Obremski Tesisdegradoingenieriainformatica PDF

Tesis de grado en Ingeniera en Informtica
Sistemas de eVote
Verificabilidad del voto electrnico
Damin Obremski
Diciembre 2006
Tema: Verificabilidad del voto electrnico
Alumno: Obremski Damin
Padrn: 79100
Tutor: Ing. Dams Alberto
Autor
Tutor
ndice
ndice ................................................................................................................... 3
CAPTULO I...................................................................................................... 7
INTRODUCCIN ............................................................................................. 7
1. Resumen ejecutivo ......................................................................................................... 7
1.1. Objetivo de la tesis..........................................................................................................................7
1.2. Lmites al trabajo............................................................................................................................8
1.3. Esquema de voto electrnico propuesto .........................................................................................9
1.4. Necesidad de verificacin del voto ...............................................................................................11
2. Breve Descripcin del eVote ....................................................................................... 13

2.1. Definicin de eVote.......................................................................................................................13
2.2. Definicin de Voto Digital............................................................................................................13
2.3. Requisitos del voto electrnico .....................................................................................................13
2.4. Requisitos de seguridad para implementar el eVote ....................................................................15
CAPTULO II .................................................................................................. 18
Definicin del Problema .................................................................................. 18
1. Inconvenientes del voto electrnico ............................................................................ 18
1.1. Problemas sociales .......................................................................................................................18
1.2. Problemas tecnolgicos................................................................................................................19
2. Facilidad, velocidad, correccin: confianza ................................................................ 21

2.1. Facilidad.......................................................................................................................................21
2.2. Velocidad ......................................................................................................................................22
2.3. Correccin ....................................................................................................................................24
2.4. Confianza......................................................................................................................................25
3. Debilidades de los sistemas de e-vote.......................................................................... 27

3.1. Seguridad de las mquinas de votacin .......................................................................................27
3.2. Dificultad de verificar el eVote.....................................................................................................29
3.3. Requisitos incompatibles ..............................................................................................................30
4. Referencias que amparan el problema ......................................................................... 32

4.1. Tecnologa, errores, integridad; Verificabilidad. ........................................................................32
CAPTULO III................................................................................................. 35
Anlisis de requisitos de la Ley electoral....................................................... 35
1. Requisitos de la Ley..................................................................................................... 35
1.1. Carcter del sufragio....................................................................................................................35
1.2. Padrones electorales ....................................................................................................................36
1.3. Oficializacin de candidatos ........................................................................................................36
1.4. Procedimiento de votacin ...........................................................................................................37
1.5. Las juntas electorales ...................................................................................................................38
2. Aplicabilidad de los sistemas de eVote ....................................................................... 39

2.1. Tarjetas Perforadas ......................................................................................................................39
2.2. Optical mark-sense voting system ................................................................................................39
2.3. Mecanical Lever Machines........................................................................................................40
2.4. Todo sistema de tecnologa basada en mquinas DRE................................................................40
CAPTULO IV ................................................................................................. 42
3
Descripcin global de la solucin propuesta ................................................. 42

1. Mtodo Pantalla-Impresora.......................................................................................... 42
1.1. Caractersticas generales .............................................................................................................42
1.2. El proceso de votacin..................................................................................................................45
CAPTULO V................................................................................................... 52
Detalles de los mdulos del sistema................................................................ 52
1. Inicializacin................................................................................................................ 52
1.1. Configurar mquinas....................................................................................................................53
1.1.1. Generar claves .......................................................................................................................54
1.1.2. Realizar carga inicial .............................................................................................................55
1.1.3. Limpiar registros....................................................................................................................57
1.2. Intercambiar claves ......................................................................................................................58
2. Procedimiento de votacin........................................................................................... 60
2.1. Imprimir acta inicial.....................................................................................................................61
2.2. Identificacin del votante .............................................................................................................62
2.2.1. Lectura ptica del DNI ..........................................................................................................65
2.2.1.1. Leer DNI con la mquina ...............................................................................................66
2.2.1.2. Validar contra padrn .....................................................................................................67
2.2.1.3. Registrar al votante .........................................................................................................68
2.2.2. Registro de huella dactilar .....................................................................................................69
2.3. Ejecucin de la votacin...............................................................................................................70
2.3.1. Autenticacin de usuario .......................................................................................................72
2.3.2. Seleccin de candidato ..........................................................................................................73
2.3.2.1. Mostrar opciones ............................................................................................................74
2.3.2.1.1. Leer lista de candidatos ...........................................................................................75
2.3.2.1.2. Almacenar opciones.................................................................................................76
2.3.2.1.3. Imprimir opciones....................................................................................................77
2.3.2.2. Ingresar opcin ...............................................................................................................79
2.3.3. Culminacin del voto.............................................................................................................80
2.3.3.1. Almacenado del voto ......................................................................................................81
2.3.3.2. Impresin del comprobante ............................................................................................82
2.4. Imprimir acta de cierre.................................................................................................................84
3. Consolidacin de resultados ........................................................................................ 87

3.1. Recibir votos y totales...................................................................................................................88
3.1.1. Identificar emisor...................................................................................................................90
3.1.2. Agrupar pares y almacenar ....................................................................................................91
3.2. Contabilizar los votos ...................................................................................................................91
3.2.1. Sumar votos ...........................................................................................................................92
3.2.1.1. Validar votos...................................................................................................................94
3.2.1.2. Totalizar votos ................................................................................................................97
3.2.2. Comparar resultados ..............................................................................................................98
3.2.2.1. Elaborar informe.............................................................................................................99
4. Verificacin del voto.................................................................................................. 101

4.1. Generar archivos ........................................................................................................................102
4.2. Verificacin pblica...................................................................................................................103
4.3. Verificacin privada ...................................................................................................................105
4.3.1. Identificar.............................................................................................................................106
4.3.2. Consultar..............................................................................................................................108
CAPTULO VI ...............................................................................................110
4
Verficabilidad del mtodo.............................................................................110

1. Pruebas fsicas............................................................................................................ 110
1.1. El ticket .......................................................................................................................................111
1.2. Pantalla de papel........................................................................................................................112
2. Mtodo de verificacin real ....................................................................................... 114
CAPTULO VII .............................................................................................116

Resultados.......................................................................................................116
1. Resultados obtenidos ................................................................................................. 116
1.1. Cumplimiento del objetivo..........................................................................................................116
1.2. Cumplimiento de los requisitos de eVote....................................................................................119
1.3. Ventajas y Desventajas del mtodo ............................................................................................121
1.3.1. Ventajas ...............................................................................................................................121
1.3.2. Desventajas ..........................................................................................................................123
2. Comparacin con los sistemas de eVote existentes................................................... 124
CAPTULO VIII............................................................................................129
Conclusiones ...................................................................................................129
ANEXO A .......................................................................................................132
Experiencias Tecnolgicas existentes...........................................................132
1. Antecedentes del problema ........................................................................................ 132
1.1. Experiencias Internacionales de voto electrnico......................................................................132
1.1.1. India .....................................................................................................................................132
1.1.2. Brasil....................................................................................................................................133
1.1.3. Blgica .................................................................................................................................134
1.1.4. Costa Rica............................................................................................................................134
1.1.5. Venezuela ............................................................................................................................135
1.1.6. Estados Unidos ....................................................................................................................136
1.1.7. Inglaterra..............................................................................................................................136
1.1.8. Espaa..................................................................................................................................136
1.2. Experiencias en Argentina..........................................................................................................137
1.2.1. Provincia de Tierra del Fuego..............................................................................................137
1.2.2. Provincia de Buenos Aires...................................................................................................138
1.2.3. Mendoza ..............................................................................................................................139
2. Tecnologa existente .................................................................................................. 140

2.1. Tarjetas perforadas ....................................................................................................................140
2.1.1. Caractersticas generales......................................................................................................140
2.1.2. Comparacin con Pantalla-Impresora..................................................................................140
2.2. Optical mark-sense voting system ..............................................................................................142
2.3. Mecanical Lever Machines......................................................................................................145
2.4. Direct Recording Electronic (DRE) voting system.....................................................................146
2.5. Voter verifiable ballots ...............................................................................................................150
2.6. Secret-Ballot Receipts.................................................................................................................153

ANEXO B .......................................................................................................157
Fundamentos Tericos y Prcticos ..............................................................157
1. Encriptacin ............................................................................................................... 157
1.1. Cifrado Simtrico........................................................................................................................157
1.2. Cifrado de clave pblica.............................................................................................................158
2. Funciones de Hash ..................................................................................................... 160

2.1. Introduccin a las funciones de Hash ........................................................................................160
2.2. Requerimientos de las funciones de Hash ..................................................................................162
3. IPSec .......................................................................................................................... 164

3.1. Generalidades.............................................................................................................................164
3.2. Authentication Header (AH).......................................................................................................165
3.3. Encapsulating Security Payload (ESP) ......................................................................................166
3.4. Key Managment ..........................................................................................................................166
4. Lectura de huellas dactilares...................................................................................... 167

4.1. Caractersticas............................................................................................................................167
4.2. Escner ptico ............................................................................................................................167
4.3. Escner de capacitores...............................................................................................................168
4.4. Resumen......................................................................................................................................168
Referencias......................................................................................................170
CAPTULO I
INTRODUCCIN
En este captulo se presenta el objetivo principal de la tesis que consiste en disear un
sistema de votacin electrnica verificable para solucionar los problemas que poseen los mtodos
actuales. Como el foco del diseo est centrado en incrementar la confianza de los electores en los
sistemas de eVote, sobre algunos inconvenientes no se invirti esfuerzo en solucionarlos. stos
sern expuestos en la seccin lmites al trabajo. A continuacin se describe brevemente el mtodo
de votacin propuesto como solucin a los mismos, destacando su caracterstica de permitir
verificar los votos emitidos y justificando la necesidad de esta cualidad. Luego se introduce al
lector en el tema del trabajo, ensayando definiciones de eVote y detallando requisitos necesarios
para implementar la tecnologa.
1. Resumen ejecutivo
1.1. Objetivo de la tesis

El objetivo de la tesis es elaborar un sistema de votacin electrnica que permita al votante
verificar la correccin del almacenado y recuento de los votos por parte de la mquina. El desafo
que se plantea consiste en que la comprobacin no comprometa el secreto de voto, la velocidad en
obtener los resultados oficiales o la facilidad del proceso. Estas caractersticas permitirn que los
ciudadanos confen en la votacin electrnica y pierdan el miedo a que se efecte un fraude a gran
escala.
El sistema debe asegurar que ni siquiera un fiscal electoral pueda rastrear algn voto. Sin
embargo, debe existir alguna forma, en el caso que el voto publicado no coincida con la eleccin
que hizo el votante frente a la mquina, de que ste pudiera demostrar el error cometido sin
comprometer el anonimato del sufragio.
Se espera que la metodologa propuesta no requiera de boletas preimpresas para funcionar,

ya que de este modo heredara la desigualdad producida por los recursos con que cuenta cada
partido poltico.
Como resultado se busca obtener un procedimiento sencillo, seguro y que sea confiable por
parte de la poblacin en general y la gente especializada en sistemas en particular. Que pueda ser
implementado, caracterstica que obliga a cumplir con los requisitos que se plantean al final de
este captulo.
Para acotar el estudio y circunscribirlo a una problemtica en particular, algunos de los

inconvenientes que fueron mencionados quedarn fuera del alcance y los mismos sern detallados
en el siguiente punto.
1.2. Lmites al trabajo

Existen ciertos inconvenientes que no sern tenidos en cuenta al momento de elaborar la
metodologa ya que se consideran fuera del alcance de la tesis.
El primero de los inconvenientes es el ataque que pudieran sufrir las mquinas por parte de
un saboteador, dejndolas inoperables el da de la eleccin. Este ataque es el denominado
Denegacin de servicio. Se podran esbozar algunas reglamentaciones o conductas a seguir
como contingencia en caso de que ocurriere, pero no podran evitarse.
Lo mismo ocurre con el inconveniente denominado Rompimiento del sistema de

autenticacin del PIN o tareas administrativas. En este trabajo no se harn esfuerzos para evitar
que un ataque de estas caractersticas ocurriera. Las caractersticas que el sistema debe poseer para
evitar este tipo de irrupcin escapan al alcance del trabajo.
Se propone la apertura de una lnea de investigacin, en el caso de cumplir con los

objetivos planteados, para mejorar el sistema propuesto en los aspectos que el mismo no cubre y
de esta forma prevenir cualquier tipo de ataque posible contra las mquinas
de votacin
electrnica.
Este trabajo est enfocado en el aspecto de integridad de los sistemas de votacin

electrnica. Si bien la seguridad forma parte de esta tesis, no se profundiza demasiado sobre la
misma. Debido a esto, se excluye de los temas abarcados a los mtodos de votacin electrnica a
distancia, escenario que requiere investigar los mtodos ms apropiados de seguridad informtica
que garanticen el anonimato del elector y la inviolabilidad de los datos. Sin embargo los
mencionar en la evaluacin de resultados y en la conclusin de la tesis, destacando ciertos
inconvenientes que presentan.
Esta investigacin se centra en incrementar la confianza de los votantes en los sistemas de

votacin electrnica. El objeto queda acotado a las mquinas utilizadas, sus formas de registro de
los votos y sus interacciones con los electores. Si bien se describe la tecnologa utilizada para la
transmisin de la informacin hacia los centros de consolidacin, no se profundiza demasiado
sobre la misma.
1.3. Esquema de voto electrnico propuesto

El sistema se puede dividir en 4 grandes etapas. La primera de ellas es la de inicializacin,
en la cual se configuran los datos de las mquinas intervinientes. La segunda etapa es la de
votacin, que tiene lugar el da de los comicios y se inicia con la impresin de un acta que certifica
que las mquinas no poseen votos almacenados, ni personas sealas como que ya efectuaron su
voto. A continuacin, empieza el proceso normal de votacin que se encuentra dividido en 2 fases,
una de identificacin del elector y otra de sufragio, y ocurre de la siguiente manera:
1. El elector se identifica ante las autoridades de mesa, con su documento. Estas realizan
la lectura ptica del mismo para que la mquina de identificacin verifique su
presencia y habilitacin en el padrn.
2. Si est en condiciones de votar, se le toma una lectura de una huella dactilar para
habilitar la mquina de votacin que se encuentra en el cuarto oscuro. El elector
ingresa a este cuarto y se autentifica tomando una nueva lectura de su huella dactilar.
3. La emisin se concreta eligiendo una opcin de las desplegadas en una pantalla por
medio de un teclado. En el caso de ser un elector discapacitado, el sistema prev
alternativas (sonido, braille, etc.).
4. Una vez efectuada la seleccin, el sistema le permite al elector verificar las opciones
elegidas antes de emitir el voto. En este momento, si lo desea, puede cambiar sus
preferencias, la cantidad de veces que le fuera necesario. Cuando est seguro, elige la
opcin Emitir o Votar y el voto se almacena en la memoria digital de la mquina.
5. La mquina emite un comprobante en papel que el sufragante debe retirar para poder
verificar su voto.
6. El elector recibe su documento con la constancia de haber votado. Se asienta la emisin

y ste queda inhabilitado para si quisiera o lo intentara - volver a votar en otro sitio.
Este proceso se repite hasta finalizar el horario de votacin, donde las autoridades de mesa
activan los procedimientos que poseen las mquinas para realizar los conteos y emitir las actas de
cierre necesarias. La tercer etapa es la de transmitir de los resultados a los centro de consolidacin
de datos. Esta ltima accin se realiza del modo ms seguro posible (datos cifrados, sistemas de
clave pblica privada de alta seguridad) para garantizar la inalterabilidad de la informacin. En
forma jerrquica se transmiten los datos y los resultados parciales hasta un centro donde se alcanza
el resultado de los comicios. La cuarta etapa es la de verificacin que ofrece a los votantes 2
formas de efectuarla. La primera de ellas sirve como aproximacin y se realiza a travs de Internet
mediante un cdigo impreso en el comprobante devuelto por la mquina de votacin. La segunda
es un lugar pblico, con condiciones similares a los cuartos oscuros, donde queda de manifiesto el
candidato votado. Esta ltima forma autentifica al elector y posee la seguridad necesaria para no
revelar el secreto y no violar el anonimato del voto. En caso de no corresponder el sufragio
reflejado por la mquina con el emitido por el elector, existe un ente regulador al cual se le pueden
presentar pruebas que demuestran la falla y no descubren el secreto del sufragio.
10
1.4. Necesidad de verificacin del voto

El eVote presenta varias ventajas por sobre los sistemas de votacin tradicionales. Una de
ellas consiste en la posibilidad de que personas que sufren determinadas discapacidades, como ser
la falta de visin, puedan votar sin ayuda de un oficial de mesa. Otra de las ventajas que presenta
es la reduccin de costos electorales que afrontan los partidos polticos causados por la emisin de
boletas. En particular este punto permite igualar las posibilidades de triunfo en los comicios de
todos los partidos polticos, ya que ninguno se privar de recibir un voto por carecer de suficientes
boletas, acontecimiento que hoy tiene lugar. Finalmente la velocidad en que se efecta el
escrutinio y se obtienen los resultados, es varias veces superior. El escenario planteado permite
pensar al eVote como solucin a los problemas que nos afectan actualmente, sin embargo todava
existen inconvenientes que no hacen posible implementarlo.
Las tecnologas actuales que implementan la votacin electrnica presentan varias

dificultades que an no han sido resueltas (vase anexo A). Algunas de ellas corresponden a
riesgos que, en el caso de materializarse, podran provocar la cada del sistema electoral por
completo. Estos inconvenientes hacen que el eVote no tenga el aval suficiente y sea cuestionado
permanentemente por cientficos de sistemas y personas no idneas.
Hoy en da la votacin electrnica es un tema que se ha instalado en la sociedad. En las

elecciones de diputados y senadores de fines de octubre de 2005, se realiz una prueba para
implementar los sistemas evote en la Ciudad Autnoma de Buenos Aires. En el corto plazo
aquello que hoy se est probando formar parte de nuestros procedimientos electorales. Si bien la
sociedad argentina desconfa de los aparatos polticos, el acto ciudadano de votacin sigue siendo
noble y honrado. La impunidad que invade a la Argentina crea un marco perfecto para que el
problema de fraude a gran escala alarme a ms de una persona. El alto ndice de riesgo provoca
desconfianza.
Por tales razones se requiere un sistema de votacin que permita verificar el voto emitido,
mitigando el riesgo de fraude e incrementando la confianza del elector en el uso de la tecnologa
en el acto de sufragio. Esta es la nica forma de crear las bases necesarias para implementar el
eVote y aprovechar sus ventajas innatas, porque de no existir un proceso que permita comprobar
el sufragio, la falta de confianza de los ciudadanos en los sistemas de votacin electrnica
11
provocaran el retorno a los sistemas de tradicionales o el constante cuestionamiento a los

candidatos electos por sospechas de fraude.
El mtodo propuesto como solucin en este trabajo es verificable ya que finalizada la

eleccin permite a los sufragantes presentarse con el comprobante otorgado por la mquina de
votacin en un recinto custodiado para asegurar la libertad y privacidad de los electores y, tras
autenticar a las personas que se presentan, dejarles de manifiesto el sufragio emitido. El candidato
expuesto por la mquina de verificacin, es por quien el sistema interpret que vot del ciudadano
por lo que el elector puede comprobar si su intencin fue comprendida debidamente. Sin embargo,
este proceso no alcanza para garantizar la verificabilidad del mtodo. Para poder afirmar que el
sistema de votacin permite comprobar los sufragios emitidos, debe existir una instancia a la cual
recurrir en el caso que la verificacin arroje un resultado negativo para probar el error. El sistema
provee al sufragante de un comprobante tangible que en conjunto con otra prueba fsica que queda
en manos de un ente regulador, conforman la evidencia necesaria y suficiente para demostrar la
falla del sistema de votacin sin revelar el secreto del voto. Slo bajo estas condiciones se puede
afirmar que un mtodo de votacin es verificable. Se requiere que el ciudadano pueda comprobar
fehacientemente su voto y pueda probar, sin revelar el secreto y anonimato del sufragio, las fallas
del sistema. Como la solucin propuesta en el trabajo cumple estas condiciones, se puede aseverar
que el mtodo es verificable.
12
2. Breve Descripcin del eVote
2.1. Definicin de eVote

Se puede definir el voto electrnico o eVote como la aplicacin de dispositivos y sistemas
de tecnologa de la informacin y telecomunicaciones al acto del sufragio. Pero este nuevo
concepto no implica solamente un cambio de herramientas y materiales. No significa pasar de la
urna de madera, cartn y papel, al metal y al software. Este nuevo sistema ofrece mucho ms,
porque las posibilidades que brinda permiten redisear la estructura electoral vigente en el pas.
A su vez, cuando se habla de voto electrnico, tambin se hace referencia a la tecnologa

aplicada en las etapas que se desarrollan el da de los comicios; tales como el registro y la
verificacin de la identidad del elector, la emisin del voto, el recuento de votos y la transmisin
de los resultados. La incorporacin del voto electrnico puede abarcar todas o una de estas etapas,
mantenindose el resto de las operaciones manuales. [Gelli, 2001]
2.2. Definicin de Voto Digital

Es el voto electrnico realizado desde una ubicacin remota. No requiere la presencia
fsica del elector en el centro de votacin. El voto digital es realizado va Internet y no ser
analizado en este trabajo.
2.3. Requisitos del voto electrnico

Se pueden clasificar los requisitos en dos:
a) Desde el punto de vista del sufragante.

13
La confianza del elector en el buen funcionamiento del sistema.
La conveniencia del elector para usarlo. Esta se resume en la facilidad, la

comodidad y la sencillez que presente el sistema de emisin del voto electrnico.
b) Los requisitos intrnsecos del eVote.
Anonimato, privacidad y no coercin
Los sistemas de voto electrnico deben garantizar el anonimato, la privacidad y

la no coercin al momento de emitir el sufragio. Es decir, los ciudadanos deben poder
votar en total libertad y privacidad, sin que su identidad pueda ser vinculada al voto,
respetando as el mandato constitucional. Para ello es necesario mantener separados
los padrones de las e-urnas, de manera de garantizar el secreto del voto, aunque
estn digitalizados.
Elegibilidad y autenticidad
Se debe garantizar que slo puedan votar los electores habilitados y

empadronados. La identidad debe ser debidamente comprobada con el fin de asegurar
que voten nicamente los ciudadanos habilitados y que slo puedan hacerlo una vez.
Integridad
Los sistemas de votacin deben poder asegurar que los votos no sean cambiados
o eliminados.
Certificacin y auditoria
Los sistemas de votacin deben poder ser probados por agentes oficiales, para
permitirles certificar los niveles aceptables de funcionamiento y auditar el
sistema en cualquier momento.
14
Confiabilidad
Los sistemas de votacin deben funcionar de manera robusta y eficiente, sin

prdida de votos ni de datos o informacin. Vale destacar que en el voto electrnico la
confiabilidad se basa fundamentalmente en la percepcin de los electores y no tanto en
una razn tcnica.
Facilidad de uso
Se trata de disear mtodos de votacin fcilmente utilizables por los

sufragantes para que no generen confusiones en el elector ni en las autoridades
encargadas del escrutinio.
Exactitud y posibilidad de verificacin
Los sistemas de votacin deben procurar el correcto almacenamiento de los

votos y toda la informacin que registren. Y, en este sentido, todo el proceso debe
poder ser verificable. [Escolar]
2.4. Requisitos de seguridad para implementar el eVote

Existen varios factores importantes que se deben tener en cuenta a la hora de implementar
la votacin por medios electrnicos. stos son:
1- Separacin de funciones
Se recomienda tener un sistema de registro y verificacin de identidad del votante, otro

sistema diferente para que el ciudadano emita su voto, pudiendo estar integrado al de
escrutinio o no, y finalmente uno de trasmisin de resultados. La razn principal que justifica
esta recomendacin, consiste en resguardar el secreto del voto impidiendo relacionar los
registros de personas con los votos. Con el fin de evitar fraudes, se aconseja dividir el
desarrollo de los sistemas por funciones, imitando las reglas de control interno de las
15
empresas. El equipo de trabajo encargado de realizar las aplicaciones para el registro de votos
en la memoria de las mquinas, debe ser independiente de aquel responsabilizado de la
contabilizacin de sufragios, como tambin del de identificacin de los votantes.
2- Control del sistema.
Quienes pueden acceder al sistema, ya sea para operar o para auditar, constituyen el
eslabn dbil de la cadena de seguridad de un sistema. Al ser sus custodios, se plantea la
expresin "Qui custodies ipsos custodios", o sea quin controla a los que controlan. En esta
tesis se busca delegar parte de la auditora en los ciudadanos mediante la
implementacin de un sistema de verificacin del voto emitido.
3- Cdigo abierto.
Se recomienda que el cdigo fuente sea propiedad de la autoridad electoral

responsable, y no de una firma proveedora de los materiales. El hardware y el software del
sistema, incluyendo el cdigo fuente, deben estar disponibles para inspeccin en todo
momento, como as tambin toda la documentacin de respaldo del mismo (manuales tcnicos
y de operacin). No puede haber reclamos de secreto por parte de proveedores privados. El
acceso libre al cdigo fuente, simplemente para verlo, para verificar su contenido y
adecuacin, sin ninguna posibilidad de modificarlo, supone que slo quienes tienen
autorizaciones adecuadas (funcionarios electorales, delegados partidarios o de organizaciones
de monitoreo) puedan hacerlo. Quienes hacen la tarea deben pasar por controles de seguridad
que aseguren su integridad personal. [Rial, 2001]
4- Seguridad y confianza
Es importante diferenciar entre seguridad y confianza, ya que el primero es un

factor objetivo mientras que el segundo es subjetivo y debe crearse a travs de un
proceso de divulgacin sobre las actividades y cambios que implica la tecnologa.
Es tema de esta tesis motivar el incremento de la confianza del elector en la

votacin por medios electrnicos. Se espera lograr ese objetivo garantizando la seguridad
de los datos provenientes de las urnas electrnicas y otorgando al votante la posibilidad
de verificar que el sufragio registrado refleja su intencin de voto.
16
17
CAPTULO II
Definicin del Problema
En este captulo se describen todos los problemas relacionados con el voto electrnico.
Inicialmente se exponen los inconvenientes asociados a la aplicacin de las tecnologas al acto de
sufragio desde dos puntos de vista: el social y el tecnolgico. Luego se describen algunos
requisitos esenciales, que no son mas que caractersticas innatas de los procesos de votacin
electrnica, con la finalidad de describir los problemas que trae aparejada su implementacin. Otra
importante fuente de problemas son las mquinas utilizadas para la emisin de los sufragios. Todo
artefacto electrnico posee debilidades que pueden ser explotadas por terceros o lmites acerca de
las funcionalidades que ofrece. Aqu se puntualizan las flaquezas que poseen las mquinas.
Finalmente, el captulo se cierra citando diferentes documentos que avalan la problemtica
descripta acerca de los requisitos de la votacin electrnica.
1. Inconvenientes del voto electrnico
1.1. Problemas sociales

Los problemas sociales son aquellos que surgen de las pautas culturales de cada pas.
Existen varios inconvenientes que se detallan a continuacin:
Secreto del voto
En la Argentina, todo lo relacionado con el secreto de la eleccin parece algo

trascendente e intocable. El cuarto oscuro existe slo en nuestro pas. Por esto,
cualquier implementacin de eVote debera considerar la existencia de este cuarto si
pretende ser exitosa.
18
Solemnidad del acto
En nuestro pas el episodio de votar es algo altamente solemne. Parte de esta

concepcin radica en que es obligatorio.
Elementos que rodean al sufragio
Los padrones, los sellos, los documentos, las boletas, etc. hacen a la solemnidad del
acto.
1.2. Problemas tecnolgicos

