28 oct 2016

Lo que España puede aprender de Estonia en cuanto al voto telemático

Cada cuatro años los españoles tenemos una cita con las urnas. Hasta ahora la única opción que los ciudadanos de este país hemos tenido para expresar nuestra opinión de forma democrática ha sido desplazarnos al colegio electoral a depositar nuestra papeleta en una urna. Y sin embargo, algunos países nos han demostrado que no es la única que existe. En estos territorios el voto telemático es una opción muy extendida, e incluso existen mecanismos para protegerlo frente a posibles ataques externos si se diera el caso. Si se aplican las medidas adecuadas el voto por Internet debería ser tan seguro como el que depositamos personalmente en la sede electoral.
España por ahora no es muy amiga de las votaciones por Internet, aunque no es el único país que se pronuncia en contra. El voto telemático cuenta con muchos detractores por las implicaciones de seguridad que supone. Por ahora la opinión de las autoridades es que plantea más dudas de las que resuelve.
Y sin embargo podemos aprender mucho sobre qué hacer para implementar el voto online de alguno de estos países pioneros.
El voto telemático permite votar desde ordenadores o dispositivos móvilesEl voto telemático permite votar desde ordenadores o dispositivos móviles

¿Por qué los ciudadanos no pueden votar por Internet?

Usamos Internet de forma rutinaria para comunicarnos entre nosotros, para encontrar información de todo tipo y hasta para comprar productos. Y aún así el asunto del voto telemático está en pañales. En España tenemos que acudir a los colegios electorales a depositar la papeleta, lo que requiere tener a personas controlando las mesas, que después deben realizar el escrutinio y entregar los resultados.
En países como Estados Unidos se han empezado a introducir máquinas que escanean el voto automáticamente. Incluso se han visto formas de voto electrónico a través de pantallas táctiles, que sirven para que los electores con discapacidades puedan ejercer su derecho igualmente según se recoge en IEEE Spectrum. Por supuesto, esto también viene con su propio rango de vulnerabilidades y agujeros de seguridad.
Permitir que los ciudadanos puedan votar desde sus dispositivos inteligentes o desde sus ordenadores puede reportar muchos beneficios:
  • Sería mucho más cómodo, lo que podría aumentar la participación.
  • Ofrecería medios para verificar que cada voto lo emitió un elector de pleno derecho.
  • Eliminaría los errores comunes del voto tradicional -como por ejemplo los fallos en el conteo-, de forma que el resultado sería mucho más preciso.
Sin embargo, un grupo de investigadores de seguridad informática e investigadores piensan que el voto telemático todavía no está listo para ser usado en todo su potencial, según se ha publicado. Lo ven demasiado susceptible a los hackers y aducen que el fraude electoral sería más difícil de controlar. Otra de sus razones para defenestrarlo es que podría ser más fácil coaccionar a los votantes.
Vista de Tallin, capital de EstoniaVista de Tallin, capital de Estonia

Cómo logar que el voto telemático sea más seguro

En un artículo anterior que publicamos aquí mismo en el que hablábamos sobre el resurgir digital de Estonia ya comentamos este asunto. En concreto este país del Este de Europautiliza el voto telemático desde 2005, convirtiéndose en el primer país del mundo en hacerlo.
Los estonios llevan más de una década usando un sistema electoral online creado por una empresa que es el principal proveedor de servicios electrónicos seguros del gobierno. Esta empresa es Cybernetica, que en 2014 unió sus fuerzas con la británica Startmatic, que estaba desarrollando un programa de voto electrónico que los de los países bálticos ayudaron a dirigir.
Las experiencias de Estonia demuestran que los sistemas bien implementados son cómodos para el usuario a la par que mantienen los principios democráticos del voto secreto y la justicia. A continuación explicamos cómo lo han hecho.
 

Las tres etapas del voto telemático

Según se ha publicado, el voto online presenta tres etapas que son desafíos a la seguridad en sí mismas:
  • Registrar y autenticar electores.
  • Transmitir los votos de forma segura a una urna virtual y protegerlos una vez hayan llegado.
  • Verificar que los votos se han emitido de forma correcta.
Un buen sistema de voto telemático contará con salvaguardas incorporadas para minimizar los riesgos en cualquiera de las tres etapas.
Con este sistema -con sus correspondientes salvaguardias- los estonios han celebrado ocho comicios usando el voto online y ha sido todo un éxito. En las últimas elecciones parlamentarias del país báltico un 30% de los electores inscritos usaron el voto telemático. De esa misma cantidad, un 20% dijo que no habrían votado si no hubiesen podido hacerloonline.
De hecho, según un estudio del voto telemático en Estonia asegura que esta capacidad ha hecho que la participación suba. Y su sistema nunca ha tenido una brecha en su seguridad ni ha fallado.
 

