¿Está adulterado el taxímetro de la Registraduría?

La sentencia que le devolvió tres curules al MIRA cuenta cómo el software electoral fue usado para modificar los resultados de las elecciones de 2014. Lo preocupante es que tenemos exactamente el mismo escenario en 2018.

Carolina Botero
Carolina Botero
Fundación Karisma
146 Seguidores0 Siguiendo

0 Debates

8 Columnas

Columna

12588

11

10 de Marzo de 2018

En tres curules al se comprobó que las elecciones de 2014 fueron saboteadas de muchas maneras, y evidenció que no se han hecho los ajustes necesarios para garantizar los controles y la transparencia en el proceso electoral. Sobre todo cuando incorporan tecnología.

En una elección basada en papel no hay secretos: todo el procedimiento se puede ver, de principio a fin. Pero cuando las Tecnologías de la Información y las Comunicaciones (TIC) entran en el proceso, pasan cosas que no podemos ver. Vemos qué datos entran y qué datos salen, pero no sabemos cómo son procesados. Parecido a lo que ocurre con los taxímetros adulterados en las ciudades.

Los usuarios no saben cómo se calculan las unidades, ni cada cuanto tiempo o distancia se supone que debe subir la tarifa: no tienen más remedio que confiar en esa caja que hace cosas que ellos no pueden ver. Eso no significa que no sea posible detectar que el taxímetro fue saboteado, solo que es necesario investigar mucho para hacerlo.

Eso fue lo que tuvo que hacer el MIRA para conseguir la devolución de sus tres curules. No le bastó la observación de la operación manual, sino que tuvo que deconstruir su viaje en taxi y el de muchos otros, además de conseguir información sobre cada una de las operaciones informáticas por medio de las cuales se hizo el sabotaje.

Al proceso electoral en Colombia se le ha incorporado tecnología y . La mayoría de nosotros no podrá entender las cajas negras, pero podemos incorporar también mecanismos para que los interesados y expertos puedan controlar y revisar que todo esté funcionando antes, durante y después del proceso.

Aquí cuatro pasos mínimos, que concluimos de la Sentencia y del trabajo que hemos hecho en el * para la Moe, para que el taxímetro electoral no sea la caja negra insondable y que produce datos mágicamente, sino que sea parte de un sistema transparente que cumple una función pública.

 

1. Todos los actores deben tener pleno acceso a la información

Por ley todos los actores políticos deben tener acceso a la información electoral. De hecho, la observación directa se permite, se promueve y se hace en cada elección. Sin embargo, estas garantías no se han adaptado a los sistemas informáticos que no pueden observarse a simple vista.

Hoy, ni siquiera se garantiza algo tan simple como facilitar oportunamente el acceso de los partidos y la MOE a toda la información que alimenta al software en cada paso y a la que se produce al procesar los datos. El proceso del MIRA ante el Consejo de Estado se demoró sobre todo porque al MIRA le costó conseguir información y procesarla para encontrar diferencias entre los formularios.

Cuando se los dieron, les entregaron documentos en imágenes que no podían procesar y por tanto era difícil ejercer control de los resultados. Además los documentos que les dieron no son los que tienen los efectos legales: para protestar un acta se requiere el formato ‘E14 claveros’, y les daban el ‘E14 delegados’ (Figura 1).  Pero además de que no les servían para protestar, se los dieron solo cuando se abrió un proceso y no en durante el escrutinio.

Se debe garantizar el acceso a la información del proceso electoral producida antes y después de cada comisión, igual que a la información generada en su procesamiento tecnológico (Figura 1), con las siguientes características:

- Que sea información oficial,

- Que sea en formato abierto (es decir, en forma de datos planos que puedan procesarse),

- Que se entregue de forma inmediata a su creación, desagregada por mesa y completa, que incluya todos los formularios.

- Que sea trazable. Se debe poder saber desde dónde se creó y dónde se sumaron todos y cada uno de los datos.

- Que la información esté acompañada de elementos técnicos que permitan validar su integridad ()

 

2. El proceso debe ser trazable

La ley dice que los archivos de urnas, votos, actas, etcétera deben estar disponibles por el plazo del período electoral. Sin embargo, cuando el MIRA fue a buscarlos, no los encontró.

Las urnas estaban vacías, desaparecieron los documentos de la bodega.

Pero se ha hablado aún menos de lo que sucedió con los registros del proceso informático, que es todavía peor.

“Los equipos utilizados para realizar el escrutinio fueron sometidos a borrado seguro de acuerdo a las exigencias del contrato que indican que pasados 3 meses no debe conservar información del proceso" (), según dijo el contratista

Así como es necesario guardar todos los documentos del proceso electoral, se deben también conservar las copias de respaldo y asegurar las máquinas como una garantía de unas elecciones democráticas.