Los problemas tecnolgicos son aquellos que se desprenden de las herramientas utilizadas
para la concrecin del sufrago. Se encuentran intrnsecos en las mismas.
Incertidumbre
Al administrarse una materia prima tan delicada y masiva como son los votos,
todo sistema de administracin genera un margen de error que -en ciertas condiciones
de competencia poltica- torna casi indefinible la eleccin en base a los resultados
procesados. Por supuesto, probablemente en ese punto, contar con medios electrnicos
en parte de los procedimientos, permitira bajar las tasas de incertidumbre. Pero es
imposible que stos no presenten algunos problemas tcnicos.
Verificabilidad
Un problema tecnolgico a resolver es aquel relacionado con la existencia

de mecanismos por los cuales se le permita al votante comprobar que su voto no
ha sido modificado durante el proceso. Este es el objetivo de esta tesis como se
detallar ms adelante.
19
Posibilidad de fraude
En los comicios tradicionales, la existencia de fraude no slo deja pistas

concretas, sino que adems involucra a mucha gente. Esto no ocurre con el voto
electrnico, donde un grupo reducido de personas puede ser el causante de un fraude a
gran escala sin dejar mayores huellas en los sistemas.
Intangibilidad de los procesos
Quienes observan las mquinas no pueden ver la forma en que stas almacenan,
manejan y cuentan los votos. Estos procesos son transparentes para cualquier persona
que no haya estado en el equipo de desarrollo del software. A su vez, los votantes
tampoco pueden observar por s mismos el registro electrnico de su boleta. Semejante
transparencia en la forma de operar de las mquinas produce desconfianza en los
sistemas de voto electrnico.
20
2. Facilidad, velocidad, correccin: confianza
Estos conceptos son la base de interminables discusiones a cerca de la aplicabilidad de la

tecnologa a los sistemas electorales. Cada uno se encuentra relacionado con el otro de una u otra
manera. Los cuestionamientos que se realizan sobre las metodologas de votacin que se
mencionan en el anexo A son a causa de la falta de confianza del votante hacia el proceso de
eleccin. Esa confianza se logra con un sistema que sea fcil, gil y correcto. A continuacin se
analiza cada una de las caractersticas y se describe cmo se consigue que la gente crea en el
mtodo.
2.1. Facilidad
En cualquier democracia, todas las personas tienen el derecho de emitir un voto. Es por
esto, que los sistemas de votacin deben garantizar que cualquier individuo sea capaz votar, razn
por la cual el mtodo de sufragio debe ser entendible por cualquier persona. Si el objetivo es
reemplazar los sistemas tradicionales de votacin por mquinas electrnicas, el proceso a
implementar debe ser lo ms sencillo posible para que la gente no requiera de ayuda para emitir su
voto. La necesidad de asistencia por parte de un tercero puede provocar rechazo en quien desee
conservar su eleccin poltica en secreto absoluto. Si bien la tecnologa podra contribuir a que
personas discapacitadas, ciegos en particular, puedan votar sin soporte de nadie, tambin podra
frustrar el intento de votacin de gente mayor que no entiende cmo operar mquinas electrnicas.
Como suele ocurrir, lo que se gana por un lado se pierde por el otro.
La manera de que gente reacia hacia los cambios o hacia la tecnologa se logre adaptar a
los sistemas de e-vote, es logrando que los mismos sean simples y sencillos. La facilidad de uso
otorga mayor confianza hacia el usuario ya que la persona se siente capaz de emitir su voto sin
ayuda. Esa sensacin de competencia provoca aceptacin y por tanto logra confianza en el
sistema. Mediante la sencillez tambin se consigue la correccin, ya que hay una mayor
posibilidad de que el voto almacenado refleje la intencin del elector. La base de la sencillez del
proceso, radica en un alto porcentaje en las interfaces utilizadas. Cuando stas son complejas dan
21
lugar a confusiones y por tanto inducen a los sufragantes a cometer errores y votar por quienes no
deseaban.
La persona que se presenta a votar, interacta con la mquina a travs de la interfaz,

comnmente usando un touch-screen. El objetivo de minimizar el error de votacin puede
incrementar la complejidad del software de la mquina. Por ejemplo, las mquinas DRE solicitan
confirmacin cuando el sufragante no selecciona ninguna opcin (voto en blanco), pero para ello,
requieren de un paso adicional para el votante. Adems ocurre que cuando la interfaz no es simple
y clara, la cantidad de usuarios que requieren asistencia es mayor. La cantidad de asistencia
requerida juega un rol importante en la confianza en el proceso de votacin porque la ayuda
siempre viene de un trabajador partidario. Adems los usuarios que solicitan ayuda arriesgan su
anonimato y quienes la requieren podran rehusarse a pedirla por ese motivo o por otros
inconvenientes personales.
En definitiva se puede asegurar que la facilidad de uso y la simpleza del software de las
mquinas de votacin hacen a la correccin y al incremento de la confianza en el sistema.
Analizando un poco ms profundamente, se puede ver que la correccin se refiere a que el voto
almacenado refleje la intencin del votante. En cambio, la confianza, radica en mantener en
secreto la eleccin y que ningn paso del proceso de seleccin del candidato pueda originar una
duda en el elector acerca de si est operando bien la mquina o si cometi un error que podra
modificar su voto.
2.2. Velocidad
Si bien la implementacin de un sistema de e-vote podra perseguir objetivos tales como
reducir los altos costos electorales causados por la emisin de boletas, el propsito principal es
incrementar la velocidad con que se obtienen los resultados de los comicios. Cuando se decide
implementar un sistema de e-vote, por lo general, se busca rapidez en el proceso de recuento de
los votos.
La ventaja de los sistemas electrnicos, consiste en que cada mquina contabiliza los votos
en pequeas fracciones de tiempo y la nica demora en la obtencin del resultado es el envo de la
22
informacin de cada mesa de votacin a un centro de consolidacin que se encargue de totalizar

las sumas parciales de cada mquina. No importa cual fuere el medio elegido para transportar la
informacin al centro de consolidacin, los tiempos de recuento son varias veces inferiores a los
manuales. Los ciudadanos asocian la tecnologa con la velocidad. Si se implementa un sistema de
e-vote y el tiempo en que arroja los resultados es el mismo que cuando se realizaba la votacin por
medio del sistema tradicional, enseguida las dudas sobre la conveniencia del cambio y la
justificacin de la inversin invadiran a la poblacin.
Varios de los sistemas expuestos en el Anexo A imprimen un comprobante en papel que es

depositado en una urna de la mquina para que el elector compruebe que su voto refleja su
intencin. Este mecanismo se implement como solucin a la desconfianza generada por los
sistemas de registro directo, donde no existe prueba alguna de los votos emitidos y un error en las
mquinas de votacin puede cambiar los resultados de las elecciones. Sin embargo, se perdi de
vista una de las caractersticas requeridas por los sistemas de votacin electrnica: velocidad. Si
bien la emisin de comprobantes en papel es nicamente para auditar el proceso, es inevitable
efectuar el recuento manual, ya que el resultado verdadero de los comicios es aquel que ste
arroja debido a que las boletas emitidas son las que reflejan la verdadera intencin del elector. Si
los totales arrojados por la mquina, difieren de los obtenidos mediante la suma de las boletas
impresas, seran estas ltimas las que tendran valor. Por lo tanto, el hecho de implementar
sistemas de votacin electrnica, no exime de la necesidad de contar manualmente los votos,
obteniendo los resultados oficiales en el mismo tiempo que los sistemas tradicionales.
La falta de velocidad en alcanzar las sumas de votos de cada partido, tambin genera
desconfianza en la poblacin. Se plantean interrogantes acerca de la eficiencia y correccin de las
mquinas debido a la demora en la publicacin de los resultados. Estas dudas derivan en otras que
fueron mencionadas en prrafos anteriores, como ser si era necesario el cambio y si se justificaba
la inversin. Todas estas incertidumbres llevan al fracaso la implementacin de las tecnologas en
los sistemas de votacin.
23
2.3. Correccin
El requerimiento fundamental de cualquier sistema computacional es que sea capaz de
guardar los datos que se le ingresan, para que estn disponibles cuando se los necesite, es decir,
que sirva como soporte de informacin. Esta caracterstica no es ajena a los sistemas de votacin
electrnica. La correccin de los mismos radica en que el voto almacenado sea el verdadero
reflejo de la intencin del sufragante. Dada una interfaz en la cual les permita a los votantes
ingresar su voto sin error, la confianza depende directamente del correcto almacenaje de las
intenciones de voto de los sufragantes. La confianza de los ciudadanos en las mquinas depende
de sus experiencias en el uso de las mismas tanto como en el entendimiento de su funcionamiento
y el proceso que las rodea.
En cualquier sistema tradicional, los operadores pueden consultar los datos cargados y
verificar su integridad. Sin embargo, en los sistemas de votacin electrnica esa posibilidad no
existe, motivo por el cual la confianza juega un rol muy importante. Una de las razones por las
cuales los votantes confan en las mquinas DRE es debido a su semejanza con los cajeros
automticos. Despus de todo, si confiamos en una maquina electrnica que cuente dinero
podremos confiar en que cuente correctamente los votos emitidos. La falacia de este argumento
reside en que el cajero automtico le otorga al usuario un comprobante de la operacin. Si
existiera una discrepancia el cliente puede notarlo y hacer el respectivo reclamo al banco
interviniente. En las mquinas DRE no hay comprobante y tampoco hay forma de protesta
posterior sobre los resultados almacenados.
En un principio, el problema parecera acotarse a la existencia de una va por la cual el

elector pueda verificar que su voto seleccionado es correcto. No obstante, el inconveniente es an
mayor. Las mquinas de votacin efectan varias transformaciones sobre los votos almacenados,
por lo que permitir comprobar la eleccin en una instancia del proceso, no implica que en otra
etapa el sufragio pueda ser modificado. sta es una de las razones por la cual varios de los
sistemas no tuvieron xito. La mayora permite al elector constatar su eleccin antes de salir del
cuarto oscuro o cabina, pero nunca despus de abandonado el recinto de votacin.
Un mecanismo ms poderoso es aquel que permite al votante saber si su voto fue includo
correctamente en el recuento. Esto debe realizarse sin comprometer el anonimato del sufragante o
sin proveer la posibilidad de que alguien infiera por quin vot otra persona.
24
Una forma simple pero insatisfactoria de hacer eso es proveer al votante de una nica y
aleatoria boleta numerada y luego publicar cada nmero de boleta con el voto asociado. Los
sufragantes van a poder comprobar si en la publicacin se encuentra su voto y si adems fue
registrado correctamente. El problema reside en que nadie podra ser capaz de probarle a ninguna
otra persona que su voto no fue incluido en la cuenta. Otro problema es que los votantes podran
ser forzados a revelar su voto, dicindole a quien los obliga el nmero de boleta. Finalmente, no
habra ninguna forma de probar que se hayan agregado votos de gente que no ha concurrido a
votar.
Por estas razones se le debe otorgar al sufragante un comprobante que les permita
verificar que su voto fue realmente includo correctamente en el recuento o de lo contrario
servir como prueba para que un fiscal electoral pueda comprobar el error. Este
comprobante no debe permitir de ninguna forma que un coerzor pueda conocer por quin
vot una persona. [Evans & Paul, 2004]
Implementando un sistema de votacin electrnica que cumpla con la caracterstica antes

mencionada, su xito dejara de depender de la confianza de los ciudadanos en la fidelidad del
proceso. Garantizara la correccin del sistema mediante la distribucin a todos los votantes de la
responsabilidad de verificar la exactitud del almacenado de votos. La confianza se incrementara a
medida que las personas comprueben que sus votos fueron contados conforme a sus deseos y que
el secreto no fue violado. Este ltimo punto es muy importante, ya que reduce los procedimientos
que puedan implementarse para verificar los votos.
2.4. Confianza
En los puntos anteriores se han analizado 3 de las caractersticas de los sistemas de
votacin que se creen vitales para el xito en la implementacin de e-vote. La conjugacin de la
facilidad, velocidad y correccin en un sistema, generan en la poblacin la confianza necesaria
para que persista en el tiempo. Sin embargo, las primeras dos cualidades pueden ser sacrificadas
en cierto grado, aunque nunca eliminadas, con el nico fin de garantizar la correccin en el
25
almacenado y recuento de votos. Cualquier duda sobre este aspecto, pondra en tela de juicio al
procedimiento y terminara por erradicarlo por completo.
De nada sirve tener el sistema de seleccin ms simple, con la interfaz ms amigable para
el usuario, si la operacin que realiza es incorrecta. Lo mismo ocurre con la velocidad, el proceso
ms gil no tiene valor si es errneo. Pero tambin se puede apreciar que la correccin sin la
velocidad o facilidad, tampoco subsistira porque la poblacin demandara retornar a los sistemas
de votacin tradicionales ya que los tecnolgicos no proveeran ninguna ventaja.
La forma de incrementar la confianza de los electores en los mtodos de votacin

electrnica es garantizando la correccin de almacenado y recuento de sufragios, que la velocidad
de acceso a los resultados sea considerablemente mayor a los sistemas tradicionales y que la
complejidad de emitir un voto no sea considerable.
Evitando el doble registro de votos, manual y electrnico, y siendo las mquinas quienes
efecten el recuento, la velocidad est garantizada. El problema radica en balancear la facilidad
con el agregado de procesos que aseguren la correccin de los sistemas pero dificultan el uso de
las mquinas de votacin. La dificultad se acota a resolver hasta qu nivel se puede complicar la
seleccin de los candidatos para implementar un sistema de verificacin del voto, nico recurso
disponible para legitimar al e-vote.
26
3. Debilidades de los sistemas de e-vote
3.1. Seguridad de las mquinas de votacin

Las mquinas empleadas para la votacin electrnica son desarrolladas y distribuidas con
menor cuidado en el aspecto seguridad que los tragamonedas. Generalmente, las empresas
proveedoras de las mquinas, consideran fuera del alcance de sus manos la posibilidad de un
ataque interno. Estos ataques pueden no ser descubiertos en la mayora de las mquinas ya que, el
da en que se celebran los comicios, no existe una forma de comprobar que los votos son
registrados correctamente.
Desde una perspectiva informtica, el voto electrnico es el peor escenario posible. El

riesgo es muy alto; las personas que quieran fraguar una votacin poseen un incentivo importante.
Hoy los sistemas deben ser capaces de aguantar ataques altamente sofisticados. A todo esto, hay
que sumarle el hecho de que el sistema debe descartar informacin que es crtica para futuras
auditoras: la relacin que existe entre el voto y el votante. [Bannet et al., 2004]
Hasta el momento se han expuesto elementos que atentan contra la integridad de la

informacin almacenada en las mquinas y que tienen una implicancia directa sobre el resultado
de las elecciones. Sin embargo, hay otros escenarios que impiden que los comicios se lleven a
cabo correctamente y que ponen en peligro la implementacin de la votacin electrnica. A
continuacin se describen algunos de los ataques que pueden alterar la ejecucin normal de los
procesos electorales.
Manipulacin directa de los votos
Los ataques apuntan directamente a manipular los votos para modificar el resultado
de las elecciones. Esto lo logran mediante el cambio de votos o la suma de nuevas boletas a
un candidato. Un caso aparente de alteracin de la votacin es agregar un porcentaje de
votos a algn candidato. Una forma de realizar esto sin ser detectado en el testeo de las
mquinas, es activar el cdigo que modifica la votacin luego de emitidas una cierta
27
cantidad de votos. Se especula con que los auditores prueben una cuanta de votos menor,
para dar como ptimo el funcionamiento de la mquina.
Rompimiento del sistema de autenticacin del PIN o tareas administrativas
En algunos de los sistemas de votacin electrnica, para tener acceso a las

mquinas de votacin, uno requiere de una contrasea (PIN) que habilita al elector a emitir
su sufragio. Este ataque consiste en preparar entradas al sistema de votacin sin la
necesidad de utilizar el PIN identificador. Otro posible ataque consiste en permitir que un
determinado PIN permita votar ms de una vez.
Derrotar el secreto o anonimato del voto
Un ejemplo de este ataque consiste en eliminar el proceso de mezcla de votos que

altera el orden en que son guardados. De esta forma si una persona conoce el orden en que
los votantes fueron teniendo acceso a la mquina de votacin, podra inferir por quin vot
cada individuo. Existen otros mtodos que pueden ser utilizados para eliminar el secreto de
la eleccin, pero dependen de las formas en que cada tecnologa resuelve resguardar el
anonimato. Aqu se expuso una genrica que es aplicable a la mayora de las mquinas.
Denegacin de servicio
Consiste en inhabilitar el sistema para que nadie pueda emitir ningn voto. La
mquina queda inutilizada. De esta forma la eleccin no podr ser completada y los
resultados a los que se accedan sern parciales. Ante una votacin despareja, la
consecuencia es menor ya que el resultado no se vera afectado, sino que simplemente se
atentara contra la democracia e igualdad de los ciudadanos de elegir sus representantes. Si
este ataque se efecta en varias terminales de votacin, los comicios deberan ser
pospuestos. Lo mismo ocurre ante una eleccin cerrada donde existe gran paridad entre los
candidatos y una urna pueda definir la votacin.
Todos estos ataques pueden traer serias consecuencias en los procesos electorales y
requieren de los mayores cuidados para prevenirlos. Los posibles daos que pueden causar van
desde retrasar la eleccin, por el tiempo demorado en reparar las mquinas, hasta hacer ganar a un
candidato que no recibi la mayora de los votos. Estos ataques pueden ser causados por fallas
28
inconscientes en el cdigo o errores colocados estratgica e intencionalmente en los programas.

Lo ms preocupante es la dificultad de encontrar estos errores. El camino a seguir no es volver a
las boletas de papel y desaprovechar las ventajas del voto electrnico, sino trabajar en mtodos
que mitiguen la posibilidad de que errores semejantes provoquen daos al proceso electoral.
3.2. Dificultad de verificar el eVote

Todo sistema informtico posee vulnerabilidades que pueden ser explotadas por terceros.
El mayor problema que existe es la posibilidad de que los ataques descriptos anteriormente pasen
inadvertidos y alteren los resultados de los comicios. Toda persona que posea competencia en el
rea de seguridad informtica sabe que resulta imposible poder comprobar con total seguridad el
correcto funcionamiento de las mquinas de votacin. Esa dificultad se ve potenciada por la
caracterstica de anonimato que posee el voto. Un auditor no puede saber si un voto est
correctamente almacenado porque no puede conocer a quin pertenece y que intencin tena esa
persona al momento de emitir su sufragio.
Los sistemas de votacin deben contabilizar los votos en forma annima para prevenir
cualquier tipo de presin, represalia o recriminacin contra aquellos que eligen boletas
impopulares. Uno debe estar seguro que ni siquiera un fiscal electoral puede rastrear nuestro voto.
Es muy sencillo realizar un programa capaz de emitir un ticket que indique mediante un cdigo,
slo identificable por el elector, por quin se voto. Terminada la eleccin se publican los
resultados con los candidatos correspondientes a cada cdigo, para que el sufragante verifique si el
voto fue contabilizado en forma correcta. Esto no exime que venga un tercero y obligue a una
persona a mostrarle el cdigo, hacindole perder el anonimato al voto.
El sistema debe ser inmune a cualquier saboteo interno de cualquier empleado de la

compaa que desarrolla las mquinas de votacin. Ese saboteo puede ser inconsciente, un simple
error de realizar la operacin +1 en el lugar incorrecto. Si esa falla ocurre en un sistema de bancos,
stos poseen los registros de movimientos y realizan un control cruzado de sumas bancarias. En
los sistemas de votacin ese error pasara inadvertido porque no existe comprobante alguno para
realizar esa auditora. Esto obliga a disear un sistema que permita verificar su integridad por
cualquier persona que dude sobre la misma.
29
La dificultad que poseen los sistemas de votacin para ser verificados en un ambiente
similar al real, hace que cualquier proceso de auditora o comprobacin, no impacte positivamente
en la confianza que les tienen los electores. Esta complicacin obliga a redisear los procesos para
permitir al elector verificar su voto, convirtiendo a toda la sociedad en auditora del sistema.
3.3. Requisitos incompatibles

En este trabajo se han descrito cules son los requisitos que debe cumplir cualquier sistema
de votacin electrnica. Sin embargo, no todas las tecnologas existentes los cumplen. Gran parte
de las dudas que envuelven a los sistemas de hoy, radican en la falta de satisfaccin de esas
demandas.
Por qu motivo se desatendieron las exigencias y se elaboraron sistemas que no

implementaron todos los requerimientos? Hay 2 respuestas posibles. La primera y ms sencilla, es
que algunos de los requerimientos fueron surgiendo ante la necesidad de solucionar
inconvenientes nacidos de las primeras tcnicas de e-vote. La segunda se debe a que al intentar
cumplir con un requisito, enseguida se viola otro. Es naturalmente imposible cumplir con la
esencia de cada uno de los requisitos. Esta dificultad sugiere que cualquier mtodo de votacin
electrnica fracasara? La respuesta es no, ya que los sistemas manuales tambin tienen las
mismas dificultades. La diferencia radica en que la poblacin ya est educada en la metodologa y
la tarea de fraguar las elecciones requiere de muchos interventores, por lo tanto se convierte en
algo dificultoso.
Facilidad de uso vs. Confiabilidad
Ambos conceptos son subjetivos, pero solo la facilidad de uso es tangible. La

medida sencillez se basa en los inconvenientes que tuvo el elector en entender el proceso
de eleccin del candidato y en emitir su voto. El sufragante puede estimar la simplicidad
del proceso mediante la cantidad de dudas que le surgieron acerca de qu deba realizar
para completar la operacin de votacin. La confiabilidad es intangible ya que se basa en
sensaciones. Es un concepto altamente subjetivo. La imposibilidad de cumplir con ambos
30
surge cuando se intenta objetivar la confianza mediante el agregado de pasos al proceso de

votacin que garanticen al elector la correcta emisin de su voto; otorgarle la posibilidad
de verificacin. Estas instancias complican el camino hacia la emisin del sufragio. La
solucin es buscar un punto intermedio. Un sistema de varios pasos sencillos que permitan
al elector verificar su voto y ganar en confianza.
Anonimato, privacidad y no coercin vs. Integridad, exactitud y posibilidad de

verificacin.
El problema de la verificacin es la compra de votos y posibilidad de acoso para

comprobar por quin vot la persona. Un sistema que permita comprobar al votante su
eleccin, pone en riesgo el secreto de sufragio. Es imposible hacer pblico el nombre del
representante o partido por el cual vot un individuo, aunque se requiera una clave de
acceso. Esto ocurre porque un tercero puede obligar al elector a entregarle su clave y de
esa manera conocer a quin eligi. Este escenario es posible cuando hay intereses de por
medio y se procede a comprar votos a las personas. Sin embargo, tampoco se puede dejar
de lado la verificacin, porque se estara poniendo en riesgo la integridad y exactitud del
proceso de sufragio. Lo que habra que hacer es un sistema que permita chequear al elector
su voto sin que un tercero pueda coaccionarlo para conocer su eleccin. Estas condiciones
son necesarias para poder verificar los votos, mantener la privacidad y secreto del sufragio,
y en caso de que el voto haya sufrido modificaciones, poder demostrar que el proceso fue
alterado.
31
4. Referencias que amparan el problema
4.1. Tecnologa, errores, integridad; Verificabilidad.

Existen varios documentos, artculos y publicaciones que amparan el problema de la
tecnologa aplicada a los procesos de votacin. Bruce Schneier [Schneier, 2004] escribi que la
tecnologa de votacin ideal debe cumplir con cuatro atributos: anonimato, escalabilidad,
velocidad y correccin. Afirma que en el apresuramiento por conseguir los 3 primeros atributos, la
correccin ha sido sacrificada. En los sistemas de votacin se traduce de algn modo y en
repetidas oportunidades, la intencin de voto del elector. En cada traduccin los errores se
acumulan. La correccin no es la medida de cun bien se cuentan los votos, sino qu tan bien el
proceso traduce la intencin del sufragante en la cuenta de votos. En la mayora de los sistemas de
votacin existentes, los mayores problemas se presentan en la representacin o interpretacin de la
voluntad del votante. El autor asegura que la solucin es simple: menos traducciones, menos
errores. Hay que reconocer la existencia de errores accidentales o intencionales en los sistemas de
votacin y hallar alguna forma de reducir la posibilidad de fraude. En particular propone que las
mquinas impriman un comprobante para lograr una redundancia de datos y que sean stos los
votos oficiales. Es decir, el registro de las mquinas solo servira para tener una aproximacin
rpida de quin es el ganador de la eleccin.
Otra publicacin que se refiere a la problemtica que trata este trabajo, es la publicada por
Mole [Mole, 2005], quien se opone a la tecnologa de las mquinas DRE (ver Punto 2.1.3.4)
afirmando que efectan el registro de votos y el recuento en secreto. Los votantes no pueden ver si
sus votos se encuentran registrados correctamente en la memoria de las mquinas. El autor
propone tomar conciencia y eliminar a las computadoras de los sistemas de votacin. Asegura que
hay que volver a las boletas de papel y llama a utilizar un mtodo de lectores pticos para acelerar
el recuento. No confa en la tecnologa de las mquinas porque no se puede observar el registro,
seguimiento, almacenado, manejo y conteo de votos.
La problemtica acerca de la confianza en los sistemas de votacin alcanz dimensiones

insospechadas. Tal es as que existe una fundacin que aboga por cambiar las tecnologas de las
32
mquinas de votacin por sistemas que permitan a votantes y auditores verificar los votos y el
proceso completo. Esta fundacin public varios artculos y elabor una resolucin [Verified
Voting Foundation, 2004] que solicita cambiar las mquinas DRE por otras que permitan verificar
el voto antes de aceptar la operacin y que no se altere la eleccin despus de confirmarla. Que
emita una boleta y que sta tenga mayor valor que los registros de las mquinas. Si no existe la
posibilidad de verificar en forma independiente los votos, no se provee seguridad sobre la
integridad de los sistemas de votacin por ms que se hayan hecho revisiones de diseo,
inspecciones, testeo, anlisis lgico y/o control sobre el proceso de desarrollo del sistema. Algo
importante que destaca es que actualmente no existe forma alguna de detectar errores en el registro
de los votos, por lo que los resultados de las elecciones arrojados por estas mquinas estn
abiertos a cuestionamientos.
Peter Neumann [Neumann, 1993] present un paper en la 16ta conferencia denominada
National Computer Security en Baltimore. En l describa algunos criterios a tener en cuenta para
los sistemas de computacin involucrados en la votacin electrnica. A medida que los procesos
de votacin fueron siendo ms automticos, la cantidad de reportes sobre supuestos errores
accidentales o sospechas de fraude tambin fue creciendo. Las vulnerabilidades de seguridad en
los sistemas de votacin proveen oportunidades para abusar de ellas. Por esta razn, enumera
varios criterios para aplicar a la confiabilidad, integridad, accesibilidad, confidencialidad y
seguridad. Esto demuestra la existencia de falta de credibilidad y confianza en los sistemas que se
utilizan actualmente.
Sin embargo el autor se opone a la existencia de redundancia en la
informacin asegurando que acarrea ms complejidad e inconvenientes. Adems un programa

troyano puede alterar todos los registros simultneamente.
Existen muchos otros documentos que avalan la problemtica del trabajo. Muchos autores
se oponen a la posibilidad de verificar los votos y otros se encuentran a favor. Los motivos son
varios y difieren entre s. Los que se encuentran a favor se basan en la falta de transparencia de
los procesos actuales y la imposibilidad de auditarlos. Quienes se oponen, aseguran que la
redundancia de registros agrega complicaciones y genera conflictos sobre la confiabilidad de cada
uno. Otros opositores afirman que es imposible o muy difcil implementar sistemas que permitan
verificar el voto [Papageorgiou, 2001] porque en cualquier instancia del proceso se puede alterar
el curso normal del mismo de forma transparente al votante.
Es objetivo de esta tesis hilvanar un mtodo que permita a quien quisiere, auditar el
proceso de votacin, permitiendo a los sufragantes verificar si su voto refleja realmente su
33
intencin. Se espera poder acercar las posiciones de aquellos que se encuentran a favor y en contra
de la votacin electrnica. Siguiendo los dichos de Pibel [Pibel, 2003], las mquinas presentan
muchas ventajas. Se pueden tener boletas en mltiples idiomas, habilitar sonido, ahorrar costos de
impresin de boletas, etc. Sin embargo los profesionales de sistemas se oponen a estas porque
conocen la vulnerabilidad de las computadoras a errores o sabotajes.
Los interrogantes que se plantean son los siguientes: es posible aprovechar las ventajas de
estos sistemas de votacin electrnica, incorporando al proceso la posibilidad de verificar los
votos, auditar el proceso y los resultados?. Existe alguna manera de incorporar la redundancia
necesaria en los registros para permitir comprobar la correccin de los votos guardados sin
complicar los procesos existentes? Hasta el momento se han creado nuevos sistemas, como el que
propuso Rebecca Mercuri [Mercuri, 2003] (Voter Verifiable Ballots del Anexo A) aunque no han
logrado conformar lo suficiente.
34
CAPTULO III
Anlisis de requisitos de la Ley electoral
El objetivo de este captulo es estudiar los requerimientos que se deducen de la Ley
electoral Nacional y ver cmo se ajustan a ellos los diferentes sistemas de votacin electrnica
existentes. En el diseo de la propuesta de solucin se deben tener en cuenta los requisitos que se
desprenden del cdigo electoral Nacional para que la misma pueda ser implementada. Por tal
motivo se procede a describir uno a uno los derechos y obligaciones impuestos por la Ley. En la
segunda parte del captulo se realizar un anlisis acerca de la aplicabilidad en la Argentina de
cada uno de los sistemas de votacin electrnica segn los requerimientos de la Ley electoral
Nacional.
1. Requisitos de la Ley
1.1. Carcter del sufragio

El sufragio es individual y el elector tiene el derecho de guardar el secreto del voto. El
secreto del voto es obligatorio durante todo el desarrollo del acto electoral. Ningn elector puede
comparecer el recinto de la mesa exhibiendo de modo alguno la boleta de sufragio, ni formulando
cualquier manifestacin que importe violar tal secreto.
Las personas no videntes sern acompaadas por el presidente y los fiscales que quieran
hacerlo, quienes se retirarn cuando el ciudadano haya comprobado la ubicacin de las distintas
boletas y quede en condiciones de practicar a solas la eleccin de la suya.
35
1.2. Padrones electorales

El padrn electoral se conformar con las listas de electores registradas en las oficinas de
Registro Civil de todo el pas con las personas que cumplan 18 aos de edad hasta el mismo da
del comicio y deber estar impreso 30 das antes de la fecha de la eleccin. Los ciudadanos podrn
pedir, hasta 20 das antes del acto comicial, que se subsanen los errores y omisiones existentes en
el padrn
Las mesas electorales podrn contener hasta 450 electores inscriptos y con un mnimo de
sesenta.
Los fiscales podrn votar en las mesas en que acten aunque no estn inscriptos en ellas,
siempre que estn en la seccin a que ellos pertenecen. En ese caso se agregar el nombre del
votante en la hoja del Registro, haciendo constar dicha circunstancia y la mesa en que est
inscripto. La designacin del fiscal ser comunicada hasta 24 horas antes del acto eleccionario.
Los presidentes y suplentes a quienes corresponda votar en una mesa diferente a aquella en
que ejercen sus funciones podrn hacerlo en la que tienen a su cargo.
1.3. Oficializacin de candidatos

Desde la publicacin de la convocatoria y hasta 50 das anteriores a la eleccin, los
partidos registrarn ante el Juez Electoral la lista de los candidatos pblicamente proclamados,
quienes debern reunir las condiciones propias del cargo para la cual se postulan y no estar
comprendidos en alguna de las inhabilidades legales.
En caso de muerte o renuncia de cualquiera de los candidatos de la frmula a Presidente y

Vicepresidente de la Nacin, los partidos polticos o alianzas a los que pertenezcan, podrn
registrar a otros en su lugar en el trmino de 7 das corridos
36
Treinta das antes de la eleccin, los partidos polticos que hayan proclamado candidatos,
debern someter a aprobacin los modelos exactos de las boletas de sufragio destinadas a ser
utilizadas en los comicios.
1.4. Procedimiento de votacin

