En Brasil, la seguridad en torno a las urnas electrónicas es un tema que viene ganando importancia desde hace ya algunos años, sobre todo durante los períodos electorales. Si bien el Tribunal Superior Electoral (TSE) defiende la seguridad de las urnas electrónicas y la confiabilidad de las elecciones, el tema aún genera controversias que son destacadas por los especialistas en el área de la seguridad, como ya publicamos anteriormente.
El equipo de WeLiveSecurity se contactó con Diego Aranha, especialista en seguridad de sistemas y actual profesor de la Universidad de Aarhus, en Dianamarca, que participó de auditorías públicas de las urnas electrónicas en Brasil y que aclaró algunas dudas relacionadas al tema. Diego recibió en 2015 y 2016 los premios “Google Latin America Research Awards” por una investigación en privacidad y el “Innovadores Menores de 35 años Brasil” por su trabajo con el voto electrónico.
Usted coordinó el primer equipo de investigadores independientes que consiguió detectar y explorar vulnerabilidades en el software de las urnas electrónicas en Brasil cuando se realizaron los test públicos de seguridad organizados por el TSE, y también participó como observador externo en años anteriores. ¿Cuál es su visión sobre las auditorías realizadas? ¿Existieron restricciones de acceso?
Considero que los test de seguridad son importantes y deseables, pero continúan siendo claramente insuficientes en el formato actual. En primer lugar, existe el obstáculo de tener que examinar una cantidad gigantesca de código (decenas de millones de líneas) en pocos días y bajo supervisión del TSE; sin posibilidades de hacer modificaciones para entender mejor su funcionamiento. No hay ninguna garantía de que el código examinado en las pruebas sea el utilizado en las elecciones, dado que el desarrollo del sistema continúa hasta la elección siguiente y puede introducir nuevas vulnerabilidades. A pesar de eso, todo el funcionamiento es bastante burocrático, toda la documentación toma bastante tiempo para ser producida en entornos de prueba. En la edición de 2017 completamos 8 tipo de formularios diferentes en múltiples instancias. Hay también restricciones en el uso de papel para hacer anotaciones, no es posible utilizar nuestras propias máquinas y equipos, lo que hace necesario montar un ambiente de trabajo en los primeros días del evento. Sin embargo, incluso con todos estos obstáculos y limitaciones, ya fueron descubiertas y explotadas fallas de seguridad bastante importantes en el ambiente de pruebas, lo que en cierto modo indica el grado de vulnerabilidad del sistema.
Durante las pruebas en las que usted participó, ¿cuáles fueron las vulnerabilidades más grandes que se encontraron? ¿Todas las fallas reportadas al TSE fueron corregidas a tiempo?
En las pruebas de 2012, conseguimos recuperar los votos en orden de una elección simulada, usando sólo información pública. Este ataque podría ser utilizado para violar el secreto del voto de una sección electoral entera que esté bajo control de un miembro de la mesa con malas intenciones y que mantenga el orden de votación de los votantes, o bien de un elector que realice el acto de votar en un horario conocido, como el propio presidente del TSE. También documentamos una serie de otros fallos de seguridad que involucran el mecanismo de verificación de integridad del software.
“El sistema continúa siendo vulnerable ante un posible fraude interno llevado a cabo por alguien que tenga accesos privilegiados por largos períodos de tiempo”.
En 2017, conseguimos adulterar el software de votación y cambiar los programas instalados en las urnas electrónicas por versiones maliciosas previo a una elección simulada. Estos programas maliciosos podían realizar cualquier tarea para la que estén programados, como romper el secreto del voto de votantes específicos, impedir que los votos fueran registrados y hacer propaganda de candidatos en la pantalla de votación. Las pruebas se interrumpieron mientras ejecutamos programas para desviar los votos. Para lograr esta acción maliciosa solo se necesitó tener acceso a las tarjetas de memoria que se instalan en las urnas, teniendo en cuenta que cada tarjeta se utiliza para instalar individualmente 50 equipos. Es decir que, en una elección real, el ataque no necesitaría acceso a las urnas electrónicas el día de la elección para alcanzar la escala deseada. Asimismo, una de las vulnerabilidades explotadas para llevar adelante esta acción maliciosa ya había sido detectada y reportada en 2012, pero hasta el día de hoy no ha sido debidamente mitigada.