Eso no se hace.

Por eso Consejo de Estado le ordenó a la Registraduría que en estas elecciones “implemente las medidas correspondientes para mantener los ordenadores actualizados y las copias de seguridad necesarias para resguardar la información electoral” (p. 355).

En el proceso del MIRA la copia del software que la Registraduría entrega para que sea custodiada por la Procuraduría no sirvió “por no existir para la fecha de las diligencias el escenario original del sistema utilizado para el proceso de escrutinio de las elecciones” (p. 214).

Es decir, guardar una copia del programa en un momento cualquiera no basta. Es necesario asegurarse de que es exactamente el programa que se usó y poder reactivarlo en el escenario original, en las máquinas y con los elementos originales, de lo contrario no sirve.

Tener copias de respaldo para recrear lo sucedido es difícil y costoso. Sin embargo, si se va a usar software en las elecciones y no queremos que sea un taxímetro insondable, debe haber registro de lo sucedido. Si no queremos hacerlo, tal vez no debamos usar TIC para facilitar las elecciones.

El partido MIRA no tuvo acceso ni al archivo físico que desapareció de la bodega, ni a los registros del software. Por eso, tuvo que deconstruir con datos los pedacitos del rompecabezas.

 

3. El sistema que se use debe ser controlado por el Estado

Alfredo Novoa, Magistrado del CNE, dijo en la audiencia del MIRA “hay dos cosas que el Estado no puede delegar: la seguridad nacional y las elecciones”.

Sin embargo, todo el sistema de elecciones lo contrata la Registraduría con privados, los mismos desde hace 14 años. Ellos son los dueños del software y, además, contratan a todo el personal que lo desarrolla y le da soporte.

A diferencia de lo que sucede en un sistema manual de elecciones, en el sistema híbrido colombiano (que es manual pero incorpora TIC en partes del proceso), nadie --ni la Registraduría--- sabe en concreto cómo funciona por dentro.

No solo porque la Registraduría no tiene la capacidad que le permita saber cómo el contratista hace su trabajo, sino también porque el código fuente se protege con propiedad intelectual.

Aunque la Registraduría quisiera cumplir con su deber constitucional de garantizar la integridad del sistema electoral, no tiene más remedio que confiar en el taxímetro que le proporcionan los privados.

Las experiencias de otros países no invitan exactamente al entusiasmo. En Alemania, porque ni la ciudadanía ni el Estado eran capaces de entender y verificar los resultados de las elecciones. En Holanda, grupos de activistas pudieron comprar una máquina de votación en Internet y hackearla. En Argentina, usada en las provincias de Buenos Aires y Salta porque la empresa propietaria no revela el software a los actores políticos, pero sí se filtran partes del mismo en internet días antes de las elecciones.

A pesar de esto, muchos países siguen tercerizando las tecnologías que utilizan en las elecciones. Si esto va a ser así, como mínimo los proveedores deberían aceptar que en la democracia se exige la apertura de la información electoral, y no deberían poder esconder el software electoral aduciendo sus derechos de autor.

En la sentencia del Consejo de Estado se estableció que el Estado colombiano está ciego y ordenó a la Registraduría a que “adquiera el software requerido de escrutinios desde y para el Estado, es decir, que sea propio de dicha organización (...) además realice los trámites para designar el personal idóneo para la prestación del servicio de soporte técnico especializado que se requiera, para la vigilancia y control del aplicativo a utilizar” ( p. 355).

Adicionalmente, incluso si el software es del Estado es frecuente que organizaciones internacionales especializadas recomienden usar software libre para este tipo de actividades. El software libre es el que no usa la propiedad intelectual para prevenir el acceso al código fuente, porque, además de ser más económico, permite garantizar los controles y la transparencia requeridos en la democracia.

En Colombia no tenemos ni software público, ni software privado con cláusulas de apertura, ni experticia en TIC en la Registraduría, ni mucho menos software libre.

 

4. Se requiere de una auditoría independiente

Pero pocas personas entienden que una cosa es auditar resultados --lo que discutimos en los tres puntos anteriores--, y otra es auditar el software.

El K-LAB se ha centrado en este punto, que es exigido por el artículo 45 de la ley 1475 de 2011. Este artículo permite que la MOE y los partidos políticos puedan auditar el software.

Hasta ahora lo que ha hecho la Registraduría es invitar a que los partidos nombren un ingeniero de sistemas que haga las veces de testigo, para que vea el dato que entra y el que sale del ‘taxímetro’ durante el escrutinio.

El ejercicio sirve para controlar lo que se puede ver. Sin embargo, la auditoría a la que se refiere el artículo 45 es precisamente sobre lo que no se puede ver.

