Un referéndum a la altura de los catalanes

Referéndum en Cataluña

Un referéndum a la altura de los catalanes

Ya existen medios técnicos y tecnológicos para construir un sistema de votación telemático capaz no sólo de garantizar una consulta fiable, sino a prueba de bloqueos policiales.

Urna referéndum

Estos días es difícil intentar hacer análisis sosegados y críticas constructivas del 1-O. No es de extrañar, ya que nuestra clase política, una vez más, nos ha llevado a un extremo en el que los sentimientos afloran con facilidad, dejando la razón en segundo plano. No obstante, sí que me gustaría intentarlo desde una óptica técnica en lo referente a la votación del referendum, con el ánimo de que en un futuro la ciudadanía sea capaz de expresar su sentir con garantías.

Pese a la multitud de impedimentos sufridos en las semanas previas a la votación (bloqueo de acceso al censo, incautación de papeletas, bloqueo de urnas, cierre de webs…), el Govern consiguió sacar adelante el referéndum utilizando un censo universal que permitía la participación en cualquier punto de votación, con el uso de urnas opacas y selladas con bridas, y con papeletas imprimidas desde casa. Todo esto organizado y gestionado por voluntarios.

El uso de urnas opacas imposibilitaba la observación clara del estado inicial de las urnas, igual que el hecho de usar un cierre con bridas, el cuál permitía la apertura y cierre posterior de las mismas. Por otra parte, el uso de sobres no sólo tiene importancia a la hora de garantizar el voto secreto, sino para cuadrar los recuentos posteriores entre número de sobres (votantes) y número de papeletas (votos).

También hay que recordar que las mesas electorales se seleccionan a través de sorteo para garantizar la imparcialidad de aquellos que controlan y organizan la jornada de votación. Asimismo, son necesarios auditores de todas las partes, como ocurre en elecciones con interventores y apoderados, que se encargan de velar por la correcta labor de los miembros de las mesas y el personal público. No me cabe duda de que muchos voluntarios de verdad querrían un proceso limpio y plural que tuviera validez internacional, pero confiar en el buenhacer de la organización no es suficiente.

Fueron llamativos los cortes de la red en multitud de colegios, que imposibilitaron la validación a través del censo online, y el uso deficiente que se realizó en muchas mesas del mismo. Hay muchas imágenes en la red estos días de personas que votaron hasta 4 veces el 1-O.

Otro detalle que no se está comentando tanto, pero aún más grave si cabe, era la inseguridad mayúscula de ese censo, el cual ni siquiera utilizaba protocolo HTTPS. ¿Qué significa esto? Que este domingo los datos de los votantes viajaron en claro y sin cifrar, pudiendo ser interceptados por cualquiera que hubiera estado conectado a la misma red. Además, según se supo ayer mismo, los datos de votación se encriptaban con un algoritmo de cifrado SHA256 sin Salt, un método vulnerable y que ya se han encargado algunos usuarios en demostrar como reventar.

Es más, un estudiante consiguió hacerse pasar por vocal de mesa vía telefónica, crear una mesa falsa, y votar con DNIs de Barcelona encontrados a través de una búsqueda de Google. Le resultó tan fácil que esa misma noche subió este video a la red.

Todas estas fallas hacen que los resultados del referéndum – sin entrar en su legalidad – no puedan ser considerados fiables, y dan munición de sobra a aquellos que quieran deslegitimarlo.

Claramente, los impedimentos puestos por parte del gobierno central no ayudaron en absoluto a la hora de garantizar una votación fiable pero, ¿lo hacía imposible? La respuesta es NO.

Construyendo un sistema de votación fiable y seguro

Hoy en día tenemos los medios técnicos y tecnológicos necesarios para construir un sistema de votación telemático capaz no sólo de garantizar una consulta fiable, sino a prueba de bloqueos policiales.

Los ciudadanos podrían haber votado desde su propia casa, evitando tener que ir a ningún colegio electoral, lo que no sólo redunda en comodidad para el usuario, sino que habría impedido que el Gobierno de España dejara sin votar a los ciudadanos con el simple gesto de cerrar un colegio electoral. Cualquier ordenador con conexión a Internet sería un punto valido de votación y es imposible mandar policía a cada casa de Catalunya. Esto también habría asegurado que los ciudadanos ejercieran su voto sin poner su integridad en juego.

Bien es cierto que hay un sector de la población, mayormente la gente mayor, que no contarían con los medios y conocimientos necesarios para participar. En esos casos siempre se pueden crear puntos de votación puntuales donde esta población pudiera efectuar el voto con la ayuda de personal acreditado.

