:format(jpeg)/s3.amazonaws.com/arc-authors/elespectador/24c6dc9b-7a53-4316-87fd-eaca85d91eed.png){kind=small}
“Bloqueado el sitio web de la Registraduría por reporte de ciberamenaza de la Policía Nacional”. Esto no pasó, pero pudo ser titular noticioso del 12 de enero. El pésimo diseño del sitio de la entidad pública más consultada por estos días, la Registraduría Nacional del Estado Civil, por una parte, y el descuido en la investigación de una de las autoridades de ciberseguridad, el CSIRT de la Policía Nacional —CSIRTPonal—, por otra, fueron el cóctel que casi lo hace posible.
Sobre la Registraduría. Durante las últimas semanas muchas personas en redes sociales se quejan no solo de que el proceso de inscripción de las cédulas a través del sitio de la entidad no funciona, sino también del pánico y la desconfianza que sienten porque no ven inscrita su cédula en donde siempre han votado o no les aparece el cambio que hicieron.
La desconfianza hace que la gente caiga fácilmente en teorías conspirativas, porque estos problemas son esencialmente culpa de la propia Registraduría: las personas se pierden en el laberinto de la solución tecnológica —me pregunto si pensaron en el diseño de experiencia de usuario—. En lugar de un sitio web amable, unificado visualmente y que se autoexplique, tenemos un sitio confuso con muchos subdominios que no explican sus funciones y no guardan unidad visual. Compadezco al community manager de la Registraduría, que debe estar bien ocupado explicando los malos entendidos.
La responsabilidad es de la Registraduría, pero quien hace algunas partes de ese sitio espantoso es la empresa contratada para desarrollar las elecciones. El capítulo I de las condiciones adicionales del billonario contrato 071 de 2021 para la “solución integral” de las elecciones, suscrito por la Registraduría con la Unión Temporal Distribución Procesos Electorales 2021 —UT DISPROEL 2021—, es para desarrollar “la solución informática para la realización del proceso de inscripción de ciudadanos (IDC)”. Este pedacito del proceso electoral cuesta la módica suma de $76.756′170.549 pesos.
Hablemos del CSIRTPonal. Este es el Equipo de Respuesta a Incidentes de Seguridad Informática de la Policía, que busca proteger a la ciudadanía con acciones de prevención, atención e investigación de los eventos e incidentes de seguridad informática en el país.
En cualquier país con una política de seguridad digital madura, el reporte del CSIRTPonal del 12 de enero sobre la suplantación de la página de la Registraduría —phishing— desencadenaría en el bloqueo masivo de la misma. Las alertas de las autoridades son atendidas a veces a ciegas y otras como una invitación a investigar y crear discusiones entre los expertos. En Colombia la alerta solo generó un poco de ruido en redes.
Aunque es bueno que en este caso no se materializó el fuego amigo y, en principio, un error lo comete cualquiera, por la reacción del CSIRTPonal, cuesta darles el beneficio de la duda. Estas salidas en falso afectan su credibilidad frente a la comunidad técnica (pudo evitarse el error con una investigación simple, confirmando que eran direcciones legítimas que habían sido publicitadas por la misma entidad responsable del proceso). Sin embargo, su reacción posterior lo empeoró todo.
Tras evidenciar el error, el CSIRTPonal borró el reporte público y envió una retractación escueta a algunos correos electrónicos. Claramente fue una respuesta insuficiente: no reconoció públicamente el error, no lo usó pedagógicamente para sí o para otras entidades. Queda mucho trabajo en la construcción de confianza por parte de los actores de la política de seguridad digital.
En todo caso, lo que sabemos del sitio de la Registraduría es que hay diferentes formularios relacionados con el proceso de inscripción: 1. Para cambiar el lugar de votación para las próximas elecciones (este fue el que falló varios días y en todo caso el plazo venció el 13 de enero); 2. Para revisar la información del lugar de inscripción previo; y 3. Para revisar los datos de las nuevas inscripciones hechas este año que se actualizaron el 14 de enero (como escribo antes de esa fecha no se si esto pasó). Por favor úselos y trate de no equivocarse.
Buena parte del problema descrito se evitaría con un desarrollo informático ajustado a estándares de la industria, que no responda al modelo fraccionado y de “ensayo-error” al que el Estado nos ha acostumbrado. Esto se facilita con entidades públicas con fuertes capacidades internas en tecnología, algo que no es tan frecuente.
Es la primera vez que la inscripción de cédulas se hace en línea, así que nos queda desear que dada la inversión económica y periódica tan importante que suponen las elecciones, este contrato sirva para aumentar la capacidad interna de la Registraduría.
El problema es que, con base en la experiencia de los contratos del pasado para los procesos electorales, el modelo de desarrollo de las herramientas de tecnología que se usa es que la rueda se invente de nuevo cada vez. Para cada elección se paga por un conjunto de programas que ya están hechos y a los que se piden ajustes sin crear capacidad interna para desarrollarlos, mantenerlos y a veces ni siquiera operarlos.
El seguimiento y control del contrato tienen su parte. Esperemos que los entes de control, las interventorías y la empresa auditora le pongan ojo a este componente del contrato. No hace falta un verdadero ataque. El 12 de enero la espuma de la confusión subió tanto que el CSIRTPonal cayó en la teoría conspirativa y la hizo realidad, reportó: ¡Phishing en la página de la Registraduría!
Pero, más allá del contrato, si las elecciones son la piedra angular de la democracia representativa, la integridad electoral es sobre todo un tema político que depende de la confianza pública en los procesos electorales y políticos. Por eso, como pasa con la seguridad digital, los esfuerzos más importantes en estos casos deben estar orientados a dar confianza a las personas.
La Registraduría —contrario a lo que piensa el registrador— tiene que dar esas garantías, y esto se extiende a la tecnología que use. De lo contrario, se alimentan la desconfianza y las teorías de conspiración, y termina dándose un tiro en el pie.