La idea de la auditoría es que los auditores puedan mirar si el taxímetro sí procesa los datos como se supone que debe procesarlos, entender e informar si hay problemas y verificar que se hicieron las mejoras necesarias antes de que los monten a los taxis, y así prevenir sabotajes. En el sistema electoral, se busca básicamente lo mismo: revisar todos los componentes del sistema para evitar que pasen cosas como las que el MIRA denunció y demostró.

En una auditoría de software, se puede revisar que la arquitectura y los controles de seguridad del software eviten ingresos indebidos al sistema por ejemplo. En el caso del MIRA, esto no sucedió: los peritos de la Fiscalía informaron que "los archivos log de aplicación tampoco cuentan con un valor hash o huella digital que garantice su integridad e inmodificabilidad" ( p. 215).

En otras palabras, entraron personas al software sin la debida identificación y en horas extrañas, e hicieron cambios sin que el sistema generara alertas.

La auditoría del artículo 45 es una auditoría independiente (que la ley faculta a la MOE y a los partidos), que no puede ser confundida con el simulacro y también debe ser previa al día de elecciones.

Esta auditoría requiere mucho tiempo. Por ejemplo, en México toma casi 3 meses, se hace con el código fuente, con la versión del software final que se va a usar en el proceso. Porque para que la auditoría sea válida se requiere que el software no cambie, o debe existir un control detallado de los cambios posteriores a la auditoría.

En el ejemplo del taxímetro de nada sirve que un operador autorizado sea el que ajuste el taxímetro si el taxista puede también ‘meterle mano’ en cualquier momento y sin ningún registro de qué le hizo.

El detalle del análisis del K-LAB sobre auditorías internacionales está , junto con la propuesta de protocolo de auditoría para aplicar a estas elecciones.

Desde que se implementó el sistema híbrido de elecciones en Colombia el software se convirtió en la última palabra de los resultados electorales. Confiamos tanto en las TIC que olvidamos la necesidad de implementar controles equivalentes a los de antaño.

 

*Esta columna es el resultado del trabajo de parte del equipo de KLAB compuesto en esta oportunidad por Pilar Saenz, Joan López y Santiago Hernández con algunas de mis contribuciones y comentarios.

Comentarios (11)

Christian Hernandez

10 de Marzo

0 Seguidores

Lo del MIRA es como el caso del estudiante que a final de semestre esta pasand...+ ver más

Lo del MIRA es como el caso del estudiante que a final de semestre esta pasando una materia apenas raspando y pierde: obviamente se va a armar de todos los argumentos para decir que todo el sistema de evaluación esta mal y que estan actuando en su contra. En resumen un escandalo completamente desproporcionado.

José Saramago ..

10 de Marzo

0 Seguidores

https://goo.gl/MEQBUe
MIRA demostró cómo se manipula el sistema electo...+ ver más

https://goo.gl/MEQBUe
MIRA demostró cómo se manipula el sistema electoral, sumando votos a unos y quitando a otros y la Registraduría no ha hecho nada para que esto no se repita. Un grupo de militantes y abogados demostró como se había utilizado un plumón de agua de secado lento que la doblar la hoja se imprimía en el lado contrario, y eso votos los anulaban. Pero lo del plumón no fue nada comparado con los datos registrados en los formatos E-14 y E-24 que no coincidían, mostró que votos se borraban no solo del partido MIRA sino de otros partidos y se los sumaban a otros candidatos. Pero hay algo mucho mas grave que pone en entredicho a la registraduría, Thomas Greg & Sons relacionada con Santos controla el 90% del sistema electoral, desde el papel, la impresión de los formularios, los plumones, hasta el software y los computadores. Se demostró la vulnerabilidad del sistema, una persona entró al sistema por ejemplo una sola persona entro por lo menos 1.208 veces entre las 9 de la noche y las 9 de la mañana en los días siguientes a las elecciones para alterar la votación de alguna mesa. La registraduría debía resguardar y salvaguardar hasta la elección siguiente toda la información originada en las elecciones legislativas del 9 de marzo de 2014 como lo establece el artículo 209 del Código Electoral, pues no se pudo acceder al software original y mucha información base fue borrada. MIRA denuncio que eso que les paso a ellos se lo hicieron a otros candidatos y partidos,solo que ellos si hicieron algo. Esas mismas empresas fueron contratadas para estas elecciones de 2018.
No inspira confianza tampoco que el registrador anuncie que la entrega de resultados va a demorar tres horas mas de lo normal. Y que no se va a registrar en formatos E-14 ni E-24 los votos de las consultas.

