Por:
Julio José Espiña Dapena, Director Desarrollo de Negocio Sector Público,
Tecnocom
“El único sistema seguro es aquél que está
apagado en el interior de un bloque de hormigón protegido en una habitación
sellada rodeada por guardias armados”, así de contundente se mostró Gene
Spafford –experto en seguridad– cuando le preguntaron sobre la seguridad de los
sistemas de voto.
Sin
llegar a ese extremo, lo que sí es cierto es que a la hora de elegir un sistema
de votación es importante al menos conocer los distintos estadios del voto
digital. Históricamente, el modelo tradicional consistía en un escrutinio
provisional realizado por un equipo humano, que desplazado a la mesa electoral
se encargaba de tomar nota sobre papel de los distintos datos generados durante
la jornada electoral transmitiéndolos vía teléfono o fax a un centro de
recepción de la información electoral. Este modelo aún perdura y convive con el
actual escrutinio digital el cual utiliza una aplicación informática que a
través de dispositivos electrónicos tales como tabletas, teléfonos
inteligentes, ordenadores portátiles, etc. se transmiten los datos a un Centro
de Proceso y Consolidación de Datos, donde finalmente se realizan los cálculos
de representación en base a la normativa electoral vigente.
Siguiendo
un ranking de innovación, el siguiente más avanzado sería el “Censo Digital”,
el cual puede convivir perfectamente con los dos métodos anteriores. Este
método tiene la ventaja de identificar electrónicamente al ciudadano (DNI
electrónico, huella digital, etc.) para comprobar si realmente está censado. En
este caso el ciudadano podría ejercer su voto en dicha mesa a través de urna
física.
El
sistema más avanzado y que también podría convivir con cualquiera de los
métodos citados anteriormente es el “Voto Electrónico”, que es cien por ciento
digital desde la autenticación del ciudadano hasta la emisión del sufragio de
manera electrónica. Este método abre distintas alternativas de emisión del
sufragio electrónico como por ejemplo los Sistemas DRE (Grabación de Registro
Directo) que utilizan un dispositivo de urna electrónica en la misma mesa
electoral con dos variantes posibles: una 100% electrónica a través del dispositivo
de urna a través de un escaneo inteligente de una papeleta donde se marca la
opción u opciones de voto, y la otra el voto por internet donde no es necesario
el voto presencial en la mesa.
La
principal diferencia entre el modelo tradicional y el electrónico, es la
ralentización en la publicación de los resultados provisionales, que como todos
sabemos provoca cierta ansiedad entre la ciudadanía. Otro aspecto que hay que
resaltar es que el Sistema Informático de escrutinio digital es tan vulnerable -en
mayor o menor medida- a ciberataques como cualquier otro Sistema. Estamos
hablando en cualquier caso del escrutinio provisional, que siempre deber ser
contrastado con el escrutinio definitivo oficial que realizan las autoridades
judiciales a través de las actas recogidas en las mesas electorales. Tampoco
hay que olvidar que, incluso en los métodos tradicionales, puede haber
manipulación en la transmisión de los datos bien vía telefónica por
suplantación de la identidad, o por bloqueos al centro de recepción de la
Información utilizando robots telefónicos capaces de emitir millones de
llamadas con la finalidad de desbordar las colas y obstruir la transmisión de
datos durante la jornada electoral.
Las
ventajas del voto electrónico son claras y contundentes si hablamos de rapidez
en los escrutinios, ahorro de costes para la administración y comodidad para el
elector. En principio no podemos hablar de desventajas, al menos que no se
utilicen correctamente los métodos, técnicas y herramientas al implantar el sistema,
en cuyo caso se podrían provocar problemas en la seguridad y el manejo de la
información electrónica generada.
