Si en el referéndum catalán hay voto 'online', ¿podría manipularse el resultado?
Si los diputados dan luz verde a su utilización, el Gobierno catalán planea invertir más de 400.000 euros en desarrollar el sistema de voto electrónico más de 400.000 eurosque permitirá a los catalanes residentes en el extranjero acudir virtualmente a las urnas en las elecciones autonómicas de junio.
Si llega a desarrollarse, este método podría ser el mismo que más tarde se utilice para habilitar el voto 'online' de cara al referéndum de independencia, previsto para septiembre. Según la consejera de Gobernación de la Generalitat, Meritxel Borrás, es algo que aún “no está decidido”.
De acuerdo con el testimonio del senador de ERC Santiago Vidal, que ha levantado ampollas en los últimos días, la Generalitat habría recabando ilegalmente los datos fiscales de los catalanes, además de camuflar 400 millones de euros en los presupuestos, para organizar la consulta soberanista y preparar a Cataluña para la independencia.
En este contexto, son muchas las dudas y preocupaciones que despierta el posible uso de los mecanismos electrónicos en una votación ya de por sí cargada de polémica. ¿Podrían los partidarios de la independencia catalana manipular el sistema para virar el resultado a su favor?
El anteproyecto de ley que se está tramitando ya presenta el esquema con el que la Generalitat prevé implementar el modelo. Lo cierto es que aún faltan un sinfín de detalles, pero el documento describe en líneas generales en qué consistiría el procedimiento y los pasos que deberían seguir los ciudadanos. Se trata de un sistema diferente al que utilizan en Estados Unidos, basado en urnas electrónicas o máquinas situadas en los centros de recogida de votos.
El nivel de protección depende del grado de peligro
Para Jesús Chóliz, experto en seguridad de Scytl Secure Electronic Voting, empresa afincada en Barcelona que ha provisto de soluciones de voto 'online' a países como Noruega, Reino Unido, Suiza y Austria, no hay un método más seguro que otro. La elección depende de “de quién se protejan y cómo se haga”, explica a HojaDeRouter.com. Para estudiar la situación, se realiza un análisis previo del proceso en el que se identifican “el nivel de riesgo y los posibles atacantes” para elegir las medidas adecuadas y estimar el coste de implementarlas.
Según la propuesta de ley, la Oficina del Censo Electoral (OCE) facilitará los datos de los residentes en el extranjero al “órgano competente en materia electoral de la Administración de la Generalitat”. De esta forma se podrá identificar a los votantes que pueden ejercer su derecho, para lo que, primeramente, deberán solicitarlo.
El segundo paso para los ciudadanos consistirá en identificarse en la plataforma introduciendo sus datos personales (nombre y apellidos, DNI, fecha de nacimiento, dirección postal, de correo electrónico y teléfono móvil) y la clave de tramitación telemática que les ha asignado previamente la OCE. También puede hacerse mediante certificados digitales o DNI electrónico. Esta segunda opción, según Chóliz, es “la más segura de todas”.
Una vez se ha identificado con éxito, el elector recibe las credenciales necesarias para ejercer su derecho a voto “por medios electrónicos en su correo electrónico y su dispositivo móvil”, explica el anteproyecto. Esta doble vía constituye un mecanismo para asegurar el proceso, el ‘key roaming’. “Te bajas la clave para firmar tu voto cifrada, protegida, y la puedes descifrar en tu ordenador con una especie de pin que recibes en dos trocitos”, explica Sandra Guasch, también experta en seguridad y compañera de Chóliz en Scytl. Son esas dos piezas las que llegan por separado.
Así, si alguien intentara suplantar a otro votante, tendría que tener acceso tanto a su móvil como a su correo electrónico. Incluso suponiendo que pudiera introducir datos falsos (un correo y un móvil que no pertenezcan a la víctima de la suplantación), el intento de fraude aún podría detectarse por la falta de correspondencia entre el número de teléfono y el DNI. “En el momento en que das tu móvil estás dejando un rastro. Cualquier teléfono, aunque sea de prepago, tiene que estar asociado a un DNI”, indica el experto en seguridad.
Tras introducir las credenciales y emitir el voto, la web pedirá al elector una confirmación final, ofreciéndole después la posibilidad de descargar un justificante. Este le permitirá verificar que su voto ha sido depositado en la urna virtual y, más adelante, comprobar que se ha tenido en cuenta durante el escrutinio.
“El procedimiento de voto electrónico está cifrado en todas sus fases, desde el momento de acceso a la plataforma hasta el momento en que el elector confirma su voto”, advierte el documento oficial. En este tipo de sistemas, “el voto sale ya cifrado del navegador del votante con la clave de la mesa electoral, solo esta puede abrirla al finalizar la elección”, detalla Chóliz.
