Thursday, October 25, 2007

Votación electrónica, o como no confiar

Bueno, Colombia se montó al bus, y siguiendo el (mal) ejemplo decidió hacer pruebas de votación electrónica. Hace tres años que se promulgó la ley 892, que comienza diciendo "Establézcase el mecanismo electrónico de votación e inscripción para los ciudadanos colombianos"; pero solo hasta ahora se dan los pasos materiales para poner en práctica lo ordenado en esta ley. Antes de criticar la ley y su forma de aplicación, miremos un poco el actual sistema de votación en Colombia, y algunos supuestos que se deben tener en cuenta a la horade diseñar un sistema de votación.

Los supuestos que debemos tener en cuenta son:
  1. Las elecciones deben ser transparentes. Puede parecer muy obvia, pero es fundamental. Unas elecciones con demasiados puntos oscuros van en contra del proceso democrático.
  2. El voto debe ser secreto. Es un principio constitucional, y ayuda a que se vote sin temor.
  3. El poder corrompe. Aquellos a cargo de las elecciones son susceptibles de corrupción y tienen sus propios intereses.
  4. Todos tienen un precio. Siempre habrá quien venda su voto, siempre habrá quien lo compre.
  5. El que vota quiere que su voto sea contabilizado. Tanto el que vota limpiamente como aquel que vendió su voto quieren que su voto cuente, y lo necesitan así, ya que participaron en el proceso por alguna razón. Esto también significa que el sistema debe rechazar a los tramposos que votan mas de una vez, ya que un voto duplicado "saca" a un voto bueno, o al menos le quita peso relativo.
  6. Todo el que quiera mirar, debe poder mirar. Este mas que un supuesto es una conclusión, ya que la única forma de cumplir con los supuestos anteriores es permitiendo que cada etapa sea auditable y auditada.
Ahora miremos el sistema actual y hasta que punto cumple con los criterios anteriores: El votante se inscribe en un lugar cerca a su casa, el día de las elecciones presenta su cédula, se verifica que esté en la lista de votantes, se le entrega una tarjeta firmada por los jurados, el marca su voto, dobla la tarjeta y la intrudoce en una caja de cartón que tiene uno de sus lados transparentes, antes de irse un jurado le "pinta" el dedo índice con un marcador indeleble. Al final del día se sacan los votos de la urna y se cuentan, se llenan los datos tabulados en una planilla, y tanto los votos individuales como las planillas son enviados a la registraduría.

Cada uno de estos puntos tiene una razón de ser, y es auditable de la siguiente forma:
  1. La lista de votantes está centralizada, de modo que no es posible que una misma persona esté registrada en dos sitios a la vez. Si Antonio Alvarez está inscrito en el sitio de votación A, y luego se inscribe en e sitio B, la segunda inscripción anula la primera, y solo puede votar en B.
  2. El ciudadano que vota es tachado de la lista de votantes. Con esto y el punto anterior se evita que dos personas voten con la misma cédula.
  3. Las tarjetas electorales tienen la firma de los jurados, con lo que se evita que se introduzcan múltiples votos por una sola persona.
  4. Las urnas son transparentes, con lo que se puede saber, al comienzo de la jornada, que no fueron introducidos votos antres de abrir la votación.
  5. El dedo del ciudadano es marcado, con lo que se evita que una misma personavote dos veces con cédulas diferentes.
  6. Las cédulas de ciudadanía están bien protegidas contra falsificación, en particular las cédulas nuevas, lo que hace difícil que se puede presentar una cédula falsa.
  7. Los votos son contados ante los testigos electorales, designados por los partidos políticos. Este punto es crucial, ya que es muy fácil distinguir, a la vista, un voto válido, y los resultados de una mesa se pueden contrastar con los que reporta la registraduría al final del proceso. Cada testigo electoral es un auditor del proceso de votación, que puede dar fe de que todos los votos fueron contados, y de que no hubo condiciones anómalas durante el conteo (como votos sobrantes o tarjetas sospechosas). Lo que es mas valioso aún, no se necesita ningún tipo de calificación especial para ser testigo. Cualquier persona que vea y oiga bien podrá realizar su labor sin problemas.
Este sistema tiene las siguientes debilidades:
  1. Es inútil ante la compra de votos. No se puede saber si una persona vota a consciencia, y se puede utilizar el llamado carrusel de votos, donde una persona introducen una tarjeta falsa al comienzo de las elecciones, y se roba una válida. Luego marca esa con el voto deseado, y se la da a quien ha vendido su voto para que a introduzca y traiga una tarjeta limpia. De este modo se puede tener cierta seguridad de que los votos comprados van para el que los pagó.
  2. Depende de la buena actuación de los jurados. Si ellos permiten que una persona vote mas de una vez, no hay forma de detectarlo. Esto es particularmente fácil de hacer gracias a la alta tasa de abstención electoral. Se esperan a los últimos minutos de votación, y se tachan de la lista de votantes varios de los que no han votado, y se introducen los votos que se quieran.
  3. Falta de capacidad de los testigos. Aún si el testigo electoral detecta alguna situación anómala, es imposible recuperar pruebas en ese momento, para sustentar una demanda posterior.
Esta lista no es completa, y supongo que hay muchas debilidades mas.

Un sistema nuevo debería incluir las fortalezas del sistema actual, y atacar sus debilidades. Por desgracia la ley 892 no lo hace. Solo el artículo 3 incluye puntos al respecto:

ARTÍCULO 3o. La implementación del nuevo mecanismo se realizará antes de cinco años, sin embargo, la Organización Electoral deberá, en un plazo no mayor de seis meses, dar inicio a los planes pilotos de votación con el nuevo sistema.
PARÁGRAFO 1o. Dentro de la reglamentación se exigirá que el aplicativo o software y la base de datos posean el código fuente debidamente documentado, descartará los votos que presenten identificación y/o huellas repetidas, así como los votos sufragados en una circunscripción diferente a la inscrita cuando los candidatos sean de circunscripción territorial.
PARÁGRAFO 2o. El mecanismo electrónico de votación asegurará el secreto e inviolabilidad del voto.

La capacidad de auditar el sistema, que es vital a la hora de establecer la confianza en el mismo, no es una condición incluida en la ley, y las máquinas de votación actuales no incluyen este tipo de funcionalidades. Lo que es peor, ¡tampoco garantizan los dos puntos incluidos en la ley! Esto es debido a que los fabricantes de estos equipos no tienen incentivos para hacerlos robustos y seguros. Mientras que un fallo en un cajero automático puede producir pérdidas económicas, y demandas, un fallo en una máquina de votación pasa desapercibido mas allá de lo anecdótico, por lo que es necesario que los proveedores de la tecnología se hagan responsables de los resultados de la misma, punto donde nuevamente la ley queda muda.

Un equipo de votación electrónica debería incluir, al menos las siguientes características:
  1. Garantizar el voto anónimo.
  2. Garantizar la identidad del votante para que esta no dependa de los jurados.
  3. Garantizar la integridad del software. El software que se pruebe debe ser el mismo que se use en las elecciones.
  4. Garantizar la integridad de la información. Nadie debe poder modificarla, no importa cuantos privilegios tenga.
  5. Garantizar que personal no experto pueda auditar las máquinas. Cualquier persona que pueda usar un computador debería estar en capacidad de dar fe de que los puntos anteriores se están cumpliendo.
Esperemos que en la implantación del sistema se tengan en cuenta estos puntos.