181-voto

Vot no

Hablemos de las elecciones. Hablemos de la boleta única electrónica.

Sin preámbulos ni entrada en calor, hablemos de la posibilidad de que alguien pueda manipular las máquinas que usaríamos para votar. Podemos empezar por prestar atención al siguiente fragmento de código:

[…]
       read_unlock(&tasklist_lock);
       if (flag) {
               retval = 0;
               if (options & WNOHANG)
                       goto end_wait4;
               retval = -ERESTARTSYS;
               if (signal_pending(current))
                       goto end_wait4;
               schedule();
               goto repeat;
       }
if ((options == (__WCLONE|__WALL)) && (current->uid == 0))
       retval = -EINVAL;
else
       retval = -ECHILD;
end_wait4:
       current->state = TASK_RUNNING;
       remove_wait_queue(&current->wait_chldexit,&wait);
       return retval;
}


Es importante verlo detenidamente, sé que parece tedioso pero vale la pena el esfuerzo. Acá va de nuevo:

[…]
       read_unlock(&tasklist_lock);
       if (flag) {
               retval = 0;
               if (options & WNOHANG)
                       goto end_wait4;
               retval = -ERESTARTSYS;
               if (signal_pending(current))
                       goto end_wait4;
               schedule();
               goto repeat;
       }
if ((options == (__WCLONE|__WALL)) && (current->uid = 0))
       retval = -EINVAL;
else
       retval = -ECHILD;
end_wait4:
       current->state = TASK_RUNNING;
       remove_wait_queue(&current->wait_chldexit,&wait);
       return retval;
}


¿Qué es lo importante de este código? Que no es uno, son dos distintos, con una pequeña diferencia: uno de ellos tiene un signo ‘=’ de menos. Es la única diferencia, dos miserables rayitas, pero con una implicancia no menor: si el segundo estuviese corriendo en una computadora, ésta podría ser hackeada con facilidad. Se trata de un caso real del año 2003, de código que se encuentra en la parte central del sistema operativo Linux. La diferencia entre la versión correcta y la que te hace sonar es tan sutil que es muy difícil de detectar, incluso por expertos (para ser riguroso, este caso se detectó con facilidad porque se trató de una modificación a un código ya existente y hay herramientas que muestran sólo aquellas líneas que cambiaron, que en este caso eran sólo dos, cuando hay que auditar una pieza de software desde cero no se cuenta con esa ventaja).

Me adelanto a la objeción: si fuera tan difícil, ¿cómo saben las empresas que venden software que sus productos no tienen fallas? La respuesta es muy sencilla: no lo saben. Y no se trata de que en su ansia desmedida por apropiarse de la renta saquen productos a medio cocinar. Bueno, a veces un poquito sí, pero hay dificultades mucho más de fondo.

Seguro es el que probó y confió

Ahora, podríamos probar con probar, ¿no? Es decir, si uno quiere saber si una pieza de software falla en algún caso, puede probarla y con eso alcanza, ¿no? No, la verdad es que con probar no alcanza. El testing es la disciplina informática encargada de probar una pieza de software buscando incrementar la confianza que se tiene en que opera como debe. Funciona así: uno prepara una batería de casos de prueba, que son descripciones paso a paso de qué hacer con el sistema, y compara el resultado obtenido con el esperado. Si no son iguales, acabamos de encontrar un defecto (lo que coloquialmente se llama ‘un bug’).

Por otro lado, si sí lo son, la única garantía que tenemos es que esa interacción (y no otra, y mucho menos todas) funcionó bien la vez que la probamos, pero tampoco es que estamos tan seguros. Aún si corremos otra vez exactamente la misma secuencia, este segundo intento podría fallar porque no sabemos si el programa en cuestión tiene en cuenta alguna ‘variable invisible’, como por ejemplo la hora de la computadora, y entonces se comporta de una forma cuando esa variable es una (digamos, a las 9:13 de un martes), y de forma distinta en otra (por ejemplo, a las 4:12 de la madrugada del sábado). El que no se comporte distinto a las 4:12 del sábado, que tire la primera piedra.

Aún si tuviésemos el código y pudiésemos mirar todas las variables involucradas, las alternativas crecen exponencialmente y los caminos posibles a probar son millones de millones. Es decir, el testing es un paso fundamental para asegurar la calidad del software, y cuando encuentra un defecto, hay que arreglarlo; pero el testing nunca puede asegurar la ausencia de defectos.

Existen métodos automáticos que también ayudan a aumentar la confianza en que el software funcione como se espera. Algunos son muy buenos, pero tampoco son infalibles. La cosa se complica aún más si estamos haciendo testing de seguridad, ya que en ese caso el comportarse correctamente implica que no sólo haga lo que tiene que hacer, sino que no haga nada ‘extra’. Un ejemplo puede ser el caso del acceso a un home banking: no sólo debe dejarme entrar solamente con la contraseña correcta, sino que siempre debe transportarla por la red de manera encriptada y un largo etcétera de requisitos que hacen a la fortaleza y seguridad del sistema. Pero hay más: no sólo debe cumplir con estos requisitos, sino que no debe tener ningún tipo de agujero de seguridad: de esos que aprovechan los virus y los hackers para subvertir un sistema y hacer que sucedan cosas no contempladas. En un sistema informático, es muy, muy difícil encontrar fallas sutiles (a modo de ejemplo, un ‘bug’ de seguridad en un software de código abierto muy usado estuvo presente 20 años hasta que fue hallado u otro que se detectó hace pocos días y estuvo latente por 11 años y presente en las máquinas con las que se votó en la CABA), y ni hablar de aquellas que son introducidas a propósito con la intención de que no puedan hallarse. Valga como ejemplo el bug introducido intencionalmente en el año 2006 en la especificación de (prepárense que parece chino lo que sigue, pero es algo importante) el generador de números al azar ‘Dual_EC_DBRG’, que es una parte central de muchos algoritmos criptográficos. Posteriormente, varios fabricantes implementaron el estándar viciado en sus productos y por ende muchísima información sensible que debía ser protegida por mecanismos criptográficos quedaba al desnudo para el autor del bug, que muchos sospechan que se trataba de la NSA. El incidente recién salió a la luz pública en el año 2013.

Algo que sabemos hace mucho en el mundo del software es que uno no puede tener garantías de que no hay fallas, y a lo que debe apuntar es a tener un muy alto nivel de confianza en que el sistema en cuestión funcione como se espera.

¿Qué tan grave es que falle el software? Bueno, si falla Tinder, tal vez nuestros genes no se propaguen (quién te dice, terminamos haciendo un bien a la humanidad). Ahora, si falla un marcapasos, uno pensaría que es bastante más grave. Pero, ¿y si el software altera o permite alterar un resultado electoral? Como el marcapasos, pero de escala país. A eso se lo conoce como la criticidad, es decir, qué tan graves son las consecuencias de que falle un sistema.

Cuando se trata de software crítico a lo que debe apuntarse es a hacer nuestro mejor esfuerzo para disminuir la chance de que ese software tenga fallas. Cabría preguntarse por qué se usa software en esos casos si no puede garantizarse que sea seguro. La respuesta es simple: porque las otras alternativas que podrían cumplir las mismas funciones o bien no existen o también pueden fallar.

Tener un alto grado de confianza en un sistema tan crítico como el que interviene en una elección requiere de mucho tiempo de trabajo por parte de un grupo de expertos, que utilizará técnicas como inspección ocular, revisión entre pares, testing, análisis estático y dinámico de código, penetration testing (no relacionado con Tinder) y un largo etcétera durante un periodo prolongado de tiempo. Los hallazgos de ese trabajo realimentarán el proceso de diseño y programación del sistema, y el proceso de prueba deberá recomenzar. Pero, ¿qué pasa en el caso de una elección? ¿Es posible que todos estos controles no sean suficientes? Sí.

Para nosotros que lo miramos por TV

Para entender por qué, imaginemos el próximo proceso electoral de nuestro país: una compra así de grande debe hacerse por licitación, supongamos que se hace mañana, que procede sin dificultades y se evalúa en tiempo récord.

[Pausa para recuperarse de la risa]

El 1 de enero de 2017 la empresa concesionaria termina por completo de desarrollar los sistemas que intervendrán en la elección, los prueba, los analiza y determina que funcionan correctamente. No estamos hablando de desarrollar una app chiquita; se trata de un sistema muy grande, que incluye mucho código desarrollado por la propia empresa, mucho código desarrollado por terceros, e incluso un sistema operativo o parte de él (que puede tener fallas como las que describimos al comienzo del artículo). Todas y cada una de esas partes deben chequearse profundamente porque funcionan de manera encadenada y el resultado final puede alterarse en cualquiera de ellas. En definitiva, el sistema entero es tan fuerte como la parte más débil de la cadena.

Ese 1 de enero, ya curada la resaca, expertos de todos los partidos se reúnen y analizan el sistema utilizando todas las técnicas que mencionamos anteriormente. El sistema completo a probar es muy complejo, dado que contiene hardware (lo que se puede patear) y software (lo que sólo se puede putear), así que les toma 6 meses. Menos tiempo, no es realista; más tiempo, se dificulta llegar a agosto con las máquinas repartidas por los más de 3 millones de km cuadrados de nuestro territorio. Entonces se juntan y en un éxtasis de felicidad brindan porque todas las fallas que fueron encontrando se fueron arreglando (lo cual sólo significa que no encontraron más fallas, no que no existan).

La primera pregunta es: ¿cómo saben que todos auditaron el mismo sistema? Eso es fácil de resolver con el software porque uno puede calcular una firma digital del código del sistema, y si las firmas coinciden es que auditaron el mismo software. ¿Y el hardware? Bueno, no existe tal cosa como la firma digital del hardware, así que realmente no hay forma de saber que probaron con el mismo hardware, y eso es importante porque lo que determina qué va a pasar es la combinación de hardware y software. Y sí, se pueden poner ‘virus’ por hardware.

Pero supongamos que decidimos pasar por alto ese ‘detalle’ y, en un acto de fe ciega, suponemos que todas las computadoras que se van a usar en la elección fueron bendecidas por Santo Tomás de los Pines en persona y por ende suponemos que el hardware simplemente ejecuta el software en forma fiel, sin interferir con su funcionamiento (insisto con esto: en un acto de fe). ¿Cómo sabemos que el software que se va a ejecutar es el que fue auditado? Deberían reunirse todos, todos, todos, frente a otra de esas computadoras bendecidas y compilarlo ahí mismo (compilar es el proceso por el que se pasa de un texto escrito en un lenguaje de programación a esa secuencia de ceros y unos llamada código de máquina, que es lo único que ‘entiende’ una computadora realmente). De nuevo, necesitamos otro acto de fe para ignorar el artículo de Ken Thompson, laureado en 1984 con el Premio Turing (aka ‘el Nobel de la Computación’), llamado ‘Reflections on Trusting Trust‘, que explica cómo el propio compilador puede ser saboteado para, a partir de un programa sin problemas, producir código de máquina malicioso.

Supongamos que también ignoramos eso, así como el trabajo posterior que lo muestra en la práctica. Tenemos nuestro código de máquina compilado delante de todos, que suponemos que no tiene trampas. Calculamos una firma digital de ese código de máquina y se la pasamos a todos nuestros fiscales. Y ojo acá, que cabe recordar que ya venimos acumulando dos actos de fe, uno por el hardware, otro por el compilador.

Llega el día de la elección, viene el empleado del correo con una de esas máquinas que por acto(s) de fe suponemos que no tienen problemas. Trae también su CD o pendrive con el código de máquina que es lo que define qué pasará realmente con ella, y cada uno de los fiscales partidarios chequea con su computadora (que tienen, porque la VAN a necesitar, así que asumimos que hay una computadora para CADA fiscal) si la firma digital de ese CD o pendrive coincide con el que fue compilado delante de todos. Esto es absolutamente indispensable, porque si los fiscales no pueden corroborar individualmente que el software que se instala en cada máquina es el auditado, no sólo existe la posibilidad real de que se instale otro, sino que además se deja abierta una puerta para que cualquiera disconforme con el resultado lo atribuya a una adulteración y tenga un punto muy fuerte a su favor.

Todo esto supone además que no hay que hacer ninguna modificación de último momento (como que la justicia autorice algún cambio en las listas o en la forma de presentarlas, algo que es muy usual), porque habría que repetir todo el proceso de nuevo, ya que cambia el código fuente, el código de máquina y la firma digital.

Nada puede malir sal

¿Qué podría pasar si las máquinas de votación estuvieran ‘comprometidas’? (estoy resistiendo el chiste del cybercivil y la cyberfiesta). La verdad, de todo.

Recordemos que, en el formato ‘boleta electrónica’, el ciudadano elige a sus candidatos y la máquina debe grabar su elección de forma digital y además imprimirlo en formato legible. Una máquina comprometida o adulterada podría imprimir al candidato A en letras y grabar digitalmente al B.

No tiene que hacerlo siempre, que sería muy obvio, puede hacerlo en una cantidad estadísticamente pequeña de casos, lo suficiente como para asignarle una banca de más o de menos a algún partido, o definir un ballotage muy parejo para una presidencia (pongamosle un 51 a 49 hipotético, o recordemos también el referendum en Colombia donde el No acaba de ganar con 50,2% de los votos).

Si de variaciones estadísticas se trata, también podría pasar que el orden al azar en el que aparecen los candidatos no sea tan al azar, dándole prevalencia a alguno. No vamos a hacer un listado exhaustivo, pero analicemos un poco más.

 

8ue8ekot67ylq1

¿Se te ocurre alguna razón para dudar de la Boleta Única Electrónica? Un par.