El presidente de mesa proceder a recibir la urna, los registros, tiles y dems elementos
que le entregue el empleado de correo, debiendo firmar recibo de ellos previa verificacin. A las 8
en punto el presidente declarar abierto el acto electoral y labrar el acta pertinente llenando los
claros en el formulario impreso en los padrones correspondientes a la mesa.
Los electores podrn votar nicamente en la mesa receptora de votos en cuya lista figuren
asentados y con el documento cvico habilitante. El presidente verificar si el ciudadano a quien
pertenece el documento cvico figura en el padrn electoral de la mesa y que posea un documento
igual o ms nuevo del que aparece en el padrn.
Todo aquel que figure en el padrn electoral y exhiba su documento cvico tiene derecho a
votar y nadie podr cuestionarlo en el acto de sufragio. Los presidentes no aceptarn impugnacin
alguna que se funde en la inhabilidad del ciudadano para figurar en el padrn electoral. Se podr
impugnar la identidad del elector cuando a juicio de las personas ste hubiere falseado su
identidad.
Finalizada la eleccin del ciudadano, el presidente de mesa proceder a anotar en el padrn

de electores de la mesa, a la vista de los fiscales y del elector mismo, la palabra vot en la
columna respectiva del nombre del sufragante. La misma anotacin, fechada, firmada y sellada, se
har en su documento cvico en el lugar expresamente destinado a ese efecto.
El acto eleccionario finalizar a las 18 horas, en cuyo caso el presidente ordenar se

clausure el acceso al comicio, pero continuar recibiendo los votos de los electores presentes que
aguardan turno. Concluida la recepcin de estos sufragios, tachar del padrn los nombres de los
electores que no hayan comparecido y har constar al pie el nmero de los sufragantes y las
protestas que hubieren formulado los fiscales.
37
La iniciacin de las tareas de escrutinio de mesa no podr tener lugar, bajo ningn
pretexto, antes de las 18 horas, aun cuando hubiera sufragado la totalidad de los electores.
Concluida la tarea del escrutinio se consignar en acta impresa la hora de cierre, el nmero de
sufragios emitidos, cantidad de votos impugnados, diferencia entre las cifras de votos escrutados y
los votantes sealados en el registro de electores. Cantidad de los sufragios logrados por cada uno
de los respectivos partidos y en cada una de las categoras de cargos. El nmero de votos nulos,
recurridos y en blanco, el nombre del presidente, los suplentes y fiscales que actuaron en la mesa.
1.5. Las juntas electorales

Algunas de las tareas que deben realizar son:
Aprobar las boletas de sufragio
Designar a las autoridades de mesa
Decidir sobre las impugnaciones, votos recurridos y protestas
Realizar el escrutinio del distrito, proclamar a los que resulten electos
El escrutinio definitivo tendr lugar despus de las 48 horas de finalizada la eleccin,

tiempo otorgado para reclamos y protestas por parte de los partidos.
La junta declarar nula la eleccin realizada en una mesa cuando falte el acta de inicio o
fin, el acta haya sido maliciosamente alterada o el nmero de sufragantes consignados en el acta
difiera en 5 sobres o ms del nmero de sobres utilizados y remitidos por el presidente de mesa.
38
2. Aplicabilidad de los sistemas de eVote

En este punto se analizan los mtodos descriptos en el Anexo A. Salvo algunas
excepciones, las tecnologas existentes cumplen con los requisitos impuestos por la Ley. Sin
embargo, si uno analiza la letra fra del cdigo electoral, habra que hacerle algunos cambios para
que se adapte a los sistemas de eVote. Los puntos a modificar son aquellos que describen
puntualmente las diferentes etapas del sistema tradicional de votacin, mencionando los elementos
que lo componen (boletas, urnas, padrn, sobres, etc.). Dejando de lado estos tecnicismos, a
continuacin se describen algunos detalles que se deben tener en cuenta.
2.1. Tarjetas Perforadas

Este sistema nicamente aplica las tecnologas al proceso de seleccin de candidatos para
acelerar el recuento de votos. Esto implica que la identificacin de los ciudadanos y la emisin de
las actas de incio y fin siguen siendo iguales a los del sistema tradicional. Por lo tanto los
requisitos que se refieren a las juntas electorales, oficializacin de candidatos, procedimiento de
votacin y padrones electorales, son respetados. Sobre el nico requerimiento que cabra realizar
una aclaracin es aquel que trata sobre el voto individual y secreto, ya que personas no videntes
podran no estar capacitadas para sealar sobre la tarjeta su intencin de voto, vindose obligadas
a solicitar ayuda y perdiendo el secreto de su voto.
2.2. Optical mark-sense voting system

Este sistema es similar al de tarjetas perforadas, por lo que aplica todo el anlisis realizado
sobre ese sistema. Sin embargo hay un hecho importante que amerita ser destacado. Este sistema
de votacin electrnica no permite los votos nulos. Por lo tanto cuando un ciudadano por error o
con intencin emite un sufragio nulo, la urna emite una alerta. Como sta se encuentra fuera del
cuarto oscuro, todas las personas presentes toman conocimiento del hecho. Esta situacin podra
39
interpretarse como una violacin a la libertad de eleccin o al secreto de voto ya que est
revelando la intencin del votante en el caso que no se tratare de un error.
2.3. Mecanical Lever Machines

Este sistema es el ms antiguo de todos y mecaniza la seleccin de candidatos por medio
de palancas asociadas a partidos polticos que hacen girar unos ruedas que llevan la cuenta de
votos. Todo lo concerniente a los padrones, la oficializacin de listas, las juntas y el carcter del
voto es respetado. Sin embargo existe un riesgo de conocer un resultado parcial de la eleccin si se
tiene acceso a las ruedas antes del cierre de los comicios. Esto producira una violacin a los
requisitos impuestos en la seccin del procedimiento de votacin ya que se interpreta como un
inicio del escrutinio previo a la finalizacin de los comicios. Adems este sistema posee cierta
dificultad para adaptarse al sistema electoral nacional multipartidista. La cantidad de palancas
requeridas en las mquinas debiera ser igual a la cantidad de listas presentadas en la etapa de
oficializacin de candidatos, solo 50 das antes de la eleccin.
2.4. Todo sistema de tecnologa basada en mquinas DRE

En este punto analizaremos los sistemas de votacin DRE voting system, Voter verifiable
ballots y Secret-Ballot Receipts. Son las tecnologas ms avanzadas y las que ofrecen mayores
prestaciones, por tal motivo existen ciertos cuidados que deben tenerse al implementar estas
tecnologas. A saber:
Aquellas mquinas que otorgan un tiempo mximo al votante para emitir el sufragio,
limitan la libertad del ciudadano para elegir su representante. Existe la posibilidad de que una
persona no pueda emitir su voto a causa de que expir el tiempo otorgado para seleccionar el
candidato.
Si el sistema utiliza mquinas para identificar al votante, las mismas deberan proveer una
funcin para agregar votantes a los padrones, para satisfacer el requisito de que los fiscales y
40
autoridades de mesa pueden votar en su mesa por ms que no pertenezcan a ella. Si adems la
identificacin del elector se realiza en la misma mquina en la cual se efecta la emisin del
sufragio, cabran dudas acerca del anonimato y secreto del voto.
No podra implementarse la opcin que poseen algunas mquinas de finalizar la eleccin a

una hora determinada, porque para aquellos ciudadanos que arribaron a la mesa antes del cierre de
los comicios pero, llegado ese momento, an no emitieron el voto, la Ley les permite sufragar
igualmente. Si las mquinas se cerraran automticamente, algunos ciudadanos quedaran sin
sufragar.
Si utilizan monitores touchscreen y no poseen otro medio de ingreso de datos como ser un
teclado braille, las personas no videntes seran incapaces de emitir un sufragio por s mismas.
41
CAPTULO IV
Descripcin global de la solucin propuesta
En este punto se explica en forma genrica el mtodo Pantalla-Impresora. El objetivo es
que el lector comprenda la esencia del proceso de votacin, para facilitar el entendimiento del
captulo siguiente, donde se detallan cada uno de los procedimientos que intervienen. Inicialmente
se describen algunas caractersticas que poseen las mquinas utilizadas, para luego describir el
proceso completo de la solucin propuesta.
La metodologa de votacin electrnica desarrollada permite a los electores verificar que

su voto fue contabilizado correctamente y cumple con todos los requisitos planteados en puntos
anteriores. El mtodo fue concebido tras encontrar la solucin al mayor interrogante que aqueja a
los sistemas computacionales: cmo se puede estar seguro de que se graba lo mismo que se
muestra y, del mismo modo, que se muestra lo mismo que se encuentra almacenado. La respuesta
a la pregunta mitiga el alto riesgo de fraude que existe en los sistemas de evote, cuyas
implementaciones estn cargadas de controversias.
1. Mtodo Pantalla-Impresora
1.1. Caractersticas generales

El sistema de votacin Pantalla-Impresora utiliza 4 tipos de mquinas diferentes. La
primera de ellas es utilizada para comprobar que las personas que se presentan en las mesas a
sufragar estn habilitadas para hacerlo, lo que implica que se encuentran empadronadas en la mesa
y poseen el documento cvico que certifica su identidad. La segunda consiste en el dispositivo
principal del mtodo y es utilizado para emitir los sufragios y autenticar a las personas que
ingresan al cuarto oscuro. Ambos dispositivos se encuentran conectados mediante una red
42
inalmbrica. Por la misma se transmite desde la primer mquina, de aqu en adelante la de

identificacin del elector, hasta la segunda, de aqu en ms la de votacin, la informacin
necesaria para que esta ltima autentifique al elector. Ambos dispositivos no pueden estar activos
al mismo tiempo (mientras un ciudadano est emitiendo un voto, las autoridades de mesa no
pueden estar comprobando una identidad) por lo que cuando el elector finaliza la emisin de su
voto, un mensaje de fin es enviado por la red para indicar este evento. Esta restriccin es explicada
en detalle ms adelante. La tercer y cuarta mquinas son utilizadas luego de finalizados los
comicios, en la etapa de verificacin que posee el mtodo. Su funcin es autenticar a la persona
que se presenta a comprobar su voto y revelar nicamente a este elector su sufragio. Esta
operacin es la cualidad sobresaliente que posee este sistema y para efectuarla requiere de ciertas
caractersticas.
La caracterstica principal del sistema de votacin Pantalla-Impresora para permitir la

verificacin, es la impresin de un comprobante una vez que la persona finaliz su eleccin. ste
permitir al individuo comprobar que la mquina almacen correctamente el voto emitido en dos
oportunidades: antes de abandonar el cuarto oscuro y despus de efectuado el recuento de votos.
Esta ltima posibilidad es el valor agregado por este sistema, ya que hasta el momento no existe
un mtodo que permita al elector validar la correccin del sistema de recuento de votos. Lo ms
destacable es que permite realizar la verificacin sin poner en riesgo el anonimato del sufragio.
Otra de las caractersticas destacables que posee este mtodo de votacin electrnica que lo
diferencia de los otros sistemas, y que es indispensable para la etapa de verificacin, es la interfaz
con el usuario. La pantalla de la mquina no utiliza una tecnologa de rayos de luz, cristal lquido
o plasma, sino que es un papel impreso que se muestra tras un vidrio (en el futuro ser mencionada
como pantalla de papel). El sistema consiste principalmente en una impresora de papel continuo y
2 rodillos que se encargan de deslizar la hoja impresa para dejar visible lo que necesita el usuario.
De esta forma queda una prueba fsica de la comunicacin entre la mquina y el elector. Hasta el
momento, el mayor problema de los sistemas de evote es que no dejan constancia alguna de las
transacciones que realizan, lo que genera desconfianza en el elector. Esa desconfianza radica en la
posibilidad de que la mquina guarde en sus registros algo que difiere de lo exhibido. Las
tecnologas que utilizan monitores convencionales poseen la desventaja que la informacin que
circula por su interfaz se pierde cuando la misma desaparece, son voltiles. Desde el momento en
que quedan evidencias de lo visualizado por el elector, cualquier proceso que altere lo que la
mquina muestra, sera detectado en alguna instancia de la verificacin.
43
La interfaz de papel se complementa con una pequea pantalla convencional (en un futuro
se la mencionar como pantalla electrnica) que sirve para mostrar mensajes que no ameritan ser
impresos en papel ya que no requieren ser verificados. El dispositivo muestra las instrucciones de
qu es lo que debe realizar la persona que se encuentra frente a la mquina de votacin en cada
momento.
La forma en que el usuario interacta con la mquina es mediante un teclado numrico. El

mismo se compone de los 10 smbolos del sistema decimal, de una tecla de confirmacin y otra de
correccin. El conjunto de teclas sirve para seleccionar un candidato del listado impreso por la
mquina y confirmar o rectificar la eleccin realizada.
Como se describi al inicio de la seccin, el proceso de identificacin del elector se realiza

en una mquina independiente de la que se utiliza para emitir un sufragio. Ambas mquinas se
encuentran conectadas mediante una red inalmbrica implementada con el protocolo IPSec. El
dispositivo de identificacin incorpora la tecnologa de reconocimiento de huellas digitales y la
lectura ptica de DNI mediante las cuales se autentifican a los votantes. La importancia de los
mismos radica en la imposibilidad de fraguar una eleccin mediante el agregado de votos que
nunca fueron emitidos. El lector ptico identifica a la persona que se presenta en la mesa de
votacin. El reconocimiento de huellas dactilares permite utilizar a la imagen obtenida del lector
como clave de autentificacin para habilitar la mquina de votacin, certificar que la persona
registrada por los votantes es la misma que ingres al cuarto oscuro para emitir su voto y
autenticar a los individuos que se presenten a la instancia de verificacin.
Finalmente el mtodo divide la responsabilidad de legitimar los votos en varias mquinas

de consolidacin, cada una de los cuales realiza un control cruzado de la informacin recibida. De
esta forma se asegura que el resultado de la eleccin no haya sido alterado mediante el agregado o
exclusin de votos.
Existen ciertos requisitos de seguridad que se deben cumplir para mitigar riesgos de averas
que pudieran ocurrirle a las mquinas o hechos que atenten contra la correcta finalizacin de los
comicios. Estos son:
Todas las mquinas deben tener dispositivos auxiliares de almacenamiento para

evitar que se pueda perder informacin a causa de algn dao que le pudiera ocurrir
a la memoria principal.
44
Todas las mquinas deben poseer bateras de larga duracin (que el tiempo de
autonoma que otorgan por lo menos sea igual al de la duracin de los comicios)
para evitar la interrupcin de las elecciones a causa de cortes de luz
Todas las mquinas deben tener papel suficiente para poder imprimir en pantalla
las listas de candidatos correspondientes a todos los votantes empadronados para
votar en ese dispositivo y para emitir todos los comprobantes de los sufragios que
se llevan los electores.
Los datos impresos en los papeles de las pantallas y los recibos entregados por las
mquinas no se deben borrar por un tiempo a determinar de X aos para garantizar
que sirvan como evidencia de voto.
1.2. El proceso de votacin

Se pueden identificar claramente 4 grandes procesos: El nmero uno es el de inicializacin,
el dos constituye el procedimiento de votacin, el tres el de consolidacin de la informacin y el
cuatro de verificacin del voto. La interaccin de los mismos se efecta de acuerdo al esquema 1,
donde las flechas continuas muestran el flujo de informacin que va de un proceso al otro,
mientras que la lnea punteada solo indica una dependencia temporal.
La inicializacin se ejecuta en una etapa previa al inicio de los comicios. Aqu se preparan
las mquinas para poder utilizarlas durante el da de las elecciones. La funcin principal que tiene
es la garantizar la seguridad de las comunicaciones inalmbricas entre los diferentes dispositivos
que intervienen en el proceso de votacin. El objetivo consiste en generar las claves a utilizar por
cada mquina y distribuirlas en forma segura a travs de redes cableadas.
El protocolo IPSec permite efectuar transmisiones seguras a travs de redes pblicas,

mediante el cifrado de la informacin y la autenticacin de los emisores. Para poder realizar estas
acciones, tanto el emisor como el receptor deben compartir claves de seguridad. El protocolo
45
permite intercambiar las claves a travs de la misma red. Si bien la forma en que lo realiza es
segura, no es infalible. La ventaja de poder conectar fsicamente dos extremos de una
comunicacin, es que este intercambio de claves pasa a ser invulnerable, ya que nadie puede estar
escuchando el canal de transmisin.
1
Inicializacin
Iniciar
2
Procedimiento de votacin
3
Consolidacin
de resultados
Votos y actas
4
Verificacin
Votos
del voto
Esquema N 1 Interaccin de los procesos del sistema de votacin
Otra tarea que realiza el proceso de inicializacin, es la carga del padrn electoral en cada
una de los dispositivos utilizados para identificar a las personas en las mesas de votacin, y la
limpieza de sus registros, para que ninguna persona aparezca como que ya emiti un voto.
En las mquinas de votacin se proceder a cargar la lista de candidatos por los cuales las
personas deben optar en la eleccin. Tambin se deben limpiar los registros para asegurar que no
poseen ningn voto ya almacenado. Esta tarea de limpieza, tambin se efecta en los
administradores y en toda mquina encargada de efectuar la cuenta de votos.
46
Finalmente, todas las mquinas deben generar las claves de cifrado que van a utilizar para
proteger la informacin que manipulan durante el proceso de votacin. En este conjunto se
encuentran los pares de claves pblicas y privadas y las claves simtricas para uso interno. El
administrador central, la mquina que publica el resultado de la eleccin, debe crear la clave
simtrica utilizada para cifrar los votos e informes que sern transmitidos por las redes pblicas
cuando se cierren las mesas de votacin. Esta clave debe estar en posesin de todas las mquinas.
La forma de transmitirla es utilizando la misma va que se usar el da de los comicios para
transmitir los votos emitidos en cada mquina. Es decir que este ltimo paso requiere que las redes
inalmbricas se encuentren instaladas. La clave es distribuda en forma jerrquica, desde el
administrador central hasta los dispositivos de identificacin y las mquinas de votacin de cada
una de los centros de sufragio.
El procedimiento de votacin posee 3 etapas. La primera de ellas consiste en la emisin de

las actas de inicio del dispositivo de identificacin y de la mquina de votacin y tiene lugar en el
instante de tiempo inmediatamente anterior al comienzo de las elecciones. Este acta sirve para
cumplir con uno de los requisitos de la Ley electoral Nacional y para certificar que las mquinas
no poseen ningn voto emitido.
La segunda etapa implementa las tareas que se requieren ejecutar para poder emitir un
voto. Es la transformacin del procedimiento tradicional de votacin, por un sistema equivalente
que utiliza dispositivos tecnolgicos. Al igual que en las elecciones actuales, se divide en 2
grandes procesos que se repiten por cada ciudadano que se presente a sufragar. Uno de ellos, es el
de identificacin del votante y el otro el de ejecucin de la votacin, que tienen lugar durante el
tiempo en que se extiendan los comicios. El primero, realiza las tareas necesarias para validar que
la persona que se presenta en la mesa de votacin est habilitada para emitir un sufragio y obtiene
una huella dactilar del elector para ser utilizada en otros procesos. Actualmente el ciudadano se
presenta frente a la mesa de votacin, entrega su documento civil al presidente de mesa y ste lo
busca en un listado impreso que posee. En caso de que exista, le entrega un sobre y cuando ingresa
al cuarto oscuro, coloca en su planilla la seal de que la persona vot. Algo similar ocurre con el
mtodo Pantalla-Impresora. Cuando el elector se presenta en la mesa y entrega su documento, en
lugar de rastrearlo en el padrn impreso, se le efecta una lectura ptica y es la mquina la que
ejecuta la tarea. Si lo encuentra, en lugar de entregarle un sobre para que pase al cuarto oscuro, se
le solicita un dedo de su mano para tomarle una imagen de su huella dactilar. En ese momento el
ciudadano puede pasar al cuarto oscuro y la mquina guarda en sus archivos que ste emiti su
voto. En ambos esquemas, el presidente de mesa tambin verifica que el documento presentado
47
sea igual o mas nuevo que aquel que figura en el padrn. No se puede votar con un documento
viejo.
El segundo proceso de la segunda etapa, posee como fin autenticar al ciudadano que
ingresa al cuarto oscuro, permitirle emitir su voto y entregarle una constancia que acredite la
concrecin de la operacin, sirviendo como prueba fsica del sufragio. Para ello, cuando la persona
ingresa al cuarto oscuro, debe colocar sobre el lector de huellas dactilares, el mismo dedo utilizado
durante la identificacin. La imagen obtenida es comparada con la anterior para certificar que se
trata de la misma persona. Luego se imprime sobre la pantalla el listado de candidatos numerado
en forma aleatoria y mediante un teclado numrico el sufragante debe optar por uno de ellos. La
mquina solicita confirmacin de la eleccin y luego imprime un comprobante que el votante debe
retirar de la mquina. Este procedimiento es similar al actual, la diferencia radica en la tarea
adicional de la lectura de la huella dactilar y en que para elegir una candidato, en lugar de tomar
una boleta y colocarla dentro de un sobre, hay que seleccionarlo de una lista mediante un teclado
numrico.
La ltima etapa consiste en la emisin de las actas de cierre del dispositivo de

identificacin y de la mquina de votacin y ocurre al finalizar las elecciones. Al momento de
iniciar el escrutinio, luego de que cada mquina contabilice sus votos se imprime el acta de cierre
como lo indica la Ley. Luego se envan los datos hacia el administrador del centro de votacin
para iniciar el proceso de consolidacin.
La comunicacin entre el proceso de votacin, con el de consolidacin se realiza al

finalizar la jornada electoral. Los mensajes se componen de los votos almacenados, del total de
votantes registrados en la mquina de identificacin, del total de votantes que no se presentaron,
del total de personas que componen el padrn almacenado en la mquina y del resultado
acumulado en la mquina de votacin. El proceso de consolidacin consiste en sumar los votos
que fueron emitidos para llegar al resultado de la eleccin. La contabilizacin se realiza en varias
etapas, donde en cada una se valida la integridad de los votos y la coincidencia de los resultados
calculados con los obtenidos en ocasiones anteriores. Cada mquina encargada de realizar el
escrutinio, elabora un informe con los totales de votos por partido y con la cantidad de errores
encontrados que ocasionan que un voto no sea contabilizado. La obtencin de los resultados se
realiza por niveles. La mquina que cuenta la cantidad de votos emitidos para cada partido, es la
de votacin. Cuando se habilita la opcin de cierre, la misma comienza a sumar uno a uno los
48
sufragios que posee almacenados y elabora un informe con los totales hallados, como fue
explicado anteriormente.
La primer etapa de la consolidacin comienza con la suma de votos que realiza un

administrador que se encuentra en los centros de votacin. Su funcin principal es la de auditar los
totales obtenidos por cada una de las mquinas de votacin de los cuartos oscuros y generar un
archivo con el resultado del centro. Cada voto que es revisado, es firmado digitalmente por el
administrador. Bsicamente, todos los centros de contabilizacin de votos realizan las mismas
operaciones, excepto esta mquina administradora que posee una tarea adicional. sta consiste en
comparar el total de los votos emitidos por cada mquina de votacin del centro, con el total
informado por su par encargada de la identificacin de los electores. Si existiera una diferencia de
5 votos o ms en los valores notificados [CEN, 1983], no se contar la partida de sufragios
correspondiente a esa mquina y se transmitir como un error.
La segunda etapa en que se realiza el conteo de votos, se lleva a cabo en un centro que
consolida los datos de toda una zona geogrfica, ya sea un estado o provincia. Aqu llegan los
datos provenientes de los administradores de cada lugar de votacin. En estos centros existen
varias mquinas encargadas de sumar los totales de votos obtenidos por cada centro, firmar cada
uno de los sufragios y elaborar un informe de todo lo contabilizado. Tambin existe una mquina
administradora que se encarga de retransmitir los resultados arrojados por cada mquina a un
centro nacional para ser sumados con los totales de las diferentes zonas.
La ltima de las etapas se desarrolla en una nica mquina encargada de recibir la

informacin de cada uno de los administradores de los centros regionales y consolidar los datos en
un nico resultado. Como en todas las instancias anteriores, se valida la integridad y se chequea la
autenticidad de la procedencia.
Este esquema es necesario para garantizar la imposibilidad de agregar votos emitidos por
mquinas no autorizadas o la prdida de votos emitidos por los dispositivos reales de votacin, y
para dividir el volumen de procesamiento de la informacin en varias partes para acelerar la
obtencin de los resultados. Algo que es importante destacar, es que la primera carcterstica
recin mencionada, se logra mediante una firma digital al voto procesado que agrega cada
mquina interviniente en el proceso de eleccin. Esta marca de seguridad sirve para descartar
votos que no han pasado por todas las etapas. Por ende, un voto no emitido no puede ser
49
incorporado en una segunda etapa porque sera descartado automticamente por la mquina que
detecta la falta de la firma.
Finalmente, cuando ha finalizado el recuento de votos, se enva al proceso de verificacin

el registro de los sufragios y de las huellas dactilares ledas para que los electores tengan la
posibilidad de comprobar que los mismos fueron contabilizados correctamente. El sistema otorga
la posibilidad de verificar los votos de dos maneras. Una de ellas, la denominada pblica, consiste
en subir a una pgina web, nicamente las opciones elegidas por los sufragantes y el identificador
del voto para poder consultarlas. La otra, la denominada privada, consiste en la exposicin del
nombre del candidato elegido por cada individuo, en una mquina custodiada, a la cual se tiene
acceso de a una persona a la vez, como al cuarto oscuro.
La verificacin privada se lleva a cabo en determinados sitios pblicos distribudos

geogrficamente para que todas las personas tengan acceso a las mquinas. Cada lugar se
encuentra custodiado por un agente de seguridad que impide que ms de un individuo entre al
cuarto de verificacin. El resguardo es necesario para impedir que coerzores puedan conocer por
quin vot un tercero. Cmo la mquina revela el nombre del candidato elegido por el votante, la
forma de custodiar el secreto de voto es la misma que al momento de votar. Slo una persona entra
al cuarto oscuro por vez. La manera de garantizar que esto se cumpla es mediante la custodia de la
habitacin por una agente de seguridad.
Para poder tener acceso al cuarto que posee la mquina de verificacin, se debe efectuar la
lectura de la huella dactilar utilizada para poder votar. Una vez leda se comprueba que exista en
los registros de votacin asociada a un sufragio. Si eso ocurre, muestra un cartel habilitante para
que la custodia permita pasar a la persona. Dentro del cuarto oscuro, el elector se encuentra con un
monitor de tecnologa touch screen, donde luego de presionar un botn, se visualizar en pantalla
al candidato para que ste pueda comprobar su correccin. Luego de un tiempo se reinicia el
sistema.
En la comprobacin pblica, un sitio de Internet posee una base de datos con todos los
votos emitidos. La mecnica de verificacin consiste en el ingreso del identificador del voto que
se encuentra impreso en el comprobante de papel generado por la mquina de votacin y, luego de
que el servidor lo procese, devuelve el nmero de opcin elegida por el sufragante. Los votantes
podrn comprobar si el nmero publicado coincide con el que tienen impreso en el recibo.
50
Esta forma de verificacin es una aproximacin a la correccin, ya que no se tiene la

certeza de que el voto se proces correctamente, ya que el hecho de que la opcin coincida, no
implica que el candidato tambin (esto es segn la percepcin del votante, ya que por lo que se
expondr en el prximo captulo, para el sistema es lo mismo). Esta etapa sirve para que el elector
sepa si el voto fue contabilizado errneamente, ya que en el caso de que los nmeros de opcin no
coincidan, se tiene la certeza de que el proceso fue defectuoso.
51
CAPTULO V
Detalles de los mdulos del sistema
En este captulo se propone ver en detalle cada uno de los procesos que fueron
mencionados anteriormente. El objetivo es describir la forma en que interactan y cada una de las
tareas que ejecutan para realizar la funcin que tienen encomendadas. El sistema completo se
explica utilizando una metodologa top down, donde se especifican los procesos en forma
jerrquica, desde el nivel ms alto al ms bajo. Partiendo del esquema 1 presentado en el punto
anterior, se proceder a explotar cada uno de los procedimientos en otros ms pequeos. Este
desglose se realizar en forma reiterada hasta alcanzar el nivel de mayor detalle, compuesto de
tareas atmicas que no agrupan procesos que ameriten ser especificados.
1. Inicializacin
La funcin principal que tiene es la de preparar los dispositivos intervinientes en el proceso
de votacin para garantizar la seguridad de las comunicaciones inalmbricas entre ellos. Adems
realiza la carga del padrn de cada uno de los dispositivos de identificacin, la carga del listado de
candidatos de las mquinas de votacin y la distribucin de una clave simtrica utilizada para el
cifrado de la informacin que viaja por la red pblica.
Como puede verse en la figura N 2, este proceso se divide claramente en 2 etapas. La

primera de ellas es la de configuracin, donde a cada mquina se le realiza un trabajo
independiente. La segunda etapa requiere del tendido de redes cableadas temporales para efectuar
el intercambio de las claves a utilizar para la comunicacin, para la autenticacin y para la
proteccin de los datos. Luego desde el administrador central se genera una clave simtrica que
debe ser enviada a todas las mquinas a travs de la red que se utilizar para transmitir los
resultados de los centros de votacin a los centros de consolidacin.
52
1.1
Configurar
mquinas
1.2
Intercambiar
claves
Esquema N 2 Inicializacin
1.1. Configurar mquinas

Este proceso posee 3 tareas fundamentales como muestra el esquema N 3. Esta secuencia
de pasos se aplica a todas las mquinas que intervienen durante el desarrollo de los comicios y la
consolidacin de los resultados.
Lo primero que realiza es la creacin de las claves que van a utilizar los dispositivos y que
servirn para autenticar a cada uno durante las transmisiones. El siguiente paso consiste en la
carga inicial de datos que debe realizarse sobre cada mquina. En particular, las tareas que se
ejecutan en este mdulo, dependen de la mquina que se est configurando y su lgica ser
detallada ms adelante. Finalmente se procede a ejecutar una limpieza de los contadores que posee
cada mquina para asegurarse que no posean datos residuales.
53
Clave simtrica
1.1.1
Generar
claves
1.1.2
Realizar carga
inicial
1.1.3
Limpiar
registros
Fin
Esquema N 3 Configurar mquinas
1.1.1. Generar claves

