, alguna persona podría no llegar a tiempo para
completar la operación. Por último si en lugar de introducir una tarjeta magnética en aquellas
máquinas que lo requieran, introduzco cualquier otro objeto, se desconocen las consecuencias que
podría causar, entre las cuales se encuentra la inhabilitación de la máquina para emitir nuevos
sufragios.
Al igual que en Pantalla-Impresora, las máquinas graban directamente el voto en su
memoria y se eliminan por completo las boletas de papel. Todas solicitan confirmación por si el
votante se equivocó en la selección e impiden que un sufragante vote por múltiples candidatos al
mismo tiempo, eliminando la posibilidad de tornar nulo un voto. Esto significa que no hay
problemas de nulidad de votos por mal interpretaciones de las boletas o errores de impresión de
las mismas.
La ventaja que presentan estos sistemas, exceptuando aquellas máquinas que posean una
interfaz compuesta únicamente por un monitor touchscreen, es que personas discapacitadas
puedan llevar a cabo el acto de votación sin asistencia.
Cada máquina contabiliza los votos, en lugar de tener un único centro, por lo que se
reducen las instancias de fraude. Sin embargo, a diferencia de Pantalla-Impresora, las máquinas
no registran individualmente los votos, sino que almacenan los totales. Esto puede ser peligroso,
ya que son altamente vulnerables en lo que a seguridad se refiere [SAIC, 2003], sobre todo si el
código del programa es propietario y no se publica. En la solución propuesta, si bien existen
centros donde se contabilizan los votos, estos no son más que tareas de consolidación y auditoría,
ya que cada máquina individualmente cuenta los sufragios que posee almacenados en su memoria.
Este registro individual de cada una, es lo que permite la verificación pública y privada del
método. En ambos casos se elimina el recuento manual y carga de resultados ya que los votos se
encuentran digitalizados y en el caso puntual de Pantalla-Impresora, la pantalla de papel no
conforma un voto contabilizable.
En aquellas máquinas que requieran la utilización de tarjetas magnéticas para votar, el
elector puede reinsertarlas en la máquina para verificar que lo almaceanado refleja su intención de
149
voto. Como el voto queda guardado en la tarjeta magnética, se puede realizar auditoría y
fiscalización del proceso. Este paso no es necesario realizarlo en el método Pantalla-Impresora
gracias a la impresión de un ticket como resultado de la operación y a la existencia de un proceso
de verificación del correcto funcionamiento de las máquinas.
Las máquinas utilizan diskettes u otro tipo de tecnologías como soporte de información.
Cada uno de estos está identificado con un número para evitar que los votos que contiene sean
contabilizados dos veces. Esto mismo ocurre con las máquinas de la solución, cuyos votos son
autenticados durante el proceso de escrutinio.
A diferencia de la solución propuesta, en estos sistemas, no todas las máquinas cuentan con
modems para transmitir la información hacia una central, por lo que las urnas deben ser
transportadas o su dispositivo de almacenamiento. Esto otorga mayor seguridad ya que las
máquinas no se encuentran conectadas a ninguna red, por lo que no pueden sufrir ataques de
ningún tipo. Sin embargo, no están exentas de ser dañadas durante el transporte. Pantalla-
Impresora decidió implementar la transmisión de los datos por red, ya que de esta forma se acelera
la obtención de los resultados, sobre todos en regiones de gran superficie, debido a que la
celeridad en la totalización de votos no se ve afectada por la demora causada por el traslado de las
urnas al centro de consolidación. El envío de la información por la red implementa cifrado de
datos y medios de transmisión segura, como ser el protocolo IPSec, para permitir el cifrado de las
comunicaciones y la autenticación de las partes.
Las máquinas DRE son de menor costo ya que no requieren imprimir papeles. Sin
embargo, al carecer de un comprobante tangible del sufragio no pueden garantizar la integridad
del sistema. Sin el comprobante, el votante no tiene la certeza de que su voto fue registrado.
Además complica la auditoría del sistema. Si bien Pantalla-Impresora posee un costo más elevado,
ofrece la posibilidad de auditar el sistema fácilmente mediante el ticket impreso y los procesos de
verificación que posee.
Una desventaja importante que presenta esta tecnología frente al método propuesto, es que
los números que identifican a los candidatos durante la votación, son siempre los mismos. Si bien
esto facilita la elección por parte de los ciudadanos, genera recelos entre los partidos políticos
acerca de la jerarquía de los números asignados a cada uno. Las encuestas indican que quienes
están en los primeros puestos, suelen ser los más votados.
150
Algunas máquinas DRE utilizan un sistema touchscreen en lugar de un teclado. Muchas
veces esta tecnología posee problemas en cuanto a la sensibilidad de la pantalla. Si una casilla
donde se ubica un candidato posee mayor sensibilidad que otras, tiene mayor probabilidad a ser
seleccionado. El monitor touchscreen requiere mayor tiempo de capacitación acerca de su uso,
sobretodo en personas mayores, más alla de no permitir que personas discapacitadas emitan un
voto sin asistencia. Por estas razones es que se optó por un teclado numérico para seleccionar a los
candidatos en el método Pantalla-Impresora.
Si bien estos sistemas garantizan el anonimato y el secreto del voto, en el caso de que la
identificación del votante y la emisión del voto se encuentren unificados en una misma máquina,
pudieran existir dudas acerca de la imposibilidad de rastrear un voto. Como el método propuesto
posee dividas las funciones de identificación y votación, el secreto está garantizado.
