En este último tiempo, los titulares en los medios de comunicación hablan sobre “ataques a los votos” o de “elecciones comprometidas”, por lo que muchas personas nos preguntan si es posible que los atacantes modifiquen el resultado de las elecciones presidenciales estadounidenses de este año, que tendrán lugar mañana. Desafortunadamente, es imposible darle una respuesta breve a esta pregunta, así que, para aquellos que quieran saber más sobre la complejidad del asunto, he compilado una serie de respuestas objetivas e independientes a las 10 preguntas más frecuentes sobre ataques a elecciones.
Comenzaré con la pregunta fundamental, cuya respuesta le dará el contexto necesario a las demás preguntas.
1) Ya estamos en el año 2016, ¿por qué no usamos el voto en línea?
En esta elección presidencial próxima de los Estados Unidos no se puede votar online porque la tecnología que se utiliza hoy en día no es lo suficientemente segura para votar por Internet. La gran mayoría de las votaciones para esta elección se llevarán a cabo en sistemas que no están conectados a Internet (desde el punto de vista profesional, opino que es algo bueno, debido al estado actual de la seguridad online). Explico más sobre los requerimientos tecnológicos para el voto por Internet en la pregunta 10.
Para tener una idea integral sobre los inconvenientes de seguridad particulares a este tipo de voto, recomiendo leer el artículo “If I Can Shop and Bank Online, Why Can’t I Vote Online?” (Si puedo comprar y usar la banca en línea, ¿por qué no puedo votar online?), escrito por David Jefferson, científico informático del Laboratorio Nacional Lawrence Livermore. Aunque lo escribió hace un par de años, el artículo sigue vigente y refleja la idea más importante: los métodos de votación para las elecciones presidenciales de Estados Unidos son tan distintos entre sí y están tan distribuidos que requieren un nivel de seguridad muy diferente y mucho mayor al que se requiere para hacer transacciones bancarias o compras online.
Para decirlo de otro modo, modificar el resultado de la elección mediante la manipulación digital de los procesos electorales es mucho más complicado que robar dinero de un cajero automático o hacer una compra fraudulenta por Internet.
2) Entonces, si es tan difícil, ¿por qué se está hablando tanto de arreglar la elección con votos comprometidos?
Hay varias razones por las que últimamente se está hablando tanto del ataque a los votos:
#1
Aún hoy, algunos centros de votación tienen máquinas de sufragio mal diseñadas. Los especialistas en elecciones y en seguridad como yo venimos pidiendo que se las elimine desde hace muchos años pero, como en algunos lugares se las sigue usando, en todos los ciclos electorales salen en los diarios artículos sobre ataques. Lamentablemente, esos artículos nunca explican cómo esas vulnerabilidades, que sí son inaceptables, se podrían aprovechar en una situación de fraude electoral. Lo cierto es que sería muy difícil generar resultados falsos indetectables sin que alguna entidad que tenga una gran presencia en el país lleve adelante una iniciativa masiva y coordinada para lograrlo.
#2
Uno de los dos candidatos a las próximas elecciones presidenciales de EE.UU. se la pasa diciendo que la elección está arreglada, lo que causa que algunas personas crean en su palabra y, aunque no existe ningún tipo de pruebas para lo dicho, la gente piensa que puede haber fraude en la votación a tal escala que se podría modificar el resultado. Estas personas suelen referirse a artículos periodísticos que hablan de “hackeo electoral” en el titular, pero no los leen por completo, ya que quizá al final el artículo dice que “este tipo de problema de seguridad no tendrá ningún efecto en la elección” (más allá de los posibles efectos psicológicos de los que hablo en la pregunta 8).
#3
Históricamente, siempre hay algún político o figura pública al que le es muy útil decir que se arregló la elección presidencial. Por ejemplo, si uno piensa que el candidato que eligió va a perder, decir que las elecciones están arregladas antes de que se cuenten los votos sirve como excusa si en efecto su candidato pierde. Las acusaciones de fraude electoral sirven para socavar la autoridad de quien gane. Algunos pueden considerar que esta estrategia representa una ventaja política (aunque también tiene muchas desventajas posibles, como el repudio que podrían sentir los votantes de elecciones futuras).
