domingo, 5 de julio de 2015

Boleta Única Electrónica - Desmitificando

El último mes tuvimos un par de twitstarts detractores (y otros repetidores) que se dedicaron a pegarle a la Boleta Única Electrónica (BUE). A mi criterio, si querían denostar este sistema de votación deberían haber tomado una posición política y no una técnica, ya que la primera permite la discusión y la segunda se acaba cuando técnicamente no pueden sostener el punto (Science, bitches).

Vamos a analizar rápidamente los dos problemas de seguridad que vi que detectaron:

1)    El RFID pone en riesgo el voto secreto. El chip de la boleta, una vez impresa, puede leerse desde un celular que tenga incorporada tecnología NFC, si está a una distancia de no más de 3mts. Esta es una característica intrínseca de la tecnología, no hace falta ser Carlín Calvo para poder hacerlo.  La cuestión es que sería un poco raro poder tener acceso a esa distancia  de la boleta una vez emitido el sufragio.
Se me ocurren dos escenarios donde eso puede llevarse a cabo:
a-    Un fiscal partidario pone su celular en modo “lectura”, lee todos los votos, anota rigurosamente el orden de votación y luego matchea voto con votante.
b-    Alguien esconde un celular cerca de la máquina de votación y, con ayuda de un fiscal, se sigue el orden de votación para hacer el match.

La opción (a) suena rara. Creo que el fiscal llamaría la atención tratando de leer todas las boletas, dando por hecho que hay otros fiscales y autoridades de mesa. Además, por estar cerca de la urna probablemente no podría diferenciar el voto emitido por su objetivo de todos los que están dentro de la urna. La lectura no es tan direccional y, si es direccional acota el rango.
La opción (b) suena más rara aún. Alguien debería tener acceso al aula de votación previamente para montar el sistema. Esto es complejo y, si lo comparamos con el voto papel, sería el equivalente a que alguien ponga una cámara oculta el cuarto oscuro.

2)    Voto múltiple. Encontraron una manera de intervenir el chip y hacer que la máquina, cuando se pone en modo recuento, se trabe. Esto requiere que quien lo hace tenga una boleta válida y haga algunos ademanes con su celular sobre la boleta para dañar el chip. Acá, nuevamente, planteo dos escenarios.
a-    Para realizar la maniobra la persona tiene que sacar su celular y ejecutar algo de código que demora unos segundos. Por lo menos donde yo voté, la máquina estaba expuesta y el votante estaba siendo observado por fiscales y autoridades. Creo que esto sería bastante complejo de hacer, aunque nunca falta el habilidoso.
b-    Suponiendo que el sujeto tiene la oportunidad de hacerlo, al momento del conteo de votos están los fiscales para verificar que el papel impreso coincide con lo que marca el chip y, por lo tanto, con lo que se contabiliza. De poder llegar a hacer la maniobra el conteo se hará de manera manual haciendo valer el voto que figura impreso que es el que todos validamos con seguridad.

En conclusión, los dos hacks que encontraron son teóricos. Es decir, existen, son problemas de seguridad que deben ser arreglados, pero son impracticables. Inclusive, si vamos a situaciones de contorno donde se puedan ejecutar, la pregunta clave que habría que hacerse es ¿cuál sería la ganancia y la motivación del atacante? ¿El esfuerzo del ataque vale la pena frente a la ventaja obtenida? Tengamos en cuenta que tanto para el hack (1) como para el (2) habría que lograr hacer la maniobra en cada mesa que se quiera obtener la ventaja.

Otras críticas que hacen, que no tienen que ver con hackeos, son en base a la (des) confianza que presentan el sistema por los siguientes puntos:

1)    No es open-source. Estoy de acuerdo con que podría serlo, sin embargo que lo sea no garantiza nada. Hemos pasado por bugs críticos en sistemas open-source que fueron detectados mucho tiempo después del reléase. Es más, si estamos de acuerdo con que la tecnología usada en ambientes críticos sea de código abierto, exijamos lo mismo a los sistemas de control de tráfico aéreo, de energía, bancarios, de AFIP o del ReNaPer.

2)    Que cuando se transmite el telegrama se hace online y puede haber una diferencia entre lo que se ve en pantalla y lo que se manda. Esto es simplemente ridículo. Todos los fiscales se quedan con una copia del resultado y, desde hace varias elecciones se publican abiertamente los resultados de las mesas. Hacer esta maniobra ad-hoc sería una ridiculez mayúscula, ya que automáticamente se pondría en evidencia el error (o el intento de fraude).

3)    Que la computadora no es “boba” y, para decir esto ponen una foto de puertos USB y seriales. La verdad que no abrí la computadora, pero lo que dicen es que no registra votos y, para eso, hace falta un disco rígido para que persista la información o un sistema de red para que la derive. Inclusive siendo así no hay un trackeo posible (razonable) para ver quién votó qué. La computadora probablemente use un mother normal y, hasta donde sé, el sistema lo cargan con un CD, no bootea desde un disco o una flash. El contralor último y válido por sobre todo es el papel.

La tercera categoría de críticas, es donde me parece que debería haber empezado, son las políticas, a saber:

1)    ¿Ahorra dinero? A priori parecería que sí, siempre y cuando la inversión de soft y hard perdure en el tiempo. Es decir se repague la inversión inicial.
2)    ¿Ahorra tiempo? La votación parece ser más rápida y el conteo también (lo veremos).
3)    ¿La licitación fue limpia? Esto no lo sé. Si alguien tiene pruebas que no lo fue sería bueno que las muestren.
4)    ¿Hacía falta? Bueno, depende qué estemos buscando. A mi criterio la tecnificación suele llevar a sistemas más eficientes, pero sería bueno que quienes pensaron el proyecto expongan las métricas.

Detractores amigos me acusaron de defenderlo por ser “PRO”. Los invito a todos a discutir técnicamente. La ciencia no tiene (o no debería tener) partido político.

Mañana veremos el resultado.

Alejandro J M Repetto
@ajmrepetto


PS: Aclaro que yo no realicé ningún análisis de seguridad sobre el sistema. Estoy respondiendo a los que detectaron bugs. El sistema puede tener miles de errores riesgosos, pero los que han sido detectados y publicados no presentan ningún riesgo para el votante ni para la elección.