2.5. Voter verifiable ballots
2.5.1. Características generales
Este sistema utiliza las máquinas DRE pero, a diferencia del método anterior, al finalizar el
votante la selección, la máquina imprime una boleta de papel que contiene la elección realizada.
La boleta impresa permanece detrás de una ventana para que los sufragantes no tengan
oportunidad de hacer trampa. El votante puede verificar que el papel coincida con la selección que
hizo y confirmar la operación. En caso de que no coincida, puede llamar a un asistente para que
anule la operación y así realizar una nueva selección. Al aprobar la elección, la boleta cae en una
urna sellada.
Este proceso incrementa la confianza del sufragante ya que le permite verificar el correcto
registro de su voto. Además provee una prueba física de lo almacenado por la máquina para poder
validar los resultados arrojados. Una de las desventajas que presenta este sistema es el alto costo
de mantenimiento e impresión de las boletas soportes y la complejidad que presenta para los
votantes la elección del candidato. La complejidad radica en que son necesarios 2 pasos para
151
completar el voto: el primero que realiza la selección del representante y el segundo que confirma
la operación. Este escenario obliga a implementar un sistema que impida al sufragante salir del
cuarto oscuro hasta tanto no realice el segundo paso, de lo contrario, la persona que ingrese
después podría examinar el voto del primero e incluso anularlo o cambiarlo. [Evans & Paul, 2004]
Otro asunto importante para no perder de vista, es que se tendrían 2 registros
contradictorios sobre los resultados de la elección: los datos guardados en las memorias de las
máquinas DRE y las boletas de papel. Cualquier diferencia que exista entre ambas, debe ser
estudiada minuciosamente para evitar controversias. A menos que exista una prueba fehaciente
sobre fraudes realizados sobre las boletas de papel, éstas deberían ser consideradas como registros
oficiales ya que los votantes tuvieron la posibilidad de confirmar que corresponden con su
intención de voto.
2.5.2. Comparación con Pantalla-Impresora
Este sistema utiliza las máquinas DRE, por tanto posee las mismas ventajas y un proceso
similar de emisión de votos. La diferencia entre ambos radica en la impresión de un comprobante
tangible del voto, por lo que el elector tiene seguridad acerca del registro de su operación. Este
cambio supone una mejora en las tecnologías aplicadas a la votación electrónica, sin embargo en
esta tesis se demuestra que no es tan así. La máquina imprime una boleta de papel que contiene la
selección realizada. La boleta impresa permanece detrás de una ventana para que no haya trampa,
y para permitirle al votante verificar que el papel coincida con la selección que hizo. Al aprobar la
elección, la boleta cae en una urna sellada. El resultado de esta operación son 2 registros
contradictorios sobre los resultados de la elección: los datos guardados en las memorias de las
máquinas DRE y las boletas de papel. Cualquier diferencia que exista entre ambas, debe ser
estudiada minuciosamente para evitar controversias. A menos que exista una prueba fehaciente
sobre fraudes realizados sobre las boletas de papel, éstas deberían ser consideradas como registros
oficiales ya que los votantes tuvieron la posibilidad de confirmar que corresponden con su
intención de voto. En conclusión, ocurre lo mismo que en la tecnología Optical mark-sense,
donde los resultados oficiales no se conocen hasta tanto no se contabilicen las boletas de papel.
Finalmente, aquello que se implementa para solucionar el inconveniente de la falta de un
comprobante tangible de sufragio, termina afectando la razón principal que origina los
mecanismos de eVote, la velocidad en alcanzar los resultados de los comicios. Como ha sido
152
expuesto, Pantalla-Impresora soluciona el inconveniente de la prueba física requerida, sin generar
un doble registro que lentifique el proceso de contabilización de votos.
Ambos sistemas poseen un alto costo de mantenimiento e impresión de los tickets soporte.
Sin embargo, para Voter verifiable ballots, sería conveniente evaluar si se justifica semejante
costo, para el beneficio que otorga.
Voter verifiable ballots requiere 2 pasos para completar la emisión del voto: el primero
para realizar la selección del candidato y el segundo para confirmar la operación. Este escenario
obliga a implementar un sistema que impida al votante salir del cuarto oscuro hasta tanto no
realice el segundo paso, de lo contrario, la persona que ingrese después podría examinar el voto
del primero e incluso anularlo o cambiarlo. En la solución propuesta, este inconveniente se
soluciona mediante la interacción entre la máquina identificadora y la de votación. Como fue
explicado en detalle en el punto 4, mientras una se encuentra activa, la otra queda inhabilita para
operar. Esta forma de trabajo concurrente impide que un ciudadano ingrese al cuarto oscuro, hasta
tanto el anterior no haya finalizado con la emisión de su voto, ya que no pudo haber sido
identificado a causa de que la máquina no estaba habilitada para ejecutar ninguna tarea.
Cada dispositivo está registrado en el centro de contabilización como para que una
máquina no autorizada no pueda enviar información. Algo similar ocurre con el sistema Pantalla-
Impresora donde todos los dispositivos que envían información requieren ser autentificados.
Al utilizar las máquinas DRE, estos sistemas poseen sus mismas falencias, excepto la del
faltante de un comprobante tangible de voto. A saber: si el proceso otorga un tiempo máximo de
voto, este pudiera resultar escaso; si el presidente de mesa es quien habilita al elector a emitir su
voto mediante el pulsado de un botón, cabría la posibilidad de que una persona votara dos veces;
etc..
