Expertos aseguran que una de las empresas que se encargará del escrutinio de las elecciones no es fiable
El voto electrónico ha estado rodeado de dudas e incertidumbres desde que se ensayara en diferentes comicios y procesos electorales internos en los últimos años. El recelo ante un posible pucherazo ha llevado a extremar todas las precauciones posibles. Ahora, la empresa catalana Scytl, encargada tras ganar el concurso público del escrutinio de las próximas elecciones municipales y europeas en España, se encuentra en la picota después de que un grupo de investigadores descubriera una vulnerabilidad.
Los investigadores han calificado de «problema grave» este hallazgo después de analizar pormenorizadamente el código fuente del sistema de votación por internet que se va a desplegar en Suiza. Un agujero que, recoge el informe, puede dejar que cualquiera modifique los votos sin ser detectado. Está previsto que este servicio se pruebe en Suiza a final de año para realizar las votaciones a través de internet. Con esta revelación se pone en duda las garantías necesarias en un proceso de magnitud como unas elecciones.
Los expertos hallaron la existencia de una «puerta trasera criptográfica» en una parte del sistema que se supone que verifica que todas las votaciones individuales y realiza el recuento. «La vulnerabilidad es asombrosa», apunta Matthew Green, criptógrafo en la Universidad Johns Hopkins. «En unas elecciones normales no hay una sola persona que pueda cometer fraude sin ser detectado durante todo el proceso, pero en este sistema que desarrollaron se podría hacer».
Nada más descubrir el problema, los investigadores se pusieron en contacto la semana pasada con Swiss Post, el servicio postal nacional del país y encargado del desarrollo del sistema junto con la empresa Scytl, con sede en Barcelona. En un comunicado, el organismo reconoció el problema. Sin embargo, también minimizó la vulnerabilidad defendiendo que para poder explotarla, un atacante necesitaría controlar la infraestructura tecnológica interna.
Scytl garantiza en un comunicado que «en la práctica, tales ataques son altamente improbables, por no decir imposibles, de realizarse». La firma asegura, en ese sentido, que para poder manipular los votos individuales se debería realizar una combinación de dos ataques: atacar el dispositivo de votación de un votante durante el proceso de votación y obtener el control total de uno de los servidores de mezcla durante el proceso de conteo
«Hay una posible entrada pero, claro, es cierto que es muy remota porque tiene que ser desde algún sitio de la red de la organización encargada de custodiar el sistema», constata Lorenzo Martínez, experto en seguridad informática de Securizame.
«Los defectos que afectan a sistemas de voto electrónico y recuento como los que entraron son graves. Estamos hablando de un sector crítico dentro de un sistema democrático, en el que no podemos hablar de una cierta tolerancia a la existencia de determinados errores. Los sistemas de voto electrónico requieren de diseños complejos, especialmente por la necesidad de salvaguardar el anonimato de quien realiza el voto y la opción finalmente escogida, al mismo tiempo que debe garantizarse que no se producen duplicidades de voto», valora en declaraciones a este diario Sergio Carrasco, jurista experto en derecho digital en Fase Consulting.
Aunque está relacionado, el escrutinio y la votación electrónica son dos áreas distintas. Expertos involucrados en procesos electorales han defendido que unas elecciones tradicionales «no se pueden hackear» porque se trata de un «proceso físico». «El sistema de voto en papel permite que todas las partes se controlen entre sí, participando representantes de los ciudadanos designados por sorteo, de las administraciones públicas y de los propios partidos políticos, y es esta desconfianza en cierta manera y control recíproco lo que permite que se produzca un control real y efectivo sobre las elecciones», apunta Carrasco.
El escrutinio, sin embargo, son los resultados preliminares, aquellos que se activan nada más cerrar los colegios electorales. Pero cada vez más se han empezado a probar sistemas informáticos incluso para realizar procesos internos de partidos políticos. «El voto electrónico es algo que se busca conseguir, facilitaría la participación democrática y es posible que redujera en determinados casos la abstención, pero la realidad es que actualmente se encuentra aún en fase embrionaria. Algunos países como Holanda tuvieron que cambiar su decisión al detectar también problemas, y en Estonia también se han detectado problemas graves en sus sistemas», añade.
En España se han dado casos como En Marea o Ciudadanos cuyos resultados han sido cuestionados por posible manipulación. «En el proceso interno de En Marea, una de las partes tenía sus dudas sobre la confianza del sistema de votación electrónica. Hubo dudas de posibles manipulaciones, subraya por su parte Martínez. De hecho, el informe publicado revela que su plataforma tenía «varias irregularidades» que permitían «hacer pensar que si existían errores de implementación visibles tan rápidamente y por cualquier usuario con acceso al sistema, tal vez tampoco se habría invertido mucho en la seguridad del resto del proceso».
A juicio de este experto, los sistemas de voto electrónico que se han implantado actualmente de los que asegura tener conocimiento «no están lo suficientemente maduros, y algo tan arriesgado como seleccionar al equipo de gobierno de un país, en eso no se pueden correr riesgos». E insiste: «hasta que esa tecnología no esté madura y auditada es mejor no correr riesgos y seguir un método más tradicional, aunque sea más costoso».