En este proceso, cada mquina debe crear el par de claves que se requieren en los sistemas
de cifrado de clave pblica. Bajo este sistema de cifrado se pueden autenticar los emisores de
mensajes bajo el esquema expuesto en el Anexo B de esta tesis. Adems cada mquina va a crear
una clave para efectuar cifrado simtrico sobre los archivos que almacene. Este requisito es
nicamente para que si existiera un robo de informacin, los datos contenidos en los archivos
estn protegidos.
Un ejemplo acerca de datos que se deben proteger, es el padrn almacenado en cada

terminal de identificacin. El mismo es cargado en esta etapa de inicializacin y permanece
archivado hasta el comienzo de las elecciones. Si no se lo resguarda debidamente, se corre el
riesgo de que lo alteren. En este caso, el dao provocado por el robo del mismo es mnimo ya que
los padrones son pblicos, pero posiblemente, si alguien planea sabotear o fraguar una eleccin,
intentara modificarlo.
54
El proceso de creacin de claves se muestra en la figura N 4.
1.1.1.1
Generar claves
pbl. y priv.
1.1.1.2
Generar clave
simtrica
Esquema N 4 Generar claves
1.1.2. Realizar carga inicial

En este punto se pretende mostrar el proceso que se ejecuta sobre las mquinas de votacin
y las de identificacin. El mismo consiste en la carga de la porcin del padrn electoral
correspondiente en cada mquina de identificacin, y a la carga del listado de boletas con sus
candidatos en los dispositivos de votacin. En este paso se est decidiendo a qu mesa de votacin
corresponde cada mquina de identificacin.
Luego de haber sido cargados los datos en las correspondientes mquinas los mismos son
cifrados con la clave simtrica generada en el punto anterior, por las causas que ya fueron
explicadas. La secuencia en que se ejecutan estos procesos es mostrada en el esquema N 5.
Cualquier otra mquina diferente a las 2 mencionadas, no ejecutan este proceso y

directamente pasan al prximo. Estas son:
55
a) Los administradores de cada lugar de votacin, encargados de sumar los votos de

todas las mquinas del lugar y corroborar la coincidencia de los totales de las
mquinas identificadoras.
b) Los contadores de cada centro geogrfico, encargados de sumar los votos de los
diferentes lugares de votaciones que pertenecen a la zona y auditar los totales
informados.
c) El administrador de cada centro, que consolida los totales informados por los
contadores y elabora un informe con el resultado de la regin.
d) La mquina central encargada de sumar los datos recibidos por cada centro y
obtener el resultado de los comicios.
1.1.2.1
Cargar padrn/
candidatos
1.1.2.2
Cifrar archivo
Esquema N 5 Realizar carga inicial
56
1.1.3. Limpiar registros

El ltimo de los procesos de la etapa de configuracin consiste en la creacin de los
archivos auxiliares que requiere cada mquina, as como la inicializacin de los contadores
utilizados durante el proceso de votacin.
La mquina identificadora utiliza registros que indican qu personas empadronadas en esa

mquina ya emitieron su voto, para impedir que lo vuelvan a realizar. Es necesario que este
archivo se encuentre vaco al momento de iniciarse los comicios, porque de lo contrario podra
impedir que una persona votase a causa de que en los registros ya posee la marca correspondiente.
Finalmente se procede a verificar que los contadores estn en cero y el total de votantes coincida
con la cantidad del padrn.
Como muestra el esquema N 6, una vez efectuada esta operacin se inicializan los
contadores. Esta tarea no slo consiste en ejecutar un proceso que muestra el total de votos de
cada mquina para certificar que est en 0, sino tambin consiste en colocar en las mquinas
identificadoras el total de personas habilitadas para votar. Este nmero es utilizado para la
generacin de los informes y para el control cruzado.
1.1.3.1
Crear archivos
vacos
1.1.3.2
Inicializar
contadores
Esquema N 6 Limpiar registros
57
Sobre el resto de las mquinas, solo debe ejecutarse el proceso 1.1.3.2, para garantizar que
todos los contadores se encuentren en 0 y la cuenta de votos se ajuste a la realidad. En particular, a
los dispositivos de votacin se les debe colocar el papel preimpreso utilizado para la emisin de
los tickets y la pantalla de papel.
Cada mquina posee un cdigo que la identifica y que figura con marcas de agua en el
papel que utiliza, para garantizar que no pueda ser falsificado ningn comprobante. La colocacin
del papel se efecta en el proceso limpieza de registros, ya que es el momento en que se efectan
las ltimas verificaciones.
1.2. Intercambiar claves

El intercambio de claves se realiza en forma jerrquica al igual que el conteo de votos.
Cada mquina perteneciente a un lugar de votacin, se coloca en red con el administrador del
lugar para poder generar las claves de sesin e intercambiarlas junto a las claves pblicas de cada
mquina, como se muestra en
la figura N 7. Al intercambiar las claves, se genera en el
administrador una tabla que identifica a cada emisor con su clave segn la direccin IP.
Una vez que el administrador posea almacenadas las claves pblicas de cada mquina, se
lo coloca en una red con las mquinas contadoras de cada centro geogrfico para intercambiar
entre ellos nuevas claves de sesin y la clave pblica del administrador y las de las mquinas de su
lugar de votacin.
Finalizada la tarea anterior, se debe efectuar el mismo tipo de intercambio entre los
contadores y el administrador de cada centro geogrfico. Este proceso se repite entre stos ltimos
y la mquina central.
Cuando concluye la distribucin de claves, la mquina central genera la clave simtrica

utilizada para el cifrado de los datos transmitidos por la red. Para poder enviarla hacia todos los
dispositivos intervinientes en la votacin, la cifra con la clave pblica de cada administrador de los
centros geogrficos y se la enva por la red inalmbrica. Quienes la reciben, la descifran con sus
58
claves privadas y la cifran con las claves pblicas de los contadores y se las transmiten. Este
sistema de transmisin se repite hasta llegar a las terminales de votacin y de identificacin.
1.2.1
Generar claves
de sesin
1.2.2
Distribuir
claves
Esquema N 7 Intercambiar claves
Distribuyendo la clave de esta forma, se evita tener que colocar a todas las mquinas en red
nuevamente y adems se prueba la comunicacin a distancia que se utilizar el da de las
elecciones.
59
2. Procedimiento de votacin
Este proceso comprende las tareas que se desarrollan en cada mesa de votacin el da de
los comicios. En un principio se procede a imprimir el acta inicial de cada mquina identificadora
y de votacin dando comienzo al acto electoral. A partir de ese momento se ejecutan en forma
reiterada los procesos de identificacin del votante y ejecucin de la votacin. Terminada la
jornada de sufragio, el presidente de mesa inicia el proceso de cierre, cuya finalidad es la iniciar el
recuento de votos en cada mquina y labrar el acta de cierre. Este comportamiento es exhibido en
el esquema N 8. Las lneas punteadas que van del proceso de impresin del acta de cierre a los de
identificacin y votacin, indican una seal de control que al recibirla, stos pasan a modo
inactivo.
Una vez iniciada la votacin, la comunicacin entre los procesos 2.2 y 2.3 se efecta
mediante mensajes transmitidos a travs de redes inalmbricas cuya seguridad se encuentra
garantizada mediante la utilizacin del protocolo IPSec, descripto en el Anexo B. El mensaje que
viaja del proceso de identificacin al de ejecucin, sirve para habilitar la mquina de votacin. El
que vuelve es uno de habilitacin de la mquina de identificacin y sirve para mantener la
sincronizacin entre ambos dispositivos. De este intercambio se desprende el hecho de que ambos
procesos no pueden estar activos en forma simultnea y la activacin de uno produce la
desactivacin del otro y viceversa.
Esta caracterstica que aparenta lentificar el proceso de
votacin sirve para poder autenticar a las personas que entran al cuarto oscuro mediante su huella
dactilar. Contrario a lo que se intuye, la ejecucin concurrente del sistema de identificacin y de
votacin no introduce ninguna demora significante, ya que el tiempo empleado para el
reconocimiento de la persona en la mesa de votacin es nfimo. El mismo consiste en la suma de
las duraciones de las tareas de lectura ptica del DNI y de lectura de la huella dactilar. Ambos
sistemas son giles y emplean muy pocos segundos. Estos tiempos son despreciables contra los
que demora una persona dentro del cuarto oscuro.
60
2.1
Imprimir acta
inicial
Activar Mquina
Iniciar
2.2
2.3
Identificacin
Ejecucin de
del votante
la votacin
Activar Identificador
2.4
Imprimir acta
de cierre
Votos e informes
Esquema N 8 Procedimiento de votacin
2.1. Imprimir acta inicial

Este proceso constituye la apertura de los comicios y debe realizarse segn figura en la
Ley. Se ejecuta nicamente manualmente, mediante el ingreso de un cdigo que posee el
presidente de mesa. El acta inicial emitido por la mquina de identificacin, posee la hora de
impresin, el nombre del presidente, los suplentes y fiscales que actuaron en la mesa y las
siguientes estadsticas:
Total de personas que posee el padrn almacenado en la mquina
Total de personas que fueron identificadas correctamente, es decir que
emitieron un voto.
61
Total de personas que fueron identificadas y no correspondan al padrn

Total de personas que no se presentaron a votar.
Total de huellas dactilares almacenadas
El total de personas del padrn y el de personas que no se presentaron a votar, deben ser
iguales, mientras que el resto de las estadsticas deben estar en 0.
As como ocurre con la mquina de identificacin, la de votacin tambin posee un

proceso de inicio. ste posee como fin la impresin del acta que sirve como prueba que los
registros de votos y totales de cada una de las mquinas de votacin estn en 0. Ambos
procedimientos obtienen las siguientes estadsticas que son archivadas y firmados digitalmente por
la mquina:
Totales de votos emitidos
Totales de votos por boleta
Totales de votos en blanco
Totales de votos defectuosos
Todos estos valores deben estar en 0. Tambin debe contener la hora de impresin, el
nombre del presidente, los suplentes y fiscales que actuaron en la mesa
2.2. Identificacin del votante

Este proceso pretende validar que la persona que se presenta a votar se encuentra
empadronada en la mesa. Como muestra el esquema N 9, se desarrolla en 2 pasos: el primero es
el de identificacin del votante y el segundo, que ocurre nicamente si el reconocimiento fue
satisfactorio, sirve para dar inicio al proceso de seleccin que har el elector.
62
La individualizacin de la persona se realiza mediante la lectura ptica del DNI. El

resultado arrojado por la mquina es el nmero del documento, el nombre y el apellido que sirven
para verificar si la persona se encuentra empadronada en la mesa en la cual se present.
El proceso 2.2.1 se inicia luego de la impresin del acta, cuando se recibe un mensaje que
habilita la mquina para realizar lecturas de DNI. Ese mismo mensaje es recibido despus que
cada persona finaliza la emisin de su voto.
Activar identificador
2.2.1
ID Persona vlida
Lectura ptica
del DNI
2.2.2
Error
Registro de
Activar
Mquina
huella dactilar
Esquema N 9 Identificacin del votante
El proceso 2.2.2 es aquel que da inicio al proceso de seleccin del candidato por parte del
votante. Consiste nicamente en la lectura de la huella digital mediante un dispositivo que se
encuentra conectado a la mquina de identificacin y al almacenaje de la misma en un archivo
independiente al padrn electoral. A partir de la huella digital se genera un cdigo que es utilizado
como clave de seguridad, la cual posee varias aplicaciones a lo largo del ciclo de votacin. La
primera de ellas es validar que la persona identificada en la mesa, sea la misma que ingresa al
cuarto oscuro a sufragar. La forma de cerciorarse es mediante otra lectura de la huella dactilar en
la mquina de votacin, previo a comenzar el proceso de seleccin de candidatos. En el mensaje
saliente del proceso 2.2.2 viaja el cdigo generado y es el que sirve para activar el proceso 2.3
63
mediante un algoritmo de reconocimiento del lector conectado al dispositivo de votacin. Otra de

las utilidades que presenta ser descripta en detalle en los procesos siguientes, pero bsicamente
consiste en autenticar a las personas que presenten a corroborar la correcta emisin de su voto en
la instancia de verificacin privada.
La lectura ptica del DNI devuelve error en el caso de no poder efectuarse. Los
inconvenientes que pueden causar los errores van desde el mal estado del documento hasta la
posibilidad de que la persona ya emiti su voto. El espectro completo de posibles errores se
detallar en los puntos siguientes.
Excepcionalmente, pudiera ejecutarse en la mquina identificadora un cuarto proceso que

no ha sido mencionado, y que consiste en el agregado de personas al padrn electoral. La razn de
ser de esta tarea, es otorgarle a los fiscales la posibilidad de sufragar en una mesa del centro de
votacin en que se encuentran. El dispositivo cuenta con un teclado y un monitor para permitir el
ingreso de datos. El aadido de la persona al padrn lo realiza el presidente de mesa, previo
ingreso de una clave que posee. Cuando un fiscal se presenta a votar se debe efectuar la tarea
descripta, para luego continuar con la ejecucin normal del proceso de votacin. Esta puerta de
entrada es necesaria, ya que los fiscales pueden no estar empadronados en ninguna mesa del
centro de votacin que fiscalizan.
El proceso de agregar personas a los padrones electorales puede convertirse en una

importante fuente de fraude. La proteccin con la que cuenta el mtodo para protegerse del
aadido indiscriminado de personas, aparte de la existencia de otras autoridades de mesa adems
del presidente, que auditan su accionar, consiste en un listado generado junto al acta de cierre que
posee la siguiente informacin:
Nmero de documento y nombre de la persona agregada
Cdigo de la mquina identificadora
Mediante estos datos, se detecta si una persona se present a votar en ms de una
oportunidad y si un presidente de mesa agreg a una persona que no era fiscal. Este reporte,
adems de obtenerse en papel, se encuentra en formato digital, para que un proceso posterior cruce
la informacin proveniente de cada mquina identificadora y elabore un informe con las anomalas
encontradas. Este proceso es ejecutado por el administrador que se encuentra en el centro nacional
64
(Ver punto 3 de este captulo), el nico que posee todos los votos emitidos y el que obtiene el
resultado de los comicios. Si bien los votos no podrn ser anulados, las personas que hayan
cometido el fraude podrn ser identificadas y castigadas con la sancin que les correspondiera. Si
la cantidad de votos invlidos agregados, producto del indebido aadido de personas llegara a ser
significativo para modificar el resultado de los comicios, la eleccin completa podra ser anulada
en caso de que las autoridades as lo dispusieran.
2.2.1. Lectura ptica del DNI

Esta accin no consiste nicamente en la lectura propiamente dicha del documento. Existe
un software que se encarga de validar que la persona se encuentra en condiciones de votar. Para
ello el dispositivo necesita tener precargada la lista de votantes de la mesa a la cual pertenece. El
listado requiere de los datos de nmero de DNI, apellido y nombre de cada persona.
Nro. de documento, apellido y nombre
2.2.1.1
Leer DNI con
la Mquina
2.2.1.2
ID votante
Validar
contra padrn
Error de lectura
No existe o ya vot
2.2.1.3
Registrar al
votante
Activar
Mquina
Error de escritura
Esquema N 10 Lectura ptica del DNI
65
Como muestra el esquema N 10, lo primero que se realiza es la lectura del DNI para
identificar a la persona. Una vez obtenidos los datos, se valida que cumpla con ciertos requisitos y
finalmente se registra y contabiliza que vot mediante el ID de identificacin que le enva el
proceso 2.2.1.2 al 2.2.1.3.
Cabe destacar cul es la verdadera importancia de este proceso. Mediante la lectura ptica
de los documentos extendidos por el registro de las personas, se est reduciendo la posibilidad de
fraguar la eleccin mediante el agregado de votos. Como el resultado de esta accin es la
habilitacin de la mquina de votacin, para poder agregar un voto fuera de la ley, se requiere de
la existencia de un documento. Si a esa necesidad se le suma la condicin de que la persona tiene
que encontrarse precargada en los registros de la mquina de lectura, la dificultad se potencia.
Adems, como se ver ms adelante, la mquina lleva registro de las personas empadronadas que
ya emitieron su voto e imposibilita que lo vuelvan a realizar, invalidando la posibilidad de que una
persona vote 2 veces. Por ltimo la mquina posee un registro con la cantidad de votantes
habilitados y la cantidad de lecturas de documentos de identidad que se hicieron. Obviamente este
ltimo no slo debe ser menor o igual que el anterior, sino que tambin debe coincidir con la
cantidad de votos almacenados en la mquina de votacin. Este es uno de los controles cruzados
que se efectan durante la jornada electoral.
Mediante estos mecanismos de seguridad se logra mitigar el riesgo de agregar votos

inexistentes a un nivel casi nulo. La nica forma sera mediante un DNI falso, que se encuentra
mal includo, en forma intencional, en el padrn almacenado en la mquina de identificacin y que
adems coincida alfabticamente con los apellidos de la mesa. Esta es la nica va para que pase
desapercibido un voto adicionado indebidamente. Cualquier otro medio sera detectado por los
controles. Como puede verse, las chances de que algo as ocurra son realmente mnimas.
2.2.1.1. Leer DNI con la mquina

Esta accin consiste nicamente en la lectura propiamente dicha del documento. Se debe
colocar el documento sobre el lector ptico de la mquina. La finalidad es obtener el nmero de
DNI, el nombre y el apellido de la persona. Lo nico que debe corroborar el presidente de mesa es
si la foto del documento coincide con las facciones del ciudadano y que el documento sea igual o
ms nuevo que lo que figura en el padrn, ya que no puede votar con un documento viejo.
66
2.2.1.2. Validar contra padrn

Este mdulo cuenta con 2 validaciones fundamentales para garantizar la integridad del
proceso electoral. Como fue mencionado anteriormente y lo muestra el esquema N 11, lo primero
que se debe realizar tras haber obtenido los datos de la persona del DNI, es corroborar que la
misma se encuentre empadronada en la mesa de votacin. Para ello se deben consultar los
registros de la mquina de identificacin en busca de una persona que coincida su apellido,
nombre y nmero de documento, con los obtenidos en el proceso 2.2.1.1 De existir, se pasa el ID
del registro de la persona para validar si ya efectu su sufragio. Con tal fin se consulta otro archivo
donde se encuentra indicado quin sufrag. En el caso que la persona identificada no lo haya
hecho an, se sale de manera exitosa del proceso. Cualquier otro resultado posible arrojado por las
consultas a los registros de la mquina, devuelve el error correspondiente e impide que la persona
emita un voto porque lo considera invlido.
Nro. de documento, apellido y nombre
2.2.1.2.1
ID votante
Est empa dronado
2.2.1.2.2
Chequear si
Error de persona
invlida
ya vot
ID
votante
Error de voto ya emitido
Esquema N 11 Validar contra padrn
67
Como fue explicado al detallar el proceso de inicializacin, el padrn se encuentra cifrado,

por lo que para comprobar si una persona pertenece al mismo, primero se lo debe descifrar con la
clave simtrica y luego realizar la bsqueda del elector.
2.2.1.3. Registrar al votante

Este proceso tiene la caracterstica principal de colocar en el registro de votos emitidos a la
persona identificada por la lectura del DNI. Sin embargo, como tarea complementaria debe
inhabilitar la mquina cuando todas las personas incluidas en el padrn de la mesa de votacin, ya
se encuentran sealadas con el indicador de sufragio efectuado.
Como muestra el esquema N 12, luego de colocar la marca de vot a la persona, se

procede a validar si esta es la ltima del padrn. Este chequeo se efecta comparando la cantidad
de personas empadronadas en la mesa contra la que se encuentra en el registro de ya votaron. Si
los totales coinciden se inhabilita la mquina impidiendo la lectura de otro DNI; caso contrario el
proceso sigue su curso normal.
ID votante
2.2.1.3.1
Escribir marca
2.2.1.3.2
de vot
Si s
Validar si es
el ltimo
Error de escritura
Si no
2.2.1.3.3
Inhabilitar
mquina
ID votante
Esquema N 12 - Registrar al votante
68
2.2.2. Registro de huella dactilar

Completadas las validaciones para corroborar si el votante que se presenta en la mesa se
encuentra habilitado para emitir su sufragio, se procede al ingreso de una clave de seguridad con
el fin mencionado en el captulo anterior. El sistema utiliza como clave de cada persona las huellas
digitales. Para ello se requiere que cada mquina identificadora est conectada a un fingerprint
scanner. Esta caracterstica presenta varias ventajas, entre las cuales estn la facilidad y simpleza
del proceso, la agilidad y la imposibilidad de olvidarse un PIN que requiere ser ingresado
nuevamente al ingresar al cuarto oscuro.
ID de Persona vlida
2.2.2.1
Ingreso de
Huella
2.2.2.2
Almacenado
Incorrecto
2.2.2.3
de la huella
Huella
Leer clave de
sesin
Activar Mquina
Esquema N 13 Registro de huella dactilar
La importancia de la clave, radica en ser el medio por el cual se habilita la mquina de

votacin. En particular, el hecho de utilizar la huella digital como contrasea, impide la existencia
de un error en el ingreso cuando el votante se encuentre solo en el cuarto oscuro y requiera
autenticarse para iniciar el proceso de emisin del sufragio.
69
En el esquema N 13 se visualiza la secuencia de lectura de la huella digital. Una vez

obtenida, la misma es almacenada en la mquina en un archivo independiente al que guarda la
marca de voto del elector. La huella archivada sirve para luego ser enviada en el mensaje que
habilita la mquina de votacin para permitirle comprobar que la persona que ingres al cuarto
oscuro es la misma que se identific en la mesa de votacin. Adems, sta la utiliza como clave de
cifrado del ticket que imprime como comprobante de emisin de sufragios. Como en cada lectura,
la imagen recogida puede variar, se debe guardar la imagen utilizada como clave, para que sta sea
siempre la misma, y luego en las siguientes lecturas, localizar la imagen correspondiente mediante
el software de reconocimiento de huellas.
Para concluir con el proceso de identificacin y pasar al de ejecucin, se debe enviar un

mensaje a la mquina de votacin cuyo contenido consta de la huella dactilar. Para ello, se busca
una clave de sesin en el archivo almacenado en la mquina. Como se encuentra cifrado, sta debe
utilizar la clave que le fue configurada, para descifrarlo. Una vez hecho esto, debe seleccionar la
clave inmediata posterior a la ltima utilizada. Mediante el protocolo IPSec se enva el mensaje
por la red inalmbrica hacia la mquina de votacin que se encuentra dentro del cuarto oscuro.
2.3. Ejecucin de la votacin

Este proceso se inicia cuando la mquina de votacin recibe el mensaje con la huella
digital. Debido a la sencillez que debe presentar para que la totalidad de la poblacin pueda emitir
el sufragio sin necesidad de solicitar ayuda a los oficiales de mesa, la emisin del voto se efecta
en 3 pasos. El primero de ellos, es el de autenticacin del sufragante, cuyo objetivo es comprobar
que la persona que ingres al cuarto oscuro es la misma que fue registrada en la mesa de votacin.
El segundo, es el de seleccin del candidato o partido por el cual el individuo desea votar. El
tercero y ltimo, es el de culminacin del voto, que ocurre luego de que el votante confirmara su
seleccin asegurndose que no cometi un error al elegir su candidato y finaliza con la impresin
de un comprobante que le indica al elector su voto emitido.
Como muestra el esquema N 14, el votante tiene la opcin de cambiar su eleccin en caso
de no confirmar el voto. Si bien la revalidacin de la seleccin realizada le agrega complejidad a
la votacin, es necesaria. Cualquier persona puede equivocar la opcin seleccionada, ya sea por un
70
error de tipeo o por un error de lectura. Por estas razones se otorga la posibilidad de confirmar y
cambiar el voto en caso de error. Este proceso de revalidacin, tambin ocurre en los mtodos
tradicionales que utilizan boletas de papel. La diferencia est en que pasa inadvertido. Sin
embargo, cuando una persona agarra una boleta, la lee por lo menos 2 veces para ver si no se
equivoc al tomarla. Esta doble lectura no es ms que una confirmacin de que la boleta
seleccionada es la correcta. Por otro lado, existen varias personas que entran al cuarto oscuro sin
saber por quin van a votar, por lo que van tomando boletas y luego dejndolos nuevamente, por
motivos de su indecisin. Las mquinas de evote deben permitir que el sufragante realice lo
mismo. La forma de permitir eso, es mediante el proceso de confirmacin.
Mensaje de Activacin
2.3.1
Autenticacin
Voto no confirmado
de usuario
2.3.2
Seleccin de
Opcin
Invlida
2.3.3
candidato
Opcin elegida
Consumacin
del voto
Activar Identificador
Esquema N 14 Ejecucin de la votacin
Una vez que se emiti el voto, la mquina de votacin enva un mensaje de activacin a la
de identificacin, para que sta pueda registrar al siguiente individuo y permitirle votar.
71
2.3.1. Autenticacin de usuario

Cuando el votante ingresa en el cuarto oscuro, se visualiza en la pantalla electrnica, un
mensaje que le indica al elector que debe colocar su dedo en el dispositivo que lee las huellas
digitales. Tras efectuar la lectura, se procede a validar que la impresin dactilar obtenida coincida
con la recibida en el mensaje de activacin. Si se corresponden, se genera un nmero nico de
identificacin de voto y se imprime en la pantalla de papel.
Si las huellas no coinciden, se otorga la posibilidad de volver a colocar el dedo para una
segunda lectura. Si vuelve a no coincidir, se genera una interrupcin del proceso que requiere
intervencin del presidente de mesa. ste puede certificar que la persona que ingreso al cuarto
oscuro sea la misma que se identific en la mesa de votacin, mediante el ingreso de un cdigo.
De igual forma, tambin puede anular el voto. Como muestra el esquema N 15, la anulacin del
voto genera un mensaje de activacin para indicarle a la mquina identificadora que puede
continuar con la lectura de documentos para que otra persona vote.
2.3.1.1
Mostrar
leyenda
Iniciar
Si es correcta
2.3.1.2
2.3.1.4
Leer huella
Generar ID
dactilar
del voto
cdigo de habilitacin
Si no coincide
Si no coincide
por segunda vez
ID
2.3.1.5
Imprimir ID
de voto
2.3.1.3
Ingresar
cdigo del Pte
Mensaje de Activacin
por anulacin
Esquema N 15 Autenticacin de usuario
72
Las mquinas de votacin poseen almacenados los cdigos que puede utilizar el presidente
para certificar que el votante es quien se identific o para anular el voto. Esos cdigos slo son
requeridos cuando la huella leda no concuerda con la enviada por la red y estn en posesin del
presidente de mesa nicamente.
Al nmero de identificacin generado se le aade al comienzo el cdigo de la mquina de

votacin y luego es cifrado mediante un algoritmo simtrico cuya clave es una porcin del valor
obtenido del reconocimiento de la huella dactilar durante la identificacin del elector en la primer
etapa de la votacin. El resultado de esta operacin ser utilizado al finalizar la operacin de
votacin en la impresin del comprobante.
2.3.2. Seleccin de candidato

Para poder elegir la boleta por la cual el individuo desea votar, debe seleccionar la opcin
numerada que corresponda a su candidato. El valor a ingresar por el teclado numrico se obtiene
de la lectura de un listado de candidatos que se encuentra impreso en la pantalla de papel.
2.3.2.1
Habilitar teclado
Mostrar
opciones
2.3.2.2
Ingresar
Opcin
incorrecta
opcin
N de
opcin
Esquema N 16 Seleccin de candidato

73
Como se muestra en el esquema N 16, existe un proceso encargado de imprimir el listado

de candidatos en la pantalla de papel. Cuando este finaliza, habilita el teclado para que el votante
pueda ingresar el nmero de opcin que desea. Si el valor entrado no corresponde con ningn
candidato, se procede a solicitar su reingreso. En el caso de que el valor sea correcto, se enva al
proceso de confirmacin la opcin elegida.
2.3.2.1. Mostrar opciones

La finalidad de este proceso consiste en obtener el listado de boletas de los archivos de la
mquina e imprimirlo para que el elector pueda emitir su voto. El esquema N 17 visualiza las
tareas que se efectan para cumplir el objetivo. En una primera instancia, se procede a la lectura
de los candidatos. Una vez obtenidos los datos a imprimir, se procede a almacenar en la mquina
el listado. Esta actividad es de suma importancia ya que el registro guardado ser utilizado para
contabilizar los votos. Sin embargo, este no es el nico fin que posee el almacn de los datos. La
otra razn consiste en seguridad para evitar posibles fraudes.
El listado de candidatos, se conforma de duplas compuestas por un nmero identificador y

el nombre del candidato a elegir. Si estas combinaciones son almacenadas antes de que el elector
tenga contacto con las mismas, el sistema me est protegiendo contra ataques que consistan en
modificar un voto mediante la alteracin del nmero identificador. Esto es que si la pantalla de
papel muestra 1) A y 2) B, y el votante selecciona la opcin 2, el voto no podra quedar
almacenado como 2) A, ya que sera identificado en la instancia de recuento. Mediante el
agregado de este pequeo procedimiento, se esta resguardando la integridad de la informacin y
disminuyendo la posibilidad de fraudes que puedan cometerse. La razn por la cual se cree posible
que existan tales ataques, es porque al finalizar la emisin del voto, el votante se lleva un
comprobante impreso donde figura el nmero de opcin elegida. Si respeto el nmero, pero
cambio el candidato, el votante se va pensando que el voto almacenado por la mquina refleja su
intencin, cuando en realidad no es as. Estas cuestiones de seguridad sern ampliadas ms
adelante, as como tambin la utilidad del nmero de opcin para verificar el voto.
Tras haber guardado el listado, se procede a imprimirlo en la pantalla de papel. Cuando

este proceso finaliza, enva un mensaje que habilita el teclado numrico para que el usuario pueda
ingresar su opcin.
74
Listado
2.3.2.1.1
Leer lista de
candidatos
2.3.2.1.2
Almacenar
opciones
2.3.2.1.3
Listado
Imprimir
opciones
Habilitar teclado
Esquema N 17 Mostrar opciones
2.3.2.1.1. Leer lista de candidatos