153
2.6. Secret-Ballot Receipts
2.6.1. Características generales
Los comprobantes de voto que muestran las máquinas de votación aseguran a los electores
que su voto será contabilizado correctamente. Sin embargo, los sufragantes no pueden retirar del
cuarto oscuro nada que ponga en riesgo el secreto de voto. Es decir no pueden retirar del lugar de
votación algo que permita inferir cuál fue su selección.
Este tipo de tecnología permite obtener otro tipo de comprobante. El comprobante se
encuentra cifrado, por lo que una vez retirado de la máquina, no puede ser utilizado para conocer
cuál fue la elección realizada. El cifrado consiste en dividir al recibo en 2 capas que separadas se
tornan ilegibles, pero superpuestas no.
Luego de que el votante elige la boleta que desea, un dispositivo de la máquina imprime un
papel (una parte de éste será el recibo que retire el sufragante). En él figura candidato por el cual
se votó, el partido y otros datos que normalmente forman parte de una boleta. Después de
imprimir el papel, pero antes de que la persona que se encuentra frente a la máquina lo retire, ésta
otorga la posibilidad de aceptar o cancelar la operación. En caso de que se acepte la operación, la
máquina pregunta si el votante prefiere quedarse con la parte superior o inferior del comprobante.
Ambas capas presentan patrones aleatorios por lo que, para votos iguales, los recibos obtenidos
difieren. En los recibos figuran unas leyendas que indican la capa con la que se debe quedar el
votante y cuál debe entregar a los oficiales de mesa. Es importante remarcar que la máquina
entrega al sufragante ambas capas por separado. La impresora las imprime en forma
independiente, pero al momento de mostrarlas al elector para que éste confirme la operación, las
capas están perfectamente superpuestas para que puedan ser leídas. Cuando el fiscal recibe una de
las capas del recibo, valida que sea la que le corresponde y luego la coloca en una máquina
trituradora de papel, eliminando toda prueba física del voto, excepto la capa con la que se queda el
sufragante y la copia electrónica de la máquina.
El comprobante que le queda al votante posee impreso un código de barras que sirve para
verificar si el voto fue emitido y contabilizado correctamente. Existe un sitio web oficial de las
154
elecciones que, mediante ese código, permite imprimir una copia del recibo que fue utilizado para
el recuento de votos y verificar que es idéntico al que uno tiene.
Si el comprobante es enviado al centro de consolidación correctamente, uno puede estar
seguro (una probabilidad aceptable) que el voto será bien contabilizado. Pero un comprobante que
no es enviado correctamente constituye una prueba física sobre la existencia de una falla y resulta
irrefutable que el sistema de votación ha sido comprometido.
Nadie puede descifrar el recibo que posee un votante a menos que haya roto el código de
cifrado o que posea todas las claves secretas que han sido utilizadas y entregadas cada una a un
fideicomisario (oficial de custodia) diferente. Las posibilidades de que la votación se vea
comprometida son infinitesimales. Si las dos capas del recibo están fraguadas, la falla del sistema
es detectada. Cuando una de las capas es trampeada, si es la que se queda el votante, es detectada,
de lo contrario, pasa desapercibida porque es destruida. Esto hace que la seguridad del método
radique en la elección, post impresión del recibo, de la capa con la que se queda el elector. Es
decir por cada voto, existe un 50% de probabilidad de que el fraude sea detectado. Si se lo repite n
veces, la probabilidad de que la trampa pase desapercibida tiende a 0.
Al igual que el sistema de votación anterior, este método aumenta la complejidad del
proceso de votación. Requiere que el elector elija la boleta, confirme la operación, elija con qué
capa del recibo desea quedarse, extraiga los comprobantes de la máquina y luego le entregue el
que corresponda al oficial de mesa. La ventaja principal que presenta, es que el sufragante puede
verificar su voto al igual que cualquiera que desconfíe de la integridad del proceso y en ningún
caso el secreto de voto se ve comprometido. [Chaum, 2004]
2.6.2. Comparación con Pantalla-Impresora
El método de votación utiliza máquinas de registro directo de voto, pero a diferencia de
Voter verifiable ballots, el comprobante se encuentra cifrado y es entregado al elector en lugar de
ser exhibido detrás de un vidrio. Una vez retirado de la máquina, no puede ser utilizado para saber
cuál fue la elección realizada. Al igual que en Pantalla-Impresora, el votante se lleva del cuarto
oscuro un papel impreso que sirve como prueba de sufragio y que no revela el voto emitido.
155
Además no genera un doble registro de votos, por lo que no existe un recuento manual que
lentifique la obtención de los resultados oficiales.
El comprobante que le queda al votante posee impreso un código de barras que sirve parra
verificar si el voto fue emitido y contabilizado correctamente. A su vez, uno puede ingresar al sitio
web oficial de las elecciones y mediante ese código imprimir una copia del recibo que fue
utilizado para el recuento de votos y verificar que es idéntico al que uno tiene. Si el comprobante
es enviado al centro de consolidación correctamente, uno puede estar seguro (una probabilidad
aceptable) que el voto será bien contabilizado. Pero un comprobante que no es enviado
correctamente constituye una prueba física que hubo una falla y resulta irrefutable que el sistema
de votación ha sido comprometido. La ventaja principal que presenta, es que el sufragante puede
verificar su voto al igual que cualquiera que desconfíe de la integridad del proceso y en ningún
caso el secreto de voto se ve comprometido. No obstante, la comprobación se asemeja a la
verificación pública del método propuesto, por tanto no constituye una verificación real del voto.