Unos investigadores independientes reportaron un defecto en el sistema usado en la CABA para las elecciones para Jefe de Gobierno de 2015: permitía cargar varios votos a la vez, algo que ninguna de las auditorías oficiales había notado. Otro investigador descubrió un manejo poco seguro del mecanismo de encripción utilizado, lo que permitía que cualquiera mandara al centro de cómputos resultados como si fuesen oficiales. Lo reportó antes de las elecciones y por supuesto que fue automáticamente respetado y tratado con cuidado. O no: fue allanado y enfrentó un proceso judicial que duró casi un año (así como al pasar, durante ese proceso se determinó que los servidores de la empresa que brindó el servicio habían sido hackeados), con altos costos, hasta que finalmente la justicia determinó que no había cometido ningún delito (y hasta que había dado una genuina mano identificando los problemas). Porque si hay algo que querés cuando reportás un bug en un sistema público crítico es que te traten como un peligroso delincuente y te secuestren todos los aparatos electrónicos, incluyendo compu, laptop, Kindle, y una licuadora que parece que miraba fijo a uno de los gendarmes.

Dilema 5: Un hacker encuentra una vulnerabilidad en un sistema digital y decide reportarlo…

Pero, si es electrónico, tiene que ser fantástico

Una objeción que se escucha con frecuencia es que está previsto el escrutinio manual. Analicemos esta posibilidad basándonos en los datos duros del informe final de la Defensoría del Pueblo de la CABA sobre la elección para Jefe de Gobierno de 2015. Según este informe, ‘una vez cerrada la mesa, el 83,9% de los presidentes pudo realizar el escrutinio sin inconvenientes. Durante el conteo de votos, sólo el 10,1% de las mesas contó con fiscales que realizaron algún reclamo’. Esto significa que hubo cerca de 730 mesas con reclamos. A 300 votantes por mesa, hay unos 219000 votos en cuestión, muy por encima de los 54000 que definieron la elección en CABA y peligrosamente cerca de los 300000 votos de diferencia que definieron el ballotage presidencial de ese mismo año. De ese informe surge también que un 26,2% de los votantes dijo no haber verificado que el voto impreso coincidiera con lo que había elegido.

Pero además, aún en el caso en que todas las mesas electorales corroboraran el escrutinio electrónico con uno manual, el manual es sólo corroboración de una planilla que se graba digitalmente en otra boleta electrónica. De nuevo, un software malicioso podría hacer que la grabación tenga cifras adulteradas incluso cuando la propia máquina las siga mostrando como correctas. O tal vez la manipulación podría hacerla la máquina que lee la tarjeta y manda la información a través de Internet hacia el centro de cómputos (que a su vez podría tener software adulterado o hackeado como el de CABA en 2015). No sé cómo vienen ustedes, pero a esta altura ya perdí la cuenta sobre la cantidad de saltos de fe.

Memoria y ‘países serios’

El pueblo argentino se ganó el voto universal, secreto y obligatorio en cuotas. Primero nos ganamos el voto (de entrada solamente los varoncitos, aunque ellas conquistaron la universalidad un par de cuotas más tarde), varias dictaduras nos lo sacaron y hubo que reconquistarlo. En el medio de esas peleas, conquistamos el voto secreto, y lo consagramos en la Ley Sáenz Peña.

Entonces teníamos la posibilidad de que nadie supiera a quién votaste, para que no pudieran chantajearte, presionarte, comprarte o vengarse de vos si no les gustaba tu decisión. Esto se manifiesta de manera muy clara cuando tenemos la posibilidad de poner nuestro voto en un sobre idéntico a todos los sobres para después abrir la urna y contar (y sí, hay maneras de manipular y de romper el secreto de voto, pero son fácilmente identificables y auditables por ciudadanos comunes).

Hay que tener memoria, algo que las computadoras también tienen. Justamente el tema de la memoria es central en el argumento de la Corte Suprema de Alemania que, en el año 2009, prohibió el uso de urnas electrónicas porque contradice el principio de que todos los pasos de la elección estén sometidos al escrutinio público sin requerir conocimientos técnicos especiales.

Si pudiera elegir un sólo párrafo para ser recordado de todo este texto (que intenta ser exhaustivo respecto de las múltiples aristas a considerar en la adopción o no del voto electrónico y sus variantes), sería éste: si dependemos de un proceso técnicamente inaccesible para la enorme mayoría de nosotros (salvo los expertos en desarrollo de sistemas de votación electrónica), la transparencia del sistema para el ciudadano común desaparece.

Con el voto electrónico y sus variantes, a la democracia la vemos pasar, la miramos por TV. Nos cuentan y tenemos que creer o reventar. El pilar de nuestra construcción democrática, la elección, se transforma en algo que no entendemos, que no podemos auditar. No es un detalle menor que el voto sea secreto. Es esencial y nadie nos lo regaló, hubo que luchar mucho para conseguirlo. Con el voto electrónico y sus variantes, puede dejar de serlo. Lo que es peor aún, no sabemos si es o no secreto, y sembrar esa duda (que se vuelve razonable porque el sistema es tan opaco que no hay forma de saber la verdad), alcanza para que alguien pueda manipular nuestra decisión. El voto no solamente tiene que SER secreto, sino que tiene que LUCIR secreto, para poder ser ejercido sin presiones.

De imprentas e impresoras

El sistema actual no es perfecto: es cierto que es problemático y costoso distribuir las boletas a todos los cuartos oscuros, y que sería muy bienvenida una alternativa superadora a semejante desafío logístico, especialmente para los partidos chicos. Pero superadora de verdad, no sólo aparentemente. Si vamos a informatizar, pensemos en lo que pasa después de votar, desde hacer un conteo asistido de los votos hechos en papel a cosas mínimas como disponer de un procesador de texto y una impresora en los cuartos oscuros para que las actas no sean manuscritas y haya menos errores de transcripción.

Muchas veces se revolea el argumento de que las máquinas de votación son solamente impresoras. Es un argumento casi gracioso porque las impresoras de hoy en día son solamente otro tipo de computadoras y, como tales, también tienen memoria. Y pueden usar esa memoria para registrar que, por ejemplo, el primer votante votó por A, el segundo por B, el tercero por A de nuevo, y así siguiendo. Con el simple expediente de ir contando, todos los fiscales partidarios pueden saber quién votó primero, quién segundo, etc. No sólo los fiscales, basta con poner a un chabón a fumar en la puerta del cuarto oscuro. Es decir, no alcanza con que el sistema no manipule los resultados, también hay que garantizar que no registre información de más.

Análisis de nuestro corresponsal Gato Asia

Análisis de nuestro corresponsal Gato Asia

Y la verdad es que en este caso hace falta poca memoria, o casi ninguna: en cada cuarto oscuro votan unas 300 personas; ese número se codifica con sólo 9 bits.

Si no te resulta obvio que el número 300 se codifica con 9 bits, es un claro ejemplo de como el sistema que estamos discutiendo también te dejó afuera a vos, una persona problablemente educada, curiosa e informada, pero que no tiene conocimientos específicos sobre computación. Qué loco pensar que con esas mismas condiciones sí podrías auditar todo el proceso de voto en papel: saber leer, ser curioso y educarte respecto en el proceso de fiscalización (algo que demora minutos).

Decíamos que alcanza con 9 bits, 9 puntitos escondidos en cualquier parte de la boleta en papel para saber a quién votó cada persona. Si alguien va contando en qué orden vota cada uno de los electores, luego, cuando recuperan las boletas en papel, se miran esos 9 puntitos mínimos, escondidos con algo de cautela, tal vez en el borde de una letra, tal vez simulando ser una mancha de tinta, y se puede reconstruir a quién votó cada elector. ¡En tu cara, Sáenz Peña!

Comparando

El sistema electoral actual no es perfecto y tiene mucho para mejorar. Pero es mucho mejor de lo que se nos quiere hacer creer muchas veces. Si una fuerza política quiere gobernar una ciudad debe concitar las voluntades de la mayor parte de los electores de la ciudad, pero el requisito previo es que tenga un núcleo de personas con un nivel mayor de adhesión, realmente entusiasmados por la propuesta, que estén dispuestos a ser fiscales durante un día. ¿Con qué requisitos? Los básicos: prestar atención, saber leer, sumar y restar, condiciones que en líneas generales cualquier adulto puede cumplir. Sería razonable que las fuerzas políticas que tienen una ambición mayor, como la de gobernar una provincia, tuvieran una cantidad de entusiastas proporcional al tamaño de la provincia. Si no, es muy difícil pensar que la van a poder gobernar. El mismo razonamiento cabe si quieren gobernar un país. Por supuesto que no es fácil, pero gobernar tampoco lo es. Si no podés resolver el problema de conseguir 20 fiscales para ser intendente de tu ciudad, difícilmente puedas resolver los problemas que conlleva la propia intendencia, donde son muchas más las voluntades que deben alinearse, durante mucho más tiempo que un par de domingos cada dos años. Lo mismo si querés gobernar un país.

Por otra parte, es poco verosímil y hasta peligroso que una fuerza política acepte dejar la máquina de votación sin supervisión, con lo que la implementación de mecanismos electrónicos tampoco elimina la necesidad de fiscales.

Para los fiscales, el sistema actual podría mejorarse en varios puntos, pero el hecho de poder entrar por la web y ver si el telegrama escaneado tiene tu firma y si la planilla electrónica coincide con lo que está escrito a mano y con tu copia del acta es un punto de control muy fuerte.

Dada la propuesta actual de voto electrónico, con tener fiscales no alcanza, porque en definitiva los puntos de control establecidos de nada sirven si se pierde el secreto del voto, si lo que se graba en la boleta no refleja la voluntad del elector en todos los casos, o si luego esa información es nuevamente volcada a otra computadora que puede manipularla en el proceso.

No es menor decir que este análisis no parte de ser un romántico de los viejos tiempos o un férreo opositor a la ciencia y la tecnología. Lejos estoy de serles fóbico o de no comprenderlas. Es más bien lo contrario en este caso: entender cómo funciona la tecnología digital nos da herramientas para poder mirarla con ojos críticos. Justamente por eso entendemos sus limitaciones, como lo hacen casi todos los países desarrollados (para nada tecnofóbicos), que siguen votando en papel.

De hecho, si lo que se busca es boleta única, existe la boleta única en papel: en un mismo cacho de árbol tenés a todos los candidatos de todos los partidos y le ponés una cruz a los que prefieras (la única dificultad es que hay que explicarles a los adolescentes que se elige sólo con una cruz y no vale usar otros emoticones).

Decía más arriba que con la boleta electrónica la transparencia se pierde, y es importante recalcar que no reaparece si, en lugar de implementarse a las apuradas, se hiciese con tiempo suficiente.

El sistema está intrínsecamente viciado porque el piso mínimo necesario para entender el proceso electoral electrónico, auditarlo y participar de su control, se vuelve prácticamente inalcanzable. Pasa de requerir habilidades que se adquieren en la escolaridad básica a volverse una discusión de expertos, cerrada, críptica, y por ende, excluyente.

Somos los ciudadanos y ciudadanas comunes, los que armamos ese nosotros bien grande que trasciende lo que nos aúna y lo que nos separa, los que queremos poder votar de forma secreta y segura, y que nuestro voto se escuche. Que se escuche cristalino, sin intermediarios, dudas o mugre.

Que se escuche exactamente como lo manifestamos, aún cuando el resultado no nos guste, pero sabiendo que genuinamente nos representa.

 

BONUS TRACK

Esta mañana Nicolas habló con Juan Pablo Varsky sobre la nota, vale la pena escucharlo:

Nota: Para entender un poco más sobre en qué países del mundo se utiliza voto electrónico (spoiler alert: muuuuy pocos) y las controversias que esto encierra, recomendamos leer este artículo de Javier Pallero.

Más refes:

Otra referencia a ‘virus’ por hardware, en castellano: https://ekoparty.blogspot.com.ar/2014/10/deep-submicron-cpu-backdoors-alfredo.html

 

Bonus track 2

La opinión de Julian Assagne sobre voto electrónico, aunque debe ser tomada con pinzas, ¿qué sabe él de un tema así?




Hay 119 comentarios

Añadir más
  1. Hernán

    Sabía que iba a llegar un artículo del Gato sobre este tema. También sabía que era imposible que fuese ‘breve’. También se que quienes más debieran leerlo, no llegarán ni a la mitad, aunque ojalá me equivoque en esto último.
    Como sea, no se puede hacer más que insistir. Así que, para empezar, felicitaciones por el artículo, y gracias. Seguiré por acá con más comentarios, seguramente.

  2. Mauro

    Gracias por el artículo. Es un tema muy complicado de discutir porque se entremezclan preferencias políticas y la confianza de cada uno. Es muy difícil explicar con un par de mensajes lo que los programadores vemos todos los días: las cagadas abundan y en los lugares menos pensados. Y eso ya sin malicia o intereses.

    Un punto interesante en el que creo se puede ahondar es la seguridad de los home banking. En algunas discusiones me han dicho que si los bancos funcionan, esto no puede fallar. Un punto a tener en cuenta es que esos sistemas están pensados para ser auditados: cada centavo que se mueve deja un registro. Entonces, si se detecta un ilícito, hay un sistema secundario e idealmente independiente que muestra quién lo hizo y cómo. Eso no lo hace invencible pero es una barrera más de defensa. Si pretendemos conservar la anonimidad del voto, no podemos utilizar esa herramienta imprescindible.

    En última instancia, la confianza es lo importante. Ni siquiera hace falta vulnerar el sistema como para afectarla.

  3. Gabriel

    El tema de la confianza es crítico. Yo participé en la primer implementación de la BUE en Rosario, 2005 si mal no recuerdo, y un par de votantes me preguntaron si era verdad que sabíamos que estaban votando (era un presupuesto participativo).
    Resulta que los punteros les habían dicho que podían saberlo, lo cual era mentira, no se podía saber a quien votaba cada uno, y eso era suficiente para que voten al pie de la letra las opciones que les habían dado impresas en un papelito.
    Los que me creyeron que no quedaba nada registrado, me dijeron que entonces iban a votar por lo que ellos querían. Pero fueron muy pocos los que se animaron a preguntar.
    Creo que este es el punto más flojo de cualquier sistema electrónico. Ni siquiera es necesario hackearlo, con asustar a los electores no técnicos es suficiente.