Cada una de las mquinas de votacin, posee almacenado un archivo cifrado cuyo
contenido consiste en el listado de candidatos de la eleccin. La clave para descifrarlo se
encuentra guardada en la misma mquina. El proceso de lectura, debe tomar el archivo de
candidatos y convertirlo en texto claro para que sea legible por el elector. Como se muestra en el
esquema N 18, la mquina debe tomar el listado y ordenarlo aleatoriamente. Finalizada esta tarea,
se le asigna a cada candidato el nmero de posicin en el que se encuentra, formando la dupla que
se va a mostrar en pantalla. Esta es una de las principales funciones en las cuales se basa el xito
del mtodo. El hecho que el listado de candidatos aparezca en un orden totalmente azaroso otorga
la posibilidad de publicar la opcin elegida por el votante sin revelar por quin vot realmente. El
nmero de orden solo tiene significado para el elector, ya que es el nico que puede inferir por
quin vot porque nadie ms estuvo en contacto con el listado desplegado en la pantalla de papel.
75
Listado
2.3.2.1.1.1
Descifrar lista
de candidatos
2.3.2.1.1.2
Ordenar
azarosamente
2.3.2.1.1.3
Listado ordenado
Asignar nros.
consecutivos
Listado ordenado y numerado

Esquema N 18 Leer lista de candidatos
El orden aleatorio de las boletas permite otorgarle a cada candidato la misma probabilidad
de ser elegido que al resto. Cuando una persona indecisa se presenta en un cuarto oscuro, la
ubicacin en que se encuentran las boletas puede inducir la eleccin hacia un candidato. Aquel
que se encuentre primero en la fila, va a ser ledo siempre por todos los votantes, mientras que el
ltimo posiblemente no, ya que el ser humano probablemente se canse antes de llegar al final. Sin
embargo, si el orden cambia cada vez de manera azarosa, los principios probabilsticos nos dicen
que en una cantidad grande de casos, la totalidad de veces que cada boleta aparece en cada orden
se equipara, otorgndole a cada uno la misma posibilidad de ser seleccionada.
2.3.2.1.2. Almacenar opciones

El almacenamiento fsico de las opciones que van a ser desplegadas en la pantalla de papel,
tiene como fin servir de soporte para poder verificar que el voto emitido no sufri alteraciones. La
verificacin se efecta durante el recuento de votos. El registro guardado consiste en el mismo
listado de candidatos que ve el sufragante, ms cierta cantidad de informacin de seguridad que es
aadida para proteger al archivo y reconocer si se encuentra daado o fue violado.
76
Listado ordenado y numerado

Registros a almacenar
2.3.2.1.2.1
Calcular hash
para c/dupla
2.3.2.1.2.2
Aadir
identificador
2.3.2.1.2.3
Archivo
Firmar y
guardar
Listado de opciones
Esquema N 19 Almacenar opciones
En la figura N 19 se muestran los agregados que se le hacen al archivo con el fin de

mantener su integridad. A cada dupla conformada por la boleta y el nmero de orden asignado, se
le calcula un cdigo de hash que se concatenar al registro del archivo. Al final del archivo se
agregar un identificador del voto. Al momento de guardarlo, se calcular un valor de hash del
archivo completo y se lo cifrar utilizando un algoritmo de clave pblica, conformando as una
firma digital. De esta forma se asegura que el archivo que guarda una copia exacta del listado que
se imprime en pantalla permanezca inalterable y sirva como respaldo para conocer si un voto
sufri cambios a lo largo del proceso de votacin. La forma de identificar la existencia de
modificaciones en los sufragios es mediante la comprobacin de la firma digital de cada mquina
y del valor de hash de la dupla almacenada en el registro del voto. Si fue alterado, el valor de hash
no coincidir y se desechar; si se intent agregar un voto, la firma digital va a ser invlida y de
igual modo se descartar.
2.3.2.1.3. Imprimir opciones

Una vez que el listado de candidatos ha sido almacenado, el sistema se dispone a
imprimirlo. Ya en esta instancia, existe la seguridad acerca de la imposibilidad de fraguar la
77
eleccin mediante la alteracin de votos. Suponiendo que el listado es alterado por un proceso
malicioso previo a ser impreso, pero posterior a ser guardado, el voto almacenado no va a
coincidir con el archivo y ser descartado, adems de ser informada la anomala. Otra posibilidad,
es que el proceso que altera el listado sea anterior a su almacenamiento, en ese caso, los registros
coincidiran con lo que ve el votante, por lo que no se estara alterando la intencin de voto del
sufragante, sino simplemente cambiando la equidad existente entre las boletas de ocupar cualquier
posicin en el listado. Eso desigualara las posibilidades de que un candidato sea elegido por un
indeciso, llevndonos a un escenario similar al de los mtodos tradicionales de votacin, pero no
alterando el resultado de los comicios.
Posteriormente a la impresin del listado de boletas, se procede a mostrar por la pantalla

electrnica los pasos que debe realizar el votante para seleccionar al candidato deseado, como se
muestra en el esquema N 20. Las instrucciones consisten simplemente en una leyenda que le
indica al elector que debe seleccionar el nmero de opcin junto a la boleta seguida de la tecla
confirmar. Adems se emite una seal que habilita al teclado numrico y deja al sistema en
estado de espera.
Listado
2.3.2.1.3.1
Fin impresin
Imprimir
listado
2.3.2.1.3.2
Mostrar
Instrucciones
Habilitar
teclado
Esquema N 20 Imprimir opciones
78
2.3.2.2. Ingresar opcin

Este proceso le permite al votante ingresar el nmero de opcin que representa a su
candidato mediante un teclado. Finalizada la entrada de datos, se procede a validar que la opcin
elegida se encuentre en el listado desplegado en la pantalla de papel. Si es vlida, se solicita
confirmacin, de lo contrario, se muestra una leyenda en la pantalla electrnica indicando que el
valor ingresado es incorrecto y solicitando el reingreso del mismo, reiniciando el proceso por
completo.
Para indicarle al elector que debe confirmar su eleccin, se muestra un mensaje en la

pantalla electrnica que visualiza la opcin tipeada por el votante en el teclado. Adems se lee una
inscripcin que explica cmo se confirma o rectifica la seleccin realizada. En este ltimo caso, se
reinicia el proceso de ingreso de opcin. De lo contrario se informa la confirmacin y se pasa a la
etapa de impresin del comprobante de los votos.
Habilitar teclado
2.3.2.2.1
Opcin
Leer opcin
del teclado
2.3.2.2.2
2.3.2.2.3
Si es incorrecta
Validar opcin
ingresada
Mostrar
Opcin
leyenda
2.2.2.4
No confirmado
Preguntar si
confirma
2.2.2.5
Confirmar
Opcin
Esquema N 21 Ingresar opcin
79
2.3.3. Culminacin del voto

Mediante este proceso finaliza la emisin del voto por parte del sufragante. Se inicia
inmediatamente despus de que el elector confirma su seleccin. Como se visualiza en la figura N
22, lo primero que se realiza es el registro del voto en la memoria de la mquina. Terminada esta
tarea, se procede a imprimir un comprobante de papel que le queda al votante, cuyo contenido
consiste nicamente en el nmero de opcin elegida y en el identificador del voto, ms un cdigo
de barras que sirve para la etapa de verificacin. De esta forma la persona que emiti el voto posee
una prueba fsica de lo realizado frente a la mquina de votacin, que junto con la pantalla de
papel, constituye un documento que certifica el sufragio.
Es de suma importancia que el papel utilizado para imprimir los comprobantes posea
marcas de agua para que no sea falsificado. Si el taln sufriera alteraciones, las mismas deberan
ser identificadas. Caso contrario, el sistema completo podra llegar a caer si el nmero de recibos
alterados es alto. Esto ocurrira porque los registros almacenados en las mquinas de votacin no
coincidiran con el comprobante; al permitir el sistema probar fehacientemente si la intencin de
voto fue contabilizada correctamente, es sencillo demostrar que las mquinas fueron corrompidas.
Esta situacin obliga a colocar marcas en el papel que certifiquen el origen del mismo.
Opcin
2.3.3.1
Almacenado
del voto
Opcin
2.3.3.2
Impresin del
comprobante
Esquema N 22 Culminacin del voto
80
2.3.3.1. Almacenado del voto

En este proceso, se intenta otorgarle autenticidad y confidencialidad al voto. Adems se
certifica que fue emitido por una mquina de votacin vlida. Por estas razones se calcula un
cdigo de hash y se lo cifra con la clave privada de la mquina, para firmar el voto almacenado
digitalmente. De esta forma se consigue certificar a la mquina emisora y otorgarle autenticidad al
voto. Para conseguir la confidencialidad, se debe cifrar el voto junto a la firma digital con un
algoritmo de clave simtrica. Este mtodo se describe en el anexo B, la seccin de las funciones de
Hash, ejemplo d.
Opcin
2.3.3.1.1
Voto
Buscar
candidato
2.3.3.1.2
Firmar
Digitalmente
Voto cifrado
Voto firmado
2.3.3.1.4
Guardar en
2.3.3.1.3
archivos
Cifrar voto
Opcin
2.3.3.1.5
Mezclar votos
Opcin
Esquema N 23 Almacenado del voto
81
En el esquema N 23 se muestra la secuencia de tareas que son necesarias ejecutar para

almacenar un voto. En una primera instancia, se debe consultar en la memoria la boleta o el
candidato que corresponden con la opcin elegida por el votante segn el orden impreso en la
pantalla de papel. Una vez obtenido el dato, se procede a firmar digitalmente el registro calculando
un hash sobre el mensaje compuesto por el identificador del voto, la opcin elegida y el candidato
correspondiente. Luego se cifra el valor con la clave privada de la mquina. Finalmente se encripta
con la clave simtrica el voto y la firma y se guarda en los archivos. Una vez almacenado el
sufragio, se ejecuta un proceso de mezcla, que consiste en alterar el orden fsico de los registros de
los votos, para que ninguna persona que posea contacto con la mquina pueda inferir por quines
votaron los ciudadanos mediante el anlisis del orden en que se fueron presentando en la mesa de
identificacin y emitiendo los sufragios.
El proceso de mezcla ejecutado despus de la emisin de cada sufragio puede parecer

innecesario ya que se estara alterando un orden que fue modificado recientemente. Esto puede
llevar a pensar que bastara con la ejecucin del proceso una nica vez al efectuarse el cierre de la
urna. Sin embargo, si se interrumpiese el proceso de votacin, dejando la mquina fuera de
servicio, los votos guardaran el orden en que fueron emitidos generando un riesgo alto de que se
pierda el anonimato del voto. Por tal motivo se realiza la mezcla luego de cada voto, ya que
cualquier otra frecuencia de ejecucin podra significar la revelacin del voto de por lo menos un
ciudadano (el ltimo en ingresar al cuarto oscuro).
Con este esquema de seguridad se busca detectar cualquier alteracin que pudieran sufrir
los votos. Las claves utilizadas por las mquinas para cifrar y firmar digitalmente son generadas
das previos a la eleccin y almacenadas en la memoria de la mquina. Los claves pblicas
correspondientes a las claves privadas de cada mquina, as como las claves de los algoritmos de
cifrado simtrico son almacenadas en los servidores de consolidacin y contabilizacin de votos.
2.3.3.2. Impresin del comprobante

Este es el ltimo de los pasos que se ejecuta al emitir un voto. Finalizada la impresin del
recibo, debe sincronizar la mquina de votacin con la de identificacin. Para ello se enva un
mensaje habilitacin por la red inalmbrica.
82
El esquema N 24 muestra que lo primero en realizarse es la impresin del ticket que sirve
como prueba de voto, para despus mostrar en la pantalla electrnica un mensaje que indica que se
debe retirar el comprobante impreso por la mquina. Luego se busca la clave de sesin en los
registros de la mquina para transmitir el mensaje de activacin del identificador utilizando el
protocolo IPSec. Por ltimo se enva el mensaje.
Opcin
2.3.3.2.1
Imprimir
ticket
2.3.3.2.2
Mostrar
leyenda de fin
Clave
2.3.3.2.4
Enviar
2.3.3.2.3
mensaje
Buscar clave
de sesin
Activar mquina
Esquema N 24 Impresin del comprobante
El ticket que se extrae de la mquina posee preimpreso un cdigo que identifica al lugar de
votacin y a la mquina. La razn de ser de esta marca es la de dificultar la falsificacin del
comprobante y la de facilitar la verificacin del voto en la ltima instancia de la eleccin. La
utilidad del mismo que se expondr cuando se explique en detalle ese proceso.
El contenido del ticket consta del nmero de opcin elegido por el votante, el identificador
del voto generado por la mquina y un cdigo de barras que representa al valor del identificador
cifrado mediante el algoritmo de clave simtrica, al identificador del voto sin cifrar y al cdigo de
83
mesa. Mediante el cdigo de barras, en la etapa de verificacin, se logra autenticar al portador del
comprobante y a identificar al voto que respalda.
2.4. Imprimir acta de cierre
Este proceso constituye el cierre de los comicios y debe realizarse segn figura en la Ley.
Se ejecuta nicamente manualmente, mediante el ingreso de un cdigo que posee el presidente de
mesa y corre tanto en la mquina de identificacin como en la de votacin. La diferencia entre el
proceso que se ejecuta en uno y otro dispositivo consiste en el clculo de las estadsticas y los
resultados obtenidos. El esquema N 25, muestra las tareas realizadas luego del cierre de la
votacin.
Cierre de votacin
2.4.1
Estadsticas
Calcular
estadsticas
2.4.2
Firmar
Digitalmente
Archivo cifrado
Estadstica firmada
2.4.4
Enviar archi-
2.4.3
vos cifrados
Cifrar
estadsticas
Archivo cifrado
Esquema N 25 Imprimir acta de cierre
84
El acta de cierre de la mquina de identificacin, posee la hora de impresin, el nombre del

presidente, los suplentes y fiscales que actuaron en la mesa y las siguientes estadsticas:
Total de personas que posee el padrn almacenado en la mquina
Total de personas que fueron identificadas correctamente, es decir que
emitieron un voto.
Total de personas que fueron identificadas y no correspondan al padrn
Total de personas que no se presentaron a votar.
Total de huellas dactilares almacenadas
Personas incorporadas manualmente al padrn.
El acta de cierre de la mquina de votacin, posee la hora de impresin, el nombre del
presidente, los suplentes y fiscales que actuaron en la mesa y las siguientes estadsticas:
Totales de votos emitidos
Totales de votos por boleta
Totales de votos en blanco
Totales de votos defectuosos
Las estadsticas calculadas en ambas mquinas son cifradas con un algoritmo de clave
simtrica para hacer confidencial su contenido, son archivadas y firmadas digitalmente por la cada
dispositivo.
Para el clculo de las estadsticas de la mquina de votacin, se debe tener en cuenta que
los votos almacenados se encuentran cifrados, por lo que para conocer su contenido se los debe
descifrar previamente. Luego se debe analizar a qu candidato corresponde y sumar una unidad a
ese total. Este proceso se describir en forma detallada en el punto 3.2.1.
85
El archivo de estadsticas cifrado es enviado a los servidores encargados de revisar el

conteo de los votos y sirve como medio verificador de la integridad del proceso. Al corroborar la
correccin del conteo, se chequea que los totales arrojados por las mquinas identificadoras
coincidan con cierto nivel de exactitud determinado por ley, con los totales de sus pares de
votacin. Si esto no ocurre, implica que hubo algn error. Este proceso ser explicado en mayor
detalle ms adelante.
86
3. Consolidacin de resultados
Este proceso se ejecuta por etapas, como fue descripto en el captulo anterior. En cada una
de ellas se audita la integridad de los datos procesados en la etapa anterior y se certifica la
procedencia de la informacin para evitar agregados y eliminaciones de sufragios. En cada fase se
agrupan los votos en conjuntos cada vez ms grandes hasta consolidar un nico paquete de votos
en el administrador central. Este es el nico momento en que toda la informacin se encuentra
reunida en un solo dispositivo, por lo que slo en esta instancia se pueden sumar los resultados
parciales que se fueron obteniendo por regin para obtener el resultado de los comicios. Esta
condicin hace del administrador central, el nico dispositivo capaz de validar que una persona
no haya emitido dos veces un sufragio, ya que posee unificado todo el archivo de electores.
Si bien los padrones electorales se encuentran precargados en las mquinas de

identificacin, lo que permite suponer que resulta imposible sufragar 2 veces, mediante el
agregado de personas que permiten realizar las mquinas identificadoras se habilita esta
posibilidad. El proceso de control, toma los informes elaborados para cada uno de estos
dispositivos y compara los nmeros de documentos all informados contra el padrn completo de
personas que sufragaron almacenado en el administrador del centro nacional. Si algn nmero
apareciera ms de una vez, implicara que una persona vot repetidamente. Este individuo es
identificado por su nmero de documento y el presidente de mesa que lo aadi al padrn es
reconocido mediante el cdigo de la mquina identificadora reportado. Ambos son includos en un
informe de anomalas para ser sancionados segn la Ley. Si el individuo que vot 2 o ms veces
es un fiscal, el presidente de mesa no tiene responsabilidad por el fraude y queda excluido del
informe. Esto ocurre debido a que no se puede probar su complicidad ya que, durante los
comicios, no puede conocer si el fiscal ya emiti su voto en otra mesa. El informe de anomalas
es emitido por el administrador nacional, mquina encargada de ejecutar este proceso de control,
junto con el resultado de los comicios.
El proceso de contabilizacin de los votos que se efecta en cada mquina de

consolidacin se describe en el esquema N 26. All se muestra que lo primero en realizarse es la
recepcin de la informacin proveniente de otras mquinas. El objetivo de esta tarea es estar
escuchando el canal a la espera de los paquetes de datos e identificar a los emisores. El segundo
paso consiste en la cuenta y firma de los votos recibidos y la comparacin de las sumas parciales
87
informadas con la cantidad de sufragios procesados. Finalmente se conforma un total de la

mquina, resultado de la adicin de los valores informados por los emisores, y se enva a la
siguiente instancia, en caso de que corresponda.
Votos e informes
Votos e informes
3.1
Recibir votos
y totales
3.2
Contabilizar
los votos
3.3
Votos e informes
Enviar los
datos
Votos e informes
Esquema N 26 Consolidacin de resultados
3.1. Recibir votos y totales

La funcin principal que se realiza en este proceso es la de autenticar al emisor. Para ello
se cuenta con una tabla almacenada que posee las claves pblicas de cada una de las mquinas que
envan la informacin hacia el centro de contabilizacin. Mediante el protocolo IPSec se identifica
al emisor, por lo que solo resta ir a buscar su clave pblica a los archivos. Una vez obtenida, se
procede a descifrar la informacin con la clave simtrica y luego a verificar la firma mediante su
descifrado y el clculo del valor de hash de los datos. Si no coinciden, significa que el archivo est
alterado o no corresponde al emisor que dice pertenecer, por lo tanto pasa a formar parte del lote
88
de errores y se lo informa en el registro de anomalas. De lo contrario, pueden llegar a ocurrir dos

cosas:
a) En el caso de que el administrador sea la mquina que se encuentra en el lugar de

votacin, para poder continuar con el conteo de votos, requiere de haber recibido el
informe de la mquina identificadora y los votos e informe de la mquina de
votacin. Si uno faltase, se almacenan los datos recibidos en un archivo temporal
hasta tanto no contar con el resto de la informacin. Una vez que se posee ambos
informes y los votos, se comparan los totales notificados y si poseen hasta una
diferencia de cuatro votos, se concatenan los archivos y se pasan al siguiente
proceso. De lo contrario, se aaden al informe de anomalas y al lote de errores.
b) Si la mquina administradora es otra diferente a la especificada en el caso anterior,

directamente se pasan los datos para comenzar a ser contabilizados.
Votos e informes
Votos e informes
3.1.1
Identificar
emisor
3.1.2
Agrupar pares
Emisor desconocido
y almacenar
Votos e informes
Esquema N 27 Recibir votos y totales
En el esquema N 27 se especifica el proceso correspondiente al suceso a). El caso b) se

compone nicamente del proceso de identificacin del emisor. Este ejecuta las tareas de
89
seleccionar la clave pblica segn la procedencia y luego verificar mediante la firma, la integridad
de los datos y la autenticidad del emisor.
3.1.1. Identificar emisor

Como fue descripto en el punto anterior, este proceso se encarga descifrar los archivos
recibidos con el fin de validar la firma digital del emisor y la integridad de la informacin que
contienen. La forma en que lo realiza es sencilla, y est graficada en el Anexo B, en la seccin que
se explican los mtodos de Hashing.
Votos e informes
3.1.1.1
Clave, votos e informe
Buscar clave
3.1.1.2
Votos e
informes
descifrados
Descifrar con
3.1.1.3
K simtrica
Descifrar con
K pblica
Clave, votos e informe
Valor de Hash votos e

informes descifrados
3.1.1.4
Calcular Hash
Votos e informes alterados
3.1.1.5
Comparar
Votos e
informes
descifrados
Esquema N 28 Identificar al emisor
90
El esquema N 28 muestra la secuencia exacta en que las tareas son llevadas a cabo. En un
primer momento se busca la clave pblica correspondiente al emisor. Se descifra el paquete con la
clave simtrica y luego la firma digital con la clave buscada. Como resultado se obtiene el valor de
hash correspondiente a los datos. Se procede a calcularlo nuevamente para compararlo con el
original descifrado. Si coincide, significa que el archivo recibido pertenece al emisor y su estado
es ntegro. De lo contrario, pudieron haber ocurrido dos hechos: el archivo fue alterado o el emisor
no es quien dice ser. Independientemente de lo acontecido, el resultado arrojado no vara, el voto
pasa al lote de errores y se lo informa como anomala.
3.1.2. Agrupar pares y almacenar

Este proceso toma los archivos recibidos por cada par de mquinas y compara los totales
de votos y de personas que sufragaron de cada informe. Si coinciden o tienen una diferencia de
hasta 4 votos, concatena los archivos y los pasa al siguiente proceso, de lo contrario los informa
como anomalas y les coloca la marca correspondiente.
3.2. Contabilizar los votos

A lo largo de todo el ciclo de contabilizacin, los votos son contados 1 vez y auditados en
varias oportunidades. Estas auditoras no se encargan nicamente de verificar la autenticidad del
voto y su integridad, sino tambin de comprobar que la mquina anterior efectu correctamente su
trabajo. Para ello, debe contar los votos vlidos y tambin aquellos identificados como
defectuosos.
La importancia de verificar los sufragios que pertenecen al lote defectuoso, radica en que
la auditora que realiza cada mquina, compara la suma de los valores contenidos en los informes
transmitidos por cada administrador con la cantidad de votos que firm. Estos totales incluyen los
votos defectuosos ya que forman parte de los informes. Adems, como fue mencionado
anteriormente, cada mquina debe firmar los sufragios que procesa, por lo que los votos anmalos
tambin deben ser firmados.
91
Votos e informes legtimos y errneos, descifrados y cifrados
3.2.1
Informes descifrados y totales

calculados
Sumar votos
3.2.2
Comparar
Votos defectuosos
resultados
Correccin del lote
Esquema N 29 Contabilizar los votos
Por esta razn es que al proceso de contabilizacin ingresan los votos autnticos y los
defectuosos, como muestra la figura N 29.
Se identifican claramente dos tareas: la que efecta la suma de sufragios y la que audita la
cuenta de la mquina de la instancia anterior. En particular, la primer tarea la realiza nicamente
la mquina de votacin, as como tambin es la nica que no realiza la tarea de auditora.
3.2.1. Sumar votos

El objetivo principal de este proceso consiste en obtener los votos totales por candidato.
Sin embargo existen otras tareas de importancia que debe realizar con el fin de garantizar la
correccin del sistema completo de votacin. Una de ellas es la de firmar digitalmente cada voto,
despus de que haya sido contabilizado. La otra es la de validar que no haya sido alterada la
intencin de voto del sufragante.
92
Cada registro que identifica la seleccin realizada por cada individuo en la mquina de
votacin posee un archivo que lo complementa, cuyo contenido es el listado de candidatos
desplegado por la mquina en el instante de la eleccin. La conformacin de ambos registros se
ver en el punto siguiente, sin embargo es importante remarcar que los registros que contienen el
listado de candidatos desplegado por la pantalla de papel, poseen para cada opcin enumerada un
cdigo de hash que debe coincidir con el valor de hash del registro del sufragio. El proceso de
validacin el cdigo de hash del candidato referenciado por el sufragio con el valor de hash del
registro del sufragio. Si coincide, significa que le seleccin realizada por el elector, no fue
modificada a lo largo del proceso.
En este proceso de revisin recae la mayor responsabilidad por el xito del mtodo. La
razn de esta afirmacin se basa en que el registro poseedor del listado de candidatos se conforma
antes de ser mostrado por la pantalla de papel, por lo cual, aprovechando la ventaja de la novolatilidad de la misma, se obtienen 4 registros fidedignos, incluyendo el comprobante impreso
entregado al elector. Los nicos registros que podran sufrir alteraciones a lo largo del proceso de
emisin de votos, son los 2 registros electrnicos que al almacenarse en la memoria de la mquina
de votacin guardan informacin diferente a la indicada, y la pantalla de papel, cuyo listado pudo
haber sido modificado previo a su impresin y posterior a su almacenado. Debido a esto, el
resultado de la revisin esta condicionado por las siguientes posibilidades:
a) Si ninguno es alterado, el proceso es ntegro y contabiliza los votos normalmente
b) Si es alterado el registro compuesto por el listado de candidatos y no el que

almacena el voto, o viceversa, independientemente de lo que ocurra con la
impresin de la pantalla de papel, el proceso de validacin ejecutado al sumar los
votos, detecta el error.
c) Si es alterada la pantalla de papel y se dejan coincidentes los registros que poseen

el listado de candidatos y la eleccin del sufragante, independientemente de si
fueron alterados o no, el error o fraude se detectar en el proceso de verificacin
detallada en el punto 4 de este captulo. En este caso queda de manifiesto la ventaja
de poseer una pantalla de papel que sirva como evidencia de voto.
93
d) Si se modificaran los tres registros de igual forma, estaramos en el caso a), sin
embargo, si la alteracin de cada uno es independiente, la anomala se detectara en
las validaciones b) o c).
La figura N 30 muestra la comunicacin entre el proceso de validacin y el de

totalizacin. Es el segundo quin firma los votos despus de haberlos procesados. El mensaje que
transmite la validacin indica si el voto est correcto o no, para saber si se debe sumar al total de
errores o al total de la boleta que corresponda. Una vez sumado, el voto es firmado por la
mquina.
Votos
Estado y voto
3.2.1.1
Validar votos
3.2.1.2
Totalizar
votos
Votos defectuosos
firmados
Votos firmados e
informes de totales
Esquema N 30 Sumar votos
3.2.1.1. Validar votos

Cada voto emitido esta compuesto por dos registros creados en diferentes momentos de la
eleccin. El primero previo a que el sufragante visualice en la pantalla de papel las opciones de
candidatos y posterior a que la mquina de votacin ordene las boletas en forma aleatoria. El
segundo es creado cuando el votante confirm la opcin tipeada en el teclado numrico. Mediante
94
marcas de seguridad se garantiza la inviolabilidad de cada registro en instancias posteriores a su

creacin. La duda que persiste, es si no pueden ser alterados en el momento previo a que son
almacenados.
Este proceso valida que el voto almacenado no haya sido cambiado al momento de ser
guardado o que el listado de candidatos haya sido modificado tambin en esa instancia; el caso b)
mencionado en el punto anterior. Por otro lado tambin se valida que tanto el voto como el listado
de candidatos no haya sido alterado despus de haber sido creado.
Estas verificaciones son posibles gracias a la estructura de los registros. La figura N 31

muestra en la opcin 1) la forma en que se almacena el listado de candidatos. Como puede verse,
posee el identificador del voto, cada opcin y candidato con un valor de hash que asegura su
integridad y finalmente otro hash calculado sobre todo el registro. En la opcin 2), se muestra la
estructura del voto, que posee la dupla de opcin elegida y candidato, ms el identificador del
voto y un hash de proteccin calculado sobre todo el registro.
1)
Identificador del voto
Opcin ID Candidato
Opcin ID Candidato
Hash
Hash
Hash General
2)
Opcin ID Candidato
Identificador del voto
Hash General
Esquema N 31 Estructura de los registros
Una vez conocida la estructura de los archivos, se puede entender el proceso de validacin.
Como lo muestra el esquema N 32, el mismo consiste en buscar el registro compuesto por el
listado de candidatos a partir del identificador del voto y, una vez hallado, calcular los valores de
95
hash de ambos registros y compararlos contra los almacenados. Si los mismos coinciden, el voto
es consistente, de lo contrario significa que fue alterado y se informa su estado. Si es vlido, se
ejecuta el siguiente paso, cuyo objetivo en calcular el valor de hash para la dupla nmero de
opcin e identificador del candidato que figura en el voto. Se compara el hash de la opcin
perteneciente al voto que se encuentra en el registro 1) con el calculado. Si son iguales, el voto es
vlido, de lo contrario se informa el error.
Este ciclo se ejecuta para los votos que no fueron identificados como errneos en el
proceso de autenticacin del emisor. Aquellos sufragios defectuosos por esta causa pasan
directamente al proceso de totalizacin
Votos
3.2.1.1.1
Buscar registro
Voto y listado
segn ID voto
3.2.1.1.2
validar hash
3.2.1.1.3
de cada uno
Calcular hash
de la opcin
Votos y listado
Voto errneo
Hash voto y
listado
3.2.1.1.4
Comparar
Votos errneos
Votos
vlidos
Esquema N 32 Validar votos
96
3.2.1.2. Totalizar votos

