La seguridad en torno a las urnas electronicas: un debate que sigue vigente en Brasil

En Brasil, la seguridad alrededor de las urnas electrónicas es un tema que viene ganando importancia desde hace algunos años, especialmente en periodos electorales. Si bien el Tribunal Superior Electoral (TSE) defiende la seguridad de las urnas electrónicas y la confiabilidad de las elecciones, el tema aún genera controversias que han sido destacadas por especialistas en el área de seguridad, como publicamos anteriormente.

El equipo de WeLiveSecurity contactó a Diego Aranha, especialista en seguridad de sistemas y actual profesor de la Universidad de Aarhus, en Dianamarca, quien participó en auditorías públicas de urnas electrónicas en Brasil y aclaró algunas dudas relacionadas con el tema. Diego recibió en 2015 y 2016 el “Google Latin America Research Awards” por investigación en privacidad y el “Innovadores Menores de 35 años Brasil” por su trabajo con el voto electrónico.

Coordinaste el primer equipo de investigadores independientes que logró detectar y explorar vulnerabilidades en el software de las urnas electrónicas en Brasil cuando se realizaron las pruebas de seguridad pública organizadas por el TSE, y también participaste como observador externo en años anteriores. ¿Cuál es su visión sobre las auditadas realizadas? ¿Existieron restricciones de acceso?

Considero que las pruebas de seguridad son importantes y deseables, pero resultan ser insuficientes en el formato actual. En primer lugar, existe el obstáculo de tener que examinar una candidad gigantesca de código (décenas de millones de líneas) en pocos días y bajo supervisión del TSE; no hay posibilidades de hacer modificaciones para comprender mejor su funcionamiento. No hay garantía de que el código examinado en las pruebas sea el utilizado en las elecciones, dado que el desarrollo del sistema continúa hasta las próximas elecciones y puede introducir nuevas vulnerabilidades. A pesar de eso, todo el funcción es bastente burocrático, toda la documentación toma bastente tiempo para ser producido en entrondos de prueba. En la edición de 2017, completamos 8 tipos de formularios diferentes en múltiples instancias. También existen restricciones en el uso de papel para realizar anotaciones, no es posible utilizar máquinas y equipos propios, lo que hace necesario montar un ambiente de trabajo en los primeros días del evento. Sin embargo, incluso con todos estos obstáculos y limitaciones, ya fueron descubiertas y explotadas fallas de seguridad bastante importantes en el ambiente de pruebas, lo que en cierto modo indica el grado de vulnerabilidad del sistema.

Durante las pruebas en las que usted participó, ¿cuáles fueron las vulnerabilidades más grandes que se encontraron? ¿Todas las fallas reportadas al TSE fueron corregidas a tiempo?

En las pruebas de 2012, logramos recuperar los votos por orden de una elección simulada, utilizando únicamente información pública. Este ataque podría ser utilizado para violar el secreto del voto de toda una sección electoral que esté bajo el control de un miembro de la mesa con malas intenciones y que mantenga el orden de votación de los electores, o de un elector que realice el acto de votante en un horario conocido, como el propio presidente del TSE. También documentamos una serie de otras fallas de seguridad que involucran el mecanismo de verificación de integridad del software.

"El sistema sigue siendo vulnerable ante un posible fraude interno llevado a cabo por alguien que tenga accesos privilegiados por largos periodos de tiempo".

En 2017 logramos adulterar el software de votación y cambiar los programas instalados en las urnas electrónicas a versiones maliciosas previo a una elección simulada. Estos programas maliciosos pueden realizar cualquier tarea para la que están programadas, como romper el secreto del voto de específicos votantes, impedir que los votos fuerse registrados y hacer propaganda de candidatos en la pantalla de votación. Las pruebas se interrumpieron mientras ejecutaban programas para desviar los votos. Para lograr esta acción maliciosa solo se necesitó tener acceso a las tarjetas de memoria que se instalan en las urnas, teniendo en cuenta que cada tarjeta sirve para instalar individualmente 50 equipos. Es decir que, en una elección real, el ataque no necesitaría acceso a las urnas electrónicas el día de la elección para alcanzar la escala desesada. Asimismo, una de las vulnerabilidades explotadas para avanzar en esta acción maliciosa fue detectada y reportada en 2012, pero no ha sido debidamente mitigada hasta el día de hoy.