    • Iaik

      Precisamente yo trabajo en PP (Joven) , y en el Presupuesto Participativo Rosario, la carga del sistema en si es el punto álgido,se tiene una plataforma digital y tenemos una boleta única que los consejeros (una especie de fiscales) suben al sistema. La identidad de los votantes y el contenido de los votos se carga de manera independiente (Lo único que se controla es la cantidad de votantes/votos) . Sin embargo , el éxito de esta manera de democracia es la confianza de los votantes. Si no confían no votan, y sin votos no hay legitimidad del proceso.
      Y eso que estamos hablando de un sistema local, que decide solo una parte (1.9%) del presupuesto municipal. Imagínate un país!

    • Javier Pallero

      Esta consideración es clave. Se trata de la capacidad de ejercer el control sin necesidad de dominar una tecnología.

      Acá Maduro, en Venezuela (donde tienen voto electrónico con respaldo papel) usando esa opacidad inherente a esta tecnología para asustar a la gente https://www.youtube.com/watch?v=AjG42CMOOdk

      Y un articulo groso en Medium que elabora esa idea del dominio de la tecnología
      https://medium.com/@earlkman/por-qu%C3%A9-noalvotoelectronico-243f2fa5ed10#.dt0lt876f

  4. Federico Opfinger

    Muy interesante nota Nicolás, la verdad nunca me había puesto a pensar en esto..
    Me gusta mucho todo lo referente a la tecnología e informática, pero aún así, siendo un poco más nerd que la mayoría de la gente que me rodea, coincido con lo que decís de que estoy excluido. Ni siquiera alcanza con que te interese el tema, tenes que saber en serio, y son pocos los que saben en serio.
    Muchas gracias por la reflexión! Saludos!

  5. Gabo Lato

    Felicitaciones por el artículo. Decenas de veces intenté explicar a “no informáticos” estos temas. Y, de hecho, para hacerlo había empezado a escribir un artículo yo mismo, hace 2 semanas, después de leer una nota en la nación.

    De verdad, muchas gracias. Espero que la gente que no sabe de estas cosas lo lea y piense de una manera un poco más crítica.

  6. Luis Herrera

    Muy buen artículo.
    Con respecto a los sistemas de home banking, creo que funcionan justamente por los constantes controles en tiempo real que se producen: a) de parte del titular, saldo antes de la compra/transferencia vs. saldo después; b) del banco: saldos c) del receptor del pago: monto recibido; d) del fisco, etc. Es decir, no hay “secreto” ahí, todo lo contrario.
    Las partes saben qué, cuánto, cuándo, cómo y quién hizo el pago, quien lo recibió, quien intermedió y quién cobró impuestos por ello. Los intereses de cada uno hacen la “magia” venta/compra del producto o servicio, cobro de comisiones, gravabilidad de la transacción.
    Por lo dicho, el sistema electoral, difiere notablemente del bancario.

    La imposibilidad de auditar el sistema electoral no se compara con los supuestos beneficios del voto electrónico: menores costos y rapidez en el conteo. Prefiero lento, pero seguro.

    Es otro caso de “locura de solucionismo tecnológico” en términos de Evgeny Morozov, donde se pretende, con tecnología” solucionar un problema que no es tal.

    Apoyo la boleta única de papel, aunque en muchas provincias a los políticos no les va a gustar por la gran cantidad de sublistas (lemas o colectoras) que vienen usando como estrategia.

  7. Damian

    Este artículo con una breve transcripción de lo que pasó en la Cámara hace un resumen breve de qué tan ridícula es la idea del “software que nunca falla”

  8. Julian Cantarelli

    Creo que la mayor falla a la hora de mostrar la inseguridad de este sistema está en las formas de hacerlo. Se ataca a la gente común por su desconocimiento. Se la trata de estúpida por no entender de seguridad informática y de vaga porque antepone la facilidad para votar y contar. Mucha “gente de sistemas” perdió el contacto con la gente común y empezó a verlos como inferiores. Y nos va a terminar cabiendo a todos por eso.

  9. Martin Amico

    Para auditar un sistema de esos se necesita “Auditores” capacitados no es así? No puedo ir yo y ponerme a jugar con el programa a ver si lo hago fallar.
    Hay que ver quien audita a los auditores también.

  10. Fer

    Hola,
    Qué bueno que El Gato se meta en este tema. No pude leer el artículo completo ahora, pero el planteo es claro.
    Más allá de los problemas técnicos, o relacionados a la implementación, que no son para nada menores, creo que el problema más grave del voto electrónico es que es inconstitucional.
    Yo no soy especialista en el tema, pero Delia Ferreyra sí, y lo explica muy bien en este artículo: http://www.calibar.com.ar/numero-10-24-08-2016/la-reforma-electoral-del-gobierno-una-gambeta-a-la-constitucion/

    https://twitter.com/DeliaFerreira – “Lawyer. International Consultant on Money & Politics, Elections, Transparency, Political Parties, Public Policy. Individual Member of Transparency International, deliaferreira.com.ar”

    #NoAlVotoElectrónico

  11. Mariangeles

    Excelente!! Voy difundiendo este entretenido artículo (y no por ello menos minucioso y certero). El humor también implica movilizar las neuronas, sobre todo cuando es inoculado en el tiempoespacio indicado. Adelante con las chispas, que nos hace falta encender muchos fueguitos!!

  12. Elsurexiste

    Mixed feelings con tu artículo, pero en general está bien.

    La segunda pieza de código está bien para lo que querés demostrar…. pero ambos sabemos que un analizador estático de código, herramienta que lleva décadas, hubiese visto eso y levantado una bandera roja. No usaban lo que la misma industria ya ha producido para ese problema. Nada garantizaba que lo usen en BUE… excepto un fiscal partidario.

    Sobre las virtudes/defectos del voto en papel… terminaste hablando de (a) el voto electrónico y de (b) que el problema del voto en papel es el problema de conseguir fiscales. Sobre (b), lo planteás esencialmente como un problema de control humano. Es *muy* extraño que el resultado electoral y la capacidad de gobierno de un partido dependan (al ser una elección, exclusivamente!) de la cantidad de fiscales que logre reunir. Como quedó demostrado en la quema de urnas de Tucumán, los fiscales sólo incrementan la confianza, no la garantizan. Para colmo, ni siquiera mencionás el error humano, el punto más flaco del uso de papel: cuando yo fui fiscal, en la sala de al lado tenían diferencias del 10% en los votos y los fiscales/presidente de mesa no sabían qué hacer. Para boleta única, basta con hacer una cruz adicional sobre la boleta del candidato opositor para anular la boleta. Sobre (a), bueno… 😛 .

    Decir que “el sistema está intrínsecamente viciado” es un tanto inexacto: todo proceso está intrínsecamente viciado por su soporte. Intuyo que detrás de tus puntos hay un poco de sesgo cognitivo: como el papel es familiar y simple de usar, es más fácil de controlar/usar/conocer. No es así. Preguntale a cualquier votante por qué está seguro de que su voto en papel va a ser contado correctamente desde que se fue del centro de votación hasta que vio el resultado en la tele y la mayoría va a empezar a sospechar sobre lo que antes pensaba que era obvio y familiar. Ver “The misunderstood limits of folk science: An illusion of explanatory depth. Cognitive Science, 26, 521-562”.

    Igual, das en el clavo: el problema es de control. Tal vez la solución no pase por la implementación de la BUE, pero es obvio que el asunto no pasa por rechazar la incorporación de elementos electrónicos.

  13. Maximiliano Felice

    Fantástico el artículo! Increíblemente te quedó afuera todo el rol del chip RFID, que a mi gusto debe ser de las cosas más cuestionables a nivel seguridad: http://securitywing.com/top-10-rfid-security-concerns-threats/. Si, quisiera evitar en un sistema de votación cualquer cosa que tenga un TOP 10 de problemas.

    Lamentablemente, lo que suele suceder en los casos en los que hay tanta cantidad de argumentos para una postura, es que se diluyen entre ellos y terminan perdiendo entidad. Es mucho más atractivo pensar solamente que “no te vas a mojar si llueve el día de la votación”. Seguramente algún sociólogo le puso un nombre cool a esto.

  14. Javi

    Excelente artículo!
    Hay algo que me deja pensando con una profunda, profunda preocupación:
    ¿Quienes son los que pueden llegar a tener las intenciones de manipular el sistema para conseguir un resultado?
    y como respuesta a ello encuetro solo oscuridad.
    Pensemo en que todo es gestionado por politicos de bien, en un acto de altrismo se reunen todos los partidos a revisar todo, siempre con las mejores intenciones.
    y aca iene la cuestión:
    ¿Quien me asegura que no hay un “privado” con suficiente capital para entromenterse en cualquier parte del proseso (incluso creando su propia empresa para presentarse a las licitaciones) y torcer el proceso según su conveniencia, incluso sin que los involucrados lo noten?
    Flash!!!

    saludos

    • Cande

      Supongo que dadas las condiciones en que se está impulsando el voto electrónico, que es con un licitante ya incluído, y desde una gestión que tiene un TEMITA con las licitaciones, tu pregunta es pura ironía.

      • Javi

        Mi comentario no es ironía,
        realmente me preocupa pensar que puedan existir empresas privadas que por si solas (es decir sin ninguna mala intencion de los contratantes, e incluso su desconocimiento) puedan tener la capasidad, ya sea de modificar/alterar/registrar el voto de la gente, con vaya a saber que intensiones

  15. Julian

    Yo pienso, y con la mayor de las humildades, que una de las soluciones si lo que quieren es acelerar el proceso de conteo, sería hacer como se hace el Censo. Es decir que en la boleta, cada candidato tenga un “circulito” para que el votante rellene con una lapicera. Luego eso se pone en scanners de alta velocidad y el sistema va contando los puntitos según reconoce la página. Tan difícil no es de implementar y el conteo sería rapidísimo.

    • Javier Pallero

      Es una de las propuestas que hay, pero hay sectores políticos que no quieren la boleta unica de papel, que habilitaría eso.
      Por qué? por la sencilla razón de que te hace pensar más en qué elegís y eso no les gusta. Termina con el llamado “efecto arrastre” de la lista sábana. Con el voto electrónico no desaparece, sigue existiendo y será muy fácil: elegir “voto lista completa” poniendolo como primera opción y chau 😉

      Por eso algunos del FPV ahora proponen usar la computadora pero que te imprima un voto en papel con un código QR (sin chip creen que no hay problema)

      • Facundo

        Respecto a la velocidad puede que sea mejor, pero si vas a escanear las boletas vas a tener que usar un sistemita, en una computadora…

  16. andrescass

    Gran artículo. No solo por la claridad en la explicación de los aspectos técnicos sino por la abarcación de aspectos relacionados directamente con la filosofía detrás del voto como herramienta de la democracia.

    Trabajo como desarrollador de sistemas de seguridad (de mucha seguridad, de esa que falla y algo explota, literalmetne (bueno, no tanto, pero por ahí cerca)), y justamente por esa no-seguridad intrínseca que tiene el software es que es, si bien no imposible, realmente complciado y engorroso meter software en circuitos de seguridad.
    Sobre el paso de compilación, tuve alguna vez en un laburo problemas con un compilador para microcontroladores Silicon Labs que se comía líneas de código. Si, así, mirabas el código máquina generado y le faltaban cosas que si habías escrito en el lenguaje de alto nivel.

    Me sorprende, y me indigna inclusive, como se trata este tema con tanta liviandad en medios de comunicación y en la política, como algo menor, casi anecdotario, más que nada lo que concierne al secreto del voto, que es un derecho, y como bien decís, por el que se luchó.

    Uf, se me estiró el comentario.
    Muy buena nota. A difundirla

  17. Lula

    Interesantísima la nota.
    Muchas veces defendí el voto electrónico pensando en sus ventajas, pero realmente me hiciste verlo de otra forma. Sí había pensado en los posibles “hackeos” que podía tener, pero los comparaba con las alteraciones que podían hacerse de forma manual y los justificaba. Esta nota me hace notar que es mucho más complejo que un par de personas escondiendo boletas o escribiendo mal un número.
    Realmente el sistema actual debería mejorarse (yo lo pienso sobre todo en la cantidad de papel y el costo de imprimir tantas boletas que no se van a utilizar), pero definitivamente el voto electrónico no es la solución.

  18. Fede

    Hay un punto que me parece importante. Podemos o no estar de acuerdo en que sea necesario tener muchos fiscales para poder presentarse a una elección, pero EL VOTO ELECTRÓNICO NO SOLUCIONA ESO. El partido A va a permitir que la máquina esté solita con fiscales del partido B???? Si esos mismos fiscales le escondían las boletas y hacían trampa, por qué no la van a hacer con la maquinita????

    Conclusión: el vot electrónico requiere la misma cantidad de fisclales y tiene todos los problemas que describe la nota.

  19. Esteban

    Ambos sabemos que un compilador normalito, en el pedazo de código que pusiste y que esta mal escrito, levanta la banderita y te dice que hay un error. Así que ya empezamos mal.

    Luego, creo que hay un gran desconocimiento de como trabajan los sistemas críticos. No son sistemas que podes cambiar así como así, no son sistemas que un hacker puede venir y hacerlo pedazos. Porque es eso, un sistema critico, algo que no puede fallar, o por lo menos no debería.

    También hablas de “saltos de fe”, en lo cual concuerdo, pero me pregunto, cuando yo deposito mi voto en la urna, quien me asegura que va a ser contabilizado? Nadie. Yo “supongo”. Quien me asegura que va a haber boletas del candidato que yo quiero votar? Quien me asegura que no se truchan los conteos con respecto al telegrama que se manda posteriormente?

    En fin, no estoy a favor de la boleta electrónica/voto electrónico pero tampoco hay que demonizar la tecnología, haciendo creer que todo es corrupto.

    Pd: recuerden que la argentina es grande, y que no todas las provincias/ciudades son iguales a Buenos Aires. Hay provincias, como Formosa, Chaco o Tucuman, en las cuales suceden cosas inexplicables en las votaciones. Y de eso nadie habla….

    • Fede

      Esteban, el chiste del código inicial es que el compilador puede mostrar un warning pero es código válido, compila igual, no es un error. De todas maneras, eso parece que se usó para llamar la atención, pero en el artículo citan ejemplos de bug que estuvieron escodidos 11 y 20 años, así que ejemplos abundan.