Conocida la integridad y correccin de los votos, solo resta sumarlos al candidato
correspondiente o al total de errores y luego firmarlo digitalmente para certificar que fue
procesado por una mquina vlida.
El proceso se muestra en detalle en la figura N 33, donde inicialmente se suma el voto al

candidato o a los errores para luego firmar digitalmente el registro del voto original. Para ello se
calcula un valor de hash para al archivo completo, y luego se cifra con la clave privada de la
mquina. El resultado de esta operacin es adjuntado al registro del sufragio.
A medida que se suman uno a uno los votos, se llevan varios registros de los totales con el
fin de obtener los datos contenidos en el acta final.
Votos legtimos y errneos

3.2.1.2.1
Voto
Sumar s/
estado y boleta
3.2.1.2.2
Calcular hash
3.2.1.2.3
Cifrar hash c/
clave pblica
Voto y
firma
Voto y hash
3.2.1.2.4
Concatenar
firma al voto
Votos
firmados
Esquema N 33 Totalizar votos
97
3.2.2. Comparar resultados

Las mquinas pertenecientes a los centros de contabilizacin, procesan informacin
proveniente de varios centros de votacin. Cada una debe contar y firmar los votos recibidos de
cada centro, slo la cantidad y no la distribucin por candidato, y compararla contra la suma de los
totales informados. Si los valores no coinciden, el lote de sufragios de esa procedencia, ser
marcado como defectuoso. Como resultado se genera un informe con los totales acumulados de
todos los centros procesados, que debe ser firmado y luego cifrado con la clave simtrica para ser
transmitido a la siguiente instancia.
Para poder efectuar la comparacin del total de votos contra los valores informados, este
proceso tiene la restriccin de que todos los sufragios que provienen del mismo origen, deben ser
contabilizados por la misma mquina. Cada centro posee varias mquinas que reciben y procesan
la informacin que envan los administradores de la instancia anterior, pero los datos enviados por
un administrador son recibidos por una nica mquina del centro de contabilizacin.
Totales e informes descifrados, votos firmados
3.2.2.1
Elaborar
Informe actual, y anteriores

con los votos firmados,
ntegros y errneos.
informe
3.2.2.2
Informes y votos
firmados
Firmar
informes
3.2.2.3
Cifrar votos e
informes
Informes y votos,
firmados y cifrados
Esquema N 34 - Comparar Resultados
98
La secuencia descripta anteriormente se muestra en la figura N 34. Lo nico que se debe

remarcar, es que todos los informes son firmados y cifrados, y no nicamente el elaborado por este
proceso.
3.2.2.1. Elaborar informe

Las tareas que desarrolla este proceso, son simples y se describen en el esquema N 35. Lo
primero que se realiza es contar y firmar los votos recibidos del administrador de la instancia
anterior. El valor hallado se compara contra la suma de los totales informados. Si coinciden
significa que el lote completo de votos es correcto y se acumulan los totales que posee el informe
a los totales de la mquina, de lo contrario, se marca el lote como defectuoso y se suma la cantidad
de votos al total de errores.
Totales e informes descifrados, votos firmados
3.2.2.1.1
Contar y
Cantidad de votos,
totales e informes
firmar votos
3.2.2.1.2
Cotejar totales
y acumular
Totales hallados
3.2.2.1.3
Crear
informe
Esquema N 35 Elaborar informe
99
Estas tareas son realizadas por todas las mquinas intervinientes en el proceso de votacin
excepto por las de emisin de sufragios. Esto significa que los administradores de cada centro
realizan las tareas de auditora sobre las mquinas de contabilizacin del centro y stas sobre los
administradores de la instancia anterior. Por lo tanto todas los dispositivos son auditados por el
mismo proceso, salvo la mquina de la ltima instancia. Sin embargo, el informe que esta elabora
es fcilmente auditable por cualquier persona porque solo se requiere sumar un nmero acotado de
valores igual a la cantidad de totales de cada informe por la cantidad de provincias o estados del
pas.
100
4. Verificacin del voto

Este proceso puede ser concebido en dos partes: una de preparacin y otra de ejecucin. La
primera de ellas consiste en la elaboracin de los archivos y en la publicacin de los mismos,
mientras que la segunda es aquella en la cual el votante comprueba que su voto fue computado
correctamente.
Como fue explicado anteriormente, el sistema permite comprobar el voto de 2 maneras:

una de ellas se denomina pblica, ya que se efecta a travs de un sitio web y la otra se denomina
privada ya que se realiza bajo las mismas condiciones que la emisin del voto; en un cuarto oscuro
con total libertad y privacidad.
4.1
Archivo
Generar
archivos
4.2
Verificacin
Archivo
pblica
4.3
Verificacin
privada
Esquema N 36 Verificacin del voto
101
La figura N 36 muestra los tres procesos que se ejecutan en esta etapa. Inicialmente se
generan los archivos para permitir las verificaciones. Los otros procesos se ejecutan en paralelo y
uno pertenece a la comprobacin pblica y otra a la privada
4.1. Generar archivos

Para generar los archivos utilizados en el proceso de verificacin, se deben poseer todos
los votos emitidos y conocer el origen de los mismos. A partir de estos datos, se puede generar el
archivo para uso pblico y se pueden agrupar los votos segn las zonas de origen para ser enviadas
a las mquinas correspondientes.
Votos
4.1.1
Descifrar votos
Votos descifrados
Votos descifrados
4.1.2
Clasificar
4.1.3
votos
Armar archivo
Grupos de votos
Archivo
4.1.4
Ordenar
archivo
Archivo
ordenado
Esquema N 37 Generar archivos
102
El archivo generado es un conjunto de registros que poseen slo 2 campos: el nmero de

opcin elegido al momento de seleccionar al candidato y el identificador del voto. Una vez
generado, se le efecta un ordenamiento que sirve para acelerar las bsquedas realizadas sobre el
mismo.
Lo primero que se realiza es el descifrado de los votos para poder leer el contenido. Luego
se los clasifica por origen, mediante las firmas digitales que poseen. Cada mquina est
identificada por su clave y se conoce la zona geogrfica donde fue utilizada. En forma
independiente a este ltimo, se confecciona el archivo utilizado en la comprobacin pblica y se
lo ordena. El orden de ejecucin y la interaccin entre estos procesos est detallado en el esquema
N 37.
4.2. Verificacin pblica

La posibilidad que otorga el ordenamiento aleatorio de los candidatos en el momento de la
eleccin, mas all de igualar las probabilidades de que una boleta sea leda, es la capacidad de
hacer pblica la opcin seleccionada por el votante y que nadie sea capaz de inferir por quin vot
excepto l mismo.
La forma de aprovechar esta caracterstica es mediante la publicacin de los nmeros de

opciones para que sean validados de forma rpida, simple y cmoda por los electores.
Como muestra la figura N 38, en tres pasos se puede tener una idea aproximada acerca de
la correccin con que fue ejecutado el proceso. En una primera instancia, oficiales electorales
suben a una pgina web oficial del gobierno, el archivo generado en el proceso anterior. Una vez
publicado, los electores pueden ingresar al sitio y mediante el ingreso de nmero identificatorio
que figura en el ticket impreso por la mquina de votacin, el sistema revela la opcin elegida por
el sufragante. El nmero que aparece en pantalla puede ser validado contra el que figura en el
ticket. Si el proceso se ejecut correctamente deben coincidir, de lo contrario se debe informar al
ente encargado de controlar la eleccin, la irregularidad detectada. Como se explica en el captulo
VI existen formas de probar que el candidato por el cual uno vot no es el mismo que la mquina
contabiliz.
103
Archivo
4.2.1
Publicar votos
4.2.2
Identificador
Ingresar
identificador
4.2.3
Mostrar
opcin
Opcin
Esquema N 38 Verificacin pblica
Este proceso de verificacin es complementario ya que la forma que posee el mtodo de

comprobar el correcto funcionamiento del sistema completo de votacin es mediante la
verificacin privada. Sin embargo, ste, existe para darle al elector la posibilidad de evidenciar
una falla sin moverse de su casa. La nica funcin que posee la verificacin pblica es encontrar
errores al proceso.
En una primera percepcin, se puede arriesgar a pensar que en realidad lo que el votante
est comprobando es que la mquina de votacin haya respetado su eleccin. Esto en realidad no
ocurre por la caracterstica de los sistemas de mostrar una cosa y poder almacenar otra. Es posible
que una mquina exhiba el nmero de opcin elegido por el sufragante, pero tener guardado otro
diferente, logrando procesar un voto que no refleja la intencin del elector, sin que ste se diera
cuenta. Esta posibilidad existe debido a que no se est informando el nombre del candidato por
quin opt el votante.
104
Por estas razones es que la accin de verificar el voto pblicamente consiste en la

bsqueda de una falla del sistema, ya que solo nos provee informacin en el caso de que el valor
publicado no coincida con el nmero de opcin que figura en el ticket impreso por la mquina de
votacin.
4.3. Verificacin privada

En este proceso se efecta la verificacin real del voto. El resultado arrojado es el nombre
del candidato procesado por la mquina de acuerdo a la eleccin realizada por el sufragante.
Al igual que en la votacin, la verificacin se realiza en 2 etapas, una de identificacin y

otra de consulta. Sin embargo, en esta instancia, la red montada entre los dos dispositivos
intervinientes no es inalmbrica. El primero de ellos contiene un lector de huellas dactilares y otro
de cdigo de barras, y se encuentra fuera del cuarto de verificacin. A partir de la lectura del
cdigo de barras, se obtiene el identificador del voto cifrado y descifrado. A continuacin se debe
leer la huella dactilar para obtener la clave de cifrado, localizando la imagen almacenada en la
mquina mediante los algoritmos reconocedores de huellas, y descifrar el valor encriptado con la
misma. Si el resultado de esta operacin coincide con el identificador representado en el cdigo de
barras, se busca en los registros un sufragio que coincida con l. En caso de existir se lo enva por
la red para que la mquina que se encuentra dentro del cuarto de comprobacin se prepare para
mostrar al candidato perteneciente al voto. Esta ltima se compone de un monitor Touch Screen
que requiere que el votante presione un botn de la pantalla para revelar el nombre del
representante perteneciente al sufragio. Este paso es obligatorio para evitar que alguien fuera del
cuarto pueda espiar el monitor. Despus de unos segundos de haber exhibido al candidato, lo
oculta y enva una seal de fin al dispositivo exterior.
La interaccin existente entre los procesos de identificacin y el de consulta, se muestra en

la figura N 39. Como se ve, existe una sincronizacin entre ambos mediante seales transmitidas
por la red. Al igual que en la votacin, ambas mquinas no funcionan en simultneo. Cuando una
se encuentra activa, la otra no y viceversa. Las seales de sincronismo no son ms que el
identificador del voto y el mensaje de fin.
105
ID del voto
4.3.1
Identificar
4.3.2
Consultar
Fin
Esquema N 39 Verificacin privada
4.3.1. Identificar
El dispositivo encargado de la identificacin del voto que va a ser consultado posee un
lector de cdigo de barras, mediante el cual se obtienen los datos del comprobante. Luego, se
habilita el fingerprint scanner capaz de efectuar la lectura de la huella digital del votante. A partir
de la misma, se busca la huella dactilar almacenada en la memoria del dispositivo que se
corresponda con la imagen leda. La huella
guardada es la escaneada en el proceso de
identificacin del votante, previo a la emisin del voto, y la que se utiliz como clave de cifrado
del identificador que posee el comprobante. Con ella, se descifra el identificador del voto extrado
del cdigo de barras y se compara contra el valor descifrado ledo directamente del ticket, para
autenticar al elector. Si coinciden, se busca en los archivos de la mquina, el registro cuya clave
concuerde con el mismo. En caso de encontrarlo, se enciende una seal verde indicando el xito
para que el custodio permita a la persona ingresar al cuarto de comprobacin. Caso contrario se
encender una luz roja de alerta, seal de que fall el reconocimiento. Este indicador se enciende
de amarillo cuando falla la autenticacin, ya sea porque no se encuentra una huella almacenada
que posea los mismos patrones que la obtenida de la lectura recientemente efectuada o por
cualquier otra razn.
106
Datos del ticket

4.3.1.1
Lectura de
Comprobante
4.3.1.2
Incorrecto
Huella
Lectura de
Huella
4.3.1.3
Buscar huella
clave
Clave y datos del ticket
4.3.1.4
Descifrar y
comparar
Incorrecto
Identificador de voto y
cdigo de mesa
4.3.1.5
Buscar voto
Activar Mquina
Esquema N 40 - Identificar
El motivo de la falla se puede deber a varias razones. Una de ellas, simplemente

corresponde a un error de lectura de la huella del dispositivo, por lo que en un segundo intento,
podra no ocurrir lo mismo. Otra de las razones, se puede deber a que la persona equivoc el dedo
que utiliz en la votacin. Si durante las elecciones, para activar la mquina de seleccin del
candidato se utiliz determinado dedo de la mano, para la verificacin se debe utilizar el mismo,
ya que sino la lectura de la huella ser diferente y no se podr identificar al voto. Finalmente, si el
ticket corresponde a una mesa cuyos votos no se encuentran almacenados en la mquina de
comprobacin, tambin devuelve error.
107
La figura N 40 muestra la secuencia de ejecucin del proceso. En un primer momento se

efecta la lectura del cdigo de barras y de la huella de dactilar, para quedarse con el identificador
del voto. Una vez obtenido el mismo, se busca en los archivos un registro que coincida con l. En
caso de encontrar uno, se enva el mensaje de sincronismo a la mquina que est dentro del cuarto
y se enciende el indicador luminoso. De lo contrario, se alerta del error.
4.3.2. Consultar
Este proceso se inicia al recibir el mensaje que contiene el identificador del voto a travs
de la red. Este evento dispara una bsqueda para encontrar el voto referido por ese nmero. Al
encontrarlo, se queda esperando que el usuario le d la orden para mostrar el nombre del candidato
del sufragio. Una vez que ocurre, se inicia un temporizador, que despus de unos segundos, oculta
el contenido de la pantalla y enva una seal por la red para habilitar nuevamente el dispositivo
que lee las huellas dactilares.
Identificador
Nombre del candidato

4.3.2.1
Buscar voto
4.3.2.2
Mostrar
candidato
4.3.2.3
Iniciar
Contar tiempo
Fin
Esquema N 41 - Consultar
108
En la figura N 41 se muestra la secuencia descripta en el prrafo anterior. Lo nico que se

puede remarcar, es que el proceso que muestra el nombre del candidato en la pantalla, para hacerlo
debe esperar que el usuario presione un botn; de esta forma se protege el secreto del voto.
109
CAPTULO VI
Verficabilidad del mtodo
La forma en que el mtodo permite verificar el voto emitido es explicada en este punto.
Aqu se busca detallar las caractersticas y la funcionalidad que cumplen cada una de las pruebas
fsicas que proporciona el sistema. Se puntualiza en las funciones del ente regulador, en quin
recae la responsabilidad de comprobar e informar las anomalas que presente el sistema. Si bien el
procedimiento de verificacin fue explicado en el punto anterior, aqu se hace hincapi en la
deteccin de las fallas y en la demostracin de los errores mediante las evidencias que posee el
elector sin violar el secreto de sufragio.
1. Pruebas fsicas
La posibilidad de verificar la correccin del sistema de votacin electrnica por parte de
los votantes la otorga la existencia de pruebas fsicas del sufragio que se encuentran repartidas
entre los electores y el ente responsable del escrutinio. Cada parte posee una pieza que por s
misma carece de significado, pero juntas revelan el voto emitido por el sufragante. Esta
caracterstica del sistema, de otorgarle a las personas el poder de demostrar por quin votaron, le
da vida al proceso de verificacin. Si no existiera, el mismo carecera de sentido porque nadie
sera capaz de probar que hubo una falla y que el voto contabilizado no refleja su intencin.
Como fue explicado anteriormente, cada elector se lleva un comprobante impreso por la
mquina de votacin al finalizar la seleccin de su candidato. Este recibo conforma la prueba
fsica que poseen las personas para demostrar por quin votaron en caso de existir un error en el
sistema. La pantalla de papel es el comprobante que complementa al ticket para poner en
manifiesto el voto del individuo. ste permanece en manos del ente encargado de regular las
votaciones.
110
1.1. El ticket
El ticket impreso por la mquina de votacin cumple con 4 funciones diferentes. La
primera de ellas consiste en indicarle al elector la finalizacin de la operacin de seleccin del
candidato. La segunda, es la de servir de soporte de informacin en el momento en que el
sufragante utiliza la opcin de comprobacin pblica. La tercera, consiste en autenticar al votante
cuando se presenta para efectuar la verificacin privada. Finalmente, la cuarta, es la de
complementarse con la pantalla de papel para dejar de manifiesto el voto del poseedor del
comprobante.
La funcin de indicarle al elector el final de su operatoria con la mquina de votacin, es

similar a la que realizan los cajeros automticos de los bancos. Cuando un usuario realiza una
operacin frente a una mquina, cualquiera que esta sea, espera obtener un resultado sealndole
que complet la accin correctamente. La respuesta en el caso de la votacin electrnica es un
recibo de papel que posee el nmero de opcin del listado de candidatos elegido por el votante.
Esta es la primera instancia de verificacin que poseen los electores. La prueba consiste en el
resumen de lo realizado por cada individuo en la mquina, el mismo sentido que se le da a los
comprobantes de los cajeros automticos.
La funcin de soporte sirve para que al momento de verificar que el voto se contabiliz
correctamente mediante la comprobacin pblica, el elector posea un registro impreso del nmero
de opcin elegido, que debe coincidir con el valor publicado en Internet. Adems el ticket posee el
cdigo identificador del voto, nmero que debe ser ingresado en la web para poder acceder al voto
que uno desea cotejar. ste, es el papel principal que desempea en esta instancia, ya que se
convierte en el medio de acceso a los datos publicados.
La ltima de las funciones nicamente tiene lugar en el caso de que las verificaciones
existentes a lo largo del proceso de votacin hayan arrojado resultados no esperados. Si luego de
efectuadas la verificacin pblica y la privada, el voto revelado no coincide con la eleccin
realizada por el elector, el ticket se convierte en la prueba del error cometido por las mquinas de
votacin. La forma de comprobar la equivocacin, consiste en buscar la impresin de la pantalla
de papel que posee el mismo identificador de voto que el recibo, observar realmente cul fue el
voto emitido y revisar si coincide con la revelacin efectuada por la mquina encargada de realizar
la comprobacin privada.
111
Para poder servir como prueba, el mismo no debe poder ser alterado, porque de lo
contrario se podra hacer caer la votacin completa. Slo bastara con generar una cierta cantidad
de tickets falsos con el nmero de opcin modificado para aparentar que las mquinas cometieron
errores en el registro de los votos. Si la cantidad de anomalas detectadas es significativa, la
eleccin completa debera ser anulada. El riesgo de que algo as ocurriera, no es menor si se
contempla que los recibos se encuentran en manos de los electores y constituyen un elemento de
gran valor para legitimar o invalidar una eleccin. Para que un hecho semejante no ocurra, los
papeles impresos por las mquinas de votacin poseen marcas de agua. Entre ellas se encuentra un
cdigo que identifica a la mquina unvocamente. Adems, los dispositivos de impresin utilizan
una tinta especial que no es comercializada. Estas medidas de seguridad sirven para evitar la
falsificacin de los tickets.
1.2. Pantalla de papel

Al igual que el ticket impreso por la mquina, la pantalla de papel posee ms de una
funcin. La primera de ellas consiste en servir de interfaz grfica entre el usuario y la mquina de
votacin; la segunda, en complementarse con el ticket para revelar el voto real emitido por el
elector.
Cuando el votante se presenta frente a la mquina de votacin, es la pantalla de papel la

que visualiza el listado de candidatos para que el usuario pueda realizar su eleccin. El listado
permanece en pantalla hasta que el elector confirme su seleccin, as ste puede comprobar que la
opcin ingresada por teclado se corresponde con la boleta por la que intenta votar. En esta
instancia la pantalla de papel cumple la tarea de comunicarle al sufragante las opciones
disponibles para elegir.
La otra funcin, slo es requerida para comprobar errores que son informados por los
votantes, luego que los mismos verifiquen que su voto no se corresponde con la eleccin que
hicieron cuando se encontraban frente a la mquina de votacin en el cuarto oscuro. El papel
utilizado como pantalla, adems del listado de candidatos ordenado en forma azarosa, posee el
identificador de voto de cada elector. Es la prueba fsica que se encuentra en manos del ente
112
regulador. Si bien cada impresin del listado de candidatos por s misma carece de significado, ya
que en ella no se informa la eleccin realizada, cuando se junta con el ticket que posee el mismo
identificador, deja de manifiesto el voto.
Para evitar que el mismo sea falsificado, posee marcas de agua al igual que el recibo que se
queda el votante. Tambin es impreso con una tinta especial. De esta forma se mitiga el riesgo de
que las pruebas sean alteradas y dejen de servir como evidencia.
113
2. Mtodo de verificacin real

Si bien el mtodo de verificacin fue expuesto en el punto en que se desarrolla la
explicacin de la solucin propuesta, el mismo consiste en una comprobacin por parte del
elector. Sin embargo, para poder probar una falla, es el ente regulador el que debe evidenciar el
error. Para ello, debe remitirse a las pruebas fsicas generadas por las mquinas de votacin.
Por cada anomala informada, el ente posee la obligacin de comprobar mediante las
pruebas fsicas que posee y las proporcionadas por los electores, que cada falla sea real. Si el
nmero total de errores es significativo, esto es, si supera cierto nmero preestablecido que ser en
funcin de la cantidad de electores empadronados, la eleccin completa debera ser anulada. De
igual manera, pueden ser anulados los votos provenientes de una mquina si el nmero de defectos
producidos por el dispositivo de votacin excede al valor permitido por cada mesa.
La forma de comprobar las fallas informadas es simple. Se leen el identificador del voto y
el cdigo de mesa que estn impresos en el ticket. Se busca el papel utilizado como pantalla por la
mquina que posee el listado de candidatos expuesto para ese voto. Una vez encontrado, el
sufragio queda manifestado a travs del nmero de opcin que figura en el ticket y el nombre del
candidato que figura en el listado precedido por el mismo nmero. En este paso se alcanza a
conocer el voto real emitido. Lo que queda por verificar es que la mquina lo haya contabilizado
mal. Para ello el ente regulador posee una terminal que permite verificar los votos, de manera
similar a la comprobacin privada. La diferencia radica en que no requiere la autenticacin de la
persona para revelar el voto, sino que se debe ingresar el cdigo de identificacin del mismo por
teclado. Si el candidato o boleta que se visualiza en la pantalla no coincide con el voto real, la falla
est probada.
Es importante entender por qu no se utiliza el lector de huellas dactilares para esta

instancia de comprobacin. La verificacin real es realizada por el ente regulador nicamente, es
decir que la persona que posea el ticket no participa de la misma, por lo que imposibilita el uso del
lector. La razn por la que se realiza de esta forma, es para mantener el secreto del voto. Para
explicar cmo se preserva el secreto, se plantean 2 situaciones:
114
a) Si el proceso utilizara la autenticacin de personas, el dueo del voto debera

presentarse a la comprobacin. Como en esta instancia queda expuesta la verdadera
eleccin, la relacin entre voto y votante se establecera en forma inmediata y se
perdera el secreto. Al delegar la responsabilidad en un ente, el sufragante no posee
la necesidad de identificarse, por lo que el ticket puede ser provedo por un tercero,
imposibilitando realizar alguna conexin entre el voto y la persona. De esta forma
se conserva el secreto.
b) Si el proceso no requiere la autenticacin de personas, pero debe ser realizado por

el ente y la persona que provee el ticket en forma conjunta, un coerzor podra
obligar a un votante a denunciar una falla, con el fin de presentarse ste a la
verificacin y conocer con certeza por quin el sufragante opt. Este escenario
compromete el secreto del voto, por lo cual imposibilita su prctica y obliga a
delegar la comprobacin nicamente en el ente con el fin de preservar el secreto.
Contrario a lo que se puede imaginar, la verificacin del voto y la exposicin real del
mismo no compromete su secreto. Para ello es necesaria la participacin de un ente regulador que
ejecute las tareas de revisin. Mientras las mismas se llevan a cabo, a la persona que acerca el
ticket se le entrega una copia provisoria para que no se quede sin ninguna prueba. Si se confirma
la falla, se examina el ticket para comprobar que no haya sido falsificado. Terminados los estudios
sobre el mismo, es devuelto a quin lo provey y se elabora un informe con el resultado.
115
CAPTULO VII
Resultados
La finalidad de este captulo es analizar si el mtodo propuesto cumple con los objetivos
planteados al inicio de este trabajo y con lo requerimientos que poseen los sistemas de votacin
electrnica segn las fuentes que fueron citadas. Se evala su aplicabilidad en la Argentina en
base al cumplimiento de los requisitos impuestos por la Ley electoral Nacional. Luego se
describen las ventajas y desventajas que presenta el mtodo, con el fin de demostrar las fortalezas
y debilidades del sistema. El anlisis concluye comparando los sistemas de votacin existentes con
el mtodo Panalla-Impresora en base a determinadas caractersticas que se exigen de los sistemas
de eVote.
1. Resultados obtenidos
1.1. Cumplimiento del objetivo

En este punto se analiza si la solucin propuesta satisface los objetivos planteados. Para
ello se propone repasar cada uno de los puntos expuestos y verificar si el mtodo PrnterScreen los
cumple.
El primero de los requerimientos consista en la elaboracin de un mtodo que permita

verificar al votante el correcto almacenado y conteo de votos. Mediante los procesos de
verificacin pblica y privada, el sistema le faculta al sufragante comprobar si el voto registrado
por la mquina coincide con la eleccin que realiz. Cuando el dispositivo revela la boleta que
posee guardada, el elector puede corroborar la correccin del almacenado y por tanto su adecuada
incorporacin a los totales de los comicios. Si bien esta ltima implicacin no necesariamente se
cumple y puede ser objetada por gente idnea en sistemas, para el resto de las personas es vlida
116
ya que la visualizacin del voto correcto provoca la sensacin de que el mismo fue contabilizado
debidamente. A quienes entienden de tecnologa y de sistemas informticos, se les debe explicar
el mtodo y demostrar la imposibilidad de que, al momento de la comprobacin, revele un
resultado diferente al que utiliz en el conteo, para poder satisfacer el requisito.
El siguiente objetivo consista en que la existencia de un proceso de verificacin no

comprometa el secreto del voto, la velocidad en obtener los resultados o la facilidad del proceso
de seleccin de candidatos. Como se ha visto, el mtodo posee dos instancias de verificacin, la
pblica y la privada. En la primera de ellas, el dato publicado carece de significado para toda
persona ajena a la que realiz el sufragio. Es decir, es imposible inferir por quin vot un
individuo con la informacin obtenida del sitio web donde se publican los sufragios. Recordemos
que este procedimiento sirve para tener una primera apreciacin de la correccin del sistema y el
objetivo consiste en encontrar fallas rpidamente y no de verificar el voto. Mediante esta prctica,
el anonimato del voto est garantizado. En la verificacin privada, si bien se manifiesta
explcitamente la boleta y el nombre del candidato por quien uno vot, el secreto est a salvo ya
que al momento de la revelacin, uno se encuentra en un cuarto oscuro con la misma privacidad
que se tiene al momento de emitir el sufragio.
La velocidad en obtener los resultados no diferira si la comprobacin no existiese. El

sistema de contabilizacin de votos es independiente de la verificacin. La presencia del mismo
no agrega tareas o complejidad a la totalizacin de votos, por lo que la velocidad con la que se
alcanzan los resultados de los comicios no vara si el mtodo no poseyera la revisin de los
sufragios.
El sistema de emisin de votos es simple y se compone de tres tareas sencillas de realizar y

que son explicadas en cada momento por la mquina de votacin. Inicialmente se debe colocar un
dedo para la lectura de la huella dactilar que habilita la mquina. Luego se debe ingresar el
nmero de opcin que corresponde con el candidato y presionar la tecla de aceptacin. Finalmente
se valida el candidato elegido presionando nuevamente la tecla de confirmacin. La nica
novedad pasa por el primero de los pasos, ya que los siguientes son realizados cotidianamente por
los ciudadanos en el uso de los cajeros automticos o simplemente en calculadoras donde la tecla
de igual simbolizara a la de aceptacin. Se cree que la incorporacin de la lectura de las huellas
dactilares no dificulta el proceso ya que slo consiste en colocar un dedo sobre un dispositivo
debidamente sealado y porque adems la misma tarea tambin se realiza en el proceso de
identificacin del votante con la ayuda de los fiscales de mesa apenas unos segundos antes.
117
Mediante la educacin y la posibilidad de comprobacin de los votos, la confianza de los

ciudadanos en los sistemas de votacin electrnica debera aumentar al punto de que lo consideren
seguro y no teman por la existencia de un fraude a gran escala. Esto simplemente es una hiptesis,
nicamente comprobable por la experiencia emprica de aplicar el mtodo a comicios reales en
reiteradas ocasiones, para luego encuestar a los participantes obteniendo resultados que confirmen
o refuten la afirmacin. Por lo tanto el requisito de incrementar la confianza de los electores, si
bien al momento no puede ser satisfecha, se cree que en un futuro, si el mtodo es utilizado, se
lograr cumplir.
Otro de los objetivos que se pretenda cumplir, consista en que el mtodo nos asegure que
ningn fiscal u oficial electoral sea capaz de rastrear nuestro voto. El proceso de votacin posee
las tareas de identificacin del elector y de emisin de votos en mquinas independientes. El voto
almacenado no posee ningn dato que permita relacionarlo con algn registro de la mquina
identificadora. Adems, el hecho de que el archivo que posee los sufragios atraviese un proceso de
mezcla, evita que mediante el orden de los mismos alguien pueda rastrear a quin pertenece un
voto. Por lo tanto, por ms que un fiscal o cualquier persona que se proponga rastrear algn voto,
no podr conseguirlo husmeando en los archivos. Tras la seleccin de un candidato en la mquina
de votacin, el nico elemento que vincula a la persona con el sufragio emitido, es el ticket
obtenido como resultado de la operacin. Como se ha explicado en el captulo anterior, la
posesin del mismo no nos permite tener acceso al voto propiamente dicho. En la nica instancia
post electoral que se consigue es en la comprobacin privada, pero solo el emisor del voto puede
hacerlo, resguardado por un oficial de seguridad y la lectura de la huella dactilar.
Otro requerimiento consista en poder demostrar la existencia de una anomala sin

comprometer el secreto del voto. Mediante la impresin del recibo y las opciones de la pantalla de
papel, se logran las evidencias necesarias para certificar el verdadero sufragio. El ente regulador
es el medio utilizado para no exponer el anonimato del voto en el proceso de comprobacin de las
fallas. Su razn de ser es la posibilidad que otorga de demostrar el error cometido por la mquina
sin comprometer el secreto del sufragio frente al mismo ente o cualquier persona interesada en
conocer la eleccin realizada por otro. El objetivo se cumple gracias a las evidencias fsicas que
deja el sistema y a la proteccin que otorga el ente regulador.
Las mquinas de votacin no utilizan boletas preimpresas, exigencia planteada para no

heredar la desigualdad de posibilidades que posee un partido poltico de resultar electo, causada
118
por los recursos con que cuenta cada uno. Este objetivo no slo fue alcanzado, sino que se logr
equiparar la probabilidad de que una boleta sea leda con respecto a otra cualquiera. Esta
caracterstica no ocurre ni en los sistemas tradicionales de votacin, donde el orden en que se
despliegan las boletas en las mesas del cuarto oscuro, distribuye tendenciosamente esa
probabilidad.
La seguridad del sistema est dada a travs de los mtodos criptogrficos utilizados a lo
largo de todo el proceso y el protocolo de comunicacin empleado en las redes inalmbricas y en
la transmisin de los datos hacia los centros de consolidacin de la informacin. Para garantizar la
seguridad, existe el proceso de inicializacin donde todas las mquinas intervinientes en la
votacin generan e intercambian las claves que van a utilizar a travs de redes cerradas. Cada
mquina es autenticada y la integridad de la informacin es protegida mediante cdigos de Hash.
De esta forma se obtiene un sistema seguro y difcilmente violable.
1.2. Cumplimiento de los requisitos de eVote