Antes de que se usaran computadoras en las elecciones, las acusaciones de fraude electoral se debían a votos emitidos por personas fallecidas o gente que votaba dos veces. Gracias a esas estrategias fraudulentas surge el complejo proceso de verificaciones que el sistema electoral tiene hoy en día, que puede bloquear los votos fraudulentos antes de que ocurran y que los detecta una vez emitidos para poder solucionar la situación.
#4
Este año, el sistema electoral sufrió varios ataques en distintas etapas del sistema de votación y otros fueron dirigidos hacia algunos candidatos. Sin embargo, ninguno afectó la integridad del proceso electoral (ver la pregunta 6).
#5
Un famoso programa de televisión llamado Mr. Robot tiene por lema la frase "Our democracy has been hacked” (“Nuestra democracia ha sido hackeada”) aunque, para ser sincero, no vi muchos ataques a la democracia en el programa. Sí vi muchas representaciones de ataques realistas que son precisas desde el punto de vista técnico, si bien es importante recordar que esa precisión no se extiende a la representación de la realidad (mi teoría es que Mr. Robot es un programa de ciencia ficción/fantasía que se sitúa en una realidad alternativa en la que una única corporación, demasiado grande para fracasar, domina la economía mundial).
3) ¿Qué significan exactamente las frases “comprometer el voto”o “comprometer la elección”?
Con “comprometer el voto” me refiero a que alguien sin autorización acceda o manipule los sistemas informativos que se usan en el proceso electoral mediante el acceso a los aparatos digitales empleados para el sufragio o con ataques que bloquean el servicio de cualquiera de esos sistemas, entre otros. Lo que no se incluye en el término “comprometer la elección” respecta a la manipulación de la opinión pública, por ejemplo, mediante una campaña de desinformación, ya que ese tipo de accionar se denomina, con mayor precisión, “guerra de la información” y no ataque, aunque una guerra de la información sí podría utilizarlo como método.
En la siguiente situación ejemplificaremos cómo se podría influir sobre el resultado de una elección: primero, se compromete la fuente A, que está ligada al adversario; luego, nos aseguramos de que el público sepa que se violó la seguridad de la fuente A; finalmente, publicamos documentos que parecen publicados por la fuente A pero que se alteraron para que el adversario quede mal parado. Sin embargo, esta manipulación del voto es indirecta, ya que los votos seguirían reflejando la intención de los votantes.
4) ¿Pueden comprometerse las máquinas que se utilizarán en la elección presidencial de este año?
Sí, algunas de las máquinas que se utilizarán pueden ser comprometidas, lo que no significa que se pueda comprometer la elección, al igual que la posibilidad de que se puedan comprometer algunos de los millones de autos y camiones que circulan por la vía pública no significa que dejemos de usarlos. Es posible que se aprovechen indebidamente las vulnerabilidades de algunos sistemas electrónicos de sufragio pero, para emitir votos fraudulentos efectivos a partir de esas vulnerabilidades, haría falta que participe una gran cantidad de recursos humanos (es decir, no solo los atacantes, que permanecen intocables en el ciberespacio, sino también personas de carne y hueso, listas para cometer un delito).
Hay dos motivos principales por los que el ataque a las máquinas de sufragio no tiene un efecto importante sobre el resultado de la elección. En primer lugar, el voto por Internet no tuvo gran acogida en los Estados Unidos: hay muy pocas máquinas de sufragio conectadas en red y menos aún conectadas a Internet. Esta falta de conexión entre los sistemas de votación funciona como medida de seguridad, ya que obliga a quienes quieran cometer fraude a tener personas dispuestas a crear tales conexiones. En segundo lugar, la votación en las elecciones presidenciales es un proceso muy fragmentado, dado que cada estado vota por separado y hay una gran cantidad de distritos electorales diferentes (unos 8.000 en total). Por lo tanto, no se puede utilizar un único correo electrónico para infectar, por ejemplo, todas las máquinas de Arizona y comprometer así la elección.
Otro factor que brinda un nivel de protección adicional para evitar que se emitan votos fraudulentos a partir de las vulnerabilidades de las máquinas de sufragio es la gran cantidad de verificaciones del sistema electoral estadounidense, como se detalla en la pregunta 5. Por ende, incluso si alguien lograra comprometer todas las máquinas de sufragio del estado de Arizona, aún sin que estén conectadas entre sí, para emitir votos fraudulentos efectivos, lo más probable es que esta anomalía sea detectada y analizada cuidadosamente, y que posteriormente se realice una auditoría y quizá incluso un nuevo escrutinio.
