Escucha este artículo
Audio generado con IA de Google
0:00
/
0:00
En 2018, al tiempo que se conocía el fallo del Consejo de Estado que le devolvió tres curules al MIRA -porque encontró que en 2014 las elecciones fueron saboteadas incluso al nivel del software de escrutinio-, Karisma y la Misión de Observación Electoral (MOE) reclamamos más transparencia en las elecciones. Pedimos ir más allá de la mera observación del proceso de transmisión de información, que se hacía desde 2014. Algunas cosas han cambiado, pero la transparencia que construye confianza en la tecnología sigue en deuda.
Por la misma época, con las críticas que se merecen sus sistemas, tanto en México como en Brasil se hacían observaciones y auditorías a la tecnología.
México tuvo elecciones en 2018 y con un sistema híbrido (manual-software) su experiencia con mecanismos de control sobre la tecnología de preconteo -que había estado envuelta en reclamos de fraude unos años antes- fue otra. Un año antes, en 2017, conformaron un comité de 7 especialistas para hacer recomendaciones al Instituto Nacional Electoral (INE) en el diseño y construcción del sistema informático.
Cinco meses antes de las elecciones, el INE entregó el software a la Universidad Nacional Autónoma de México (UNAM) para una auditoría de funcionalidad al sistema y a la infraestructura (pruebas de caja negra). Ese año no permitieron la revisión visual de código fuente, ni adelantar escenarios de ataque que sí se habían hecho antes. Durante los simulacros, tres semanas antes de las elecciones, hubo ejercicios de observación sobre el funcionamiento del sistema general.
En Brasil, donde hay voto electrónico y sí mucha discusión por falta de trazabilidad en papel -lo que dificulta la observación visual del proceso-, hay ejercicios de acceso al código fuente sin acuerdo de confidencialidad desde 2012.
En esencia, a quienes la autoridad electoral acredita en Brasil como auditores les dan acceso al código fuente en un entorno controlado por 5 horas, luego tienen 3 días para preparar y formular hipótesis de ataque que deben ser autorizadas (en un proceso criticado por burocrático). A quienes se les autoriza realizar las pruebas de ataques, les dan otros 3 días para efectuarlos. Finalmente, se publican los resultados y la organización electoral informa si abordó las vulnerabilidades detectadas (esto sucedió en 2017-2018).
En Colombia, la Registraduría -con el confuso nombre de auditorías- incorporó en los ejercicios de observación electoral de los simulacros de las elecciones, actividades para observar el componente tecnológico. Se parecen a los ejercicios de simulacros de México, pero no hay auditoría independiente o ejercicios de ese tipo.
Para cada certamen de simulacro se inscribían “auditores de sistemas” de los partidos y misiones de observación electoral y recibían acceso a ejercicios de observación. Así, desde 2018, Karisma, con la MOE, empezó a asistir en esa calidad y vimos cómo se mejoraron los mecanismos para acceder a información que permiten seguir los resultados del preconteo y del escrutinio. ¿Cómo estamos?
Mucho para decir sobre 2022, pero les dejo los tres problemas centrales de la observación:
1. En 2022 hay dos software de escrutinio: el que cuenta las mesas a nivel municipal y regional, a cargo de DISPROEL, y el que hace el escrutinio nacional, a cargo de INDRA, y cuya propiedad será transferida al CNE. Aunque los dos merecen control ciudadano, la observación que se hace es diferente.
Para el de DISPROEL pudimos ver su funcionamiento en un simulacro apenas el pasado sábado, sin acceso alguno al código fuente ni a descripciones de la arquitectura del sistema. Contrataron una auditoría independiente pero no hay compromisos para publicar los resultados.
Para el de INDRA, en dos oportunidades, durante las últimas dos semanas, se nos permitió la inspección visual de partes del código -de más de 1.200 archivos-, en ambiente controlado y sin poder hacer copias. Hay secciones como las librerías de cifrado que se utilizan para controlar la seguridad e integridad de los archivos, que no están disponibles por no ser desarrollo de INDRA. Dan poca información de la arquitectura y nos presentaron una prueba de funcionalidad parcial.
A tres días de las elecciones, el software que se muestra no es el final, aún se está modificando y por eso ninguna recomendación de fondo podrá ser considerada por los desarrolladores. Quizá por eso tampoco hay un mecanismo para recibir y tramitar observaciones.
2. Tanto en 2018 como en 2019 se contaba con un calendario previo a los simulacros que se podía comentar, ahora los ejercicios se informan sobre la marcha y las fechas se cambian alegremente, dificultando nuestra participación. Por ejemplo, con fecha del 8 de marzo, en un correo que enviaron al finalizar el día 9, la Registraduría informó que el 10 en la mañana se realizaban los ejercicios de observación de la tecnología en las comisiones escrutadoras de las Circunscripciones Transitorias Especiales de Paz (Citrep). Es decir, para ver lo que sucederá en las mesas más lejanas y especiales de estas elecciones -con más problemas de conectividad y menos capacidad de observación tecnológica-, nos invitan formalmente, pero, en la práctica, la forma en que lo hacen vuelve imposibilita asistir.
3. En el pasado los ejercicios eran colectivos, de modo que los observadores de partidos y misiones compartimos espacios. En esta oportunidad nos separaron para las sesiones de observación de los avances de código fuente de INDRA. Así se evita ejercicios de inteligencia colectiva en donde aprendemos y cooperamos. Resulta inevitable no pensar en el lema “divide y vencerás”.
Así las cosas, resulta que siguen creyendo que el control empieza con los simulacros y que cualquier cosa es una auditoría -como mostrar el código sin importar el cómo-. En suma, para la autoridad electoral, quienes observan el proceso parecen más el enemigo a neutralizar que actores centrales en la construcción de confianza. Prefieren apostar a que les tengamos fe.
La forma como la Registraduría gestiona la observación justificaría que nos margináramos del proceso para evitar la instrumentalización. Sin embargo, porque creemos que alimentar narrativas de fraude sin poder explicarlas no es sano y es peligroso para cualquier democracia, porque lo mejor es contar con fuentes diversas -no solo las oficiales-, que puedan explicar lo que pasa, por eso persistimos. Lo que aprendamos aportará en la construcción de confianza en el proceso electoral o, de ser el caso, explicará los problemas.