      En el sistema tradicional, si vos votás a A, el fiscal de A es el que te asegura que tu papelito “cumpla con su misión”. En el sistema electrónico, si no está el fiscal de A, cuando termina de votar la gente usan la maquinita para “votar” de nuevo y listo. Es decir sin fiscales estamos todos sonados igual.

      • IVAN

        perdón que me meta, pero el código de ejemplo no presenta ni error ni warning con un compilador C. Es perfectamente válido.
        Esto: (current->uid == 0) Es una expresión booleana, evalúa a True o False.
        Mientras que esto: (current->uid = 0) Es una asignación, asigna 0 a la variable uid
        En el primer caso, el código intenta determinar si el proceso actual está corriendo con los privilegios de administrador (root en Linux)
        En el segundo caso, el código ASIGNA privilegio de administrador al proceso actual.

        El ejemplo es de un caso real de intento de introducir un backdoor en el kernel de Linux, se detectó porque los sistemas que se usan para desarrollo y mantenimiento de código de un sistema inmenso como el kernel de Linux incluyen una herramienta (diff) que identifica los cambios puntuales que hubo entre 2 versiones. Fue un intento burdo, hay formas mucho mas sofisticadas y menos evidentes de introducir errores intencionales en un sistema complejo.

        Acá hay otro ejemplo, en este caso fue involuntario, mas sutil y difícil de identificar. El problema fue descubierto en 2008 por los argentinos Luciano Bello y Maximiliano Bertacchini. Lo interesante es que este error, con consecuencias catastróficas para la seguridad de millones de sistemas, se introdujo a consecuencia de un intento de solucionar “warnings” del compilador

        https://www.schneier.com/blog/archives/2008/05/random_number_b.html

        • Nicolas D'Ippolito

          Exactamente, es un bug real.

          En líneas generales el artículo intenta mostrar y explicar los problemas intrínsecos del voto electrónico. Luego, uno puede ver que hay problemas que tiene el voto electrónico que también están presentes en el voto manual, perfecto, pero la GRAN diferencia es que en el voto manual todos podemos entender que está pasando, en el voto electrónico solo unos pocos expertos, con un poco de suerte y muchísimo tiempo, pueden. Esta falta de auditabilidad es clave dado que viola uno de los axiomas centrales del voto.

          Abrazo y gracias por los comentarios!

          • Daniel Alonso

            En el caso concreto de Argentina, el sistema es totalmente auditable. Yo fui presidente de mesa con la BUE. Al finalizar la votación, tomé cada voto, lo mostré a los fiscales y lo anuncié a viva voz, luego pasé el chip con RFID al lector y, como la computadora tiene un contador tipo ábaco, verifiqué que sumaba uno al candidato impreso y decía el estado del contador a viva voz. La pantalla con el estado de los contadores estaba visible para todos los fiscales presentes. Al finalizar, imprimí varias copias del acta final, todos con el mismo resultado que decía la pantalla, los firmamos junto con los fiscales y éstos se llevaron sus copias. Yo mandé la mia al correo y al día siguiente entré en la web y verifiqué que e l resultado de mi mesa, en el sistema del ministerio coincidía con los resultados obtenidos. Dicho todo ésto, pregunto, sin chicanos, con amplitud intelectual y esperando una respuesta lógica y sobre el fraude del conteo en particualr ¿Como funcionaría el fraude exactamente, considerando el proceso descripto, que es el proceso que se nos pidió en los cursos previos que hicimos los presidentes de mesa? Gracias.

          • Jose

            Mas todavia. Fui fiscal en Salta desde su primera etapa de implementacion. Apasionado de la Tecnología. Quise ver “que tan confiable era y cuales eran las ventajas”, ya que en otros paises habían sido implementado y luego “retirados”.
            Me sentí inutil a lo largo de la jornada como fiscal de Mesa, instalaron las máquinas en los distintos cuartos oscuros (sin posibilidad de “auditarlas” porque ninguno de los fiscales contabamos con “herramientas informáticas”) salvo en mis intervenciones para no permitir que quien guiaba al elector, lo hiciera detras del monitor, o de a ratos controlar que el “capacitador” en la entrada de la escuela en su explicacion no “orientara” el voto. Ante eventuales fallas (se “tildaban”, no leia el chip, fallaba la impresion, …) el presidente se comunicaba con el “técnico” que “silenciosos, reservados y concentrados en lo suyo, trían una nueva maquina, la instalaban y… ya está…. Y EL CONTROL?, LA FISCALIZACION? … BIEN GRACIAS.
            Finalmente en el recuento de votos del escrutinio provisorio, nos tratamos de acomodar los distintos fiscales para ir controlando el escrutinio, mientras el presidente nos alejaba mas del monitor para que pudieran “ver todos”, mientra tomaban manualmente el voto y lo pasaban por el lector para escanear y mostrar “su contenido” en la pantalla, tratabamos de tomar nota manualmente del mismo, hasta el segundo o tercer voto, luego “la mano es mas rápida que la vista” y se nos hacia imposible seguir en las distintas categorias. Por lo que a continuacion solo tomábamos el contenido del primer cuerpo del voto para realizar el “conteo”, en el mismo iba arrojando la supremacia de la lista 1 en un 27% , 26 la lista 2, 21% la Lista 3 , 15% la Lista 4 y 11% la lista 5 de acuerdo a mis anotaciones y la de otros fiscales, sin embargo cuando la máquina arrojo el resultado del escrutinio fue 40% lista1, 21% Lista2, 18% Lista3 y 17% Lista 4 y 4% Lista 5. (la “lista 4” fue la del Partido Obrero), (la Lista 1 y 2 Peronistas oficialistas) (lista 3 UCR) (lista 3 PPS), El fiscal de la lista 2 tambien observo las diferencias, ante el hecho reconocido por ambos, acordamos hacer un acta denunciando la irregualridad. Acta que termine firmando yo solo. No obstante la irregularidad paso sin pena ni gloria, ya eu en el escrutinio final el porcentaje de la mes observada no era “significativa” en la determinacion del ganador, por lo que no fue tenida en cuenta.
            Me imagino la realizacion de encuestas sondeando el “humor” del elector y manipulando un “resultado conveniente” distribuyendo en porcentajes acorde a las campañas y operativos mediaticos realizados. Urtubey y el peronismo nunca gano en Capital ni en las ciudades mas importantes, y en capital el porcentaje obtenido fue en las zonas perifericas y socioeconomicamente baja y luego de su gestion hubiese sido un absurdo que gane nuevamente sin embargo obtuvo un porcentaje “razonable” y en la oposicion se “prorrateo” de acuerdo al humor percibido a traves de las encuestas y propaganda politica realizada.
            Urtubey en ninguna eleccion dejó “crecer” “dirigente, sector o “partido” aun perdiendo, obviamente su imagen o candidatura siempre se impuso aunque sea por pequeño margen

    • Cande

      Quería sostener lo último que decías y nada más,pero acá lo importante creo que no refiere a ERRORES, sino a MANIPULACIONES. Son cambios mínimos que la gran mayoría de nosotros no notamos, y que incluso si tuvieras el conocimiento para y la capacidad de notarlo y reclamarlo, podrías ser desacreditado. Hay INTERESES detrás, que es lo que demoniza a la tecnología.

  20. Agustín Ignacio Kanner

    Excelente nota, muy buena desde el punto de vista técnico y conseguiste “traducirla” a un “castellano básico”.

    Para hacer un comentario, en ciertas partes del articulo mencionas que el sistema deja fuera de la posibilidad de auditar a personas comunes (sin conocimientos informáticos) pero, las personas que tenemos conocimientos informáticos también quedamos afuera (inclusive los desarrolladores del mismo sistema!) por que, como bien describiste, estos sistemas son la ultima capa de vaaarias capas de software subyacente, porque los resultados se transmiten a través de Internet (lo cual es otro universo paralelo (en cuanto conocimientos)) y porque el soft usado en BA tenia RFID (y sin mencionar al hardware de abajo), es decir, no creo que haya un ser viviente que sea experto en todos estos temas que pueda individualmente hacer una auditoria .

    Si bien todos estos puntos los remarcas correctamente,y remarcas que nunca es seguro que el soft no tenga fallas, queda por remarcar (en mi opinión) aun más el hecho de que NADIE puede auditar este sistema de voto.

    En fin, en definitiva una excelente nota (después de leer esto, quien puede decir un punto a favor del voto electronico?)

  21. Juan Manuel Fraga

    Nico , genial la nota sin fisuras haciendo simple de entender un tema complejo y de altísima jerarquía institucional , me saco el sombrero !

  22. Delia Matilde Ferreira Rubio

    Excelente artículo. Super claro. Una gran contribución en la cruzada que algunos estamos llevando a cabo.
    La parte de la auditoría no tiene desperdicio: en la ley sólo tienen 30 días.
    La parte de la firma del software es muy graciosa para los que vimos a los “técnicos” de la empresa que cambiaban el DVD a mitad del proceso.
    Felicitaciones y gracias!

  23. Javier Pallero

    Hola gente,

    Punto 1: feliz por haber sido citado en una nota del Gato. Muero de alegría.
    Punto 2: una cosa interesante para ver es la actitud de los legisladores respecto de los problemas de seguridad. Han incorporado delitos nuevos en este proyecto de ley que, por su vaguedad (guiño guiño) apuntan a castigar con prisión a quienes hagan auditorías independientes. Tal como le pasó a Joaquín Sorianello en 2015 pero con esteroides.

    Demostraciones como las de los problemas del chip RFID que se lee con un celular (como mostraron hace poco) ya no se podrían hacer. Vas en cana.

    Acá desarrollé los problemas de esos artículos. Los invito a pasar y difundir: https://medium.com/@javierpallero/revisar-la-seguridad-de-los-sistemas-derecho-o-crimen-5e029b5c72b6#.no2nw71u0

  24. Vladimir

    No habria problema si fuera boleta electronica.
    Tan facil como equipar, osea invertir, en las escuelas. Que cada escuela cuente con al menos 10 impresoras laser, que ademas de ser usadas durante el ciclo lectivo, sirvan para las votaciones.
    Un programa sencillo, de ser posible tactil, donde vayan apareciendo los candidatos y uno elige, puede corregir obviamente y por ultimo el boton de imprimir.
    Para finalizar otro programita/planilla, donde el presidente de mesa cargue el resultado de las elecciones y luego imprima, para enviar por correo. Este se podria cargar manualmente o por medio de algun codigo de barra.
    Para evitar el problema del voto secreto, desarmamos la idea del cuarto oscuro por mesa, armando muchos cuartos oscuros (algo similar al carton que se usa en santa fe, para la boleta unica) y cada persona va pasando a cualquier cuarto oscuro sin importar la mesa.
    De esa manera se agilizaria el sistema, se solucionan todos los problemas de las boletas fisicas pre-impresas, se garantiza el voto secreto, no habria practicamente problemas con los votos (doble boletas, boletas rotas, tachadas, etc etc), transparente y permitiria un escrutinio manual voto x voto de ser necesario.

    • Hernán

      ¿Un programa sencillo qué se ejecute dónde? ¿En una pc común que después también ‘reutilizamos’? Eso ya requeriría una auditoría ENORME, y a nivel hardware, como ya explicaron, irrealizable. Para empezar.
      En segundo lugar, quizás de acá a muchos años podamos soñar con 10 impresoras láser en cada escuela de Formosa, por ejemplo. Pero dista mucho de una realidad alcanzable. Menos que menos con los tiempos que maneja este mamarracho de reforma. Y considerando también que habría que tener en cuenta qué alimentaría a las impresoras ante cortes de luz.
      Si querés, revisá varios de los links que dejaron en comentarios anteriores y te vas a encontrar con alternativas mucho más realizables.
      Saludos.

      • Vladimir

        Cualquier computadora de hoy en dia y de hace 10 años, mientras funcione puede hacer correr un ajedrez, el programa que planteo no es mas pesado que ese juego. Se puede hacer online u offline y es algo facil de “controlar” es un paint que imprime. La verdad nose en que estabas pensando, mientras mas complejo, mas facil es manipularlo a gusto sin que nadie lo sepa. Te lo hago mas grafico

        —————————————————-
        | Candidato A | | Candidato B |
        | Foto | | Foto |

        Imprimir
        —————————————————
        Listo, se acabo el programa. Menos muchas veces es mas.

        Si no podemos pensar en un pais con escuelas donde tengas impresoras laser o chorro de tinta, con una computadora de un Pentium 1 en adelante, cualquier cosa que se proponga es inutil….. un pais sin educacion no tiene futuro. Ademas se repartieron cuantos millones de netbook? sin tener docentes capacitados, sin tener tecnicos que hagan mantenimiento, sin tener escuelas con internet, sin tener una idea de nada mas que regalar (pan y circo, como en la epoca de los romanos) .

        Entonces hagamos mas facil, boleta unica como la que se utiliza en santa fe y problema solucionado. Al pedo tanta discusion e ideas.

        Creo que la idea de la nota es crear conciencia y mostrar lo bueno y malo de una idea (voto electronico) en un lugar (Argentina) y tiempo determinado ( 2017). Si le vamos a ver lo malo y ponerle peros a todos (el pero de la luz corre para cualquier sistema electoral, un cuarto oscuro con velas, luz de emergencia o celular… interesante) mas vale resumamos la nota a que lo que propone este gobierno NO SIRVE y que lo mejor es seguir como veniamos, un sistema bien transparente (?) se lo mire desde el partido politico que se lo mire y se acabo la nota.

        Gracias, Saludos.