¿Por qué el sistema estonio funciona tan bien?

Una razón para que este sistema siga funcionando tan bien es la decisión del gobierno de Estonia de emitir tarjetas de identidad electrónicas en 2002. Recientemente también han empezado a usar identificaciones basadas en las tarjetas SIM de lossmartphones de los ciudadanos. Actualmente este sistema lo usa el 94% de la población del país.
Que el gobierno del país báltico haya sido tan atrevido en esta materia ha ayudado enormemente con una de las tareas más duras del censo electoral: asegurarse de que sólo los ciudadanos con pleno derecho votan. Esto es mucho más difícil de controlar en, por ejemplo, el voto por correo.
El voto telemático usa sistemas de autenticación mucho más fuertes. En Estonia el gobierno construye un perfil del votante con varios fragmentos de datos biográficos y biométricos que se guardan en una base de datos central y, de forma separada, en la identificación electrónica y móvil de dicha persona.
El perfil del votante se realiza mezclando datos biométricos con biográficosEl perfil del votante se realiza mezclando datos biométricos con biográficos
Para votar a través de Internet, los ciudadanos estonios se descargan una aplicación que les permite acceder al sistema online. Para identificarse introducen su DNI en un lector de tarjetas o su número de teléfono, e inmediatamente después un número de identificación personal o un PIN. El sistema después compara estos datos con los biográficos y biométricos y si coinciden se puede acceder al voto.
Asegurarse de que un voto refleja la elección del votante es otro desafío para la seguridad. Como ya hemos comentado los críticos del voto telemático aseguran que es más fácil coaccionar a un votante remoto. Esta amenaza se puede reducir permitiendo a los electores que emitan tantos votos como quieran, aunque cada nuevo sufragio invalida al anterior.
Estonia lleva esta estrategia un paso más allá permitiendo a los votantes que ya han votado en Internet visitar un colegio electoral y votar de forma tradicional, lo que tiene más valor que hacerlo de forma telemática.
En Estonia el voto físico vale más que el voto telemáticoEn Estonia el voto físico vale más que el voto telemático

Así funciona el cifrado del voto telemático en Estonia

Como ya hemos comentado, cuando un voto online es autenticado se debe transferir a una urna virtual donde después será recontado. Este paso es crucial y muchos expertos en seguridad se oponen al sistema de voto telemático gracias a él. Creen que los hackerspueden explotar cualquier fallo y hacer y deshacer a su antojo, aunque esta transferencia se puede hacer más segura con las medidas adecuadas.
La mejor forma de salvaguardar las papeletas digitales es usar una clave de cifrado pública. Esta técnica, de hecho, usa dos claves distintas: una pública que se envía al votante y otra privada que va a parar a la junta electoral. Es el mismo método que se usa para cifrar información personal en Internet. Esto sirve para dos propósitos:
  • La clave del votante mantiene el secreto de su elección.
  • La clave de la junta electoral autentica al votante como legítimo.
Después de que los votos han sido transferidos correctamente a la urna virtualpermanecen cifrados hasta el cierre. Después el sistema los descifra para contabilizarlos, colocándolos en un orden aleatorio para proteger la identidad del votante y, de paso, evitar ataques MiTM.
Una vez que los votos digitales se han colocado en un orden arbitrario se transfieren a un servidor físicamente aislado de todas las redes, donde se recuentan. Vale la pena señalar que las papeletas virtuales sólo se pueden descifrar usando la clave privada de la junta electoral, lo que supone el último paso del proceso de cifrado. Esta clave sólo se puede generar mediante quorum entre los miembros de la junta.

A través de este esquema la clave privada se divide en fragmentos, que se distribuyen entre un set de tokens protegidos por un código PIN, como por ejemplo tarjetas inteligentes o dispositivos USB seguros. Estas tokens después se entregan a un cierto número de miembros de la junta, que introducen el código para desbloquearla. Cuando hacen esto, su parte de la clave privada se lee y se combina con las demás para recrear la clave completa. Sin la clave reconstruida es imposible descifrar los votos.

No hay comentarios: