Alarma en EEUU por la falta de control sobre las empresas que gestionan el sistema de votación en las elecciones

Jordan Wilkie

Jamie Raskin, congresista de Maryland, ha decido unirse a la campaña que aboga por la reforma del sistema de recuento automático de votos en Estados Unidos. Y lo hace tras sufrir él mismo los errores de los terminales de votación. En 2015, una compañía vinculada a un oligarca ruso compró el principal proveedor de máquinas de emisión de voto en Maryland. No fue, sin embargo, hasta julio de 2018 cuando el FBI notificó que podía existir un posible conflicto que hizo saltar las alarmas de las autoridades del sistema electoral. 

Las investigaciones de los agentes federales no encontraron pruebas de que los datos de los votantes hubieran sufrido cambios o manipulaciones. Sin embargo, el incidente sí dejó en evidencia la vulnerabilidad de la democracia estadounidense al darse a conocer que muchos estados habían confiado a subcontratas privadas las tareas de recuento de votos. Esto se produjo en un contexto de sospecha de que agentes rusos orquestaban múltiples campañas de desinformación y ciberseguridad para interferir en las elecciones generales de Estados Unidos de 2016.

“Decir que no tenemos pruebas de que se haya incurrido en malas prácticas no es lo mismo que decir que no se ha producido ninguna irregularidad”, ha indicado Raskin: “Simplemente no lo podemos demostrar”.

El sistema electoral estadounidense está rodeado de gran secretismo, se lleva a cabo al margen de la opinión pública y con poca supervisión. Las empresas que controlan todo el proceso, desde el registro de votantes hasta la emisión y el conteo de votos, están sujetas a una regulación estatal y federal que contiene muchas lagunas.

Se trata de empresas privadas y opacas. Es difícil obtener información sobre sus propietarios o cuentas. El código fuente del software y el diseño del hardware de sus sistemas se consideran un secreto comercial y, por lo tanto, son difíciles de evaluar o investigar.

La oferta de proveedores de sistemas de recuentos de votos es reducida y la “base de clientes” se limita a Norteamérica y, más concretamente, a Estados Unidos, lo que significa que la competencia es feroz. El resultado es una pequeña red de empresas que prácticamente monopolizan los servicios electorales, incluidas las terminales de voto. Además, estos servicios siempre se han caracterizado por cometer errores en el recuento de votos, impedir el acceso de la información de políticos y ciudadanos, casos de corrupción, mentiras en lo relativo a la seguridad del sistema y llevar a cabo prácticas comerciales deshonestas. Ahora, también las sobrevuelan las sospechosas de permitir la injerencia extranjera.

Pese a todo, estas son las empresas encargadas de vigilar la democracia en Estados Unidos. 

Expertos en seguridad informática llevan alertando de los fallos de estos sistemas desde que comenzaron a utilizarse en el 2000, tras el desastre de las tarjetas perforadas en el escrutinio en Florida en las elecciones presidenciales de aquel año. 

Ahora, después de que agentes rusos rastrearan los sistemas de votación en los 50 estados del país y lograran entrar en los sistemas de registro de votantes de Arizona e Illinois en 2016, legisladores, funcionarios del organismo electoral y expertos en seguridad nacional se están uniendo a las críticas.

El informe de Robert Mueller y una denuncia previa contra doce agentes soviéticos han confirmado que los rusos también tenían en su radar proveedores privados de software electoral. Según el reporte del fiscal, lograron penetrar en el sistema de al menos una de estas empresas, cuyo nombre aparece en el documento, e instalaron programas malware en su sistema informático. Unos ataques que las agencias de inteligencia estadounidenses prevén que continuarán en futuras elecciones y que serán activados desde ordenadores rusos, chinos y de otros países. 

Cuando Raskin descubrió que apenas existía legislación federal de control o regulación de estas empresas privadas que participan en el sistema electoral, elaboró un proyecto de ley para impedir que los estados contraten a empresas propiedad de ciudadanos no estadounidenses o influenciadas por ellos.

