Las votaciones tienen dos propósitos. El primero y obvio es elegir al ganador con precisión. Pero el segundo también es importante: convencer al perdedor. Si un sistema electoral no es transparente y preciso en caso de auditoría, fracasa en el segundo objetivo. Nuestros sistemas electorales están fallando y tenemos que arreglarlos.
Hoy confiamos nuestras elecciones a ordenadores. Nuestros censos electorales están en bases de datos informatizadas, votamos en máquinas que funcionan con un sistema informático, y los votos se cuentan y se informan con ordenadores. Hay muchas buenas razones por las que lo hacemos así, pero el efecto secundario es que las elecciones de hoy tienen todas las inseguridades propias de los ordenadores. La única manera de protegerlas contra malhechores y accidentes es usando elementos que no se puedan piratear o que sean poco fiables cuando aumenta la escala: la mejor forma es respaldar con papel la mayor parte posible del proceso.
En los últimos tiempos ha quedado claro en dos ocasiones por qué es tan malo nuestro sistema de votación informatizado. En 2007, los estados de California y Ohio encargaron una auditoría de sus máquinas de votación electrónica: los equipos de expertos encontraron vulnerabilidades explotables en casi todos los componentes examinados. Sin ser detectados, los investigadores pudieron alterar el recuento de votos, borrar registros de auditoría y meter malware en los sistemas. Algunos de sus ataques podían haber sido implementados por una sola persona sin mayor acceso que el de cualquier trabajador electoral. Otros podían haberse hecho a distancia.
El año pasado, la conferencia de hackers Defcon patrocinó un Voting Village en el que los organizadores ofrecieron 25 herramientas electorales, entre ellos máquinas para votar y censos electorales electrónicos. Cuando terminó el fin de semana, los asistentes a la conferencia habían encontrado formas de comprometerlas a todas: metiendo software malicioso, poniendo en duda el recuento de votos y los censos, o haciendo que el equipo fallase.
Es importante entender que los atacantes no eran estados bien financiados. Ni expertos que llevaban semanas estudiando el problema. Eran hackers aburridos y sin experiencias anteriores con máquinas de votación que jugaban entre fiesta y fiesta en un fin de semana.
No debería sorprender a nadie saber que el equipo de votación, incluyendo las máquinas de votación, las bases de datos con el censo de los votantes, y los sistemas de recuento sean tan hackeables. A menudo, son ordenadores antiguos con sistemas operativos a los que sus desarrolladores dejaron de dar soporte. No tienen ninguna tecnología mágica de seguridad de la que en el resto de la industria no se sepa nada. En todo caso, son menos seguros que los ordenadores que utilizamos cotidianamente porque sus fabricantes ocultan cualquier defecto en el sistema cerrado de los equipos.
Que se altere el resultado de la votación no es nuestra única preocupación. A veces vale con provocar un fallo generalizado o incluso con sembrar la desconfianza en el sistema. Una elección en cuyos resultados no se puede confiar o creer es una elección fallida.
Los sistemas de votación tienen otro requisito que hace que la seguridad sea aún más difícil de lograr: el voto debe ser secreto. Como hay que separar el sistema con los censos del sistema que recoge y cuenta los votos, no se pueden usar las tecnologías de seguridad disponibles en la banca y otras aplicaciones de alto valor.
Es posible operar en banca por Internet de forma segura pero no es posible votar on line de forma segura. Si se eliminara el anonimato y todos pudiéramos comprobar que nuestro voto se registró correctamente sería fácil asegurar la elección. Pero eso llevaría a otros problemas. Antes de que Estados Unidos impusiera el voto secreto, la presión sobre los votantes y la compra de votos eran prácticas generalizadas.
Como no podemos hacer eso tenemos que aceptar que nuestros sistemas de votación sean inseguros. Necesitamos un sistema electoral robusto para hacer frente a las amenazas. En muchas partes del sistema, eso significa usar papel.
Empecemos con los censos electorales. Sabemos que ya han sido atacados. En 2016, alguien cambió la afiliación partidaria de cientos de votantes antes de las primarias republicanas. Es sólo una posibilidad. Un ataque bien ejecutado podría borrar, por ejemplo, a uno de cada cinco votantes al azar o cambiar sus direcciones causando el caos el día de las elecciones.