Por otra parte, un sistema de voto online no requiere de tantos medios materiales y humanos como una votación tradicional. Tampoco se tendría que limitar a un día y daría la oportunidad de que mucha más gente pudiera votar, inclusive aquellos se encontraran fuera de Catalunya. Sería incluso posible que los votantes pudieran cambiar la opción de voto durante el trascurso de la misma, evitando errores que el voto tradicional no permite.

Se puede pensar que igual que cerraron la web de referendum.cat, podrían cerrar igualmente cualquier sistema de votaciones alojado en la red, lo que nos haría si cabe más vulnerables aún. No obstante, esto realmente no es tan fácil como nos han hecho creer los casos de la semana pasada. Para cualquiera que se dedique a este mundo, es evidente que los ingenieros y técnicos encargados de las herramientas telemáticas del 1-O cometieron errores muy graves y básicos en el desarrollo y gestión de los servicios telemáticos del referéndum.

Y es que idear un sistema de este tipo cuyo cierre resulte complicado, es algo posible con tecnologías y técnicas de sobra conocidas. Veamos cómo:

Conexión Segura

Algo fundamental a la hora de hacer un sistema fiable y seguro es configurar la transferencia de datos en modo seguro. Es decir, pasar de utilizar un protocolo HTTP a uno HTTPS. Este cambio es bastante sencillo y sólo requiere un certificado X.509 (basado en criptografía asimétrica).

Este tipo de criptografía se basa en que todo el mundo conoce una clave pública, a través de la que encriptaremos la información que enviemos al servidor, pero no la privada que la desencripta, sólo conocida desde la parte servidora. Si cualquiera interceptara nuestras comunicaciones la información estaría cifrada por lo que sería imposible desencriptarla al no conocerse la clave privada. Además, estas claves privadas son prácticamente irrompibles.

Este certificado puede ser generado por empresas u organismos certificadores que acrediten su validez y seguridad, o incluso ser creados por nosotros mismos. Hay programas como Portecle que hacen que la creación de un certificado de estas características esté al alcance de cualquiera.

Unicidad y validez del Voto

Con el sistema de censo universal propuesto por el Govern, se podía asegurar que sólo exista un DNI por votación, pero no que ese voto hubiera sido emitido por el propietario de dicho DNI, o que ese DNI fuera siquiera real, dependiendo de nuevo de la buena voluntad de los integrantes de cada mesa.

Una solución inicial podría ser adjuntar una fotocopia de nuestro DNI a la hora de votar, como está exigiendo actualmente Podemos en sus sistemas de participación. No obstante, falsificar la imagen de un DNI es bastante accesible para cualquiera un poco ducho en Photoshop, y nuestro sistema debería realizar ciertas validaciones y tratamientos de imagen que no son, en absoluto, triviales.

Una alternativa sencilla y acorde a los nuevos tiempos sería utilizar el certificado de firma que todos los DNI-e incluyen en su chip. Se puede acceder a dicho certificado a través de un lector de DNI-e e implementando cualquieras de los estándares que se ofrecen, como PKCS#11, de los que hay ejemplos de sobra en la web dnielectronico.es.

Además de firmar nuestro voto y acreditar con ello su validez, se pueden consultar digitalmente los datos personales que figuran impresos en la tarjeta, como el nombre, los apellidos, el sexo, la dirección o el lugar y la fecha de nacimiento. Con todos estos datos podemos también validar que el ciudadano cumpla la edad mínima y pertenezca a una zona territorial valida para el voto.

Quizás a algunos le pueda parecer que obligar a los votantes a adquirir un lector de DNI-e sea demasiado pedir, pese a que en el mercado se pueden adquirir por unos 5,00€ y nos servirían para esta para otras muchas gestiones de la administración.

Si no se quiere utilizar el DNI-e, se puede optar por el uso de otros certificados, como el de la FNMT (aunque este no contiene información personal como el lugar de padrón o la fecha de nacimiento), o crear nosotros mismos nuestros propios certificados, que deberían de estar a su vez firmados por un certificado raíz que demuestre su autenticidad y validez. Los ciudadanos, eso sí, tendrían que ir previamente a algún lugar donde, enseñando sus datos de identificación, se les suministre dicho certificado.

Secreto y validez del voto

Todo esto está genial, pero al fin y al cabo, ¿quién nos asegura que se respete nuestro voto y que aquel que controla el sistema no pueda manipularlo? ¿Quién acredita que nuestro voto es secreto?

En primer lugar, debemos dar vías de auditoría, empezando por el código, que debe ser abierto para que todo el mundo pueda comprobar su autenticidad y funcionamiento. También debemos permitir que agencias independientes de auditoría puedan analizar todo el proceso de voto.

