Aunque desde 2018 se ha insistido en la necesidad de una auditoría técnica, independiente y pública para el proceso electoral, esta petición ha sido constantemente desechada con el principal argumento que hemos oído estos días: “ya se tiene contratada una auditoría y en todo caso hay espacio para los auditores de los partidos”. Si bien son argumentos debatibles, la realidad es que tampoco esta vez sucederá. Sin embargo, aún es posible confiar en estos escrutinios.
Históricamente, la Registraduría ha subcontratado todo lo necesario para hacer las elecciones y, es cierto, siempre contrata una auditoría. Este año la contrató con McGregor para revisar todo el proceso electoral ―no solo el software― en manos de Disproel. Como ha sido tradicional es una auditoría confidencial, solo para la Registraduría, y al haberse contratado antes del acuerdo con Indra, ese software al principio quedó por fuera.
Como en el proceso electoral colombiano se ha metido tanta tecnología ―desde la inscripción de cédulas, pasando por la selección de jurados, hasta los procesos de preconteo y escrutinio―, el panorama es complejo y este año se hace más porque la Registraduría decidió cumplir de un tacazo el fallo del Consejo de Estado de 2018 ―que reconoció un sabotaje al partido MIRA en las elecciones de 2014― en el que obliga a tener software propio (no subcontratado) para el proceso de escrutinio del Consejo Nacional Electoral (CNE).
El software de escrutinios del CNE se compró a INDRA de afán, en diciembre de 2021 para ser usado tres meses después ―sin pilotos, sin comentarios, nada―. Para solucionar el tema de la auditoría estipularon en el contrato que deberían hacer una auditoría interna y además que Indra estaría acompañada por una institución de educación superior. Para cumplir con la auditoría interna, Indra le pidió a SIA, una empresa de su propiedad, que la hiciera. Sobre el acompañamiento de la universidad, éste nunca se concretó. Por eso Indra consiguió una firma de seguridad, Security Professionals (SecPro), que los acompañara.
Posteriormente, por las críticas al contrato de Indra la Registraduría, justo antes de las elecciones legislativas, realizó un otrosí con McGregor para que también auditara ese software.
Resumamos: McGregor ahora audita a Disproel y a Indra. Además Indra tiene auditoría interna por SIA y un acompañamiento con SecPro. Como en las elecciones legislativas de marzo el principal problema fue la diferencia de los resultados entre el software de preconteo y la primera fase de escrutinios, estos software están en el ojo del huracán. En ellos me concentro.
Organismos internacionales expertos, como el Consejo de Europa, la Organización para la Seguridad y la Cooperación en Europa (OSCE) y el Programa de las Naciones Unidas para el Desarrollo (UNDP), aceptan que ante el hecho de que la tecnología nunca va a ser infalible ―por más inversión o experticia que se tenga― se requieren prácticas para proteger la integridad y secreto del voto desde que es emitido hasta que los resultados definitivos son publicados. Tener una auditoría técnica independiente y pública sirve para evitar fallas de seguridad, funcionalidad o integridad de la información que puedan afectar gravemente los comicios, su función es dar confianza y credibilidad a la ciudadanía en procesos que por la tecnología no podemos “ver”. Veamos los tres elementos de una auditoría que construyen confianza y si se cumplen en este caso.
Cuando se habla de una auditoría técnica se refiere a que sea experta. Lo que se requiere para auditar software no es lo mismo que para auditar, por ejemplo, la distribución de los tarjetones por la geografía nacional. La firma de auditoría que contrató la Registraduría es general, no se seleccionó por su experiencia en materia de auditoría de software: este es solo un componente. Sobre la auditoría interna y el acompañamiento para el software de INDRA, tampoco tenemos muchos datos, pero sí son exclusivas para el componente del software.
Ahora, como la auditoría es para la ciudadanía, para ganar su confianza, debe ser independiente y pública. Es decir, se debe demostrar que no hay lazos ni con el contratista operador ni con el Estado y los informes deben conocerse para que pueda haber control ciudadano.
Sobre la independencia y la publicidad, la auditoría de McGregor es una auditoría confidencial contratada por y para la Registraduría. Suponemos que cuando el CNE pide una auditoría “internacional” buscaba hacer énfasis en la característica de independencia. La auditoría de SIA a INDRA es interna y el acompañamiento de SecPro también tiene confidencialidad. A la fecha no se ha publicado ningún informe de auditoría. De hecho, en las indagaciones que Karisma ha hecho durante las veedurías, ni siquiera el CNE tiene acceso directo a los hallazgos.
Como ya dije, por diseño el CNE tiene funciones de escrutador y hace vigilancia, pero no tiene autonomía ni de operación ni presupuestal. Después de las elecciones legislativas de 2022 el CNE identificó problemas de confianza en los resultados de la tecnología, donde la discrepancia de cifras entre preconteo y escrutinio eran el principal problema. Además, el CNE parece haber reconocido que no tiene capacidad tecnológica para entender, mucho menos explicar, lo que pasó en las legislativas o lo que puede pasar en las presidenciales desde la tecnología.
Es cierto: la petición del CNE fue tardía y, además, como no es pública ni conocemos las justificaciones más allá de las declaraciones a medios, da para especular, pero la solicitud tiene mucho sentido. Aunque los tiempos no daban para cumplir con una revisión a fondo ―acorde con los estándares internacionales―, y así difícilmente una empresa auditora reputada aceptaría el encargo, la sola petición muestra un CNE que advirtió y reclamó capacidad técnica independiente de la Registraduría y del contratista operador para explicar y supervisar unas elecciones que se anticipaban polémicas.
Se trata de un CNE que no tiene dientes. No puede contratar por sí mismo ―ni siquiera para mirar el software que le compraron a INDRA―, sino que debe hacerlo a través de la Registraduría con fondos que le asigne el gobierno. Un diseño que seguro merece revisarse.
Ahora bien, reitero: a pesar de su complejidad el proceso electoral colombiano es híbrido y la trazabilidad del mismo deja huella física. Esto permite a cualquiera ―incluído el CNE― revisar lo que suceda en las elecciones presidenciales y no depender exclusivamente de la tecnología. Eso es lo que también pueden hacer las personas de los partidos, que la Registraduría insiste en llamar “auditores”, así como los observadores nacionales e internacionales que hacen ejercicios de veeduría, que en todo caso no reemplaza la auditoría de la que hablamos.
Lo sucedido en marzo muestra que las personas de los partidos y misiones que están preparadas para hacer veeduría pueden verificar. Eso nos da un parte de tranquilidad y también explica las últimas declaraciones del CNE en el sentido de alentarlos para que usen esa capacidad. El control es posible, solo que será manual y exigirá paciencia.