El ciudadano que desea corroborar la integridad del proceso, recibe como prueba una impresión
igual a la que la máquina de votación le entregó, pero nada dice allí acerca del contenido de su
voto. Sólo gente idónea en el área de tecnología y métodos criptográficos puede entender el
significado de poseer dos impresiones idénticas. Para el común denominador de la población, esa
operación carece de sentido alguno. Es decir, la duda acerca de si el voto almacenado y
contabilizado es el mismo que el sufragante intentó emitir, persiste. Finalmente, el proceso de
comprobación consiste, al igual que la verificación pública, en una forma ágil de encontrar fallas,
pero no de corroborar realmente que el voto contabilizado refleja la intención del ciudadano. Para
ello Pantalla-Impresora añade el procedimiento de la verificación privada, para que el ciudadano
tenga la total certeza de la corrección del método y no solamente un indicador indirecto.
Secret-Ballot Receipts incrementa la complejidad del proceso de votación. Requiere que el
elector elija la boleta, confirme la operación, elija con qué capa del recibo desea quedarse, extraiga
los comprobantes de la máquina y luego le entregue el que corresponda al fiscal de mesa. Son
necesarios 3 pasos adicionales a los normales para poder emitir un voto. Esto supone la necesidad
de capacitar a la población para el uso de las máquinas. Pantalla-Impresora no sólo logra efectuar
la comprobación real del voto, sino que mantiene la cantidad de pasos necesarios para su emisión,
respetando la simpleza requerida para emitir un sufragio.
Este sistema no permite que las personas ciegas realicen la comprobación sin asistencia de
un tercero, ya que no son capaces de comparar el ticket que poseen con el publicado en el sitio
156
oficial. En la verificación pública del método propuesto, existe la posibilidad de conectar un
auricular al monitor touchscreen que revela el voto, para que en lugar de visualizar el nombre del
candidato, se lo pueda escuchar.
157
ANEXO B
Fundamentos Teóricos y Prácticos
1. Encriptación
Previo a analizar algunas técnicas de cifrado, es conveniente definir algunos términos que
van a ser utilizados en el resto del trabajo. Se denomina cifrado al proceso de convertir un mensaje
original en un texto encriptado. El proceso inverso recibe el nombre de descifrado.
1.1. Cifrado Simétrico
El cifrado simétrico es conocido también como cifrado convencional o de clave única.
Consiste de 5 partes:
• Mensaje original: Es el texto inteligible que se introduce en el algoritmo de cifrado
• Algoritmo de cifrado: Realiza varias sustituciones y transformaciones sobre el
mensaje original
• Clave secreta: Es también una entrada para el algoritmo de cifrado. Es un valor
independiente del mensaje original y ante valores distintos de la misma, el
resultado del algoritmo varía. Las sustituciones y transformaciones que efectúa el
algoritmo, dependen de la clave.
• Texto cifrado: Es el texto confuso producido como salida; es función del mensaje
original y de la clave secreta. El texto es ininteligible.
158
• Algoritmo de descifrado: Es esencialmente el algoritmo de cifrado pero ejecutado
en forma inversa. Toma como entrada al proceso el texto cifrado y la clave secreta,
y obtiene el mensaje original.
Existen dos requerimientos para poder utilizar en forma segura el cifrado simétrico. En
primer lugar se debe contar con un algoritmo de cifrado robusto, tal que si una persona lo conoce y
tiene acceso a varios textos cifrados, no pueda descifrarlos u obtener la clave secreta. En segundo
lugar, el emisor del mensaje y el receptor tienen una copia de la clave secreta y la deben mantener
segura. Si alguien descubre la clave y conoce el algoritmo, los mensajes pasan a ser legibles. Bajo
estas condiciones no es necesario tener en secreto el algoritmo ya que la seguridad del método
recae sobre la clave.
1.2. Cifrado de clave pública
Esta clase de cifrado soluciona uno de los mayores problemas que tiene el método anterior,
la distribución de la clave secreta. Como se describió anteriormente el emisor y el receptor deben
compartir la misma clave. Si ambos ya la tienen, no hay ningún problema; pero si esto no ocurre,
de qué manera se debe transmitir la clave para mantenerla en secreto. Este inconveniente se
encuentra muy estudiado y documentado y, al no ser tema de este trabajo, no se explayará sobre el
mismo.
El cifrado de clave pública se basa en una clave para encriptar y otra diferente, pero
relacionada, para desencriptar. Este método debe cumplir con la característica de que es
computacionalmente imposible determinar la clave de descifrado mediante el conocimiento del
algoritmo y de la clave de cifrado. Además cualquiera de las 2 claves puede ser utilizada para
encriptar o desencriptar.
M M E D Ek[M]
K K
159
El esquema de este tipo de algoritmos cuenta con 6 componentes. Cuatro de ellas son las
mismas que en el cifrado simétrico, el mensaje original, el algoritmo de cifrado, el texto cifrado y
el algoritmo de descifrado. Las dos restantes son:
• Clave pública y clave privada: Este par de claves son seleccionadas de forma tal
que si una se utiliza para cifrar un mensaje, la otra es utilizada para descifrarlo. Las
transformaciones que realiza el algoritmo de cifrado dependen de la clave pública o
privada que se utiliza como entrada.