El ltimo objetivo planteado apunta hacia la posibilidad de ser implementado. Para ello se
repasan los requisitos planteados en la primera seccin del trabajo que hacen a la viabilidad de
aplicacin del mtodo en los sistemas de votacin.
Anonimato, privacidad y no coercin
Como se ha explicado recientemente, en ninguna etapa del proceso de votacin

se pone en riesgo el secreto del voto. La permanencia del cuarto oscuro al momento de
emitir y verificar el sufragio, garantiza el anonimato, la privacidad y la no coercin. La
inexistencia de posibilidades de vincular a un voto con la persona que lo emiti le
otorgan total libertad a la decisin del ciudadano acerca del candidato que desea elegir.
Elegibilidad y autenticidad
Mediante el sistema de identificacin de las personas que existe en cada mesa

de votacin, se garantiza que slo puedan votar los electores habilitados y
119
empadronados. La identidad es autenticada con la lectura del documento de identidad

que se les presenta a los fiscales y el proceso ejecutado por la mquina imposibilita a
un individuo votar ms de una vez.
Integridad
Mediante los cdigos de hash, los sistemas de verificacin, la autenticacin de

las mquinas y el control cruzado efectuado en la contabilizacin de los votos, impiden
que los mismos sean alterados o eliminados sin ser detectados.
Certificacin y auditoria
El sistema se encuentra a disposicin de agentes oficiales para ser probado y as

certificar los niveles aceptables de funcionamiento. El sistema puede ser auditado en
cualquier momento, inclusive despus de finalizadas las elecciones.
Confiabilidad
Se espera que el sistema funcione de manera robusta y eficiente, sin prdida de

votos ni de datos o informacin. En caso de que esto ocurra ser detectado por alguna
de las instancias del proceso o por el mismo votante. La posibilidad de verificacin del
voto le otorga un mayor grado de confiabilidad al mtodo, cosa que no ocurre con otros
sistemas. Esto es porque el elector percibe el buen funcionamiento cuando, posterior a
la publicacin de los resultados, visualiza en una pantalla su voto. Sin embargo, la
confianza puede decrecer al punto de provocar el fracaso de la aplicacin de las
tecnologas a los sistemas electorales, si se llegaran a detectar suficientes fallas para
proceder a anular la votacin o simplemente los votos provenientes de determina mesa.
Facilidad de uso
El mtodo diseado es fcilmente utilizable por los electores y tiene la

caractersticas de ser lineal para no provocar confusin en los votantes. Adems la tarea
de los fiscales es sencilla y se remite casi nicamente a controlar la identidad de las
personas. Slo el presidente de mesa posee la tarea adicional de iniciar el conteo de
120
votos y la impresin de las actas iniciales mediante el ingreso de un PIN. Sin embargo,
deben existir capacitaciones previas para que esta accin no provoque complicaciones
en los encargados de ejecutarlas.
Exactitud y posibilidad de verificacin
Este punto consiste en el objetivo principal de este trabajo, por lo que el mtodo
hallado como solucin satisface ampliamente este requisito. El sistema es verificable
no solo por agentes oficiales encargados de la auditora o el ente regulador que se
menciona, sino tambin por los mismos ciudadanos. Cada votante tiene la posibilidad
de comprobar si su voto fue correctamente almacenado.
1.3. Ventajas y Desventajas del mtodo
1.3.1. Ventajas
Rpido conteo y totalizacin de los sufragios a causa de la transmisin de votos a travs de
las redes que comunican los centros de votacin con los de contabilizacin.
Posee un comprobante tangible del sufragio que permite certificar con exactitud que el
voto almacenado refleja la intencin del elector.
Permite la eliminacin del voto nulo ya que nadie puede optar por 2 candidatos al mismo
tiempo.
Se puede votar en blanco, seleccionando el nmero de opcin correspondiente.
Es sencillo de utilizar, permite la emisin de votos en pocos pasos.
Permite a las personas discapacitadas emitir votos sin necesidad de asistencia, por lo que se
garantiza la libertad y privacidad para todos los ciudadanos.
121
El voto es annimo y secreto ya que la identificacin de la persona se realiza en una

mquina diferente a la emisin del sufragio. No existe ningn dato que relacione ambos registros
ya que la huella dactilar es empleada como clave de cifrado y es almacenada en un archivo
independiente.
El sistema no permite votar ms de una vez a cada ciudadano. Adems no permite votar a
quienes no se encuentren empadronados o no posean el documento que acredite su personalidad.
Posee medidas de seguridad para que las comunicaciones entre las mquinas no sean
alteradas.
Cada mquina se encuentra identificada y es autenticada para que sus votos no sean
contabilizados ms de una vez.
Posee controles cruzados para no permitir el agregado de votos no emitidos ni la

eliminacin de sufragios.
El elector puede verificar el voto almacenado antes de abandonar el cuarto oscuro y en

caso de equivocacin lo puede corregir.
Otorga equidad a los partidos polticos en cuanto a la posibilidad de triunfar en la eleccin,

eliminando la disparidad causada por los recursos que poseen para emitir las boletas y por la
asignacin arbitraria del orden de aparicin en la mquina o por la diferencias de sensibilidad que
presenta la pantalla touchscreen.
Utiliza funciones de hash y cifrados para garantizar la integridad de los datos. Pantalla de
papel para asegurar que lo que el votante visualiza es lo mismo que se graba y no puede existir un
proceso que altere esta relacin.
Es el nico sistema que permite al votante verificar realmente el voto emitido luego de
finalizado el escrutinio. Esto se traduce en confianza del elector hacia el sistema y la imposibilidad
de fraguar la eleccin. Posee pruebas fsicas para demostrarle a un tercero la existencia de un voto
alterado sin revelar el secreto de quien lo emiti.
122
1.3.2. Desventajas
Se pueden generar dudas acerca del secreto y anonimato del voto por la utilizacin de la
huella dactilar en la mquina de votacin. Sin embargo, por el uso que se le otorga a la misma, el
secreto est garantizado. La huella no es almacenada en ningn momento junto al registro del
voto, sino en un archivo independiente en la mquina de identificacin.
Al no respetar el sistema tradicional de votacin, puede existir cierta resistencia en la

implementacin del mtodo. Requiere de capacitacin de la poblacin en el uso de la tecnologa.
Adems el hecho de igualar las probabilidades de ganar de los partidos chicos y los grandes a
causa de la eliminacin de las boletas (la cantidad impresa por los partidos chicos es inferior a la
de los grandes, al punto tal que existen distritos donde ciertos partidos no presentan boletas) puede
producir resistencia poltica.
Dependiendo del sistema de votacin que se intenta implementar, la pantalla de papel

pudiera resultar chica, por lo que se requerira ampliarla, achicar la letra o realizar alguna
distribucin de los datos en la misma. Esto ocurrira en los casos de listas sbanas por citar un
ejemplo. Igualmente, existen otra forma de solucionar estos problemas que no requieren la
impresin de todos los integrantes de la lista en la pantalla de papel.
Posee un alto costo de emisin y mantenimiento de los comprobantes y la pantalla de

papel.
123
2. Comparacin con los sistemas de eVote existentes

En este punto se construyen varias tablas que comparan los diferentes sistemas de votacin
electrnica en base a caractersticas que permiten alcanzar una medida de efectividad de los
mtodos, en cuanto a la confianza que le pueden tener los votantes. Como podr verse PantallaImpresora constituye un sistema de votacin electrnica simple, veloz, seguro, correcto y
auditable, por lo que se deduce que posee la mayor probabilidad de ser aceptado por las
poblaciones mundiales.
SISTEMAS
Tarjetas perforadas
SECRETO Y ANONIMATO
Respeta
Optical Marksense
Respeta pero revela el voto nulo
Mecanical Lever Machines
Respeta
Direct Recording Electronic
Respeta. La identificacin del elector en la misma mquina genera

dudas.
Voter Verifiable Ballots
Respeta. La identificacin del elector en la misma mquina genera

dudas.
Secret Ballot Receipts
Respeta
Pantalla-Impresora *
Respeta
124
SISTEMAS
Tarjetas perforadas
VELOCIDAD DE CONTABILIZACIN
Media, por ser un proceso mecnico. El resultado oficial se conoce
luego del recuento manual
Optical Marksense
Media, por ser un proceso mecnico. El resultado oficial se conoce

luego del recuento manual
Rpida, la demora se produce en el envo de la informacin a los

centros y en tener que ingresarla manualmente para totalizar el
recuento.

centros.

centros. El resultado oficial se conoce luego del recuento manual.
Rpida
Rpida
SISTEMAS
Tarjetas perforadas
SENCILLEZ
Dificultad para comprobar el candidato representado por la tarjeta
Optical Marksense
Dificultad para marcar el candidato en la tarjeta. Similar al sistema

tradicional
Simple
Simple la emisin del voto. Difcil la comprobacin si se permite.
Simple
Requiere capacitacin, se agregan pasos para la emisin del

comprobante
Simple
125
SISTEMAS
Tarjetas perforadas
COMPROBANTE TANGIBLE
Es la tarjeta misma.
Optical Marksense
Es la tarjeta misma.
No tiene.
No tiene.
Comprobante impreso. Genera doble registro.
Comprobante impreso cifrado.
Comprobante impreso.
SISTEMAS
Tarjetas perforadas
PERSONAS DISCAPACITADAS
Requieren asistencia.
Optical Marksense
Requieren asistencia en algunos sistemas.
Requieren asistencia.
Votan sin asistencia.
No pueden verificar el comprobante durante la votacin
Votan sin asistencia. No pueden comprobar el voto sin ayuda.
Votan sin asistencia.
SISTEMAS
Tarjetas perforadas
COSTO
Bajo, recae en la emisin de las tarjetas.
Optical Marksense
Depende del diseo de las boletas.
Bajo, se eliminan las boletas.
Bajo, se eliminan las boletas.
Medio, se eliminan las boletas, pero aumenta por la impresin del

comprobante.
Medio, se eliminan las boletas, pero aumenta por la impresin del

comprobante.
Alto se eliminan las boletas, pero aumenta por la impresin del

comprobante y la pantalla de papel.
126
SISTEMAS
Tarjetas perforadas
AUDITABLE
S, mediante el recuento manual de las tarjetas.
Optical Marksense
S, mediante el recuento manual de las tarjetas.
No.
No.
S, mediante el recuento manual de los comprobantes.
En forma parcial mediante la verificacin pblica de votos.
S, mediante la verificacin pblica, privada y el ente regulador.
SISTEMAS
Tarjetas perforadas
EQUIDAD
Depende de la cantidad de tarjetas existentes de cada partido.
Optical Marksense
No, la ubicacin de los candidatos en la tarjeta puede favorecer a

uno de ellos.
S.
No, el orden asignado a cada candidato, altera la probabilidad de ser

electo. Empeora si se utiliza tecnologa Touchscreen.


S, dada por el orden aleatorio asignado a los partidos.
SISTEMAS
Tarjetas perforadas
IDENTIFICACIN DEL ELECTOR

Separada. Posee una mquina para votar y la identificacin puede ser
manual o mediante otra mquina.
Optical Marksense


Puede ser en la misma mquina o separado.
Separada. Posee una mquina para votar y otra para identificar a las
personas.
127
SISTEMAS
Tarjetas perforadas
INTEGRIDAD
Depende del estado de las tarjetas.
Optical Marksense
Los votos pueden ser mal interpreta-dos por marcas ambiguas.
No se puede probar.
Se puede fraguar el sistema sin ser detectado. No se puede probar.
Se puede probar a travs del recuento manual.
Se puede probar la existencia de fallas.
Se puede demostrar con total seguridad.
SISTEMAS
Tarjetas perforadas
CONFIABILIDAD
Los recuentos no arrojan siempre los mismos resultados.
Optical Marksense
Los recuentos no arrojan siempre los mismos resultados.
Quedan votos residuales que no son contabilizados.
Al no tener un comprobante, es poco confiable. Quedan votos

residuales que no son contabilizados.
Existe un doble registro de votos. El de los comprobantes es el

vlido, relegando al cmputo automtico a una aproximacin.
Alta, aunque no elimina la duda acerca de la correccin de los votos

guardados.
Muy alta, a causa de que se puede comprobar si el voto que uno

emiti se almacen correctamente.
* Las calificaciones realizadas al mtodo Pantalla Impresora son a opinin del autor y estn sujetas a
revisin y verificacin de los pares.
128
CAPTULO VIII
Conclusiones
La necesidad de reducir el tiempo demandado en conocer los resultados de los comicios
condujo a la incorporacin de las tecnologas de informacin al acto de sufragio, obteniendo como
resultado, el denominado voto electrnico. El mismo puede comprender las tareas de registro y
verificacin de la identidad del elector, la emisin del voto, el recuento de votos y la transmisin
de los resultados. Desde la aparicin de la primera mquina capaz de registrar y contabilizar los
sufragios, surgieron demandas que requeran soluciones inmediatas para no poner en riesgo la
solemnidad del acto de votacin. La experiencia expuso las falencias de cada una de las mquinas
que fueron surgiendo con el correr de los aos y que se utilizaron en los comicios de diferentes
regiones geogrficas.
La evolucin tecnolgica permiti acelerar cada vez ms la obtencin de los resultados,

adems de permitir la automatizacin de todas las etapas del proceso de votacin. Sin embargo,
los sucesivos errores incurridos y el crecimiento de la industria del fraude pusieron en jaque al
eVote. Para solucionar estos inconvenientes se resolvi que todas las mquinas emitan un
comprobante que sirva como prueba tangible de la emisin del voto. Esta tesis se ocup de
demostrar que esta medida, para aquellas mquinas cuyo comprobante se deposita en las urnas en
forma manual o automtica, no produjo otra consecuencia adems de la reduccin de la velocidad
con que se conocen los resultados, razn principal que impuls el uso de las tecnologas en los
sistemas de votacin.
Actualmente, se duda acerca de la utilidad del comprobante ya que el voto puede ser
alterado en etapas posteriores a la emisin. Surge la necesidad de verificar el voto en instancias
subsiguientes a la finalizacin del acto electoral. Hasta el momento no existe forma alguna de
comprobar realmente el voto. Slo existen medios criptogrficos que inducen a creer que el
sufragio contabilizado es el correcto, mediante diferentes representaciones, pero no permiten
vislumbrar realmente el voto. Los esfuerzos realizados no alcanzan para hallar una solucin que
revele el sufragio sin comprometer el secreto y anonimato del voto.
129
Como resultado de este trabajo, se concluye que resulta imposible realizar una verificacin
pblica del voto, que coloque de manifiesto el nombre del candidato o partido poltico elegido por
el sufragante, sin comprometer el secreto del voto. Nada garantiza que el ciudadano no est
verificando su voto bajo coaccin. Por ms que se apliquen los medios criptogrficos ms
avanzados, el elector requiere descifrar la informacin para poder corroborar la correccin de su
voto; si esa tarea la realiza desde lugares pblicos o privados, que no poseen custodia y no
garantizan la libertad del elector en realizar la verificacin, la persona podra estar siendo forzada
a efectuar la comprobacin, quebrando el secreto y anonimato del sufragio.
Tras haber analizado la problemtica, todos los sistemas de votacin electrnica existentes
y las experiencias realizadas en diferentes pases, se ensay una solucin con un claro objetivo:
permitir verificar los votos emitidos sin resignar la velocidad de recuento, la simplicidad del
proceso de emisin de sufragio, la correccin de su funcionamiento y cumpliendo con los
requisitos intrnsecos del voto. El resultado obtenido se denomin Mtodo Pantalla-Impresora.
Pantalla-Impresora cumple con el requerimiento que poseen las mquinas de eVote que
consiste en la emisin de pruebas fsicas que permitan al elector verificar su voto, y a su vez
puedan ser utilizadas como evidencia de mal funcionamiento de los dispositivos, sin comprometer
el secreto y anonimato de los sufragios. Esto se consigue mediante la utilizacin de las huellas
dactilares como claves de cifrado, sirviendo de autentificadoras de personas, y efectuando la
verificacin en lugares pblicos bajo custodia, necesaria para garantizar la libertad y privacidad
del elector al momento de la comprobacin. Cabe destacar, que resulta imposible relacionar un
voto con una persona, a pesar del almacenamiento de la huella dactilar como fue explicado en el
desarrollo de la solucin. La necesidad de contar con oficiales que protejan a los electores durante
la revisin mantiene la lnea de pensamiento anteriormente expuesta.
La clave del xito del mtodo propuesto en la tesis es la interfaz con el usuario que posee
cada mquina. El hecho de que la interaccin ocurrida entre el elector y el dispositivo de votacin
no sea voltil y quede registrado en un documento tangible que ste visualiza, permite recrear el
voto emitido e identificar puntualmente los sufragios que sufrieron alteraciones, al
complementarse con el comprobante que retiene el elector. Mientras los otros sistemas slo
detectan diferencias de totales entre la contabilizacin electrnica y la manual, o permiten inducir
posibles errores en las mquinas, Pantalla-Impresora es capaz de sealar como defectuoso cada
voto individualmente y conocer la modificacin que sufri.
130
Como consecuencia de resguardar el anonimato del voto y permitir una primera instancia
de comprobacin, el sistema implementa la verificacin pblica, factible de realizar desde los
hogares de cada ciudadano ya que no revela el voto sino una representacin numrica que slo
tiene valor para el elector.
Adicionalmente Pantalla-Impresora consigue que todos los candidatos o partidos polticos

que se presentan en los comicios posean la misma posibilidad de resultar electos, resolviendo el
problema de los presupuestos con que cuentan para la emisin de las boletas que presentan los
sistemas tradicionales de votacin, la disparidad ocasionada por el orden en que son desplegados
en las mquinas de votacin o simplemente la distribucin de las boletas en las mismas mesas del
cuarto oscuro.
El mtodo de votacin electrnica propuesta consigue verificar los sufragios sin resignar
las cualidades bsicas que deben ofrecer este tipo de sistemas: velocidad, simplicidad y
correccin, con el adicional de ofrecer equidad entre los candidatos. Por eso se concluye que la
votacin electrnica es verificable bajo ciertas condiciones de seguridad que garanticen la libertad
y privacidad de los electores durante la comprobacin.
131
ANEXO A
Experiencias Tecnolgicas existentes
1. Antecedentes del problema
1.1. Experiencias Internacionales de voto electrnico
1.1.1. India
Las razones principales de la implementacin tecnolgica fueron dos:
Reducir los altos ndices de fraude electoral.
Reducir los altos ndices de violencia creados durante las votaciones tradicionales.
El sistema actualmente implementado consta de urnas electrnicas muy simples, con el

software impreso sobre el chip central y no poseen electrnica que les permita conectarlas a alguna
red, de manera que el hackeo es prcticamente imposible. No imprime un comprobante. La forma de
seleccin en un tablet con botones especiales.
El proceso de recuento es bsico ya que no se realiza en los lugares de eleccin sino que las
urnas deben ser fsicamente trasladadas hasta alguno de los centros oficiales de consolidacin (en los
que participan veedores de los diversos partidos polticos). No se emite un acta de cierre y el sistema
de recuento es automtico.
132
Como las elecciones en muchas regiones del pas suelen ser interrumpidas por ataques
violentos de patotas partidarias, las urnas cuentan con un botn que puede ser operado en una
emergencia por los funcionarios a cargo. Este botn bloquea e inutiliza la urna en caso de robo o
vandalismo.[Misra, 2004]
1.1.2. Brasil
Brasil es posiblemente uno de los pases ms avanzados en la implantacin de sistemas de
voto electrnico. Las principales motivaciones que indujeron su implementacin fueron las siguientes:
Eliminar el fraude electoral.
Reducir el tiempo de escrutinio.
Facilitar el ejercicio de voto por parte de los analfabetos
El sistema que se ha estado utilizando es el de urna electrnica con teclado numrico para la
emisin del voto. Tiene botones especiales de confirmacin e impresin de acta inicial con activacin
por clave. El registro de los votos se realiza directamente en la memoria de la mquina de votacin y
en un diskette que luego ser trasladado hasta la sede de la autoridad electoral. No se emite ningn
comprobante fsico de sufragio. El cierre se realiza mediante clave y se emite un acta. La transferencia
para el recuento se realiza en forma tradicional con encriptacin de datos y firma digital. Algunas
mquinas poseen un modem interno para la transmisin de los datos. El escrutinio se efecta por
sumarizacin automtica. La caracterstica ms destacable del sistema brasilero reside en que permite
unificar el registro y verificacin de la identidad del elector, la emisin y el escrutinio de voto en una
misma mquina.
En los ltimos comicios se obtuvieron resultados absolutamente confiables, y se not una

disminucin del 50% de los votos nulos, con un aumento de la asistencia electoral y sin ninguna
impugnacin consistente.
En concreto y con un espritu estadstico es importante sealar que
utilizaron el voto
electrnico ms de 115 millones de personas. [TSE, 2003]
133
1.1.3. Blgica
Blgica decidi adoptar un sistema de votacin electrnica para resolver los problemas
ocasionados por la complejidad de su sistema electoral. Poseen de 1 a 5 elecciones simultneas
con listas de hasta 87 candidatos cada una y por eleccin, lo que deriva en totalizaciones de voto
complejas y propensas a errores.
Utilizaron un sistema DRE, que se explica en la seccin Tecnologa existente de este

anexo, con monitor touchscreen (sensible al tacto) y tarjeta magntica para habilitar la mquina y
registrar el voto. Los ciudadanos pueden emitir su voto tocando sobre la pantalla con un lpiz
ptico. El sufragio queda almacenado en la tarjeta que luego es leda por otro equipo electrnico
que se encuentra separado, al estilo de urna. El sistema puede ser auditado mediante una
comprobacin efectuada sobre la tarjeta magntica.
Luego de que el elector se identifica, recibe la tarjeta magntica que le permite pasar al
cuarto oscuro a utilizar la mquina de votacin. Finalizada la eleccin, se efecta el cierre de las
urnas y se deben enviar los diskettes que poseen los totales de cada urna a un centro de cmputos
donde se suman para obtener el resultado de los comicios.
Las tarjetas permanecen dentro de las urnas hasta que se conoce el resultado de la eleccin
y slo pueden ser retiradas para el proceso de auditora. [SPF, 2004]
1.1.4. Costa Rica

Al igual que varios de los pases que implementaron la votacin electrnica, Costa Rica
decidi modernizar su proceso electoral porque quera principalmente automatizar la totalizacin
de resultados para agilizar su obtencin.
Se realiz una prueba piloto, y las mquinas donde se emitan los votos consistan en PCs
tradicionales, con teclado, monitor e impresora, ubicadas dentro de un contenedor. El programa de
votacin se cargaba mediante un CD.
134
Para poder seleccionar un candidato, la mquina despliega un listado con las opciones
electorales. Mediante el teclado, el votante debe digitar el nmero correspondiente a la boleta que
refleja su intencin de voto. Luego de realizar una confirmacin de la seleccin, el elector debe
introducir en la impresora la boleta comprobante que le fue entregada por el presidente de mesa al
ser identificado. En caso de ser necesario, para realizar esta operacin, puede solicitar ayuda de un
auxiliar tcnico. Una vez que la impresora devuelve la boleta, se la debe doblar e introducir en una
urna. Esta boleta posee una marca identificatoria y la firma de la autoridad competente.
Las mquinas poseen modems para enviar los totales calculados a la computadora central
para consolidar los resultados de los comicios. [TSECR, 2002]
1.1.5. Venezuela
En las elecciones del ao 2004, se utilizaron mquinas con pantalla touchscreen que
imprimen un voto fsico en un papel trmico, lo que permitira auditar el proceso de votacin.
El elector selecciona, tocando la pantalla, la opcin que desea. Para confirmar su sufragio
oprime la opcin Votar. Al realizar esta accin la mquina emite un sonido indicando que el
votante finaliz su proceso e imprime el voto en papel. Si luego de transcurrido un tiempo
prudencial, la mquina no recibi la orden de sufragar, se desactiva automticamente y emite un
recibo indicando que el tiempo expir.
El ticket impreso posee un cdigo seguridad adems de los principales datos del evento:
tipo de elecciones, cdigo que corresponde al centro de votacin, mesa y tomo. El cdigo de
seguridad es esencial para evitar la falsificacin del voto. Esta impresin es colocada por el elector
en una urna. Una vez finalizado el da electoral el presidente de mesa cierra la misma y la maquina
imprimir el acta de dicha mesa.
Luego de esta impresin, la informacin final acumulada por cada mquina se transmite
va telefnica -en algunos casos satelital- en forma encriptada con clave pblica y privada de 128
bits al centro de consolidacin de datos. [Bracci, 2004]
135
1.1.6. Estados Unidos

Estados Unidos es una de las naciones con mayor experiencia en la regulacin de las
votaciones electrnicas y en la elaboracin de la reglamentacin apropiada para su efectiva
implementacin.
Se cre una Comisin Electoral Federal que establece el marco general que deben seguir
los diferentes Estados en la eleccin de los instrumentos de votacin electrnica.
Un detalle importante a considerar es que algunas empresas que disponen de sistemas de

votacin electrnicos se vieron sometidas a una serie de pruebas, descubriendo que el cdigo
fuente era vulnerable y que podan sufrir ataques de intrusin crticos. Se identificaron un total de
57 potenciales agujeros de seguridad en una supuesta votacin electrnica, algunos tan graves
como la posibilidad de que una persona no autorizada acceda a la base de datos donde se
almacenan los resultados y cambiarlos. [Hernndez,]
1.1.7. Inglaterra
En el ao 2003 el gobierno britnico hizo una apuesta al voto electrnico. Para llevar
adelante los comicios se permiti utilizar Internet, televisin interactiva y SMS. Los resultados de
estas experiencias mostraron que cuanto ms fcil es la utilizacin de los sistemas implementados,
los ciudadanos participan ms a gusto y en mayor proporcin en las votaciones; aunque persisten
las preocupaciones vinculadas a cuestiones tales como la seguridad y vulnerabilidad del sistema.
1.1.8. Espaa
Se organizaron una serie de experiencias piloto de voto electrnico. stas, planteadas como
un acercamiento a la e-democracia, no tenan validez legal, si bien el procedimiento se articul tal
136
como se hara en elecciones reales. As, la apertura y cierre de urnas se realiz en presencia de
"juntas electorales virtuales" formadas para tal efecto, cuyos miembros posean claves que, slo si
estaban combinadas, permitan abrir o cerrar la votacin.
Cada participante elega una boleta que posea preimpreso el candidato electoral y una
banda magntica para el registro, recuento y totalizacin de votos. El sistema cont con una urna
electrnica que posea dos ranuras, una para validar el voto y otro para depositarlo. sta ltima era
la que lo registr y lo contabiliz. Para cerrar la votacin se volvan a combinar las claves y se
emita un acta. Luego mediante transporte tradicional o va telefnica, se enviaban los datos a una
central y se sumaban en forma automtica.[DE, 2004]
1.2. Experiencias en Argentina
1.2.1. Provincia de Tierra del Fuego

En esta provincia el proceso de modernizacin del sistema electoral comenz hace tiempo,
y se fue implementando por etapas.
El primer paso fue digitalizar el padrn provincial.
En un segundo paso se instal en cada centro de votacin una PC en red, conectada al

centro de cmputos. A travs de este vnculo y mediante un programa especial, una vez terminado
el escrutinio provisorio, antes de cerrar el acta, se volcaban los resultados en la mquina, para que
realice una verificacin de la coherencia inicial de las sumas. Si sta era correcta, la misma
computadora emita un ticket que luego se mandaba a un centro de cmputos, junto a las actas y
los votos, para el escrutinio definitivo. [Alegre, 2005]
Finalmente, se implement el eVote en la ltima eleccin provincial municipal.
137
En el proyecto original no se contemplaba el uso de printers, pero los reclamos

pblicos para que hubiera algn tipo de comprobante en papel fueron muy fuertes. Se
decidi utilizar un ticket emitido por la mquina, pero siempre cuidando que no fuera
posible relacionar un voto concreto con determinado votante, para respetar el principio del
secreto del voto. Se utilizaron dispositivos con pantallas touchscreen y el comprobante impreso
caa directamente en la urna. Al cerrar la votacin se imprima un acta.
Cuando se realizaron las correspondientes verificaciones en estas urnas control- luego de

revisada el acta control emitida por la urna, se vio que los resultados eran absolutamente fieles.
Para evitar eventuales fraudes, los equipos tcnicos del Juzgado con competencia electoral
tuvieron acceso al software que usa el sistema. Tambin se puso el cdigo a disposicin de
cualquier experto propuesto por los partidos polticos interesados en revisarlo.
Se puede mencionar que hubo una completa capacitacin y divulgacin del tema a travs
de los medios de comunicacin, propuesta fundamental para interiorizar a los ciudadanos.
Una semana antes de los comicios se realiz un simulacro completo, con los apoderados
partidarios presentes.
Por otra parte, la velocidad de la obtencin de resultados tambin fue buena: en una hora se
logr cerrar el escrutinio provisorio, y tener todos los resultados.
1.2.2. Provincia de Buenos Aires