        • Hernán

          A lo que apuntaba con el interrogante de dónde ejecutar el ‘programa sencillo’ no es, justamente, a posibles barreras tecnológicas. Precisamente a lo contrario. Que ‘cualquier pc’ de 1998 a la fecha pudiese ejecutar el ‘programa sencillo’ para la elección, lejos de ser una solución, es un ENORME problema. La nota comenta las dificultades que implica una auditoría de hardware. A eso voy.
          Menos muchas veces es más, estamos de acuerdo. Por eso es que mayoritaria y casi completamente todos los expertos coinciden en que la mejor opción es la boleta única en papel, con conteo asistido (y controlado) electrónicamente.
          La nota intenta crear conciencia, efectivamente, y lamentablemente son MUY pocos los puntos positivos que se pueden plantear con lo que especifica la reforma electoral. Y precisamente, una de las principales contras que tiene es que no especifica (ni existe) un plan de contingencia ante fallas. Los impulsores argumentaron que no hace falta un plan B porque ‘están seguros que el sistema no va a fallar’. Eso es una irresponsabilidad absoluta, con cualquier idea de sistema, en cualquier país, y en cualquier época.
          En conclusión, la nota bien podría sintetizarse a que la reforma en su totalidad no sirve, pero quedarse donde estamos, tampoco (aunque definitivamente sería más provechoso que empeorar).
          Saludos, y gracias a vos.

  25. Ernesto

    Interesante post, pero se va al pasto en la sección “comparando” cuando intenta explicar que un partido que no puede garantizar fiscales en cada urna no está en condiciones de gobernar. Muestra de elitismo antidemocrático a favor de punteros, reflejo de buena parte de la política que hay que cambiar… Al final, escribe de política, pero disfrazada de ciencia. Vot no.

    • Liza

      Hola Ernesto. Creo (mi opinión mía) que el artículo se refiere a que, si no te pueden seguir 20 personas para auditar las elecciones en nombre de tu partido, mucho menos vas a conseguir la cantidad de personas que te sigan para votarte y hacerte ganar una elección. Creo que habla de popularidad y no de capacidad. Corríjanme si me equivoco Gatos.

  26. Daniel Alonso

    Tres aclaraciones iniciales aún a riesgo de cometer falacia ad verecundiam. 1. No voté a Macri y siendo un tipo de izquierda estoy muy lejos de hacerlo algún día. 2. Soy informático y hace 35 años que soy profesor universitario en temas de ingeniería de software. 3. (más importante, tal vez) fui presidente de mesa con el sistema manual y la BUE el año pasado. Entiendo que el sistema tiene dos posibles problemas: facilitar el fraude y violar el secreto del voto. Para no mezclar argumentos ni saltar de uno a otro, empecemos por el tema del fraude. Yo, al finalizar la votación, tomé cada voto, lo mostré a los fiscales y lo anuncié a viva voz, luego pasé el chip con RFID al lector y, como la computadora tiene un contador tipo ábaco, verifiqué que sumaba uno al candidato impreso y decía el estado del contador a viva voz. La pantalla con el estado de los contadores estaba visible para todos los fiscales presentes. Al finalizar, imprimí varias copias del acta final, todos con el mismo resultado que decía la pantalla, los firmamos junto con los fiscales y éstos se llevaron sus copias. Yo mandé la mia al correo y al día siguiente entré en la web y verifiqué que e l resultado de mi mesa, en el sistema del ministerio coincidía con los resultados obtenidos. Una sola boleta no coincidia entre el RFID y el impreso, estaba impreso en blanco y el RFID decía “Rodriguez Larreta” y fue un voto observado, no lo contamos para eése candidato. Dicho todo ésto, pregunto, sin chicanos, con amplitud intelectual y esperando una respuesta lógica y sobre el fraude del conteo en particualr ¿Como funcionaría el fraude exactamente, considerando el proceso descripto, que es el proceso que se nos pidió en los cursos previos que hicimos los presidentes de mesa? Gracias.

    • Javi

      Hola:
      No estoy en condiciones de decirte como sería el procedimiento para cometer un fraude, aunque queda claro que podría ocurrir en varias partes distintas del proceso.
      Lo que puedo decir, de mi observación en como se llevan a cabo por lo general las elecciones (nunque estuve en unas electronicas) es que si todos los presidentes de mesa se tomaran el trabajo que vos describiste, habría muchos menos inconvenientes que los que realmente hay. Lamentablemente, y creo que todos lo podemos ver, la mayoría de las autoridades de mesa no son así, por diversos motivos, (desidia, timidez, falta de conosimiento, etc.) y muchas veces se ven apabullados por los fiscales.
      Dudo mucho que la mayoría de las autorides verifique uno por uno los votos y los anuncie a viva voz, y mucho menos que al dia siguiente entre a la web a verificar que lo que dice sea lo mismo que contaron.
      Por último, que digas que hubo un solo error entre lo impreso y el RFID ya deja abierta una enorme puerta de la desconfianza, y peor ya que el error era a favor justo del partido que promovió el sistema (ojo, no digo que fuera a proposito), pero imaginemos el mismo error sistematico en todas las mesas, sería un número… Mirá si el error fuera “impreso candidato del partido izquierda barrial revolucionario y el RFID dijera partido oficialista mayoritario” un partido con fiscal, el otro no, y un presidente de mesa apocado, combo perfecto…

      en fin, se me fue muy largo, la cuestion es, de todas las problematicas que tiee el sistema actual (que son muchas) el sistema electronico dudo que venga a solucionarlos, y ademas agrega oscuridad en algunos puntos nuevos…

      saludos

    • Lautaro Cozzani

      Hola,
      Entiendo que el proceso que describís podría evitar el fraude. Pero la pregunta que hay que hacer antes es en qué ese proceso que describís mejora el proceso actual?

      • Daniel Alonso

        No, yo no lo propongo no tengo interés en éste sistema o el otro, solo tengo interés en los argumentos. Antes de discutir otros temas (si vale la pena cambiar, el tema de la violación del secreto del voto. etc.) simplemente planteo discutir si es fraudulento (iintrínsecamente fraudulento). Si el sistema plantea fraude entonces no tiene sentido compararlo o preguntarse si es secreto. Yo no encuentro el fraude real, práctico (no el fraude teórico, pero imposible en la realidad).
        Acepto que habría que discutir lo que planteas, pero primero pregunto (no por capricho, sino por orden lógico, si hay fraude ya no tiene sentido discutir el resto) ¿cuál es el fraude del sistema computarizado que no se da en el sistema manual, considerando el proceso que se da en la realidad? Tal vez sea falta de picardía para la trampa, pero no lo veo y no encuentro un argumento o escenario que lo plantee realmente.

        • Mauro

          Yo no estudio sistemas (más allá de algún otro curso de computer science) pero comento mi opinión.

          En términos teóricos entiendo que mientras haya constancia en papel y la prioridad la tenga esta última, el fraude “tenebroso” es imposible. Entran a jugar otros detalles no menores pero que precisan que el sistema esté en aplicación (a escala municipal eventualmente) como que la gente no revise la boleta, que los presidentes y fiscales le pongan cero onda al recuento, etc. Esos problemas, aunque importantes, están en la práctica y no en la teoría.

          Sin embargo, creo que es insalvable compatibilizar algo que tenga aunque sea un CPU con caché y el voto secreto. El voto secreto le gana a todo, no se negocia.

          Además entra en juego la auditabilidad pública. Decir que tiene que ser así porque está en la Constitución me parece anticientífico. Pero considero prioritaria esa característica frente a 6 horas menos para saber el resultado.

          Lo del RFID ya es una paparruchada. La única lectura posible es que, en efecto, MSA le pone más ingenio al marketing que a la seguridad.

          • Daniel Alonso

            Que la gente revise la boleta y que el prsidente y los fiscales le pongan onda o no, acerca el fraude en cualquier sistema, no es argumento para el sistema de boleta electrónica. El voto secreto es una discusión aceptable que dejé para después, primero quiero saber si es fraudulento porque sea secreto o no si después puedo trucharlo el secretismo tiene poco valor. El sistema de boleta electrónica es totalmente auditable ya que el voto queda impreso y el recuento se hace mirando lo impreso. Lo del RFID es una estupidez, coindido Mauro, yo, en facebook, cuando comenté hace un año mi experiencia como presidente de mesa dije que deberían cambiarlo por un código QR o similar. Sigo preguntando y buscando argumentos ¿Cuál es el fraude del sistema computarizado que no se da en el sistema manual, considerando el proceso que se da en la realidad?

        • IVAN

          En mi opinión es intrínsecamente susceptible al fraude. Porque lo que controla como se captura al intención del votante y emite el voto es software hecho por otro corriendo en una máquina hecha por un tercero (o mas bien varios). Hay muchas formas de fraude, la violación del secreto del voto es una de ellas, alterar los resultados es otra, “robar boletas” también se aplica a las máquinas de votación, por ejemplo basta con modificar el software para que no aparezca el candidato del partido chico/sin fiscal.

    • Leandro

      Daniel Alonso, le comento tres puntos.

      1) Totalmente innecesario recurrir a la falacia de autoridad, es mas, si la va a utilizar hagalo bien. Decir que es docente en temas “relacionados a ingenieria de software” no dice nada respecto de su potencial conocimiento sobre SEGURIDAD INFORMATICA, AUDITORIA DE SOFTWARE, TESTING, SEGURIDAD DE HARDWARE, SISTEMAS EMBEBIDOS, CROPTOGRAFIA, etc. La ingenieria de software es muy amplia, y se puede tener muchos años de experiencia en “temas relacionados a ingenieria de software” y no saber NADA de los temas mencionados, que serian los relevantes para intentar dar una pátina de autoridad a sus opiniones.

      2) Hace un par de semanas lei en una nota sobre voto electorenico en un medio online (creo que era una nota de infobae), un comentario identico al suyo. Identico por identica “anecdota” de ser presidentente de mesa, y una descripción exactamente igual a la que usted hace aqui, aunque no recuerdo el nombre del usuario que lo comentaba. Aqui caben 2 posibilidades: la primera es que era efectivamente usted mismo. Lo que muestra que usted, lejos de ser un “simple comentarista curioso dando su opinion”, sería mas bien un militante que recorre noticias sobre voto electrónico defendiendo esta modalidad. Lo cual seria bueno que fuera explicitado por usted, en lugar de hacerse pasar por simple “opinador” que da su vision desinteresada del tema. Esta perfecto que usted sea un defensor del voto electronico que lo milita, lo que no está perfecto es que lo oculte. La segunda posibilidad es que estemos ante personas distintas con una anecdota identica. Lo cual solo se explica si la anecdota es inventada, y las personas implicadas son sólo parte de una campaña de propaganda. Estaria bueno saber de cual caso se trata.

      3) Ya que pide que le expliquen cómo se podria hacer fraude con el método propuesto, le doy no una sino dos formas (que más aún, estan insinuadas en la propia nota en la que está comentando, por lo que sólo tengo que desarrollarlas mas, será que no leyo la nota sobre la que comenta, o sólo será que la leyo por encimita sin pensar mucho?)
      Metodo de fraude 1): Supongamos que alguna persona implicada en la instalacion de las máquinas de votos, en algunas de ellas (o todas) o en alguna localidad específica, instala una version alterada del software. Esta version alterada del software, lo que hace es, para alguna de las categorias de votacion (por ejemplo, suponga, consejales o intendentes locales) cambiar los candidatos de algunos de los votantes que pasan por ahi (por ejemplo en una proporcion al azar), por un candidato especificado. Salvo que el propio votante controle una por una TODAS las categorias (imagine una elección donde se vota presidente, gobernador, diputados nacionales, senadores nacionales, diputados provinciales, senadores provinciales, intendente, consejales, y alguna cosa mas como delegados barriales o cosas asi, como mucho el tipo controlara presidente y gobernador, si controla algo), podrá imaginar usted que es altamente probable que ese cambio le pase desapercibido. No es sólo porque el votante no sea estricto y quiera controlar: muchos votantes deciden a quien votar IN SITU, y muchisimos NI SIQUIERA CONOCEN a todos los candidatos que estan votando, con lo cual es probable que al momento de controlar NI SIQUIERA RECUERDEN a quien habian elegido para cada categoria. Cual es la probabilidad de que a un votante altamente conciente de sus derechos politicos, que conoce a todos los candidatos, que se molesta en controlarlos, le toque justo ser uno de los que se alteró su voto? Y aún suponiendo que esto pase y el tipo se de cuenta, que hará? supondra que se equivocó al seleccionar, pedira otra boleta, volverá a poner los candidatos de su interes, y si la probabilidad de alteracion es relativamente baja, es probable que esta vez salga bien lo que el puso, con lo cual se ira tranquilo atribuyendo el problema a un error suyo y no a un software adulterado…
      Comprenderá usted, que una vez hecho esto y si el votante no pudo/quiso/se percató de la alteracion, todos los controles que USTED describe no serviran para nada, porque usted contara una boleta que tiene un voto, esta ahi, coincidira con el chip, coincidira con todo, pero NO ES LO QUE EL CIUDADANO HABIA ELEGIDO. Eso es ALTERAR LA VOLUNTAD POPULAR, y verá usted que todos los controles que usted menciona resultan totalmente inútiles para detectarlo.

      Metodo de fraude 2). Como usted sabrá si ha participado como autoridad de mesa en elecciones, hay mucha gente que va a votar sólo porque es obligatorio. Que agarra la primer boleta que encuentra, y la mete. Que no le importa lo que pone (y por lo tanto ni se calienta en elegir que pone, ni mucho menos por controlar nada). Tambien sabrá que hay gente que es analfabeta tecnológica. Que se congela ante una maquina. En general gente mayor, pero no unicamente. Gente que no consigue aprender las funciones básicas de su teléfono, o el cajero automático. Esa gente tambien va a votar, y ante una máquina en la que no entienden cómo elegir/cambiar su voto, que haran? Lo mismo que los anteriores: VOTAR AL PRIMERO QUE APARECE.
      Ahi tiene la otra forma simple de fraude con software alterado. La maquina presenta a los candidatos que seleccionó el que alteró el software, en primer lugar con mayor probabilidad. Asi, el candidato deseado captura un porcentaje mayor de estos votos desinteresados o forzados por ignorancia tecnológica. Si el orden de presentación de los candidatos fuera realmente aleatoria, estos votos se repartirán equitativamente entre todas las opciones y no tendrian impacto en la eleccion. Pero si el orden de presentacion no es aleatorio, la opcion que sale mas frecuentemente primero captura un porcentaje mayor de los mismos, sesgando el resultado.
      Comprenderá usted que, denuevo, todos los controles que su celo de presidente de mesa le hizo aplicar serán 100% inutiles para evitar esto, no es cierto?