Es cierto que hay algunos sistemas que dificultan la posibilidad de hacer una auditoría y un nuevo escrutinio (sobre todo las máquinas de Registro Electrónico Directo (DRE), que no dejan una copia de seguridad en papel). No obstante, si el objetivo es lograr un resultado fraudulento comprometiendo las máquinas de sufragio, mi opinión es que sería muy ambicioso, aún si el intento genera un problema logístico muy difícil de resolver.
5) ¿Cuáles son las verificaciones que aseguran que no sea posible comprometer los votos?
Nuestras leyes electorales anticipan el error humano y el fraude y nos protegen de ellos en muchos niveles
Voy a dejar que respondan las palabras de Chris Ashby. Chris es líder de la Republican National Lawyers Association y tiene mucha experiencia en elecciones. Su reciente artículo “The Election Is Not Rigged” ("La elección no está arreglada") es un muy buen resumen de las verificaciones que existen, por lo que prefiero citar sus palabras para explicar cómo “nuestras leyes electorales anticipan el error humano y el fraude, y nos protegen de ellos en muchos niveles”:
- No son los burócratas del gobierno sino los ciudadanos mismos quienes prestan servicio como secretarios, presidentes de mesa, funcionarios y demás encargados de las sedes de votación y del proceso electoral.
- La mayoría de las leyes estaduales establecen que los partidos políticos pueden nombrar o nominar a estos funcionarios, y disponen que haya un número equitativo de cada partido.
- La ley también dispone que los partidos y candidatos pueden enviar fiscales a cada sede electoral para controlar el desempeño de los funcionarios.
- Los funcionarios cuentan los votos y realizan el escrutinio.
- El candidato y los representantes del partido también pueden controlar el proceso.
- Una vez finalizada la votación, se vuelven a escrutar los resultados de la noche de la elección para asegurarse de que los números coincidan.
Los invito a todos a que lean el artículo de Ashby ya que, además de hacer una lista de cinco cosas muy difíciles que habría que hacer para arreglar la elección, comenta que “[uno] debería engañar con trucos mentales Jedi a los abogados, al personal de la campaña y a los organizadores de la elección, ya que son ellos quienes buscan anomalías en cada circunscripción y quienes revisan cualquier resultado que no coincida con las expectativas previas, las cuales se determinan con la dinámica de la política actual y los resultados electorales históricos”.
Si toda esa información no los convence, tomemos el caso del estado de Florida, en el que cada uno de los 67 distritos realiza la votación de manera independiente con sus oficiales propios. El senador estatal, Marco Rubio, dijo hace poco: “Les prometo que no hay una conspiración de los 67 distritos para arreglar la elección”. También habló el Secretario de Estado de Texas, Carlos Cascos: “Texas tiene 254 distritos que usan una variedad de métodos de sufragio. Además de los frenos existentes, este sistema descentralizado nos asegura que es prácticamente imposible un resultado fradulento en una elección nacional”.
6) ¿Qué es el padrón electoral y, si lo comprometieron, cómo nos aseguramos de que son ciertos los resultados?
El padrón electoral es una lista de personas que están habilitadas a votar. A nivel estatal lo administran e inspeccionan las 8.000 jurisdicciones diferentes en las que está dividido Estados Unidos, y luego se agrupa a nivel federal. Hay muchas situaciones en las que puede darse el compromiso de los padrones electorales, como cuando se borran algunos partidarios del adversario o se agregan partidarios falsos al padrón. Pero el problema reside en que si se quiere que esta modificación resulte en una elección fraudulenta, se necesita de muchísimas personas para que funcione, por ejemplo: los partidarios falsos que se agregaron al padrón tienen que ir a votar, y alguien tiene que evitar que se apersonen en la sede electoral los votantes legítimos que se borraron del padrón, lo que debe hacerse sin que se dé cuenta ningún funcionario electoral de cualquiera de los dos partidos.
Es verdad que los titulares de los medios de comunicación no ayudan mucho, como este de la ciudad de Illinois: “Voter Rolls Hacked” (Padrones electorales comprometidos). Sí es cierto que personas no autorizadas accedieron a los registros que contienen miles de votantes, pero, tal y como dice el artículo, no pudieron cambiar nada. Por lo tanto, si bien este acontecimiento debe haber molestado a las personas cuya información se vio expuesta, es poco probable que afecte, en alguna medida, el sufragio en Illinois. (Cabe destacar que algunos estados permiten que se publique la información de los votantes registrados en Internet, lo que se explicará en la pregunta 9).