Las correcciones y mitigaciones llevadas a cabo por el TSE son suficientes para aumentar la resistencia del sistema contra atacantes externos, pero el sistema continúa siendo vulnerable especialmente contra un atacante interno que tenga acceso privilegiado por largos períodos de tiempo.
En la elección de este año se cumplen 22 años de la urna electrónica en Brasil. En su opinión, ¿por qué la seguridad de las urnas comenzó a ser cuestionada recién en los últimos años en Brasil? Ese proceso ya ha sido estudiado en otros países, ¿pero recién ahora (en los últimos años) comenzamos a preguntarnos si realmente son seguros?
En mi opinión, hubo blindaje jurídico y técnico entorno al sistema, de forma que la única información pública al respecto venía a través de la propaganda oficial. Recién en 2012, después de 14 años de estar operando, por primera vez fue posible examinar el código fuente del sistema sin restricciones en términos de secreto para comenzar un debate técnico sobre la base de evidencias en torno al tema. La prensa tampoco ha colaborado mucho, demostrando en varias oportunidades la clara preferencia por repetir la propaganda oficial en lugar de presentar las múltiples posiciones técnicas en los medios. Modificar esa situación para que sea posible evolucionar a través del debate es un esfuerzo Hercúleo muy frustrante.
¿Cómo observa usted la evolución de las pruebas realizadas con las urnas electrónicas en Brasil? ¿Usted percibe algún avance o preocupación en torno al tema por parte de las instituciones responsables?
Ha habido avances importantes, especialmente en la forma en que los técnicos de la Justicia Electoral toman nuestras observaciones y en el esfuerzo realizado para intentar mitigar vulnerabilidades desde el punto de vista técnico y procedimental. Sin embargo, aún hay grandes obstáculos para tratar el tema de forma transparente con las instancias superiores del Poder Judicial, quienes entienden que la defensa incondicional del sistema es la única postura posible, lo cual contamina el debate técnico y la cobertura por parte de la prensa. La polarización reciente entorno al tema termina siendo consecuencia de esa postura, debido a la desconfianza generalizada que hay sobre las instituciones, que se concentra en aquellas que no cumplen con los requisitos mínimos de transparencia.
¿Qué se puede hacer para mejorar la seguridad de las urnas electrónicas y hacer más transparente el proceso electoral?
“Es fundamental la introducción de un registro físico de voto que permita a los electores que verifiquen el comportamiento correcto del sistema durante la votación”.
Pienso que es fundamental la introducción de un registro físico de voto que permita a los electores verificar el correcto comportamiento del sistema durante la votación, el cual debería estar asociado a un riguroso procedimiento de custodia de los registros para una eventual verificación independiente y auditoría. Si se implementa correctamente junto con el depósito automático en una urna convencional después que el elector atestigua y confirma la votación, el voto impreso permite verificar la integridad del conteo electrónico a partir del conteo de los registros físicos, aunque por muestreo. Eso aumenta significativamente la dificultad de que un fraude sea indetectable al exigir que se realicen identificaciones idénticas de la versión digital e impresa de los votos.
Esa fue la forma en que todos los otros países con elecciones electrónicas a escala nacional encontraron para realizar elecciones auditables, incluso siendo consciente de que todo el sistema computacional posee fallas y vulnerabilidades. En lugar de que los especialistas inspeccionen antes de las elecciones una fracción razonable de los millones de líneas de código que componen los programas, lo que considera la comunidad técnica es que tiene mucho más sentido auditar el comportamiento de sistema durante la votación, que es cuando realmente importa.