La
seguridad 100% no existe, pero todas las medidas de seguridad puestas en marcha
en un proceso electoral digitalizado configuran un entorno con un nivel de
seguridad alto. La configuración de las medidas de seguridad se realiza sobre
distintas capas. En primer lugar la red local que incluye las instalaciones en
el “Centro de Recepción, Cálculo y Consolidación de la Información” se organizan
en redes virtuales en función de los servicios a los que tendrán acceso y que
serán filtrados por los elementos de seguridad de red. Las conexiones se
realizan cableadas, limitando los accesos inalámbricos a zonas controladas en
las que se establecerán permisos especiales y se limitará el acceso a servicios
y aplicaciones críticas.
Asimismo
la seguridad de red incluye los equipos que proporcionan los servicios locales
de protección frente a ataques o intentos de intrusión: filtrado de tráfico
(Firewall de próxima generación, NGFW), detección y prevención de intrusiones
(IPS), balanceo de tráfico (LB), firewall de Aplicación (WAF, Web Application
firewall). Adicionalmente, el operador ofrece un servicio complementario de
protección frente a ataques de denegación de servicio distribuidos (DDoS), de
forma que este tipo de amenazas sea detenido antes de poder consumir ancho de
banda de la conexión entre el CPD y la red pública.
Las
medidas de seguridad también afectan a la distribución de contenidos Web accesibles
desde Internet (portal de resultados, servicios de consulta de resultados para
las aplicaciones móviles, aplicación para consulta y grabación de datos desde
dispositivos móviles y aplicación para gestión y seguimiento del proceso
electoral), que se despliegan en una red de distribución de contenidos (CDN –
Content Distribution Network) con un doble objetivo: liberar de tráfico la
conexión entre el CPD y la red pública y añadir una capa de aislamiento
adicional entre los usuarios (y posibles atacantes) y los contenidos.
También
es importante contar con un acceso seguro desde los dispositivos móviles
utilizados para el envío de los contenidos al centro de recogida de
información, que se gestionan utilizando un sistema de gestión de dispositivos
móviles (MDM – Mobile Device Management) que permite gestionar y controlar -a
través de un agente instalado en el propio dispositivo móvil y una plataforma
ofrecida por el operador telefónico- estos dispositivos. Con la garantía de que
solo los dispositivos que utilizan esta red pueden enviar datos de
participación y escrutinio.
La
seguridad en el área de plataformado de equipos incluye los equipos utilizados
en el Centro de Recepción, Cálculo y Consolidación de la Información, los
dispositivos móviles utilizados para el envío de datos desde los locales
electorales, así como -en el caso que existan- las mesas habilitadas con
equipos para censo digital. Para ello se despliega una maqueta (sistema
operativo + aplicaciones necesarias para la jornada electoral) en la que se
realizan los ajustes de seguridad pertinentes y se eliminan procesos
innecesarios y/o inseguros.
Por
último y no menos importante hay que proteger la identificación de extremos, es
decir, los equipos situados fuera del centro nacional de difusión que se
utilizaron para la manipulación de datos relacionados con el proceso, antes,
durante y después de la jornada electoral, que utilizan conexiones cifradas SSL
con autenticación de extremos basada en certificados digitales emitidos por una
entidad de certificación gestionada en el proyecto. La distribución de estos
certificados y de los usuarios y claves a utilizar para acceder a los sistemas
se realiza por distintos canales en función del nivel de seguridad,
garantizando en todo momento la seguridad de su envío.
Adicionalmente
cabe mencionar los casos en los que se utiliza un sistema de votación de
registro directo (DRE), en el que se instalan puntos para censo digital y
votación electrónica en los locales electorales, en los que se suelen aplicar
otras medidas de seguridad. Como por ejemplo, en los equipos utilizados para
censo y votación que no están conectados a ninguna red externa y no disponen de
puertos accesibles a las personas que acudan al local electoral durante el
proceso de votación, o también durante el envío de datos de participación y
escrutinio al sistema de recogida de información, el cual se realiza utilizando mecanismos de seguridad
similares a los utilizados para el envío de datos desde dispositivos móviles y
mesas administradas electrónicamente.