7) ¿El acceso sin autorización a los padrones electorales puede tener como resultado que se comprometa el voto?
Uno podría utilizar los datos del padrón electoral para encontrar personas que seguramente voten al adversario y luego encontrar otras que se hagan pasar por ellos para que voten al candidato que uno respalda, pero esta estrategia es difícil de llevar a cabo, ya que en la mayoría de los estados y sedes electorales se necesita de una persona real que vote. El método tradicional del lápiz y papel, y en persona, implica que los votantes deben apersonarse en la sede electoral y emitir su voto. Para ese entonces, ya se le tacha el nombre del padrón. Ese es, en esencia, el método de sufragio que más se utiliza en la elección presidencial de los Estados Unidos.
Si alguien se acerca a la sede electoral para votar e intenta hacerse pasar por otra persona, es muy probable que fracase. Es obvio que fracasarán si uno ya votó, pero, aunque los impostores lleguen antes y voten con éxito (porque quizá mediante el ataque obtuvieron datos personales) el voto será impugnado una vez que aparezca el votante verdadero. Es claro que utilizar este método para afectar el resultado de la elección requiere de mucho trabajo.
8) ¿Puede ser que, de tanto hablar de ataques durante la campaña electoral, se vea afectado el resultado de la elección?
Sí, es una posibilidad. Si se habla tanto y sin precisión en los medios sobre el compromiso de los votos, la gente puede perder la confianza en el proceso electoral. Pensemos en los artículos que empiezan con una noticia (algo relativo al ataque, a la votación o a la elección presidencial de este año) y luego listan todo lo que puede salir mal y citan a los especialistas, que cunden el pánico, expresan incertidumbre y siembran la duda. Este triplete, pánico-incertidumbre-duda, tiene el potencial de arruinar la confiabilidad de la elección presidencial. Por ende, la mayor amenaza que enfrenta la elección es, en realidad, el miedo a que se vea amenazada.
Una forma de desbaratar la elección es sembrar dudas sobre la legitimidad, precisión y seguridad del proceso electoral por adelantado. Hay dos estrategias:
- Hacer que la gente crea que hay una gran probabilidad de que ataquen el sistema electoral, por lo que ir a votar no sirve. Esta estrategia le resulta útil al candidato que tiene mayores probabilidades de beneficiarse si no hay demasiada concurrencia a las mesas.
- Hacer que la gente crea que hay una gran probabilidad de que ataquen el sistema electoral, de modo que, si uno pierde, puede alegar que la elección estuvo arreglada y, así, negar la legitimidad del resultado.
Resulta interesante destacar que los rumores sobre el fraude electoral no son algo nuevo en la política estadounidense: sin ir más lejos, uno de los candidatos a presidente de esta elección rechazó abiertamente el resultado de la elección de 2012, como muestran estos tweets que luego fueron borrados. También resulta interesante que sean republicanos los funcionarios que controlan las elecciones en muchos “estados en disputa” que son claves para el proceso. Algunos de estos funcionarios, como los de Florida, Iowa y Carolina del Norte que se citan en este artículo, se han dirigido a los votantes para garantizar la seguridad y la legitimidad del proceso electoral en sus respectivos distritos. Además, cabe aclarar que quienes procesan los votos apoyan a diferentes partidos políticos pero trabajan en conjunto en los centros de escrutinio para que la votación sea libre y justa.
9) ¿Es cierto que algunos estados publican en Internet información del padrón?
Sí. Por ejemplo, cualquier persona que tenga acceso a Internet puede descargar legalmente el padrón electoral de todos los condados de Florida, en el que figuran el nombre, la dirección postal, la fecha de nacimiento, el número de teléfono e incluso la dirección de correo electrónico de algunas personas. Algunos floridanos tienen dos domicilios, por lo que en algunos casos también figura el secundario, incluso si pertenece a otro estado. Algunos quizá consideren que la publicación de estos datos en Internet es una gran violación a la privacidad; sin embargo, el carácter legal de esta práctica se explica a partir de la idea de que los padrones deben ser documentos públicos y pasibles de recusación. Lamentablemente, hay algunos funcionarios públicos que no entienden que “accesibles en Internet” es categóricamente distinto que “accesibles en el registro civil para consultar en horas hábiles”, distinción que, de entenderla, podría evitar una catástrofe.