Andres Felipe Garcia Rovira

10 de Marzo

1 Seguidores

Super interesante ver como se manipula la democracia ahora desde la tecnologia...+ ver más

Super interesante ver como se manipula la democracia ahora desde la tecnologia, tiempos aquellos en donde se mandaba a dormir a los colombianos o habia apagones en tumaco, creo que aun la maquinita de los votos en soledad esta prendida, pero si bien es una lastima que el mira haya vuelto al congreso, lo delicado es que este fraude es sistemico y organizado desde el gobierno impoluto de FARCsantos

AlvaroH

10 de Marzo

0 Seguidores

Hay que ser muy cínico y a la vez muy ciego para creer que el problema es de ...+ ver más

Hay que ser muy cínico y a la vez muy ciego para creer que el problema es de ahora, o que exista ese estúpido término que usa al final de su publicación.

Andres Felipe Garcia Rovira

10 de Marzo

1 Seguidores

Las personas que manejan este software son superamigos de FarcSantos como lo h...+ ver más

Las personas que manejan este software son superamigos de FarcSantos como lo ha documentado LSV en varios articulos, asi que lo que trata de decir con su comentario es que Juan Manuel Santos cometio fraude electronico en las 2 elecciones donde fue presidente, eso me parece una acusación muy seria, la verdad si podria creer eso y es claro por lo menos en la reelección que eso es una hipotesis factible, por lo que hay que recoger la denuncia de Alvaro quien trabaja para Farcsantos y recibe mermelada con toda la seriedad del asunto y desenmascarar el fraude, menos mal existen delatores como alvaro en las organizaciones criminales que nos pueden contar la verdad sobre esta problematica que muchos imaginamos pero solo hasta ahora con la verificación de alguien que de primera mano ayuda a manejar estos resultados podemos confirmar.

pownerus

10 de Marzo

0 Seguidores

MIRA ayudó a destapar la olla podrida en la registraduría, ahora no será t...+ ver más

MIRA ayudó a destapar la olla podrida en la registraduría, ahora no será tan facil hacer trampa.

Vicente

11 de Marzo

0 Seguidores

Que peligro la ignorancia/torpeza del Estado en temas TIC + Que peligro la fortuna de privados que cuentan con un cliente tan ignorante

Que peligro la ignorancia/torpeza del Estado en temas TIC + Que peligro la fortuna de privados que cuentan con un cliente tan ignorante

Avv

21 de Mayo

0 Seguidores

Petro denuncia esta misma falta de garantías y pide auditoría del software y...+ ver más

Petro denuncia esta misma falta de garantías y pide auditoría del software y los llaman incendiario. Que no respeta las instituciones. Sera que en Colombia el Fraude es una institución?

José Saramago ..

21 de Mayo

0 Seguidores

Cuando Petro denuncia Fraude en la registraduría yo creo que se refiere al de...+ ver más

Cuando Petro denuncia Fraude en la registraduría yo creo que se refiere al de Venezuela y las elecciones para mantener el régimen de Maduro...

...claro que Petro es un incendiario,que vive victimizandose, y desde ya anuncia que que “robaron las elecciones”, desconocerá las votaciones y promoverá las revueltas en la calle, estilo stalin, siguioendo el manuel de las tres fases:
1.. cuestionar la legitimidad e imparcialidad de los organismos electorales.
2.. discursos públicos con la idea de fraude.
3.. crear enemigos internos.

Carlos Duarte

21 de Mayo

232 Seguidores

Excelente

Excelente

Ricardo Castro Mendoza

21 de Mayo

0 Seguidores

Es interesante tu artículo lo que si demostró MIRA es que con una disciplina...+ ver más

Es interesante tu artículo lo que si demostró MIRA es que con una disciplina de partido se pudo corroborar cuántos votos habían obtenido, así que los torcidos del computador del CNE y de la registraduría, esta vez la tienen difícil puesto que todo el mundo sabe en qué puesto y mesa de votación le tocó y puede enviar la información además son presidenciales no elecciones regionales, entonces si lo tenían listo es mejor que se abstengan y el escrito es claro al señalar que la Registraduría delega en privados lo que es de su resorte ese es otro rezago de la política neoliberal de que lo privado es mejor cuando se salen por la tangente diciendo que tienen reserva de derechos cuando es una información oficial cosa que solo pasa en Colombia. La denuncia de Petro es lógica sin embargo los medios vuelven a quedar como patéticos al repetir la mentira de Santos de que la comisión revisó el Software cuando lo que hicieron fué simulacros que no es lo mismo que revisar el funcionamiento de la contabilización de los votos y de la imposibilidad de vulnerar la seguridad del mismo por los interesados en ello. Petro ya demostró en plazas públicas el apoyo masivo y su seguro triunfo y van a quedar nuevamente en tela de juicio medios de comunicación y y encuestas pagas por los mismos.