Sí, tenemos que reforzar la seguridad de estos sistemas. Necesitamos mejorar la seguridad de ordenadores, redes y bases de datos para las diversas organizaciones estatales de votantes. También necesitamos mejorar la seguridad de las páginas web donde se registran los votantes, mejorando el diseño y la seguridad on line. Necesitamos mayor seguridad en las empresas que construyen y venden todo este equipo.
Hacer múltiples copias de seguridad que no puedan ser modificadas es esencial. De forma separada, hay que guardar un registro de cada adición, eliminación o cambio en un medio que sólo permita ser grabado una vez, como un DVD. Debe haber copias de ese DVD, o mejor aún, copias impresas del censo electoral disponibles en todos los centros de votación el día de las elecciones. Tenemos que estar preparados para lo que sea.
Lo siguiente es ocuparse de las máquinas de votación. Los investigadores de seguridad están de acuerdo en que el patrón oro es la papeleta de papel verificada por el votante. La forma más fácil (y barata) de lograrlo es votando con un escáner óptico. Los votantes marcan manualmente las papeletas de papel, las introducen en una máquina y son contadas automáticamente. Esa papeleta se guarda y sirve como una prueba documental si hay problemas y hace falta un recuento. Para votantes con discapacidades, las máquinas de pantalla táctil que imprimen una papeleta para depositarla en una urna también pueden servir, siempre y cuando la papeleta pueda ser fácilmente leída y verificada por el votante.
Por último, los sistemas de recuento y de información. También en este caso necesitamos más seguridad en el proceso, pero siempre debemos usar las papeletas para controlar lo que dicen los ordenadores. Una auditoría manual postelectoral para minimizar riesgos se hará con más o menos papeletas en función del margen de victoria. Ordenar esta auditoría después de cada elección (antes de que los resultados sean certificados) nos hace confiar en el resultado de las elecciones, incluso si alguien ha manipulado las máquinas de votación y los ordenadores para el recuento. Además, necesitamos una mejor coordinación y comunicación cuando ocurren incidentes.
Es vital ponernos de acuerdo con estos procedimientos y políticas antes de las elecciones. Es fácil acordar la necesidad de mejorar la seguridad en ese momento, cuando cualquiera puede ganar y nadie sabe qué votos podrían modificarse. Pero después de la votación hay un presunto ganador, y todo cambia. La mitad del país quiere que el resultado se mantenga y la otra mitad que se cambie. Demasiado tarde para llegar a ningún acuerdo.
Los políticos que se presentan a las elecciones no deberían tener que argumentar sus recursos en los tribunales. Tener el resultado electoral que se ajuste a lo que votaron los ciudadanos redunda en beneficio de todos. Muchos países tienen comisiones electorales independientes para organizar las elecciones y garantizar su seguridad. No es así en Estados Unidos.
Lo que tenemos es a los representantes de cada una de los dos partidos vigilándose mutuamente en la sala de votación. Fue un sistema de seguridad aceptable para las amenazas del siglo XX pero totalmente inadecuado para las elecciones del siglo XXI. La creencia de que la diversidad de sistemas de votación en Estados Unidos constituye una medida de seguridad es un mito peligroso: pocos distritos pueden ser decisivos y hay muy pocos fabricantes de máquinas de votación.
Podemos hacerlo mejor. En 2017, el Departamento de Seguridad Nacional declaró que la infraestructura electoral era crítica, lo que le permitió concentrarse en asegurarlas. El 23 de marzo, el Congreso otorgó 380 millones de dólares a los estados para mejorar la seguridad electoral.
Es un buen comienzo pero no va lo bastante lejos. La Constitución delega la organización de las elecciones en los estados pero permite al Congreso “hacer o alterar tales reglamentos”. En 1845, el Congreso estableció un día nacional de elecciones. Hoy necesitamos que defina normas electorales homogéneas y estrictas.
Bruce Schneier es investigador y profesor de la Harvard Kennedy School. Forma parte del consejo asesor en la organización Verified Voting y es autor del blog Schneier on Security.Schneier on Security
Traducido por Francisco de Zárate