El último mes tuvimos un par de twitstarts detractores (y
otros repetidores) que se dedicaron a pegarle a la Boleta Única Electrónica (BUE).
A mi criterio, si querían denostar este sistema de votación deberían haber
tomado una posición política y no una técnica, ya que la primera permite la
discusión y la segunda se acaba cuando técnicamente no pueden sostener el punto
(Science, bitches).
Vamos a analizar rápidamente los dos problemas de seguridad
que vi que detectaron:
1)
El RFID pone en riesgo el voto secreto. El chip
de la boleta, una vez impresa, puede leerse desde un celular que tenga
incorporada tecnología NFC, si está a una distancia de no más de 3mts. Esta es
una característica intrínseca de la tecnología, no hace falta ser Carlín Calvo
para poder hacerlo. La cuestión es que
sería un poco raro poder tener acceso a esa distancia de la boleta una vez emitido el sufragio.
Se me ocurren dos escenarios donde eso
puede llevarse a cabo:
a-
Un fiscal partidario pone su celular en modo “lectura”,
lee todos los votos, anota rigurosamente el orden de votación y luego matchea
voto con votante.
b-
Alguien esconde un celular cerca de la máquina
de votación y, con ayuda de un fiscal, se sigue el orden de votación para hacer
el match.
La opción (b) suena más rara aún. Alguien debería tener acceso al aula de votación previamente para montar el sistema. Esto es complejo y, si lo comparamos con el voto papel, sería el equivalente a que alguien ponga una cámara oculta el cuarto oscuro.
2)
Voto múltiple. Encontraron una manera de
intervenir el chip y hacer que la máquina, cuando se pone en modo recuento, se
trabe. Esto requiere que quien lo hace tenga una boleta válida y haga algunos ademanes
con su celular sobre la boleta para dañar el chip. Acá, nuevamente, planteo dos
escenarios.
a-
Para realizar la maniobra la persona tiene que
sacar su celular y ejecutar algo de código que demora unos segundos. Por lo
menos donde yo voté, la máquina estaba expuesta y el votante estaba siendo
observado por fiscales y autoridades. Creo que esto sería bastante complejo de
hacer, aunque nunca falta el habilidoso.
b-
Suponiendo que el sujeto tiene la oportunidad de
hacerlo, al momento del conteo de votos están los fiscales para verificar que
el papel impreso coincide con lo que marca el chip y, por lo tanto, con lo que
se contabiliza. De poder llegar a hacer la maniobra el conteo se hará de manera
manual haciendo valer el voto que figura impreso que es el que todos validamos
con seguridad.
En conclusión, los dos hacks que encontraron son teóricos. Es
decir, existen, son problemas de seguridad que deben ser arreglados, pero son
impracticables. Inclusive, si vamos a situaciones de contorno donde se puedan
ejecutar, la pregunta clave que habría que hacerse es ¿cuál sería la ganancia y
la motivación del atacante? ¿El esfuerzo del ataque vale la pena frente a la
ventaja obtenida? Tengamos en cuenta que tanto para el hack (1) como para el
(2) habría que lograr hacer la maniobra en cada mesa que se quiera obtener la
ventaja.
Otras críticas que hacen, que no tienen que ver con hackeos,
son en base a la (des) confianza que presentan el sistema por los siguientes puntos:
1)
No es open-source. Estoy de acuerdo con que
podría serlo, sin embargo que lo sea no garantiza nada. Hemos pasado por bugs
críticos en sistemas open-source que fueron detectados mucho tiempo después del
reléase. Es más, si estamos de acuerdo con que la tecnología usada en ambientes
críticos sea de código abierto, exijamos lo mismo a los sistemas de control de
tráfico aéreo, de energía, bancarios, de AFIP o del ReNaPer.
2)
Que cuando se transmite el telegrama se hace
online y puede haber una diferencia entre lo que se ve en pantalla y lo que se
manda. Esto es simplemente ridículo. Todos los fiscales se quedan con una copia
del resultado y, desde hace varias elecciones se publican abiertamente los
resultados de las mesas. Hacer esta maniobra ad-hoc sería una ridiculez
mayúscula, ya que automáticamente se pondría en evidencia el error (o el
intento de fraude).
3)
Que la computadora no es “boba” y, para decir
esto ponen una foto de puertos USB y seriales. La verdad que no abrí la
computadora, pero lo que dicen es que no registra votos y, para eso, hace falta
un disco rígido para que persista la información o un sistema de red para que
la derive. Inclusive siendo así no hay un trackeo posible (razonable) para ver
quién votó qué. La computadora probablemente use un mother normal y, hasta
donde sé, el sistema lo cargan con un CD, no bootea desde un disco o una flash.
El contralor último y válido por sobre todo es el papel.
1)
¿Ahorra dinero? A priori parecería que sí,
siempre y cuando la inversión de soft y hard perdure en el tiempo. Es decir se
repague la inversión inicial.
2)
¿Ahorra tiempo? La votación parece ser más
rápida y el conteo también (lo veremos).
3)
¿La licitación fue limpia? Esto no lo sé. Si
alguien tiene pruebas que no lo fue sería bueno que las muestren.
4)
¿Hacía falta? Bueno, depende qué estemos
buscando. A mi criterio la tecnificación suele llevar a sistemas más
eficientes, pero sería bueno que quienes pensaron el proyecto expongan las
métricas.
Detractores amigos me acusaron de defenderlo por ser “PRO”.
Los invito a todos a discutir técnicamente. La ciencia no tiene (o no debería tener)
partido político.
Mañana veremos el resultado.
Alejandro J M Repetto
@ajmrepetto
PS: Aclaro que yo no realicé ningún análisis de seguridad
sobre el sistema. Estoy respondiendo a los que detectaron bugs. El sistema
puede tener miles de errores riesgosos, pero los que han sido detectados y
publicados no presentan ningún riesgo para el votante ni para la elección.
No hay comentarios:
Publicar un comentario