Estas
medidas complementarias también afectan al software utilizado para censo,
votación y para la transmisión de datos, es auditado por las autoridades y se
hace público para que sea auditado también por los ciudadanos. Durante el proceso
y de forma habitual, estos sistemas generan un voto en papel que se deposita
automáticamente en una urna o que el ciudadano debe depositar en la urna. Este
sistema permite realizar un recuento de papeletas y cotejar el resultado de
este recuento con el resultado de la votación electrónica. Para ello se
utilizan técnicas criptográficas para la encriptación y descifrado del voto. A
través de un sistema de clave pública-privada se permite por una parte
encriptar el voto, y por otra proteger mediante secreto compartido la clave
privada, la cual permite el acceso a los resultados por parte del grupo de
personas que custodia dicho secreto compartido.
En
la actualidad, prácticamente la totalidad de los países avanzados del mundo
utilizan Sistemas de Información para escrutinio digital en sus procesos
electorales, sin embargo, la implantación del voto electrónico es mucho más
compleja.
En
lo que respecta a la legislación española con carácter estatal, no se contempla
el uso del voto electrónico. Dentro del estado español, solo la Comunidad
Autónoma Vasca cuenta con legislación electoral relativa al voto electrónico,
aprobada por el Parlamento Vasco.
En
el contexto internacional, sólo siete países permiten el voto electrónico
(vinculante y con validez legal) para la elección de sus representantes:
Bélgica, Estonia, EEUU, Brasil, Filipinas, India y Venezuela. Otros cinco
países lo han prohibido expresamente: Alemania, Finlandia, Holanda, Irlanda y
Reino Unido, y en otros muchos esta opción se encuentra en fase de estudio.
En
los últimos días, se ha podido leer en prensa diversas noticias preocupantes
sobre el posible quebranto en la seguridad de algunos procesos electorales o
posibles amenazas al mismo.
Por
ejemplo, el caso de las últimas elecciones presidenciales en EEUU, donde se ha
demostrado la existencia de una serie de ataques realizados con el objeto de
influir en la decisión de los electores americanos, robando información de
servidores de diversos organismos públicos y privados, que luego era publicada
en Internet a través de canales como wikileaks u otras páginas web.
No
se puede considerar que este tipo de ataques haya quebrantado el sistema
electrónico usado para el desarrollo del proceso electoral, ya que es previo al
mismo y con la finalidad de influir en el elector, pero no de manipular el voto
una vez emitido. A día de hoy, no existe prueba alguna de que haya existido un
hackeo del sistema informático de emisión y contabilización del voto durante la
jornada electoral.
Otro
ejemplo es el de Holanda, que, debido a dichos ciberataques, han decidido
prescindir del sistema de escrutinio digital y volver al método tradicional de
contabilización de votos y envío de datos vía telefónica a un Centro Integral
de Recepción de la Información (Holanda fue en su día un país avanzado en la
implantación del voto electrónico, pero decidió en el año 2008 volver a métodos
más conservadores de contabilización debido a ciertas fallas de seguridad que
habían detectado en los sistemas desarrollados).
Es
muy probable que en el futuro se incrementen los ciberataques a este tipo de
sistemas, que deben ser cada día más robustos para minimizar el impacto de los
mismos. Los hackers, con este tipo de ataques, pueden buscar relevancia
personal (por el tipo de sistema e información que manejan) o
contraprestaciones económicas por parte de agentes externos (estados,
corporaciones, etc.) que buscan influencia política o desestabilización en ese
ámbito.
Esa
influencia se podría dar con carácter previo al evento electoral, con el
objetivo de desvelar información que influya en el elector, o bien en la propia
manipulación del sistema electoral, aunque en este último punto hay que
resaltar que casi siempre se dispone de redundancia en el sistema, gracias a la
validez de los resultados que se tiene que dar en el ámbito judicial, lo cual
afloraría dichas manipulaciones y como mal menor provocaría la repetición del
proceso.
+++
No hay comentarios:
Publicar un comentario