Si una persona desea encriptar un mensaje, lo primero que debe realizar es generar el par
de claves. Luego elegir una y publicarla, mientras que la otra debe permanecer en secreto.
Finalmente, se debe definir el tipo de transmisión, ya que este sistema permite funciones de
confidencialidad, autenticación o ambas, dependiendo el esquema de transmisión elegido. Como
condición, los emisores deben poseer las claves públicas de los receptores y viceversa, para poder
transmitir respetando cualquiera de los esquemas que se describen a continuación:
Confidencialidad:
Autenticación:
Confidencialidad y Autenticación:
M M E D Ekub[M]
KUb (Clave pública de b) KRb (Clave privada de b)
M M E D Ekra[M]
KRa (Clave privada de a) KRa (Clave pública de a)
M M E D
Ekub[Ekra[M]]
KRa (Clave privada de a)
KRa (Clave pública de a)
E
KUb (Clave pública de b)
KRb (Clave privada de b)
D
160
2. Funciones de Hash
2.1. Introducción a las funciones de Hash
La integridad es una de las características más importantes en los procesos de votación
electrónica. Muchos de los problemas que han sido explicados en este trabajo hacen referencia a
este atributo. Lo primero que deben garantizar las máquinas es que el voto permanece inalterado
desde su ingreso hasta el último de los recuentos que se efectúan. Para ello se utilizan funciones de
Hash que certifican la autenticidad de la información guardada.
Estas funciones convierten un mensaje de longitud variable en un valor de longitud fija
denominado código de hash. Este valor se obtiene en función de todos los bits del mensaje y tiene
la capacidad de detectar errores. Un cambio en cualquiera de los bits del mensaje resulta en un
cambio en el valor del código de hash. La forma de autenticar el mensaje es recalculando el valor
de hash y comparándolo con el original que se encuentra adjunto al mensaje.
Existen varias formas en que pueden utilizarse las funciones de Hash para proveer
autenticidad de mensajes:
a. El mensaje más el código de hash concatenado es cifrado utilizando encriptación
simétrica. Al utilizar cifrado simétrico, se asume que el emisor y receptor
comparten una clave secreta. De esta forma el receptor puede asegurarse que el
mensaje proviene de A, ya que es el único que posee la clave y que no ha sido
alterado, condición asegurada por el código de hash añadido. Éste provee la
redundancia requerida para aseverar la autenticidad del mensaje. Como la
encriptación se aplica al mensaje completo más el código de hash, este sistema
también provee confidencialidad.
M M
H
| | H
H(M)
Comparar
E D
Ek[M || H(M)] K K
161
b. En este caso solo se cifra, usando algoritmos simétricos, el valor de hash,
reduciendo la complejidad y tiempo de procesamiento, pero resignando la
condición de confidencialidad. El resultado de esta combinación, hash más cifrado,
es una MAC (Message Authentication Code)
c. Al igual que en b, se cifra sólo el código de hash, pero utilizando algoritmos de
clave pública. En esencia esto produce una firma digital ya que al descifrar el
mensaje con la clave pública del emisor, nos aseguramos que fue éste quien lo
envió porque sólo él tiene la clave privada utilizada para encriptar el código de
hash. Es decir, no sólo se provee autenticidad, sino también asegura que el mensaje
proviene del emisor esperado.
d. Si además de la firma digital se desea obtener confidencialidad, entonces al método
c se le agrega un cifrado simétrico de clave privada al mensaje junto al código de
hash encriptado con algoritmos de clave pública.
M M
H E
| |
D
H
Ek[H(M)]
Comparar
K
K
M
H E
| | KR
M
D
H
EKR[H(M)]
Comparar
KU
E D
EK[M || EKR[H(M)]] K K
M
H E
| | KR
M
D
H
EKR[H(M)]
Comparar
KU
162
e. Esta técnica utiliza funciones de hash, pero no de cifrado para autenticar los
mensajes. Se asume que el emisor y el receptor comparten un valor X cualquiera
secreto. El método consiste en calcular el código de hash mediante la
concatenación de X al mensaje y se transmite solo el mensaje con el código de
hash. Como el receptor conoce X, puede recalcular el valor de hash para verificar la
autenticidad del mensaje. Como X no es transmitido, el mensaje no puede ser
alterado intencionalmente porque no se podría recalcular el código de hash.
f. Es similar al sistema e, pero añadiéndole confidencialidad encriptando el mensaje
junto al código de hash generado.
[Stallings, 2003]
2.2. Requerimientos de las funciones de Hash
Como se indicó en el punto anterior, el propósito de las funciones de hash es producir una
huella digital o una marca de autenticidad en un mensaje o bloque de datos. Para ser útil en
autenticación de mensajes, las funciones de hash deben cumplir con ciertas propiedades que se
detallan a continuación. Si utilizamos la nomenclatura h = H(M) donde h es el código de hash, H
la función de hash y M el mensaje a autenticar, H debe cumplir con lo siguiente:
M
| | H
| |
S
M H | |
H(M||S)
Comparar
S
E D
EK[M || H(M || S)] K K
M
| | H
| |
S
M H | |
H(M||S)
Comparar
S
163
• Se puede aplicar H a un mensaje de cualquier longitud
• H siempre produce un valor de longitud fija
• Es relativamente fácil calcular H(x) para cualquier x, implementando la solución
tanto en hardware como en software
• Para cualquier valor dado de h, es computacionalmente imposible encontrar un x
que cumpla con H(x) = h. A esta propiedad se la conoce como one-way
• Para cualquier bloque dado x, es computacionalmente imposible encontrar y ≠ x
con H(y) = H(x). A esto se lo conoce como weak collision resistance.
• Es computacionalmente imposible encontrar un par (x,y) tal que H(x) = H(y). A
esta propiedad se la conoce como strong collision resistance.
164
3. IPSec
3.1. Generalidades
La seguridad a nivel IP se compone de tres áreas funcionales: autenticación,
confidencialidad y administración de claves. El mecanismo de autenticación asegura que el
paquete recibido haya sido transmitido por una parte identificada en el encabezado del paquete
como el origen. También asegura que el paquete no haya sufrido alteraciones mientras permaneció
en tránsito. La confidencialidad permite a los nodos que se comuniquen con mensajes cifrados
para prevenir invasiones de terceras partes. La administración de claves se refiere al intercambio
de las mismas en forma segura.
IPSec provee la capacidad de convertir en seguras a las comunicaciones a través de una
LAN, una WAN privada o pública e Internet. La principal funcionalidad de IPSec que le permite
soportar gran variedad de aplicaciones es que puede encriptar y /o autenticar todo el tráfico de una
red en el nivel IP, esto significa que sistemas distribuidos incluyendo acceso remoto, cliente
servidor, e-mail, transmisión de archivos, acceso web, etc. puede ser seguro.
IPSec se encuentra por debajo de la capa de transporte, lo que le permite ser transparente a
las aplicaciones. No existe la necesidad de cambiar el software en un sistema de usuario o
servidor para que IPSec pueda ser implementado. También es transparente para el usuario final,
evitando entrenar a los usuarios en mecanismos de seguridad.
IPSec provee servicios de seguridad en la capa IP, permitiendo a los sistemas seleccionar
los protocolos de seguridad que requieran, determinar los algoritmos para esos servicios y
almacenar cualquier clave criptográfica que requiera el servicio. Dos protocolos son utilizados
para proveer seguridad: el primero de ellos se denomina Authentication Header (AH), que es un
protocolo de autenticación; el segundo es una combinación de cifrado y autenticación denominado
Encapsulating Security Payload (ESP).
165
Un concepto clave que aparece evidenciado en los mecanismos de autenticación y
confidencialidad de IPSec es el denominado Security Association (SA). Una asociación es una
relación unidireccional entre un emisor y un receptor que ofrece servicios de seguridad para el
tráfico de paquetes. Si se necesita una comunicación bidireccional entonces dos asociaciones
deberán ser utilizadas. Las asociaciones son los suficientemente flexibles para permitirle al usuario
configurar el comportamiento que necesita.
Existen 2 modos de uso del protocolo: modo transporte y modo túnel. El primero está
orientado a proveer seguridad a las capas superiores. Mediante ESP cifra y opcionalmente
autentica la carga útil de IP pero no el encabezado. Con AH autentica la carga útil y algunas partes
del encabezado. El segundo está orientado a proveer seguridad al paquete IP completo. Después
de haber agregado los campos de AH o de ESP, el paquete completo es utilizado como carga útil
de un nuevo paquete IP “exterior” con un nuevo encabezado. El nuevo paquete pasa a través de
routers sin que los mismos puedan inspeccionar el encabezado IP contenido dentro mismo, ya que
se encuentra embebido en la sección de carga útil del nuevo paquete. [Stalllings, 2003]
3.2. Authentication Header (AH)
El encabezado de autenticación provee soporte para la integridad de los datos y la
autenticación de los paquetes IP. La funcionalidad de integridad hace imposible que una
modificación que sufra el paquete no sea detectada. Se logra mediante un código de Hash
calculado con algoritmos MD5 o SHA-1 y luego truncado a 96 bits. La función de autenticación
permite a un dispositivo de red legitimar a un usuario o aplicación y como consecuencia, filtrar el
tráfico. Previene los ataques de address spoofing (engaños de direcciones IP) y de replay (envío de
copias de paquetes autenticados). La Autenticación se basa en el uso de una MAC, por lo que las 2
partes de la comunicación deben compartir una clave secreta.
166
3.3. Encapsulating Security Payload (ESP)
El Encapsulating Security Payload provee servicios de confidencialidad y opcionalmente
puede proveer el mismo servicio de autenticación de AH. Varios algoritmos pueden ser utilizados
para cifrar los paquetes IP: Triple DES, RC5, etc..Cuando se ofrece el servicio de autenticación, es
preferible hacerlo sobre el texto cifrado y no sobre el texto claro.
3.4. Key Managment
Este servicio sirve para el cálculo y la distribución de las claves secretas que son necesarias
para la utilización del protocolo. Generalmente son requeridas 4 claves para utilizar en la
comunicación de 2 aplicaciones: un par para trasmisión y recepción para AH y otro par para ESP.
Se pueden administrar las claves de dos formas diferentes: manual y automática. En la primera el
administrador configura en cada sistema las claves que va a utilizar. En la segunda, la creación y
distribución se realiza a pedido y mediante determinados protocolos basados por ejemplo en
Diffie-Hellman.
167
4. Lectura de huellas dactilares
4.1. Características
Las personas poseen varios elementos de identificación en la composición de los cuerpos.
Las huellas digitales son una marca única que poseen los individuos. Se componen de surcos que
forman un dibujo particular. El mismo es totalmente aleatorio y depende de la posición en que el
feto se encuentra en determinado momento y la densidad y recorrido del líquido amniótico.