A la hora de votar, se le debe dar al ciudadano un mecanismo de verificación con el que comprobar que su voto ha sido enviado y computado correctamente, durante y después de la votación. Además, esos datos deben quedar almacenados de tal forma que ni el organizador de la votación ni el resto de partes pueda ser capaz de desencriptar dicha información.

Estos métodos no son triviales. El voto electrónico es aún materia de investigación dentro del campo de la ciencia de la computación. Existen alternativas que tienen un altísimo grado de fiabilidad, pero no podemos asegurar por completo el secreto e inmutabilidad total de los datos, al menos no en tiempos computacionales ágiles. No obstante, recordemos que, al fin y al cabo, ningún sistema de votaciones es 100% seguro, ni siquiera el tradicional, por lo que esas pequeñas tasas de error pueden resultarnos despreciables a la hora de llevar a cabo una decisión.

Sistema a prueba de cierres

Internet está pensado para ser un sistema distribuido: La caída de un nodo no causa la perdida de conexión del resto de nodos. De la misma forma, un sitio web puede pensarse de una forma distribuida, y que éste se encuentre disponible a través de varios nodos.

La manera más sencilla y rápida que tuvieron los cuerpos de seguridad a la hora de cerrar las webs asociadas al referéndum fue la de presentarse en la Fundación Punt Cat, dueña de los dominios, y a través de una orden judicial obligar a dicha entidad a clausurarlos. Para evitar esta problemática bastaba con que la Generalitat creara los dominios del referéndum en una entidad fuera de España, a poder ser una sin acuerdos de colaboración en esta materia.

El segundo punto vulnerable a la hora de acceder a una web son sus DNS. Los DNS se encargan en traducir el nombre de un dominio a la dirección IP de la máquina donde se encuentra alojada la web. Generalmente son las empresas proveedoras de Internet las que los suministran, pero estas están sujetas a la legislación española, por lo que con una orden judicial podrían bloquear el acceso a cualquier dirección.

Una forma de saltarse esto bloqueos es el uso de servicios de DNS abiertos, proxies o, mejor aún, VPNs (Red Privada Virtual).

Las VPN crean una conexión privada entre los dispositivos conectados a la misma, cifrando los datos de envío antes de que abandonen el dispositivo, que son sólo descifrados por el servidor VPN. Este servidor es el que se encarga de hacer partir esos datos al destino final, así como de devolver de nuevo las respuestas encriptadas al emisor. ¿En que se traduce esto? Pues en que tu proveedor de Internet no podrá acceder a tus comunicaciones ni saber el destino real de las mismas.

Hay multitud de Servicios VPN a precios muy económicos en países no pertenecientes a los “14-Eyes”, los países subscritos a acuerdos de cooperación mutua sobre señales (y en los que se incluye España).

Por desgracia, aunque estas dos soluciones se lo pondrían más difícil a la Policía para cerrar nuestra web, siguen sin servir de mucho en el caso de que dieran con los servidores encargados de alojar nuestra web.

La mejor opción para evitar esto último es no utilizar máquinas propias y hacer uso de proveedores de hosting, varios a ser posible y alojados en diferentes empresas y países. Países, a poder ser, con fuertes leyes de privacidad, como Islandia, Noruega, Holanda o Suiza. Además, puestos a elegir deberíamos decantarnos por servicios de hosting con máquinas virtuales, que hacen muy sencilla la tarea de llevarnos nuestra web de una máquina a otra.

Hay que dejar claro que pese a todos estos esfuerzos, es posible que pudieran acabar cerrándonos nuestra web de votaciones, pero podrían tardar meses en conseguirlo, tiempo más que suficiente para llevar a cabo la consulta.

En resumen

Como hemos visto, un sistema de votación online habría permitido a Catalunya celebrar un referéndum fiable y representativo pese a no contar con la colaboración de los poderes del Estado.

Por otra parte, hacer un sistema de estas características, o simplemente un censo universal, no es una tarea trivial y requiere de conocimientos en criptografía, sistemas distribuidos y seguridad. Conocimientos que quizá no tenga ese sobrino maravilloso que hace webs, pero si cualquier ingeniero informático.

Queda la sensación en este análisis de que o bien el Govern quería celebrar un referéndum que no contara con el respaldo de la ciencia y la metodología electoral, o bien son hermanos de los españoles en el nulo respeto y cariño a la ciencia y la tecnología, opción por la que me decanto aplicando el Principio de Hanlon.

Sea como fuere, esperemos que este y otros análisis sirvan para que, en un futuro, mejoremos nuestros sistemas de toma de decisiones y pongamos de nuestro lado el progreso y el conocimiento.

Más información