10) Usted dijo que hoy en día la votación segura por Internet en los Estados Unidos es imposible. ¿Esto significa que sí es posible en otros lugares?
Uno de los principales prerrequisitos para establecer una votación segura por Internet en los Estados Unidos es tener un modo confiable de identificación y autenticación digital de los votantes, que son más de doscientos millones, pero no hay ningún sistema de identificación de carácter oficial a nivel nacional. Es más, en el pasado, los intentos de crearlo solo han obtenido críticas. En la década de 1990, hablé con el CEO de una empresa fabricante de tarjetas inteligentes que había recibido amenazas de muerte después de que el presidente Clinton sugiriera que todos los estadounidenses llevaran encima tarjetas que pudieran utilizar los profesionales de la salud para acceder a su historia clínica almacenada en una base de datos nacional.
Ahora bien, algunos países sí adoptaron la identificación digital, entre los que se destaca Estonia, que ya celebró elecciones nacionales por Internet. Una ventaja que tiene Estonia son las dimensiones: es un país muy pequeño cuya población no alcanza ni la mitad de la de San Diego, uno de los 3000 condados de los Estados Unidos. Además, Estonia es la sede del Centro de Excelencia de Cooperación en Ciberdefensa de la OTAN (una organización militar que crea los mecanismos de ciberseguridad de los países de la OTAN).
En otras palabras, se podría votar por Internet de modo seguro en un entorno muy controlado y protegido, en el que haya una proporción muy pequeña de expertos en informática. Sin embargo, las cosas siempre pueden salir mal. Basta mirar esta diapositiva de una conferencia de la organización independiente Verified Voting celebrada hace unos años. Se ven algunas líneas de código del software de sufragio por Internet que se usa en Estonia. Es cierto que la diapositiva ya tiene unos años y supongo que ya resolvieron el problema pero, aun así, esto es inquietante.
La diapositiva está tomada de la presentación de Joe Kiniry, un investigador que estudió el voto por Internet durante muchos años, y que fue profesor en la Universidad Técnica de Dinamarca, donde también fue Jefe del Departamento de Ingeniería de Software. Ahora es el CEO y el Investigador Principal de Free & Fair, una consultora en tecnología para elecciones, e Investigador Principal de Galois, en Portland (Oregon). En otras palabras, tiene alguna idea de cómo funcionan los sistemas de votación. Hay muchas citas de él en el artículo que cité en la pregunta 4 sobre las máquinas de votación de registro directo.
Pregunta extra: ¿Se puede comprometer la elección presidencial de este año mediante un ataque de denegación de servicio distribuido?
El viernes 21 de octubre, a causa de una serie de ataques de denegación de servicio distribuido, el servicio de Internet presentó fallas en todo el país, por lo que se teme que pueda haber un ataque similar el 8 de noviembre, día de la elección. Sin embargo, aunque un ataque de esas características bien podría interferir con los medios de comunicación que cubran la elección, los sistemas de votación quedarían protegidos del ataque gracias a que, como ya explicamos, casi ninguno está conectado a Internet. Los funcionarios electorales aún podrían contar los votos y comunicar los resultados.
Síntesis
Espero que este artículo de preguntas frecuentes haya sido útil. Quiero dejar en claro que coincido con muchos colegas investigadores de la seguridad informática en que los Estados Unidos necesita deshacerse de los equipos de votación vulnerables, si es posible mucho antes de la elección presidencial de 2020. También admito que son posibles algunos escenarios planteados por mis colegas, en los que un mínimo ataque o fraude podría cambiar los resultados de la elección si son muy parejos. Sin embargo, creo que, en las condiciones actuales, esos intentos serían detectados y, finalmente, frustrados.
Lo que resulta innegable al analizar estas cuestiones es que todos tenemos que trabajar más para concientizar a nuestros conciudadanos sobre la mecánica del sufragio, para que entonces podamos entablar diálogos fructíferos sobre la seguridad y la legitimidad, ya no basados en mitos y supuestos erróneos, ni tampoco en alegatos infundados e ilógicos.