Además existen otros factores que hacen que sea virtualmente imposible que haya 2 huellas
exactamente iguales. Por ende las huellas digitales son una marca única que identifica a cada
persona y por tal condición son útiles en la seguridad de los sistemas.
Existen 2 tipos de dispositivos que sirven para obtener las huellas digitales de las
personas: el escáner óptico y el escáner de capacitores. Ambas tecnologías deben cumplir 2
funciones. La primera de ellas consiste en obtener una imagen de la huella y la segunda en
reconocer mediante los patrones de los surcos en la imagen la coincidencia de la misma con otra
imagen pre-escaneada. [Harris, 2006]
4.2. Escáner óptico
Esta tecnología se basa en varios conjuntos de diodos sensibles a la luz, que miden su
intensidad y generan una corriente eléctrica. Cada uno de los conjuntos almacena un píxel. El
escaneo se produce al colocar el dedo sobre el censor del dispositivo, el cual posee su propia
fuente de luz para tomar la “fotografía”. La imagen generada es invertida, es decir, las áreas
oscuras son las más luminosas y viceversa. Para dar por finalizada la lectura, el escáner se asegura
de haber tomado una imagen clara. Para ello verifica que la misma no sea ni muy clara ni muy
oscura, obteniendo un promedio de la oscuridad de cada píxel. Finalmente el dispositivo chequea
la definición de la imagen, y en caso de ser correcta, procede a la etapa de reconocimiento.
168
4.3. Escáner de capacitores
A diferencia del sistema anterior, la lectura de la huella digital la realiza por medio de
corriente eléctrica. El censor esta hecho de un chip semiconductor que posee pequeñas celdas,
cada una conformada por dos platos conductores cubiertos de una capa aislante. Los mismos están
conectados a un integrado compuesto por transistores, resistencias y capacitores. Estos últimos
tienen la capacidad de almacenar carga. La cantidad almacenada va a depender de la distancia de
los platos conductores al dedo. Debido a la calidad, la carga va a ser diferente si el plato está en
contacto con el surco de la huella o con la piel. El procesador del escáner lee el voltaje e infiere el
dibujo de la huella.
4.4. Resumen
Existen diferentes sistemas de seguridad para verificar que una persona es realmente quien
dice ser. Algunos se basan en las posesiones de los individuos (tarjetas, documentos, etc.), otros
en sus conocimientos (requieren ingresar un PIN o contraseña) y otros en sus evidencias físicas
(como ser huellas digitales). Estos últimos poseen ciertas ventajas frente al resto:
• Los atributos físicos son más difíciles de falsificar que una tarjeta o documento.
• No se puede adivinar un atributo físico como se hace con una clave.
• No se puede extraviar una huella digital como se pierde una tarjeta.
• No se puede olvidar una huella digital como se hace con un PIN
Sin embargo, cada uno de los sistemas de escaneo de huellas presenta ciertas desventajas:
169
• El escáner óptico puede ser engañado colocando en el censor una imagen de una
huella en lugar de una real
• El escáner de capacitores a veces puede ser engañado con un molde de un dedo.
• Si se tiene acceso a la huella de una persona, se puede sortear la seguridad de los
escáneres.
La comparación de las imágenes tomadas de las huellas con las que se encuentran
almacenadas, en ambos sistemas se realiza de la misma manera. No se compara la totalidad de la
huella, sino que se buscan ciertos detalles minuciosos mediante algoritmos complejos.
Generalmente se buscan las zonas donde los surcos se bifurcan o terminan. Para machear una
huella no es necesario verificar todos los detalles, sino simplemente una cantidad suficiente que
depende de cada algoritmo.
Una característica importante es que la imagen de la huella dactilar ocupa poco lugar de
almacenamiento, aproximadamente 512 bytes. [Maclean, 2002] Esto posibilita el almacenaje de
las mismas en bases de datos para ser utilizadas fácilmente en los sistemas para autentificar a las
personas.
170
Referencias
[Gelli, 2001] Gelli María Angélica. 2001. Informe sobre la relevancia de la creación de un
Componente de Administración y Justicia Electoral. Proyecto ARG/00/007 Apoyo al Programa de
Reforma Política del PNUD. Disponible en www.undp.org.ar. Página vigente al 05/08/2005.
[Escolar] Escolar Marcelo. Incorporación de nuevas tecnologías al proceso electoral.
www.buenosaires.gov.ar/dgelec/index.php?module=informesinvestigacion&file=modernizacion.
Página vigente al 10/10/2005
[Evans & Paul, 2004] Evans David & Paul Nathanael. 2004. Election Secutiry: Perception and
Reality. Revista Security & Privacy. Volumen 2. Número 1. Páginas 24-31.
[Caltech/MIT, 2001] Caltech MIT Voting Technology Project. Julio 2001. Voting: What Is What
Could Be.
[Bannet et al., 2004] Bannet Jonathan, Price David W., Rudis Algis, Singer Justin & Wallach Dan
S.. 2004. Hack-a-Vote: Security Issues with Electronic Voting Systems. Revista Security &
Privacy. Volumen 2. Número 1. Páginas 32-36.
[Chaum, 2004] Chaum David. 2004. Secret-Ballot Receipts: True Voter-Verifiable Elections.
Revista Security & Privacy. Volumen 2. Número 1. Páginas 38-47.