      Bueno, pidio ejemplos de como se haria el fraude. Le di dos, simples, que solo requieren alterar el software. Ni hablar de posibilidades mas sofisticadas como modificaciones de hardware, chips data loggers y retransmisores que informen a una app (en el telefono del fiscal del partido interesado) qué eligio el votante actual, con lo cual este con un padron electrónico sólo tiene que marcar el nombre (que conoce) del que fue, y retransmitirlo al puntero, para que este lo espere a la salida y tome “represalias”. Tambien se puede pensar en violar el secreto del voto aunque no sea con fines fraudulentos explicitos. Por ejemplo, se podria hacer un log de lo votado segun el orden de votación, con sólo un fiscal que guarde el orden de votacion asociado al nombre sabes exactamente quien voto qué cosa. Un partido de gobierno podria entonces saber exactamente quienes lo votaron, en que zonas, en que barrio, y por ejemplo usar esa informacion para ir a hacer “timbreos específicos”, o direccionar obras, y lograr mejorar su performance, cosa que sus competidores politicos no tendrian, lo cual, indiretamente, será tomar una ventaja injusta a partir de una masiva violacion constitucional del secreto del voto, y por lo tanto tambien constituye una forma indirecta de fraude.
      En fin, le sugiero que recapacite. Que sea honesto intelectualmente. Es muy evidente para CUALQUIERA que realmente trabaje en software que el sistema de voto electronico tiene TANTAS fallas de seguridad potenciales como CUALQUIER otro sistema de software y hardware, pero a diferencia de cualquier otro sistema de software y hardware, aca hay fuerzas con mucho poder INTERESADAS en explotar a su favor esas fallas, y mas aún, el resultado puede alterar el destino de TODA la ciudadania de este pais, cosa que no creo que haya visto que pase con ninguna otro sistema en el que usted haya trabajado en su vida.
      Esto es SERIO. No use argumentos tan ridiculos en un blog técnico para pretender defender politicamente una propuesta con la que simpatiza, sea por los motivos que sea.

      Saludos

      • Hugo

        Después del articulo, motivo de los comentarios, lejos, lo mas claro que se escribió acá, te felicito, ademas del hallazgo del comentario clonado o algo así excelente tu comentario

    • IVAN

      Hola, acá mi respuesta.

      Si exactamente el mismo caso que describiste se hubiera aplicado a 4 votos para Larreta por mesa, ganaba Lousteau.

      Es decir, se modificaba el software de la máquina para que cuando un votante eligiera a Larreta, en el chip se grabara Lousteau y no se imprimiera nada. Si el votante se daba cuenta (al menos 30% ni verifico su voto) pediría una nueva boleta y votaría nuevamente. En esté caso la máquina no cometería “error” y registraría e imprimiría bien el voto. Si el votante no se daba cuenta el destino de su voto quedaría en manos del presidente de mesa y los fiscales: Suma para Lousteau (en lugar de para Larreta) o para nadie.
      Larreta ganó por una diferencia de mas o menos 54.000 votos, en CABA hubo mas o menos 7300 mesas. Bastaba con modificar el software para cambiar 4 votos por mesa para cambiar el resultado en favor de Lousteau o forzar una nueva elección.
      En tu mesa: Cuántos votante verificaron lo que votaron? Hubo votantes que pidieron otra boleta porque se equivocaron o salió mal impresa la 1ra?

  27. Leo

    Entonces estudiemos medicina y mantengámonos despiertos mientras nos operan. Digo… no vaya a ser cosa que el médico pretenda tomar alguna decisión que nos afecte sin que podamos dar nuestra opinión.
    O sigamos el paso a paso de cada cosa que nos metemos en la boca desde que cae una semilla al suelo o desde que se preña un animal, hasta el prolijo paquetito que compramos en el supermercado, por si a alguien se le ocurre adulterar su composición.
    O volvámonos todos ingenieros aeronáuticos y evaluemos cada pieza y cada paso del ensamblado del avión que nos vamos a tomar, porque ¡¿a quién se le ocurriría confiar a terceros la seguridad de nuestra integridad física a diez mil metros de altura sin posibilidad alguna de intervención de nuestra parte?!

    Dicho de otra forma, en mi humilde opinión, el argumento de la resignación de la capacidad de intervención por falta de formación, atrasa -por lo menos- dos siglos.

    Ahora bien, definitivamente hay que lograr que el proceso de votación electrónica sea más confiable. Quizás haya que seguir con papelitos en paralelo hasta que se consiga… (y dicho sea de paso, demostradísimo está que los papelitos también dejan lugar al fraude, así que ¿por qué tanto prurito con innovar?

    Pero de lo que estoy seguro es que de la misma manera en que nadie va a dejar de volar en avión, comprar en el super o someterse a una cirugía por no manejar diestramente la información o la tecnología involucradas, el voto electrónico es sólo una manifestación más de que el siglo XIX ya pasó.

    • Javi

      Yo te hago la pregunta al revez,
      ¿Cual sería la intención del fabricante de aviones en fabricar un producto que se caiga?¿que ganaría? casí que se audita solo.
      Con el médico lo mismo, o parecido.
      En el caso de los alimentos, podría estar la intención del fabricante de maximizar la ganancia empeorando el producto, pero tenes controles de bromatología, anmat, etc.
      y en todos los casos toda la info es publica y no hay necesidad de ocultar de donde viene, cosa que si pasa en el voto que debe ser secreto. (justamente por eso uno no puede auditar su propio voto sin hacerlo publico)
      Amén que unas elecciones es un proceso mucho mas amplio y general que todos los anteriores

      saludos

    • Hernán

      Antes de plantear cualquiera de estas cosas, cualquier impulsor de voto electrónico debería empezar por donde -aparentemente- querrías empezar vos: derogar/modificar la ley Sáenz Peña. Si tal fuese el caso, al menos estaríamos discutiendo muchísimas cosas menos hoy, o desde enfoques totalmente diferentes. El problema es que TODOS los que se dicen a favor de la reforma, mágicamente aseguran resultados exitosos, hablan de que no se vulnera el secreto, de que no se se necesitan fiscales (o se necesitan menos), y toda otra serie de mentiras.
      Hay muchísima gente a la que le importaría mil carajos que el voto NO fuese secreto. No concuerdo, pero bueno, ¿queremos debatir eso? Quizás el nuevo siglo lo amerite. Habría que avisarle a los diputados que empiecen la reforma por ahí, en tal caso.

  28. Daniel Alonso

    Respecto al error, tal vez no se entendió, no fue computado en la mesa, para nadie. El protocolo que nos dieron fue claro, si no coincide el impreso con el RFID el voto es observado, ningún fiscal lo admitiría como válido tampoco. Se pone aparte y el mismo protocolo dice que el voto se considerará solo si está impresa la voluntad del elector. Yo se (porque me tomé el trabajo de chequearlo en la página con los votos finales), que ése voto terminó siendo “En blanco”, ya que era lo que estaba impreso. Asi que sigue sin ser argumento de fraude. Entiendo lo que decis, pero la desidia o mala fe del presidente de mesa no es un argumento en contra de la boleta electrónica, ya que no existe nada en la boleta electrónica que “obligue” al presidente de mesa a ser inepto y lo vuelva honesto o atento en el voto manual. Seamos sinceros, un presidente de mesa corrupto y ausencia de fiscales te cambian cualquier mesa de votación con cualquier sistema y sería imposible de auditar. Es decir que el fallo humano del presidente generaría fraude tanto en el caso manual como electrónico, no es argumento a favor o en contra de ninguno de los sistemas. Agradezco tu comentario, pero queda en pie la pregunta. Con el mismo presidente de mesa (actúe bien o mal) ¿Como funcionaría el fraude exactamente, considerando el proceso descripto, que es particular del voto con boleta electrónica y en el caso manual no sucedería?

    • Javi

      Hola Daniel,
      Entendí que no fue computado, pero la sola existencia del error demuestra la vulnerabilidad del sistema, cosa que no ocurriria con la boleta unica de papael, por ej, (aunque podrá haber error luego en la transcripsión, pero seria error humano)

      abrazo

      • Lautaro Cozzani

        Ojo, no se si fue un mito urbano, pero se ha dicho que hubo boletas truchas que eran casi iguales a las verdaderas con sutiles diferencias, que las cambiaba alguien q iba a votar temprano, luego esos votos no eran contados. Eso es una vulnerabilidad del sistema de “papel”. Si por eso hay q dejar de usarlo no deberiamos votar y listo.

      • Daniel Alonso

        Todo sistema es vulnerable, la pregunta no es esa, es si realmente la vulnerabilidad genera un posible fraude que pueda prosperar. El error que me pasó, no puede prosperar como fraude (de hecho no prosperó y para hacerl onecesitaría la complicidad del presidente de mesa y fiscales, lo que lo haría fraude en el sistema manual también). Asi que la pregunta es ¿cual es el fraude del sistema electrónico que en el recuento de votos puede prosperar y no existe en el sistema manual? No encuantro un argumento al respecto de acuerdo a como es el proceso de recuento de votos.

        • Leandro

          Le conteste mas arriba pero le voy a contestar denuevo aca con un ejemplo muy concreto.

          Hay una forma de alteracion del voto que se vale de la desidia de la poblacion para influir en el conteo. Como digo mas arriba, mucha gente vota porque es obligatorio, va y agarra la primer boleta que encuentra y la mete en el sobre. Una “picardia” tipica para aprovechar esto, es poner siempre mas accesibles la boleta de determinado partido. Eso para el caso manual en papel. Obviamente, se soluciona con presidentes de mesa y fiscales que, por ejemplo, sorteen el orden de boletas en cada mesa, o las roten a lo largo de la eleccion.

          Ese método tiene un paralelo en la boleta electronica. El orden de presentacion de candidatos. Si es aleatorio, esos votos se repartiran entre todos los candidatos por igual, y por lo tanto no alterarán las proporciones. Pero un software adulterado puede poner siempre primero (o con mas probabilidad) a los candidatos de un partido en el orden, y de esa forma favorecer que ese candidato se lleve una proporcion mayor de esos votos. A diferencia del caso de papel, aca ni el presidente de mesa ni los fiscales pueden hacer NADA para morigerarlo.

          Siguiendo la tonica de sus comentarios, usted dira que se puede hacer lo mismo en ambos sistemas asi que no es un argumento en favor ni en contra de ninguno. Error. La primer diferencia, que ya dije, es que las autoridades de mesa y fiscales no pueden hacer NADA para contrarrestarlo en el caso electronico, cosa ue si se puede hacer en el de papel.
          Y la segunda ENORME diferencia, que usted hace mucho esfuerzo por ignorar, es la MASIVIDAD. Poniendo ese software alterado, aplicas la alteracion de proporciones a TODAS LAS MESAS DEL PAIS, automáticamente. Un sólo empreado infiel que cambia el software en un punto del proceso, altera TODA LA ELECCION A NIVEL PAIS.
          Mientras que en el caso de papel, es un accionar difuso: requiere localmente, de autoridades de mesa corruptas que, denuevo localmente, hagan un esfuerzo coordinado, que se verá frustrado en todos los lugares donde haya autoridades de mesa no corruptas, por lo que en caso de producirse su impacto sera SIEMPRE menor que en el caso electrónico. Es decir, reemplazas un acto fraudulento distribuido, dependiente de la falta de control local, difuso, por un acto fraudulento masivo, automático, y que no puede ser morigerado por ningun control local.

          Ese es, para mi visión, el principal argumento contra el voto electronico. Tanto para el voto en papel como para el electronico, hay potenciales fallas y truchadas que se pueden imaginar. Pero en el sistema en papel los intentos de alteracion son siempre difusos, distribuidos y dependen de la complicidadde multiples personas, y por lo tanto por mas que se hagan su impacto será menor, dependiendo del la proporcion de mesas donde fallen las instancias de control que permitirian detectarlo.
          En el sistema electronico, las vulnerabilidades potenciales, en caso de que se manifiesten, son MASIVAS y automáticas, dependen de la complicidad de un numero reducido de personas y son imposibles de detectar o morigerar por ninguna autoridad de mesa.

          Si con esto no entiende la desventaja del voto electronico, no lo entenderá jamas. Deje de lado su interes politico, no sacrifique su intelecto en aras del fin de su faccion.

    • Fede

      La nota lo aclara bien:

      Una objeción que se escucha con frecuencia es que está previsto el escrutinio manual. Analicemos esta posibilidad basándonos en los datos duros del informe final de la Defensoría del Pueblo de la CABA sobre la elección para Jefe de Gobierno de 2015. Según este informe, ‘una vez cerrada la mesa, el 83,9% de los presidentes pudo realizar el escrutinio sin inconvenientes. Durante el conteo de votos, sólo el 10,1% de las mesas contó con fiscales que realizaron algún reclamo’. Esto significa que hubo cerca de 730 mesas con reclamos. A 300 votantes por mesa, hay unos 219000 votos en cuestión, muy por encima de los 54000 que definieron la elección en CABA y peligrosamente cerca de los 300000 votos de diferencia que definieron el ballotage presidencial de ese mismo año.

    • IVAN

      Si el voto no fue computado para nadie y el error de impresión fue intencional, ESO es fraude. Es denegarle al votante la posibilidad de votar a quien quería votar y poner la decisión de si su voto cuenta o no cuenta en manos alguien en la junta electoral.
      Si el voto terminó computado como “En blanco” (y estamos hablando del ballotage CABA 2015) es un voto que benefició artificialmente a Rodriguez Larreta.
      Se entiende la explicación?