Para evitar que pueda manipularse el resultado, los votos deben ir, además, firmados digitalmente por su dueño. De esta forma, “si algún atacante, un servidor, algo en internet modifica el voto, lo detectarías”, advierte el experto de la empresa catalana. Es aconsejable, además, que en el escrutinio vuelvan a verificarse las firmas digitales para comprobar que todo está en orden.
Los amos de llaves de la urna virtual
Como indicaba Chóliz, cada miembro de la mesa electoral tiene un pedazo de la clave criptográfica que descifra los votos, guardado en una tarjeta inteligente. Si quisieran manipular el resultado de los comicios, “tendrían que ponerse de acuerdo”, al igual que en el proceso tradicional. “Si alguien quiere comprometer la elección tendría que comprar a todos los miembros de la mesa”, asegura.
Por otro lado, estos responsables no realizan el escrutinio en solitario ni en equipos normales. El recuento informático de los votos debe llevarse a cabo en máquinas preparadas y ante un grupo de auditores y supervisores. “Se extraen los votos de un servidor conectado a internet, cifrados y firmados digitalmente, en un ordenador aislado”, describe Chóliz. Dicho equipo se configura para evitar cualquier ataque: debe estar desconectado de la Red; no tener wifi, Bluetooth, micrófono ni nada que pueda emitir ondas; y debe estar instalado en una sala segura.
Aunque no se pueda garantizar que el ordenador del votante esté libre de ‘malware’ o en un entorno protegido, “los sistemas de verificación permiten al ciudadano detectar si está pasando algo raro”, señala Guasch.
Hay diferentes maneras de que el elector compruebe el sentido de su voto después del proceso, siempre sin que este se haga público. Entre ellas se encuentran los códigos de retorno y las tarjetas de coordenadas (la plataforma te indica un número que debe ir asociado a la opción correcta). El anteproyecto, sin embargo, solo parece referirse a esa especie de acuse de recibo que confirma que la participación está en la urna y que permite revisar si se ha incluido en el recuento.
No obstante, el documento sí prevé la creación de una comisión de garantía formada por “seis expertos en materia de administración electrónica, TIC y ciberseguridad”. Dos de ellos serán designados por el Parlamento, dos por el Gobierno catalán y otros dos por asociaciones representativas de los entes locales. Todos tendrán acceso a la información técnica, así como al informe de una entidad externa (pública o privada) e independiente que auditará el sistema antes de su uso, y deberán comunicar cualquier tipo de incidencia.
Auditar todo lo auditable
“Hay muchos aspectos que se pueden y se deben auditar”, afirma Chóliz. En la lista figuran el código fuente del ‘software’, la configuración de los servidores, el proceso en sí mismo, el sistema de voto, los protocolos, las claves, el cifrado y el recuento. En esta última etapa, suele utilizarse una prueba criptográfica denominada técnica de conocimiento nulo: “Se generan evidencias matemáticas por las que auditor puede verificar si lo que ha entrado en la urna es lo mismo que ha salido en el recuento sin necesidad de descifrar los votos”, explica el experto en seguridad.
En caso de que se detecten votos duplicados “mediante la papeleta y mediante la plataforma de voto electrónico por internet, prevalecerá el voto emitido por la papeleta”, advierte el documento normativo. Esta medida sirve para evitar coacciones, pero existen otras. Una de las más efectivas, según los responsables de Scytl, consiste en permitir a los ciudadanos votar múltiples veces, de forma que solo la última se consideraría válida.
Una vez completado el proceso, la información se mantendría almacenada durante algún tiempo (normalmente varios meses) por si hay que repetir el escrutinio o incluso los comicios. Si el resultado fuera sospechoso o expertos o partidos lo solicitasen, podría volverse a auditar el procedimiento. En Estados Unidos, por ejemplo, un grupo de informáticos y abogados, algunos de la Universidad de Michigan, alertaron de que Hillary Clinton había recibido menos votos de lo esperado en aquellos estados que dependían de máquinas de sufragio.
En opinión de Chóliz, en España estamos preparados para votar por internet, pero es conveniente probar el sistema antes en ensayos piloto o con pequeños grupos de población. Por una parte, para que los ciudadanos se acostumbren y pierdan el miedo; por otra, para verificar toda la infraestructura y hacer cambios si fuera necesario.
Los franceses que viven en el extranjero ya eligen a sus representantes en el Parlamento a través de internet. En Suiza, una parte de la población utiliza el voto telemático varias veces el año, en las numerosas consultas y referéndums públicos que convoca el Gobierno. El proceso, según los expertos de Scytl, “ya está resuelto técnicamente”: solo hay que implementarlo de la forma adecuada y garantizar que pueda verificarse.