[Schneier, 2004] Schneier Bruce. 2004. Voting Security and Technology. Revista Security &
Privacy. Volumen 2. Número 1. Página 84.
[Misra, 2004] Misra Neelesh. 2004. World’s biggest vote goes all-electronic.
www.msnbc.msn.com/id/4788644/. Página vigente al 10/10/2005.
[TSE, 2003] Tribunal Superior Electoral. www.tse.gov.br. Página vigente al 10/10/2005
171
[Stallings, 2003] Stallings, William. 2003. Cryptography and Network Security. Principles and
Practice. Third Edition. Prentice Hall. 681 páginas.
[Mole, 2005] Mole. 2005. Protecting the Vote: The fight for our Democracy.
http://www.boomantribune.com/story/2005/8/28/2228/00379. Página vigente al 04/12/2005.
[Verified Voting Foundation, 2004] Verified Voting Foundation. 2004. Resolution on Electronic
Voting. http://www.verifiedvotingfoundation.org/article.php?id=5028. Página vigente al
04/12/2005.
[Neumann, 1993] Neumann Peter G.. 1993. Security Criteria for Electronic Voting. 16th National
Computer Security Conference. http://www.csl.sri.com/users/neumann/ncs93.html. Baltimore.
Página vigente al 04/12/2005.
[Papageorgiou, 2001] Papageorgiou Pavlos. 2001. Why it is hard to verify e-voting.
http://www.greenhealth.org.uk/evoteTech.htm. Página vigente al 04/12/2005.
[Pibel, 2003] Pibel Doug. 2003. Safeguarding then vote.
http://www.yesmagazine.org/article.asp?ID=619. Página vigente al 05/12/2005.
[Mercury, 2003] Mercury Rebecca. 2003. Facts About Voter Verified Paper Ballots.
http://www.notablesoftware.com/Papers/VVPBFacts.pdf. Página vigente al 05/12/2005.
[Harris, 2006] Harris Tom. 2006. How Fingerprint Scanners Work.
http://computer.howstuffworks.com/fingerprint-scanner.htm. Página vigente al 07/05/2006.
[Maclean, 2002] Maclean A. 2002. The digitalPersona FingerPrint Scanner.
http://www.maclean-nj.com/compute/fingerprints.htm. Página vigente al 07/05/2006.
[SAIC, 2003] Science Applications International Corporation. 2003. Risk Assesment Report.
DieBold AccuVote-TS Voting System and Processes.
www.dbm.maryland.gov/dbm_publishing/public_content/dbm_search/technology/toc_voting_syst
em_report/votingsystemreportfinal.pdf. Página vigente al 10/05/2006.
172
[SPF, 2004] Service Public Fédéral Intérieur. 2004. Direction des élections.
www.verkiezingen.fgov.be/2004/2004fr/docufr/instructionsformules/directivestechniques/directiv
es.htm. Página vigente al 20/04/2006.
[TSECR, 2002] Tribunal Supremo de Elecciones de Costa Rica. 2002. Información disponible en
www.tse.go.cr/menu_votoelect.html. Página vigente al 25/04/2006.
[Bracci, 2004] Bracci Luigino. 2004. Conozca las máquinas de SmartMatic y sepa como se votará
el 15 de agosto. www.rnv.gov.ve/noticias/index.php?act=ST&f=15&t=6034. Página vigente al
01/05/2006.
[Hernández,] Hernández Alfonso. El sistema de voto electrónico de Estados Unidos, en
entredicho. http://www.edemocracia.com/eVoto/exp/eD-eVoto-EEUU-000.html. Página vigente al
20/04/2006.
[DE, 2004] Directorio del Estado. 2004. Voto electrónico en aulas.
www.directoriodelestado.com.ar/contenido.php?pais=España=270. Página vigente al 01/05/2006.
[GBA] Gobierno de la Provincia de Buenos Aires. www.votoelectronico.gba.gov.ar. Página
vigente al 10/05/2006.
[Alegre, 2005] Alegre Silvia. 2005. El voto electrónico. La experiencia de Ushuaia.
www.ushuaia.gov.ar/voto.htm. Página vigente al 10/05/2006.
[Telpin, 2004] Telpin Sistemas. 2004.
www.telpin.com.ar/interneteducativa/webeleccion/mendoza.htm. Página vigente al 11/05/2006
[Rial, 2001] Rial Juan. 2001. Modernización del Proceso Electoral: Voto Electrónico en América
Latina. Disponible en www.undp.org.ar/archivos/A184_Informe_Rial_voto_electrónico.DOC.
Página vigente al 06/10/2005
[CEN, 1983] Código Electoral Nacional. Agosto 1983. Decreto Nº 2135. Disponible en
http://infoleg.mecon.gov.ar/infolegInternet/anexos/15000-19999/19442/texact.htm.
173
Otras fuentes consultadas
Stinson, Douglas. 2002. Cryptography. Theory and practice. Second Edition. Chapman & Hall /
CRC Press. 373 páginas.
Menezes, Alfred. 1996. Handbook of applied cryptography. CRC Press. 816 páginas.
www.smartmatic.com/infographs.htm. Página vigente al 01/05/2006
www.edemocracia.com. Página vigente al 05/05/2006
www.undp.org.ar. Página vigente al 13/03/2006
www.eucybervote.org/articles/England_evoting.txt. Página vigente al 10/04/2006
www.evotesheffield.com. Página vigente al 10/04/2006