El congresista planea reintroducir una versión actualizada de la ley en este periodo legislativo, según ha indicado en declaraciones al diario The Guardian. El proyecto tiene todas las papeletas para ser aprobado por la Casa de Representantes, que controlan los demócratas, pero todavía necesitaría apoyo republicano para ser convertido en ley. 

Algo que se muestra improbable porque el líder del Senado, el republicano Mitch McConnell, ya se ha mostrado en contra de este tipo de iniciativas en el pasado. El partido se ampara en el discurso de que los demócratas tratan de utilizar al Gobierno Federal para controlar las elecciones estatales y locales. Es posible que el reconocimiento de las vulnerabilidades o defectos en el sistema electoral haga planear de nuevo las dudas sobre la legitimidad de la victoria del partido y de Donald Trump en 2016.

De prosperar, el proyecto de ley afectaría a, al menos, las dos compañías electorales más grandes: Dominion Voting Systems, el segundo mayor proveedor de terminales de voto en Estados Unidos, radicado en Canadá, y Scytl, que proporciona servicios de registro de votantes y otras herramientas de gestión electoral online, que tiene su sede en España. ByteGrid, la empresa subcontratada en Maryland, ya no es propiedad de la matriz rusa.

Uso partidista en los sistemas automáticos de voto 

El hecho de que los proveedores sean empresas privadas no es el único problema para la seguridad. Con independencia de la titularidad, las máquinas de votación son más vulnerables a un posible uso ilícito de información sensible que cualquier otro componente del proceso del sistema electoral, un sector que a lo largo de los años ha sido utilizado con fines partidistas.

En 2003, por ejemplo, cuando los terminales de votación extendían por todo el país gracias a la ayuda de los fondos federales, el máximo responsable de Diebold, una de las compañías más grandes y uno de los principales recaudadores de fondos para el entonces presidente George W. Bush declaró estar “comprometido a ayudar a Ohio para que diera los votos de los electores al presidente”.

Esas declaraciones, sumadas a una serie de escándalos como la desprotección de uno de sus servidores conectados a Internet, la publicación del código fuente de sus máquinas o la instalación de parches de software no aprobados en sus terminales justo antes de unas elecciones, provocó la venta de una parte del negocio en 2009.

Con el objetivo de demostrar vulnerabilidades en los terminales y lograr una mayor transparencia, informáticos y académicos compren y piratean varias máquinas. El ejemplo más conocido tuvo lugar en la convención de hackers Defcon celebrada en 2017, en la que los expertos informáticos publicaron un informe en el que se mostraba cómo habían logrado piratear terminales electorales. Tras la evidencia, el estado de Virginia eliminó sus terminales y regresó al sistema de votos en papel.

Los proveedores se niegan a ser investigados

Por su parte, los proveedores de terminales electorales intentan por todos los medios esquivar este tipo de escrutinio, llegando a amenazar con demandar a aquellos que publiquen estudios sobre sus terminales. También obstaculizan las acciones judiciales de análisis de los registros en las máquinas en las que se han producido errores. Además, han mentido a periodistas y cargos electos y han ocultado que se podía acceder a algunas máquinas de forma remota.

En el transcurso de un discurso pronunciado durante una conferencia sobre seguridad en el sistema electoral en Washington DC, el senador del estado de Oregón, Ron Wyden, señaló que el grupo de presión que protege a los proveedores de máquinas de votación “cree, literalmente, que está por encima de la ley y que no debe rendir cuentas ante nadie, y que ha sido capaz de poner patas arriba el sistema político en ciertas partes del país, como hemos visto en Georgia”.

Wyden se refería al hecho de que Brian Kemp, que se ha convertido en gobernador de Georgia tras supervisar como secretario de Estado las elecciones a las que concurría, nombró a un lobista de ES&S como jefe adjunto de su gabinete. El estado ha iniciado los trámites para gastar más de 150 millones de dólares en terminales.

“En mi opinión, nuestros derechos constitucionales no pueden depender de la ética más que dudosa de unas empresas que están muy bien conectadas y que consiguen esquivar la supervisión del Congreso, mienten a nuestros cargos públicos y estafan una y otra vez a nuestros contribuyentes”, ha indicado Wyden.