Las correcciones y mitigaciones realizadas por el TSE son suficientes para aumentar la resistencia del sistema frente a atacantes externos, pero el sistema sigue siendo vulnerable especialmente frente a un atacante interno que tiene acceso privilegiado por largos periodos de tiempo.

Las elecciones de este año marcan el 22° aniversario del voto electrónico en Brasil. En su opinión, ¿por qué la seguridad de las urnas comenzó a ser cuestionada recién en los últimos años en Brasil? Este proceso ya ha sido estudiado en otros países, pero recién ahora (en los últimos años) empezamos a preguntarnos si son realmente seguros.

En mi opinión, había un escudo jurídico y técnico alrededor del sistema, por lo que la única información pública al respecto venía a través de la propaganda oficial. Fue recién en 2012, después de 14 años de operación, que por primera vez fue posible examinar el código fuente del sistema sin restricciones en términos de secreto para iniciar un debate técnico sobre la base de evidencia en torno al tema. La prensa tampoco ha colaborado mucho, demostrando en varias oportunidades la clara preferencia por repetir la propaganda oficial en lugar de presentar múltiples posiciones técnicas en los medios. Modificar esta situación para que sea posible evolucionar a través del debate es un esfuerzo hercúleo muy frustrante.

¿Cómo observa usted la evolución de las pruebas realizadas con las urnas electrónicas en Brasil? ¿Usted percibe algún avance o preocupación en torno al tema por parte de las instituciones responsables?

Ha habido avances importantes, especialmente en la forma en que los técnicos de la Justicia Electoral toman nuestras observaciones y en el esfuerzo realizado para tratar de mitigar las vulnerabilidades desde el punto de vista técnico y procesal. Sin embargo, aún existen grandes obstáculos para tratar el tema con transparencia con los superiores del Poder Judicial, quienes entienden que la defensa incondicional del sistema es la única posición posible, lo que contamina el debate técnico y la cobertura por parte de la prensa. La polarización reciente entorno al tema termina siendo consecuencia de esa postura, debido a la desconfianza generalizada que hay sobre las instituciones, que se concentra en aquellas que no cumplen con los requisitos mínimos de transparencia.

¿Qué se puede hacer para mejorar la seguridad de las urnas electrónicas y hacer más transparente el proceso electoral?

“Es fundamental introducir un registro de votación físico que permita a los electores verificar el correcto comportamiento del sistema durante la votación”.

Pienso que es fundamental la introducción de un registro de votación físico que permita a los electores verificar el correcto comportamiento del sistema durante la votación, el cual debe estar asociado a un riguroso procedimiento de custodia de los registros para una eventual verificación y auditoría independiente. Si se implementa correctamente junto con el depósito automático en urna convencional luego de que el elector da fe y confirma el voto, el voto impreso permite verificar la integridad del conteo electrónico a partir del conteo de los registros físicos, aunque sea muestreado. Eso aumenta significativamente la dificultad de que un fraude sea indetectable al exigir que se realicen identificaciones de la versión digital e impresa de los votos.

Esa fue la forma en que todos los otros países con electrónica se encontraron a escala nacional para realizar elecciones auditables, siendo incluso consciente de que todo el sistema computacional posee fallas y vulnerabilidades. En lugar de que los especialistas inspeccionen antes de las elecciones una fracción razonable de los millones de líneas de código que componen los programas, lo que la comunidad técnica considera es que tiene mucho más sentido auditar el comportamiento del sistema durante la votación, que es cuando realmente importa