  29. David

    Parcialmente de acuerdo, y es dificil explicarlo en un comentario. Hare mi mejor esfuerzo.
    De acuerdo con que:
    1.- demasiados actos de fe
    2.- nada puede garantizar la total “buena leche y honestidad del sistema”
    3.- Los tercerizados, son la parte mas peligrosa de todo este embrollo. Eso es cierto, nadie me garantiza que “Empresa A SRL” con 0 experiencia en desarrollo de este tipo de aplicaciones, no tercerize con “Anonimos de sistemas” el desarrollo de la applicacion y lo que es peor, no tenga separado los ambientes y demas yerbas. Ahi estoy mas que de acuerdo.. diria que me daria panico, porque seria un trafico de datos importante.. pero… (ver abajo)

    Discutible:
    1.- no conocer el sistema en profundidad. A ver… vos (no el author que escribio esto, sino cualquiera que ande por aca) no conoces en profundidad whatsapp, y (quizas) lo instalaste hace un tiempo. Mandaste fotos, quizas una foto de tu documento y pensaste que eso no se.. pasaba un enano eliminador de cosas y lo convertia en la nada. De repente, un tiempo despues, facebook compro whatsapp y todo ese contenido que subiste y pensaste que se habia perdido, esta ahi, cruzado con to perfil de FB, estas totalmente segmentado, perfilado, y listo para ser ofrecido como target de mercado porque saben hasta tus chats privados con la minita que te estas comiendo, pero bueno, no pasa nada porque es whatsapp. Tampoco conoces como funciona Gmail, y tenes tu cuenta ahi, y vos crees que los flacos no parsean tus mail para armar perfiles de usuario (proba inbox.google.com y date cuenta), pero bueno tampoco les importa mucho a las personas. Quiero decir con esto, el hecho que no conozcas cada linea de codigo, no significa que no termine siendo una herramienta util. Y si esto es un impedimento, digamos que deberiamos parar YA de usar esas apps sobre las cuales transcurre mucho de nuestro tiempo. A veces me pongo a pensar que si casi nadie le da bola a los permisos que te pide una app cuando se instala en su telefono, tampoco les preocupara mucho si queda loggeado su voto en una urna.

    Diria que no estoy en desacuerdo con nada del articulo, pero si, respecto a lo que (segun mi chato criterio) es el alma del articulo, un descredito (muy bien fundado) que no propone nada superador de lo que actualmente hay (aunque pensandolo bien, tampoco deberia hacerlo porque digamos.. aca hicieron una buena ronda de QA, QA asegura calidad, no propone improvements lo cual es valido).

    Yo trato de pensar lo siguiente: La manera de votar actual, es insostenible, esta probado que en el ideal es muy democratico, muy lindo, muy transparente… pero en la practica es poco eficiente, recontra falseable (urnas quemadas, listas sabanas, desaparecen boletas, conteos intermibables, voluntades… si si.. voluntades ‘maleables’). La opcion del voto electronico no esta ni cerca de ser perfecta, pero posta, ni cerca, pero creo que, incorporandola en otros procesos, ser solamente un mecanismo de impresion de boletas (sin conteo verificador de ningun lado) solo impresor, y que el resto siga siendo como siempre, se abre la urna, se cuenta uno a uno, se manda el telegrama, etc etc, ya ahi ganamos un centimetro de mejora. Imaginate este escenario. Imprimis una boleta con un codigo de barras (poneeele) y el nombre bieeen grande del candidato. Lo pasas por el lector y vas contando. Si alguno de los fiscales tiene una duda durante el conteo, vas y contas por nombre y listo, digo, y el poder de “sudo” siempre lo tiene el nombre que aparece en la boleta ante cualquier discrepancia…

    En fin… lo bueno es que podemos discutir como mejorar eso es lo rescatable.. perdon por lo extensivo…

    Abrazo de gol

    • Pablo A. González

      Pregunta, ¿no es más fácil lo que se propone en la nota, o sea Boleta Única en papel, y conteo asistido, en lugar de imrpesoras en todos lados?

    • Javi

      Justamente sabiendo (o imaginando) lo que hace google, etc. con mis datos me da miedito que pasarían con los datos de una elección siendo manejados por lguna empresa privada ganadora de una licitación. porque vamos, el estado no lo va a ser con su personal, e igualmente no podria garantizar transparencia

    • Leandro

      Pregunta simple: cómo garantizas que “solo impresor” imprima SIEMPRE pura yexclusivamente lo que yo elegi, y no que, por ejemplo, imprima todo lo que elegi salvo en alguna categoria donde SIEMPRE pone los candidatos del partido A?

      Tu idea parte del salto de fe de pensar que lo que se imprimió es lo que se eligio. Asegurar eso, más en elecciones con 10 o más cuerpos (presidente, gobernador, intendente, diputados nacionales, diputados provinciales, senadores nacionales, senadores provinciales, consejales, diputados del parlasur, y anda a saber que categorias mas que se usen a nivel local) es utópico. Pretender delegar en el votante ese control (como hace un comentarista mas arriba) es no solo utópico, es hasta malintencionado.

      Para hacer eso que vos decis, lo mejor es la boleta unica en papel, no la boleta unica electrónica. YO la lleno, YO pongo lo que YO quise, no hay ningun aparato en el medio con el potencial de leer lo que yo elegi y escribir lo que se le cante al que lo programó. Así de sencillo. La boleta de papel llenada por mi no necesita que yo la controle para saber si lo que aparece ahi es lo que yo llene. Cosa que, necesariamente, pasa con la boleta unica electronica. Sin siquiera entrar en el tema del secreto del voto y la posibilidad de vulnerarlo, que es bien real y concreta.
      Apliquemos el principio kiss (keep it simple, stupid!). Para que incorporar un sistema (impresion in situ de lo que elige el tipo en una pantalla) que no me da ninguna ventaja (porque es así, no me da NINGUNA VENTAJA) y requiere que yo verifique que cada candidato votado sea el que yo elegi (es decir, agrega la necesidad de un proceso adicional de verificacion), en lugar de imprimir las boleta a priori (que por lo tanto contará con toda la información que tenía el sistema electronico) y que yo in situ marque los candidatos que quiero, eliminando un paso adicional de necesidad de control? Cual es mas simple? cual deja vulnerable (ante la posibilidad de que el control adicional no se dé) la alteracion de mi voto? por que elegir algo mas caro, complejo y que requiere controles adicionales? La respuesta es muy simple, se elige eso porque:
      A- Es un negocio millonario que se espera completar con ciertos “amigos” de los que impulsan el cambio.
      B- El que impulsa el cambio efectivamente sabe que agregando esos niveles de complejidad innecesarios abre la posibilidad de alteraciones, y lo hace porque precisamente le interesa explotar esas vulnerabilidades introducidas.
      C- Ambas opciones son ciertas.

    • Leandro

      Y además, ésta afirmacion tuya es FALSA:
      “La manera de votar actual, es insostenible, esta probado que en el ideal es muy democratico, muy lindo, muy transparente… pero en la practica es poco eficiente, recontra falseable (urnas quemadas, listas sabanas, desaparecen boletas, conteos intermibables, voluntades… si si.. voluntades ‘maleables’). ”

      La manera de votar actual no es insostenible para nada. Tenemos una justicia electoral que en toda su historia no ha detectado UN SOLO CASO DE FRAUDE, definido como tal (es decir como una alteracion de la voluntad popular que modifique el resultado eleccionario). La magnitud de las denuncias mediatas por IRREGULARIDADES no tiene un correlato en efecto concreto de alteracion de la elección como un todo. Sí se han detectado irregularidades, como en cualquier sistema del mundo que se te pueda ocurrir. Y cuando han ocurrido se han detectado, se han anulado los votos impugnados, o se ha en casos extremos llamado a elecciones complementarias, y eso ha sido así sólo en instancias muy localizadas, puntulaes y de una magnitud que no tendrian el potencial de alterar el resultado de la eleccion (por eso no han sido catalogados por la justicia electoral como casos de fraude).

      Que usted este CONVENCIDO de que el sistema actual es una porqueria tiene mas que ver con la magnitud de la propaganda generada por algunos sectores (en general los que perdieron una eleccion) que se empeñan en violentar la voluntad popular al no aceptar sus derrotas, y para ello culpan al sistema de votación.

      Claro que hay intentos de modificar la voluntad del ciudadano. Claro que hay mil triquiñuelas que usan los partidos (todos ellos) para sacar ventaja. Pero todos esos casos de irregularidades tienen una caracteristica: son LOCALES, son DIFUSOS, son CONTROLABLES y EVITABLES con una correcta fiscalizacion por parte de los partidos. Si te roban boletas, se soluciona imprimiendo mas, el doble, el triple (y te va a salir mas barato que poner el 1% de las maquinas electronicas). Si te hacen “voto cadena” se soluciona con que los fiscales MIREN los sobres que meten los votantes para asegurarse que sean los que ellos firmaron, y asi. Y si en algun lugar alguna de esas acciones tiene éxito, será porque las partes interesadas no pudieron o no quisieron controlar como debian. Y el impacto de ello será local, la proporcion de lugares donde eso pasa es ínfima. Y por eso el impacto eleccionario es nulo, y no hay en la historia casos concretos de FRAUDE que hayan hecho anular o repetir una eleccion completa. NO EXISTEN.
      A diferencia de eso, el voto electornico en cualqiier forma, tambien presenta vulnerabilidades, pero con la diferencia de que son GLOBALES, masivas, y por lo tanto el impacto en la eleccion de una tal falla es ENORME. Si las maquinas de votacion fueron alteradas para que graben lo que el ciudadano votó, eso no es local, es masivo, no esta sujeto bajo ninguna forma a control local (y por lo tanto es inevitable) y lo que es peor, puede ser indetectable, sólo lo sabra el que lo hizo y el que pago por que se haga. El daño potencial es infinitamente mayor que la posibilidad de que en una escuela en un pueblito perdido donde tal partido no tenia fiscales, le hayan contado 50 votos en contra.
      Es una cuestion de balance costo beneficio. El supuesto beneficio del voto electronico (evitar el robo de boletas, reducir la cantidad de fiscales, velocidad en el recuento) primero no es tan beneficioso como lo pintan (el robo de boletas lo podes manejar imprimiendo el triple de boletas a un costo infinitamente menor que las maquinas de votacion electronico, los partidos te van a poner un fiscal por mesa IGUAL, porque el recuento de votos hay que hacerlo igual, y la velocidad de recuento NO CAMBIA EN NADA el resultado, por lo tanto es un “beneficio” ficticio que sólo responde a la ansiedad mediatica), y tiene un costo infinitamente superior (tanto monetario, lo cual parece ser el motivo de tanto interes, negocio para los amigos, como en seguridad, ya que una falla de seguridad en el sistema, a diferencia de las irregularidades difusas y locales del voto en papel, abre la puerta a un fraude MASIVO, de escalas inconmensurables).
      Realmente hay que estar muy confundido (por la campaña mediatica y los bolazos de politicos malintencionados que creen beneficiarse) para sostener que en algun sentido el voto electronico sea superior al voto en papel, aún en su forma tradicional.

      • Daniel Alonso

        Una duda: Si la justicia no ha detectado ningún caso de fraude y eso es, según vos, una prueba inobjetable de que el sistema usado no es realmente fraudulento. Entonces, considerando que tanto en Salta como en Capital ya se usó varias veces el sistema electrónico ¿eso demuestra que éste sistema tampoco es fraudulento? Ya que no hay denuncias para ninguno de los dos sistemas, ambos son válidos de acuerdo a tu argumentación.

        • Leandro

          Usted además de “cosas relacionadas con ingenieria de software”, tiene algo que ver con probabilidad y estadisticas? me parece que no….

          Le explico.
          1) Los sistemas usados en salta y en caba no son identicos, por lo que deben tratarse por separado.
          2) Estimar la probabilidad de que un sistema sea fraudulento en base a un caso de uso (o a unos pocos casos) cuanto menos es aventurado.
          3) Comparar un sistema probado en cientos de elecciones (si no miles) a lo largo de un tiempo de decadas (con distintos gobiernos, distintas condiciones politicas y economicas, distintos contextos internacionales, etc, etc) con sistemas usados solo un puñado de veces en un solo contexto, parece cuanto menos aventurado, sino una muestra extrema de ignorancia y bolaceo para buscar tener razon.

          Besis

          • Daniel Alonso

            1. Lo de “usted…” dejemoslo de lado, yo no te falto el respeto en ningún momento y espero el mismo trato, si queres discutimos argumentos pero no personalicemos ni insultemos al otro.
            2. Lo que a lo mejor no fue claro fue que estaba dando un ejemplo de que tu arguemtno es, justamente, falaz. Se llama “afirmación del consecuente”, las consecuencias (“No hubo denuncias de fraude”) no dan validez del antecedente (“el sistema manual utilizado”). Asi que toda tu explicación, es justamente la razón por la cual tu argumento no es válido, lo mio era solo un ejemplo de esa invalidez. La afirmación del consecuente es una falacia independientemente de la cantidad de casos, Wittgenstein ya escribió sobre los problemas que esa presunta inducción trae.

          • Leandro

            La afirmacion de que en parva de años de uso no hay un caso de fraude, no es un intento de argumentar que por lo tanto el sistema es perfecto y es imposible que haya un caso de fraude, que es lo que vos pretendes interpretar de lo que yo dije. Eso se llama la falacia del hombre de paja, ya que te gustan las falacias, y es cuando se hace una interpretacion absurda de lo que dijo el otro, para discutir esa absurdidad en lugar de lo que realmente dijo.

            Entonces Te (para no tratarte de usted, como pediste) explico. Exponer la EVIDENCIA EMPIRICA de que durante una parva de años el sistema de boleta en papel fue usada sin que haya casos serios de alteracion de la voluntad del votante, mas que la infalibilidad absoluta del método (que nadie argumentó salvo en tu imaginación), lo que manifiesta es que se está buscando una solucion a un problema inexistente. Porque el principal argumento para pretender meter el sistema electronico es precisamente la afirmacion absoluta, no sustentada en NINGUNA EVIDENCIA EMPIRICA (y que es lo que yo discutí, citando la frase exacta donde se hacia esa afirmación), de que el sistema de voto en papel es una porquería. Mi respuesta que usted objeta apuntaba a eso: si el argumento central para poner el sistema electronico es que el sistema actual es una porqueria fraudulenta, eso es MENTIRA e INVALIDO, por la sencilla razon de que no hay evidencia empirica en decadas de uso de NI UN SOLO CASO DE FRAUDE. Si es una porqueria fraudulenta absoluta, entonces cuando se lo usa debe si o si producir fraude. Pero si en miles de usos no se verifico fraude, entonces no es la porqueria fraudulenta absoluta que se afirma. Lo cual en ningun sentido implica que SEA IMPOSIBLE HACER FRAUDE CON ÉL, que es lo que vos pretendes hacerme decir.