Joshua M. Franklin, presidente y cofundador de Outstack Technologies, una empresa de ciberseguridad que ayuda a proteger la infraestructura de campañas y elecciones, considera que la ausencia de directrices claras a nivel federal y estatal permite que las empresas de ciberseguridad hagan lo que les plazca.

“En lo concerniente a la seguridad de los sistemas de registro de votantes no existen unos criterios técnicos o de buenas prácticas por parte del gobierno de Estados Unidos”, indica Franklin. “Una o dos páginas (de medidas) no son suficientes. Tampoco contamos con las especificaciones técnicas de seguridad con las que deben cumplir los informes elaborados durante la noche electoral o los sistemas de distribución de votos en blanco”, señala.

Al igual que los proveedores de máquinas electorales, las compañías que proporcionan servicios de registro de votantes y de escrutinio han cometido a lo largo de los años un gran número de errores en la seguridad y han mentido en sus declaraciones. Se sabe muy poco sobre los contratos y las relaciones entre los estados y los proveedores de registro de votantes como PCC y Scytl.

Tres días antes de las elecciones de 2018 se descubrió que la falta de seguridad hacía vulnerable el sistema de registro de votantes de Georgia, que podía ser manipulado. No quedó claro, sin embargo, si la responsabilidad recaía en el Estado o en la empresa contratada.

Un grupo de expertos en seguridad informática pusieron a prueba los sistemas de otros dos estados cuya ciberseguridad también era suministrada por PCC. En Carolina del Norte y Washington también se detectaron errores en la codificación, aunque la forma en la que emplearon el producto de PCC evitó los riesgos a los que sí tuvo que enfrentarse el estado de Georgia.

Es difícil obtener la información que PCC gestiona en esos estados. De hecho, los datos más fiables son los que aparecen en la página web de la compañía. PCC afirma que su tecnología es responsable del registro de casi el 25% de los votantes estadounidenses.

Como suele ocurrir cuando empresas con escasa supervisión proporcionan sus propios datos, no está claro cómo cierta es su información. The Guardian descubrió que al menos dos clientes de la lista, Indiana y Nueva Jersey, nunca han contratado directamente a PCC o no lo han hecho en una década. Nueva Jersey ya no aparece en la lista de clientes de los servicios de registro de votantes.

Grupos de activistas resaltan la importancia de la transparencia y confianza en cada etapa del proceso electoral, porque influye en la percepción que tienen los votantes de que el sistema es justo.

Sin embargo, las empresas privadas que actualmente gestionan este sector lo lo ponen fácil. Según la experta en legislación electoral Candice Hoke, estas compañías no están obligadas a rendir cuentas ante los ciudadanos y, además, a menudo se les pide que conduzcan sus propias investigaciones internas o que tengan sus propios sistemas de control.

“Es inaudito, por ejemplo en el caso de un banco, que si una empresa se enfrenta a posibles anomalías o a un posible pirateo, llame al proveedor de software o a la compañía de software para que analicen su propio software y decidan si su software ha sido pirateado o si tiene algún defecto”, señala Hoke: “Es completamente absurdo. Y en cambio lo permitimos en las elecciones de nuestro país”.

Es frecuente que los condados no tengan la experiencia o fondos necesarios para investigar y se carece de una infraestructura estatal o federal que pueda solucionar este problema. Votantes, grupos de defensa de derechos civiles y activistas han denunciado esta situación ante los tribunales, pero la ley establece que los demandantes deben aportar un cierto volumen de pruebas para presentar una demanda. Algo que, en la práctica, resulta imposible de conseguir porque los datos están en manos de proveedores privados, sin la intermediación de un juez.

Ya sea en los tribunales o con una reforma legal, Hoke tiene claro que “necesitamos auditorías independientes, exámenes forenses y otro tipo de evaluaciones para que las tecnologías no esté controlada por los proveedores”, sentencia Hoke.

Traducido por Emma Reverter