            Ahora, si el argumento es que el método de papel tiene algunos “huecos de seguridad” y habria que mejorarlo, macanudo, todos estamos de acuerdo. Pero mejoremoslo con un método que tenga MENOS huecos de seguridad, no que tenga mas, y peor, por uno donde cada uno de esos huecos de seguridad abre la puerta para un fraude MASIVO, INDETECTABLE E INVERIFICABLE, a diferencia de las irregularidades locales, difusas y totalmente sujetas a control por las autoridades de mesa, como en el caso de la boleta en papel. Porque todos los controles que segun vos hiciste para fiscalizar el voto con boleta electronica, los podes hacer exactamente igual en el caso de boleta de papel, y si todos los presidentes de mesa lo hacen como vos describiste, la posibilidad de fraude es practicamente nula, aún con boleta de papel. Entonces, por qué cambiar el metodo, si no traeria ninguna aparente ventaja y cuesta mil veces mas que el otro? y encima viene con riesgos potenciales infinitamente mas graves que el otro? porque es cool? porque los medios lo pusieron de moda?

            Pero volviendo al principio, no es eso de lo que hablabamos. Yo simplemente objete una afirmacion absoluta, planteada como absoluto incontrovertible, basada en cero evidencia empirica, explicando que por el contrario, la evidencia empirica disponible indicaba lo opuesto (aunque tampoco la use para hacer una afirmacion absoluta opuesta, cosa que vos te inventaste). Y eso se transformó en esta discusion inconducente sólo por tu arte sofistica de retorcer para confundir y pretender “ganar” una discusión.

            Queda en evidencia que tu interés no es, claramente, que “discutimos argumentos”, sino simplemente tener razon cueste lo que cueste. Lo cual definitivamente hace que mi interes en esta discusion pase de poco a nulo.

            Que tengas una buena vida

  30. SUSANA ALONSO

    simple, ante la menor sospecha de posibilidad de manipular los resultados, seguir con el conteo voto a voto y con los fiscales controlando.

    • Daniel Alonso

      Eso es lo que pasa en el sistema de la boleta electrónica, se cuenta voto a voto y con los fiscales presentes controlando

      • Liza

        Este sistema tiene muchos más problemas para garantizar la secretuidad del voto. Si nos quejamos de los punteros políticos ahora…
        Además, si como lo plantea Daniel, es lo mismo que ahora, contando voto a voto, no parece absurdo invertir en todo un sistema electrónico?
        ¿dónde se ve exactamente, la ventaja de este sistema frente a la boleta única de papel?

  31. Daniel Alonso

    No, yo no lo propongo no tengo interés en el mismo. Antes de discutir si vale la pena cambiar o el tema de la violación del secreto del voto simplemente planteo discutir si es fraudulento (iintrínsecamente fraudulento) si el sistema plantea fraude entonces no tiene sentido compararlo. Yo no encuentro el fraude real, práctico (no teórico). Acepto que habría que discutir lo que planteas, pero primero pregunto (no por capricho, sino porque de haber fraude ya no tiene sentido discutir si conviene) ¿cuál es el fraude?

  32. Paula Maciel

    Estimado felino, tengo discapacidad visual y motriz; siempre me hago la misma pregunta: ¿Podré votar de manera autónoma y segura? Hoy puedo, si hay rampa o me alcanzan la urna. Suelo llevar la boleta en el bolsillo. No lo podría hacer de ningún modo con una boleta única en papel donde tuviera que poner cruces en cada nombre. Respecto de este sistema eléctrico, supongo que lo podría hacer, porque entiendo que en CABA se pudo, pero ninguno de los muchos analistas que leí se refirieron a esa cuestión. Nadie.

    • Liza

      Paula. Imagino que en ese caso se podría poner un sistema similar, pero que solo imprima una boleta de papel, sin chip. Y que no lleve registro de votos. Sería una solución de compromiso?

      • Liza

        De todas maneras, siempre existe el problema de no poder garantizar la secretuidad del voto con un sistema con cualquier tipo de participación electrónica.

  33. Carlos Pellegrini

    Creo que el tema de discucion acá no es si confiamos en la caja negra del voto electrónico, yo no confiaría tampoco, pero lo importante es echar luz en el cuarto oscuro. La votación es toda nuestra participación en el sistema salvo que te dediques a la política fulltime, dicho sea de paso, un político es un ciudadano tiempo completo.
    La banda ancha de un ciudadano normal en la arena política son 2 bit cada dos años por eso hay que cuidarlos. Por esto es totalmente necesario innovar en la forma de votar para poder aumentar, la seguridad, la confianza y la participación ciudadana. Encontrar una forma de voto mas rápida y mas segura permitiría esto.
    Por eso creo que la discucion sobre esto no debe terminar acá el sistema electoral esta fallando y mucho. No debemos conformarnos con lo que tenemos hay que avanzar.
    Acá les dejo un video de una persona que esta tratando de innovar en este campo utilizando tecnologías como el Blockchain.

    https://www.youtube.com/watch?v=UajbQTHnTfM

    PD: cuando decís “Sería razonable que las fuerzas políticas que tienen una ambición mayor, como la de gobernar una provincia, tuvieran una cantidad de entusiastas proporcional al tamaño de la provincia. Si no, es muy difícil pensar que la van a poder gobernar.” Creo que estas dando todas las razón por la cual el sistema actual esta totalmente obsoleto dándole participación solo a los poderosos.

  34. Guido Corsalini

    Excelente artículo!, muy esclarecedor… No sé de dónde salió la idea de que el voto tiene que ser rápido y top… En el fallo de la Corte Constitucional Alemana que declaró inconstitucional el voto electrónico, se usa una expresión hermosa; el voto como acto de transferencia de poder del pueblo a las autoridades… O sea, no puede ser algo frívolo, es un tema serio, quizá el más serio que exista en un Estado democrático.
    Por otro lado, me parece que el hecho de que mucha gente piense que el voto empieza y termina con el acto del sufragio, da cuenta de lo negligentes que somos como ciudadanos. Debería haber una reflexión previa, una interpelación de las propuestas políticas…. Si votaste haciendo tateti, o elegiste al de ojos más celestes, después no sirve que hagas marchas o te quejes por redes sociales, el único ápice de poder real que te reconoce la Constitución, es elegir a quien te gobierna, nada más. Hay que ponerle ganas.

    • Sebastian

      Alemania no lo prohibió totalmente, solo para versión sin papel: “[el] legislador no está impedido de utilizar aparatos electorales en elecciones, si se ha asegurado la posibilidad constitucional de un control de corrección confiable. Especialmente son imaginables aparatos electorales en el que los votos se registren, no sólo en la memoria electrónica. Esto es posible por ejemplo, en aparatos electrónicos que además del registro electrónico del voto imprimen un protocolo de papel visible, que puede ser controlado antes de la emisión del voto definitivo y que es recolectado para posibilitar una verificación”

  35. ivan

    Excelente análisis. Yo trabajo en sistemas embebidos y todo lo que decis es muy coherente. Ahora, me gustaría que hicieras un análisis similar para nuestro sistema de votación actual, para saber cuantos actos de fe venimos realizando. Sospecho que tiene algunos puntos de vulnerabilidad….
    Muchas gracias y sigue asi.

    • Leandro

      Claro que tiene montones de saltos de fe el actual. Pero tiene una ventaja indiscutible.
      Practicamente TODAS las “truchadas” que se te pueda ocurrir hacer, son LOCALES (se deben hacer en las mesas individuales). Y se deben hacer en forma “analógica” (robar la boleta, meter boleta trucha, voto cadena, quemar urnas, votar con documentos apocrifos o duplicados, etc). Y por lo tanto admiten un control y verificacion local (distribuido). Y por lo tanto, para que tengan éxito en alterar el resultado de una eleccion, deben aplicarse masivamente en un porcentaje importante de las mesas de todo el pais, y a la vez coincidir que en esas mesas se eviten los controles locales. La unica excepción a esto sería el punto de integración en el centro de cómputos, pero con transparentar los conteos parciales de todas las mesas y localidades que cuentan con los datos en forma publica, agregas nuevamente un control distribuido que permite evitar alteracion en la integracion de datos.

      A diferencia de eso, el voto electronico tiene instancias masivas de potencial fallo. Si por ejemplo alguien altera el software para que aleatoriamente, en alguna categoría, imprima en la boleta y guarde en el chip todos los candidats que vos elegiste menos uno, que pone el del partido A, no hay control local que lo detecte si el propio ciudadano no lo vio (que es el unico que sabe qué quería votar, y en una eleccion con muchas categorias es poco probable que verifique todos y cada uno de los candidatos). Ese fraude es masivo, porque el software truchado puede estar instalado en todas las maquinas del país, simplemente si “coimeas” al empleado encargado de, por ejemplo, grabar los CD o pendrive desde los que se instalará el soft. En la mesa no se detectará porque la boleta coincide con el chip, en el centro de computos tampoco, simplemente porque el unico que sabia que queria votar algo distinto, no lo controló. Y listo, hiciste un fraude MASIVO, indetectable, incontrolable. No hay equivalente posible a esto con la boleta en papel, seria como alterar las boletas para que por ejemplo, en el medio de la sabana del partido A, apareciera un cuerpo con el intendente del partido B. Imposible que nadie se avive, y si pasa, cuando se cuenten los votos o bien no se dan cuenta que la boleta es distinta y la cuentan toda para A, o bien se dan cuenta que no coincide con las oficiales y se anula (o se cuenta para A igual, creo que hay una excepcion para evitar que te jodan con boletas truchas), es decir que un escenario de fraude masivo de este tipo con boleta de papel es imposible.

      Lo mismo si perreas el hardware para que grabe lo votado. Todas las maquinas a usarse en el pais tendran el grabador, todas. Masivamente. En forma incontrolable, indetectable. El secreto del voto comprometido en forma masiva. No hay ninguna forma imaginable de hacer eso con boleta en papel.

      Ese es para mi el principal peligro del voto electronico. Tiene potenciales formas de usarlo para hacer fraude, pero en caso de producirse en lugar de ser en forma local y acotada a los puntos donde se hayan burlado los controles, permite que si se burla el control en el origen (queson las posibilidades que se discuten en esta nota), sus efectos son masivos, indetectables e imposibles de subsanar.

  36. Alejandro Santos

    La seguridad informática es un riesgo calculado. Cuando un sistema de software comercial falla, las pérdidas son de dinero. Hacer que un sistema sea seguro cuesta guita, y que sea más seguro cuesta más guita, siguiendo la ley de los rendimientos decrecientes. Las empresas hacen el balance entre las posibles pérdidas por un problema informático, y por el costo monetario de hacerlo más seguro. En todos los casos lo que se gana, lo que se pierde, lo que no se gana, y lo que no se pierde es siempre lo mismo: dinero. En una elección presidencial con voto electrónico no podés hacer el mismo análisis.

  37. Luis

    paraaaa es un sistema de votacion , no es un framework! ni un sistema completo, se lo puede revisar a conciencia, enserio, muchas peliculas, no creo q el codigo sean tan largo como para no poder revisarlo a conciencia, soy Ing en sistemas y tuve mi epoca haciendo videojuegos, no creo q tenga esto mas lineas q un video juego promedio, se lo puede revisar.
    Por otro lado, la parte de las impresoras….dios, querria poner realmente a prueba esa teoria, tendrian q ponerse de acuerdo TODOS los fiscales en cada mesa para poder saber quien voto a quien, sino es imposible q sepa el nombre de cada votante y el orden.
    de nuevo, poder se puede pero me parece q mucha fantasia

    • IVAN

      Un sistema de votación, por ejemplo el de MSA que se uso en Salta y CABA en 2015, es efectivamente una aplicación hecha en el lenguaje de programación Python, utilizando un framework MVC, corriendo sobre una máquina virtual de alto nivel (el intérprete de Python) que a su vez corre sobre la distribución Ubuntu del sistema operativo GNU/Linux con un montón de bibliotecas y paquetes de software de terceros instalados. El kernel de Linux incluye un conjunto de drivers – sin su respectivo código fuente- que se utilizan para controlar los dispositivos periféricos de la máquina (la pantalla, la placa de red, el DVD, los puertos serie, etc.).

      La máquina es una PC común con un CPU Intel, pero un programa corriendo en el Linux se comunica por un puerto serie con otro CPU ARM que es el encargado de controlar el lector/grabador de chips RFID de las boletas y la impresora. Para eso, el CPU ARM corre un firmware del cuál tampoco se dispone del código fuente. El lector/grabador y la impresora también tienen firmware que corre en microcontroladores respectivos, no hay código fuente de eso tampoco porque lo hacen los fabricantes no el proveedor del sistema de voto electrónico.

      Cuando la máquina se prende hay otro software (firmware) llamado BIOS que es lo primero que se carga y que verifica el correcto funcionamiento del sistema. Como una misma computadora puede tener diversos dispositivos periféricos y accesorios de hardware los BIOS modernos son, efectivamente un framework – el mas popular es el Universal Extensible Firmware Interface (UEFI) – que permite que cada fabricante de dispositivo agregue módulos de firmware propio encargados de inicializar, verificar correctitud y operar los dispositivos fabricados por el. Cuando arranca la máquina el BIOS verifica el correcto funcionamiento de las cosas básicas (CPU, memoria, bus, etc) e identifica los dispositivos instalados en la computadoras, para cada dispositivo carga y ejecuta el modulo UEFI del fabricante correspondiente.

      No se dispone del código fuente de nada de todo esto. Aún si se dispusiera del código fuente también seria necesario disponer del código fuente del compilador que transforma todo lo anterior en programas binarios que la máquina carga y ejecuta, porque un compilador podría estar alterado para modificar el código original y agregar funcionalidad oculta en el momento de compilación.

      Por todo lo anterior la afirmación de que “se lo puede revisar a conciencia” es falsa en la práctica.


Publicar un nuevo comentario