La provincia de Bs. As. comenz a manejar el proyecto de eVote a principios de marzo de
2003, a partir de un convenio firmado con el gobierno federal de Brasil. Este pas aport su knowhow y sus urnas para poder armar la experiencia piloto que se realiz empleando la solucin
brasilea.
Se implement una prueba piloto durante las elecciones realizadas en septiembre de 2003.
138
Para asegurar la integridad de la informacin y disminuir la posibilidad de hackeos en la

transmisin de los datos entre cada e-urna y el centro de consolidacin de datos, se utilizaron
lneas conmutadas punto a punto, pero slo se identificaron los nmeros utilizados 24 horas antes
de los comicios. De todos modos, la informacin viajaba por las redes pblicas pero de manera
encriptada y se realizaba a su llegada una verificacin de integridad por medio de firma digital.
En el caso que nos ocupa, la consolidacin se realiz sin mayores inconvenientes y fue
veloz. La evaluacin final result ms que satisfactoria.
Otra caracterstica que resalt esta experiencia es que la urna electrnica facilit el corte de
boleta, lo que - en definitiva - debera ayudar a mejorar la calidad de la representatividad. [GBA]
1.2.3. Mendoza
La provincia de Mendoza llev a cabo dos experiencias piloto de votacin electrnica,
aunque a diferencia de otras provincias, las mismas no fueron de tenor poltico. El motivo
principal de estos ensayos fue generar que los electores vayan tomando confianza en los sistemas
de eVote. Para ambos sondeos se eligi hacer una eleccin abierta y de participacin voluntaria.
Se utilizaron diez mesas conectadas por medio de una red inalmbrica (ocho fijas y dos
mviles), ubicadas en diferentes puntos de la ciudad y durante tres das, los ciudadanos votaron
sin dificultades. [Telpin, 2004]
En la segunda prctica la participacin fue an mayor. En este ensayo se colocaron e-urnas

en prcticamente todos los departamentos que integran la provincia, y se tom especial cuidado en
analizar lo que ocurra en regiones cuyos potenciales votantes no hubieran tenido contacto previo
con tecnologas informticas, ni siquiera con cajeros automticos.
Tambin se defini que los proveedores interesados en participar de esta experiencia

deberan aportar previamente el cdigo fuente del software a utilizar para que fuera revisado por
parte de los tcnicos de la provincia.
139
2. Tecnologa existente
2.1. Tarjetas perforadas
2.1.1. Caractersticas generales

La razn por la que surge este sistema, es el tiempo que se demoraba en realizar el
recuento de votos con las boletas de papel tradicionales. La velocidad con que se clasifican las
tarjetas perforadas y el bajo costo de este mecanismo hizo que se popularice para 1960. Los
votantes slo tienen que realizar agujeros a la tarjeta con un dispositivo especial. Existen 2
sistemas de votacin por tarjetas perforadas. El primero consiste en una tarjeta que posee en las
filas las diferentes posibilidades de voto y el sufragante debe agujerearla. En el segundo, el elector
cuenta con tarjetas ya perforadas con las diferentes posibilidades y slo debe optar por cul l
quiere. El primer mtodo es menos costoso y menos confiable ya que la tarjeta no posee impresos
los nombres de los candidatos. Para verificar las opciones, se debe superponer la tarjeta perforada
con las boletas. En cambio, en el segundo sistema, el voto se verifica fcilmente ya que las tarjetas
tienen impresos los nombres de los candidatos, pero como contrapartida son necesarias tantas
tarjetas como votantes haya o ms an.
El mayor problema de este mecanismo es que el agujero no se encuentre bien hecho, por lo
que no queda claro cul fue la intencin de voto del votante. Esto provoca que si bien el
recuento es fcil, rpido y barato, dos conteos de tarjetas perforadas, raramente arrojan el
mismo resultado, hecho por el cual la gente perdi total confianza en el sistema.
2.1.2. Comparacin con Pantalla-Impresora

Este fue unos de los primeros sistemas que se utilizaron para agilizar el conteo de las
boletas. La velocidad de clasificacin de las tarjetas era alta para ese momento y el mecanismo
140
utilizado era de bajo costo. Pantalla-Impresora es un mtodo ms moderno, efecta la

contabilizacin de votos en forma electrnica y no mecnica, por lo que es capaz de arrojar los
resultados ms rpidamente.
En cuanto a la simpleza del proceso, la solucin propuesta implementa un proceso ms

simple, donde los electores slo tienen que realizar una seleccin de una lista de opciones
mediante un teclado numrico, comparado contra los agujeros que deben realizar sobre las tarjetas
mediante un dispositivo especial, en este sistema.
Para poder verificar la seleccin que el votante realiz, se deba superponer la tarjeta
perforada sobre otra que posea los nombres de los candidatos. En cambio, el nuevo sistema,
resuelve el problema mediante una pantalla electrnica que solicita la confirmacin sobre la
eleccin hecha, ms la impresin de un comprobante de papel cuyo contenido consiste en la
opcin ingresada en la mquina de votacin.
Una gran desventaja que presenta este mtodo consiste en la probabilidad de que dos
conteos arrojen resultados diferentes. El agujero mal realizado sobre la tarjeta, produce cierta
ambigedad sobre la intencin de voto del ciudadano, convirtindose en la causa principal de los
errores de contabilizacin de sufragios. La imposibilidad de creer en los resultados arrojados por
el mtodo, hace perder la confianza de los ciudadanos. Si bien ningn sistema est exento de sufrir
errores en el escrutinio, Pantalla-Impresora mediante el proceso de verificacin de los votos
emitidos, evita que causen la prdida de confianza en el sistema. Si el voto se encuentra bien
almacenado, con seguridad ser contabilizado correctamente. El mtodo le permite al elector
comprobar que el sufragio est registrado adecuadamente, y si no, permite demostrar el defecto a
las autoridades electorales para que tomen las medidas que correspondan.
Es difcil establecer una comparacin entre ambos procesos electorales, ya que son
tecnologas bastante diferentes. Lo nico que se pudo demostrar, es que las falencias de este
sistema antiguo estn solucionadas en el mtodo propuesto.
141
2.2. Optical mark-sense voting system

Luego de que las elecciones de Florida sirvieran para destruir la confianza en los sistemas
de tarjetas perforadas, apareci este nuevo sistema que combina la claridad y transparencia de los
sistemas tradicionales de boletas de papel con la rapidez de conteo de las tarjetas perforadas.
Optical mark-sense consiste en indicar en la tarjeta la opcin elegida, completando un valo o
marcando una flecha en lugar de hacer un agujero. Como es el votante quien realiza la marca,
fcilmente puede corroborar si la tarjeta realmente refleja su intencin de voto.
Existen otras variantes de este sistema de votacin donde la diferencia entre cada uno
radica nicamente en el diseo de las boletas. Un tipo de boleta distinta a la mencionada en el
prrafo anterior, es aquella que posee un cdigo de reconocimiento preimpreso por lo que no
requiere que el elector efecte ninguna marca sobre ella.
Sin embargo, este sistema posee sus desventajas. Comnmente, los votantes marcan las
tarjetas de forma que las mismas no pueden ser escaneadas correctamente. Si el escaneo se efecta
antes de que el sufragante deposite la tarjeta en la urna, la mquina podra advertir a la persona si
no marc ninguna opcin o marc ms de una, dndole la oportunidad de corregir el error. Pero el
escaneo se realiza en la central de consolidacin, despus de que el votante abandon el cuarto
oscuro. A pesar de esto, el sufragante confa en que la mquina interprete correctamente el voto,
aunque sabe que un humano tambin puede examinar la tarjeta. Este sistema reduce la cantidad de
votos residuales (votos emitidos no contabilizados + boletas no marcadas + boletas con errores de
llenado) del sistema anterior. [Caltech/MIT, 2001]

La principal caracterstica de estos sistemas reside en que continan utilizando las boletas
electorales y, por lo tanto, mantienen un comprobante del voto. Es un respaldo documental que el
votante percibe como prueba que su voto ser tenido en cuenta y como garante de seguridad
142
general ya que en el peor de los casos se puede realizar un recuento manual. Pantalla-Impresora
tambin provee de un aval del voto emitido, que consiste en el ticket impreso por la mquina una
vez finalizada la seleccin del candidato. Si bien su contenido no refleja el sufragio propiamente
dicho, sino nicamente el nmero de opcin ingresado, si se lo combina con la informacin
provista por la pantalla de papel, se constituye en la prueba que garantiza la existencia del voto y
la integridad del sistema.
El sufragante confa en que la mquina interprete correctamente el voto, pero sabe que un
humano puede tambin examinar la tarjeta. La posibilidad de efectuar el doble conteo, manual y
automtico, permite certificar la exactitud del escrutinio y eliminar cualquier duda acerca de su
manipulacin. Sin embargo, esta posibilidad de realizar un recuento manual, puede convertirse en
una gran desventaja. Como las constancias de papel son los verdaderos reflejos de las intenciones
de voto de los electores, la contabilizacin de los mismos se convierte en el resultado real de los
comicios, relegando a un lugar de menor importancia al escrutinio realizado por la mquina. Por
tanto, el resultado oficial no se conoce hasta tanto no se efecte el recuento manual. Aqu se llega
a la controversia que plantea la utilizacin de recursos del estado en el cambio de los sistemas
tradicionales de votacin para permitir acelerar el conteo de votos y disponer de los resultados en
tiempos ms cortos, cuando en realidad lo que se est consiguiendo en forma veloz es un resultado
aproximado y, el oficial, recin se conocer en el mismo tiempo que antes, ya que el modo de
obtenerlo es el mismo.
Pantalla-Impresora soluciona el inconveniente del doble registro sin sacrificar la ventaja

que presenta la posibilidad de que un humano pueda interpretar el voto emitido, por lo que la
confianza del elector hacia el sistema se mantiene. Esto lo logra delegando la auditora en los
propios ciudadanos mediante el proceso de verificacin privada y la ayuda de un ente regulador
que es capaz de comprobar un error cometido por las mquinas de votacin mediante la
visualizacin del voto emitido por el sufragante a travs de las pruebas fsicas que brinda el
sistema.
Existen mquinas que implementan diferentes variantes del mtodo, pero la diferencia
fundamental entre unos y otros consiste en el diseo de las tarjetas. En particular, si el elector debe
realizar alguna marca sobre las mismas, es sencillo validar si el voto refleja la intencin del
votante, ya que l la marc. Lo mismo ocurre si las boletas ya se encuentran identificadas. Este
ltimo mantiene el procedimiento casi similar a los sistemas tradicionales de votacin. En este
aspecto la solucin propuesta queda un poco relegada. Si bien el mtodo que implementa es fcil,
143
no es similar al tradicional. Lo nico que mantiene es independencia entre los procesos de

identificacin y de emisin del voto. Sin embargo, como el nombre lo indica, se trata de tradicin.
Si lo que se implementa es una novedad, se espera que existan diferencias con los mtodos
actuales, el tiempo y la educacin sern vitales para que la poblacin se acostumbre a la
utilizacin del mismo y lo convierta en un sistema tradicional del futuro. La ventaja que presenta
tener un proceso similar al procedimiento comn de emisin de un voto, es la sencillez de
aplicacin y la posibilidad de prescindir de una capacitacin exhaustiva de la poblacin en el uso
de las mquinas.
Las urnas donde se depositan las boletas, se encuentran en las mesas donde se identifican
los electores. El ciudadano debe doblar la tarjeta o depositarla en un sobre para conservar el
secreto del voto. El problema que poseen estos sistemas, es que la lectura se efecta durante el
conteo de votos en el centro de consolidacin, por lo que si llegara a arrojar un error, no se podra
corregir. Esto no ocurre en el mtodo propuesto como solucin, ya que en el momento inmediato
posterior a realizar la seleccin del candidato o partido, el sistema solicita confirmacin a cerca de
la interpretacin que realiza sobre la eleccin del votante.
Si las boletas requieren ser marcadas por el votante, y existen varias opciones entre las
cuales se debe elegir, puede tornar muy dificultoso el proceso de emisin del voto. En cambio
Pantalla-Impresora no se ve afectado por la cantidad de opciones por las que haya que elegir, lo
nico que habra que contemplar es el tamao de la pantalla y la organizacin de los datos en la
misma. Algo similar ocurre con las listas sbanas, mientras que en un sistema la boleta puede ser
extensa, en el otro se resuelve organizando los datos en la pantalla o extendiendo la parte visible
de la misma. Si se deben realizar varias elecciones, el proceso puede repetirse de 1 a N veces hasta
completar la totalidad de cargos que se estn eligiendo.
Optical mark-sense no permite votos nulos, por lo que la urna avisa sobre la existencia de
los mismos. En ese caso el presidente de mesa alerta al votante sobre la situacin, para que pueda
alterar su voto. Esto puede ser considerado como una barrera contra la libertad de expresin y el
libre ejercicio del voto ciudadano. Adems el hecho de que se revele la nulidad del voto podra
estar violando el secreto de sufragio. En Pantalla-Impresora no existe la posibilidad de que algo
as suceda porque el voto queda registrado en la mquina que se encuentra dentro del cuarto
oscuro, ms all de que no se puede emitir un voto nulo, por la metodologa de eleccin de
candidatos que utiliza.
144
Las boletas de diseo sofisticado son ms costosas. El costo de Pantalla-Impresora recae en

la impresin de la pantalla y los comprobantes que se llevan los electores, pero se compensan con
los gastos ocasionados por la emisin de las boletas partidarias.
Las personas discapacitadas siguen votando con dificultad en el sistema de tarjetas,

mientras que en la solucin propuesta se puede implementar un teclado braille y que las mquinas
posean auriculares por los que se escucha el listado impreso por la pantalla de papel evitando que
personas ciegas requieran asistencia para votar.
En el caso de las tarjetas que deben ser rellenadas, la tinta utilizada para la marca puede
ensuciar el lector ptico, dejndolo fuera de servicio.
2.3. Mecanical Lever Machines

Esta tecnologa que data de 1892, requiere que el votante tire de una palanca que se
encuentra asociada a un candidato. Esta palanca hace girar una rueda contadora dentro de la
mquina. Los oficiales leen y registran las ruedas que llevan la cuenta al cierre de la eleccin. Este
sistema ofrece buena privacidad ya que un mango permite abrir y cerrar las cortinas y resetea las
palancas llevndolas a posicin de off cuando el votante abandona la cabina. [Evans & Paul, 2004]
El problema de este mtodo radica en la falta de existencia de un comprobante fsico de la

intencin de voto de la persona. Si la mquina funciona bien, el valor del contador asociado a la
opcin elegida por el votante se incrementa en uno y el resto de los contadores permanecen igual.
Pero si esto no llegara a suceder, resulta imposible realizar un recuento manual. De hecho, en la
prctica, esta tecnologa es notoriamente errtica. Segn Caltech/MIT es la que tiene ms alto
ndice de votos residuales. El equivalente electrnico de esta tecnologa es el DRE voting system.
145

Al ser un sistema antiguo, es poco comparable con la solucin. Presenta varios problemas
que tecnologas posteriores fueron solucionando. Sin embargo posee una similitud que consiste en
el reseteo automtico de la mquina cuando el votante abandona la cabina de votacin. En el
sistema Pantalla-Impresora, al finalizar la emisin del voto, la mquina enva una seal a la
identificadora habilitndola para continuar con la siguiente persona. En simultneo con esta
accin, la mquina de votacin corre el papel de la pantalla, para que al ingresar el siguiente
elector, no vea lo que realiz el votante anterior.
El mayor inconveniente de las Mecanical Lever Machines es que cuando el sufragante

deja la cabina, no existe un registro fsico de la intencin de voto de la persona. Si la mquina
funciona bien, el valor del contador asociado a la opcin elegida por el votante se incrementa de a
una y el resto de los contadores permanecen igual. Pero si esto no llegara a suceder, no hay forma
posible de realizar un recuento manual. De hecho, en la prctica, esta tecnologa es notoriamente
errtica. Segn Caltech/MIT es la que tiene ms alto ndice de votos residuales. El equivalente
electrnico de esta tecnologa es el DRE voting system. Como se ha explicado anteriormente,
Pantalla-Impresora emite un comprobante que sirve como registro fsico de la intencin de voto si
se junta con la pantalla impresa por la mquina. Adems ese comprobante permite a los
ciudadanos ser los propios auditores de la correccin del sistema, por lo que cualquier error
cometido por la mquina puede ser detectado.
2.4. Direct Recording Electronic (DRE) voting system

Este mecanismo de votacin consiste en grabar directamente el voto en la memoria de la
mquina, eliminando por completo las boletas de papel. Este sistema presenta varias ventajas con
respecto a los esquemas tradicionales de votacin, incluyendo la reduccin del error de votacin.
Adems, si la interfaz est correctamente diseada, solicita confirmacin por si el votante se
146
equivoc en la seleccin en su apuro por terminar de votar. A su vez impide que un sufragante
vote por mltiples candidatos al mismo tiempo. Otra ventaja que presenta este sistema es la
posibilidad de que personas que presentan diferentes discapacidades puedan llevar a cabo el acto
de votacin sin asistencia de otro ser humano. Sin embargo, diferentes anlisis realizados sobre
esta tecnologa, arrojaron resultados desfavorables sobre temas concernientes a la seguridad. A
saber:
a. Los votantes pueden votar varias veces.
b. Cualquier persona que tenga acceso a la mquina puede realizar tareas

administrativas, incluyendo observar resultados parciales y terminar la eleccin
antes de lo debido.
c. La comunicacin entre las terminales de votacin y el servidor central no se

encuentra debidamente cifrada por lo que hace posible a un tercero alterar el
contenido de la comunicacin empleando la tcnica man in the middle.
d. A diferencia de los mecanismos de palanca, la forma en que se graba el voto se

encuentra oculta en el cdigo y los proveedores lo mantienen en secreto. [Bannet et
al., 2004]
Todas estas desventajas producen cierta desconfianza en un sistema que administra

informacin confidencial, provocando la invalidez del mismo.

Este sistema posee un proceso similar de emisin de votos al desarrollado en la solucin.
Las diferencias entre uno y otro se encuentran en la tecnologa utilizada en cada una de las
mquinas. Existen varios tipos de dispositivos de votacin de esta tecnologa, entre los cuales se
encuentran aquellos que utilizan tarjetas magnticas para habilitar la mquina y guardar el voto,
otros que requieren que el presidente de mesa pulse un botn para que el ciudadano pueda votar y
otros simplemente que poseen un tiempo mximo para poder emitir un voto. En estos detalles es
donde radica la diferencia con Pantalla-Impresora. Cada uno de los mtodos antes mencionados
147
posee algunas desventajas que la solucin propuesta en esta tesis no, ya que las logr resolver
mediante el intercambio de mensajes entre la mquina identificadora y la de votacin. En las
mquinas DRE puede existir la posibilidad de votar ms de una vez, cuando la mquina de
votacin se habilita mediante un botn pulsado por el presidente de mesa. En aquellas donde
existe un tiempo mximo para emitir un voto, alguna persona podra no llegar a tiempo para
completar la operacin. Por ltimo si en lugar de introducir una tarjeta magntica en aquellas
mquinas que lo requieran, introduzco cualquier otro objeto, se desconocen las consecuencias que
podra causar, entre las cuales se encuentra la inhabilitacin de la mquina para emitir nuevos
sufragios.
Al igual que en Pantalla-Impresora, las mquinas graban directamente el voto en su

memoria y se eliminan por completo las boletas de papel. Todas solicitan confirmacin por si el
votante se equivoc en la seleccin e impiden que un sufragante vote por mltiples candidatos al
mismo tiempo, eliminando la posibilidad de tornar nulo un voto. Esto significa que no hay
problemas de nulidad de votos por mal interpretaciones de las boletas o errores de impresin de
las mismas.
La ventaja que presentan estos sistemas, exceptuando aquellas mquinas que posean una
interfaz compuesta nicamente por un monitor touchscreen, es que personas discapacitadas
puedan llevar a cabo el acto de votacin sin asistencia.
Cada mquina contabiliza los votos, en lugar de tener un nico centro, por lo que se
reducen las instancias de fraude. Sin embargo, a diferencia de Pantalla-Impresora, las mquinas
no registran individualmente los votos, sino que almacenan los totales. Esto puede ser peligroso,
ya que son altamente vulnerables en lo que a seguridad se refiere [SAIC, 2003], sobre todo si el
cdigo del programa es propietario y no se publica. En la solucin propuesta, si bien existen
centros donde se contabilizan los votos, estos no son ms que tareas de consolidacin y auditora,
ya que cada mquina individualmente cuenta los sufragios que posee almacenados en su memoria.
Este registro individual de cada una, es lo que permite la verificacin pblica y privada del
mtodo. En ambos casos se elimina el recuento manual y carga de resultados ya que los votos se
encuentran digitalizados y en el caso puntual de Pantalla-Impresora, la pantalla de papel no
conforma un voto contabilizable.
En aquellas mquinas que requieran la utilizacin de tarjetas magnticas para votar, el

elector puede reinsertarlas en la mquina para verificar que lo almaceanado refleja su intencin de
148
voto. Como el voto queda guardado en la tarjeta magntica, se puede realizar auditora y
fiscalizacin del proceso. Este paso no es necesario realizarlo en el mtodo Pantalla-Impresora
gracias a la impresin de un ticket como resultado de la operacin y a la existencia de un proceso
de verificacin del correcto funcionamiento de las mquinas.
Las mquinas utilizan diskettes u otro tipo de tecnologas como soporte de informacin.
Cada uno de estos est identificado con un nmero para evitar que los votos que contiene sean
contabilizados dos veces. Esto mismo ocurre con las mquinas de la solucin, cuyos votos son
autenticados durante el proceso de escrutinio.
A diferencia de la solucin propuesta, en estos sistemas, no todas las mquinas cuentan con
modems para transmitir la informacin hacia una central, por lo que las urnas deben ser
transportadas o su dispositivo de almacenamiento. Esto otorga mayor seguridad ya que las
mquinas no se encuentran conectadas a ninguna red, por lo que no pueden sufrir ataques de
ningn tipo. Sin embargo, no estn exentas de ser daadas durante el transporte. PantallaImpresora decidi implementar la transmisin de los datos por red, ya que de esta forma se acelera
la obtencin de los resultados, sobre todos en regiones de gran superficie, debido a que la
celeridad en la totalizacin de votos no se ve afectada por la demora causada por el traslado de las
urnas al centro de consolidacin. El envo de la informacin por la red implementa cifrado de
datos y medios de transmisin segura, como ser el protocolo IPSec, para permitir el cifrado de las
comunicaciones y la autenticacin de las partes.
Las mquinas DRE son de menor costo ya que no requieren imprimir papeles. Sin
embargo, al carecer de un comprobante tangible del sufragio no pueden garantizar la integridad
del sistema. Sin el comprobante, el votante no tiene la certeza de que su voto fue registrado.
Adems complica la auditora del sistema. Si bien Pantalla-Impresora posee un costo ms elevado,
ofrece la posibilidad de auditar el sistema fcilmente mediante el ticket impreso y los procesos de
verificacin que posee.
Una desventaja importante que presenta esta tecnologa frente al mtodo propuesto, es que
los nmeros que identifican a los candidatos durante la votacin, son siempre los mismos. Si bien
esto facilita la eleccin por parte de los ciudadanos, genera recelos entre los partidos polticos
acerca de la jerarqua de los nmeros asignados a cada uno. Las encuestas indican que quienes
estn en los primeros puestos, suelen ser los ms votados.
149
Algunas mquinas DRE utilizan un sistema touchscreen en lugar de un teclado. Muchas

veces esta tecnologa posee problemas en cuanto a la sensibilidad de la pantalla. Si una casilla
donde se ubica un candidato posee mayor sensibilidad que otras, tiene mayor probabilidad a ser
seleccionado. El monitor touchscreen requiere mayor tiempo de capacitacin acerca de su uso,
sobretodo en personas mayores, ms alla de no permitir que personas discapacitadas emitan un
voto sin asistencia. Por estas razones es que se opt por un teclado numrico para seleccionar a los
candidatos en el mtodo Pantalla-Impresora.
Si bien estos sistemas garantizan el anonimato y el secreto del voto, en el caso de que la
identificacin del votante y la emisin del voto se encuentren unificados en una misma mquina,
pudieran existir dudas acerca de la imposibilidad de rastrear un voto. Como el mtodo propuesto
posee dividas las funciones de identificacin y votacin, el secreto est garantizado.
2.5. Voter verifiable ballots

Este sistema utiliza las mquinas DRE pero, a diferencia del mtodo anterior, al finalizar el
votante la seleccin, la mquina imprime una boleta de papel que contiene la eleccin realizada.
La boleta impresa permanece detrs de una ventana para que los sufragantes no tengan
oportunidad de hacer trampa. El votante puede verificar que el papel coincida con la seleccin que
hizo y confirmar la operacin. En caso de que no coincida, puede llamar a un asistente para que
anule la operacin y as realizar una nueva seleccin. Al aprobar la eleccin, la boleta cae en una
urna sellada.
Este proceso incrementa la confianza del sufragante ya que le permite verificar el correcto
registro de su voto. Adems provee una prueba fsica de lo almacenado por la mquina para poder
validar los resultados arrojados. Una de las desventajas que presenta este sistema es el alto costo
de mantenimiento e impresin de las boletas soportes y la complejidad que presenta para los
votantes la eleccin del candidato. La complejidad radica en que son necesarios 2 pasos para
150
completar el voto: el primero que realiza la seleccin del representante y el segundo que confirma
la operacin. Este escenario obliga a implementar un sistema que impida al sufragante salir del
cuarto oscuro hasta tanto no realice el segundo paso, de lo contrario, la persona que ingrese
despus podra examinar el voto del primero e incluso anularlo o cambiarlo. [Evans & Paul, 2004]
Otro asunto importante para no perder de vista, es que se tendran 2 registros

contradictorios sobre los resultados de la eleccin: los datos guardados en las memorias de las
mquinas DRE y las boletas de papel. Cualquier diferencia que exista entre ambas, debe ser
estudiada minuciosamente para evitar controversias. A menos que exista una prueba fehaciente
sobre fraudes realizados sobre las boletas de papel, stas deberan ser consideradas como registros
oficiales ya que los votantes tuvieron la posibilidad de confirmar que corresponden con su
intencin de voto.

Este sistema utiliza las mquinas DRE, por tanto posee las mismas ventajas y un proceso
similar de emisin de votos. La diferencia entre ambos radica en la impresin de un comprobante
tangible del voto, por lo que el elector tiene seguridad acerca del registro de su operacin. Este
cambio supone una mejora en las tecnologas aplicadas a la votacin electrnica, sin embargo en
esta tesis se demuestra que no es tan as. La mquina imprime una boleta de papel que contiene la
seleccin realizada. La boleta impresa permanece detrs de una ventana para que no haya trampa,
y para permitirle al votante verificar que el papel coincida con la seleccin que hizo. Al aprobar la
eleccin, la boleta cae en una urna sellada. El resultado de esta operacin son 2 registros
contradictorios sobre los resultados de la eleccin: los datos guardados en las memorias de las
mquinas DRE y las boletas de papel. Cualquier diferencia que exista entre ambas, debe ser
estudiada minuciosamente para evitar controversias. A menos que exista una prueba fehaciente
sobre fraudes realizados sobre las boletas de papel, stas deberan ser consideradas como registros
oficiales ya que los votantes tuvieron la posibilidad de confirmar que corresponden con su
intencin de voto. En conclusin, ocurre lo mismo que en la tecnologa Optical mark-sense,
donde los resultados oficiales no se conocen hasta tanto no se contabilicen las boletas de papel.
Finalmente, aquello que se implementa para solucionar el inconveniente de la falta de un
comprobante tangible de sufragio, termina afectando la razn principal que origina los
mecanismos de eVote, la velocidad en alcanzar los resultados de los comicios. Como ha sido
151
expuesto, Pantalla-Impresora soluciona el inconveniente de la prueba fsica requerida, sin generar

un doble registro que lentifique el proceso de contabilizacin de votos.
Ambos sistemas poseen un alto costo de mantenimiento e impresin de los tickets soporte.
Sin embargo, para Voter verifiable ballots, sera conveniente evaluar si se justifica semejante
costo, para el beneficio que otorga.
Voter verifiable ballots requiere 2 pasos para completar la emisin del voto: el primero
para realizar la seleccin del candidato y el segundo para confirmar la operacin. Este escenario
obliga a implementar un sistema que impida al votante salir del cuarto oscuro hasta tanto no
realice el segundo paso, de lo contrario, la persona que ingrese despus podra examinar el voto
del primero e incluso anularlo o cambiarlo. En la solucin propuesta, este inconveniente se
soluciona mediante la interaccin entre la mquina identificadora y la de votacin. Como fue
explicado en detalle en el punto 4, mientras una se encuentra activa, la otra queda inhabilita para
operar. Esta forma de trabajo concurrente impide que un ciudadano ingrese al cuarto oscuro, hasta
tanto el anterior no haya finalizado con la emisin de su voto, ya que no pudo haber sido
identificado a causa de que la mquina no estaba habilitada para ejecutar ninguna tarea.
Cada dispositivo est registrado en el centro de contabilizacin como para que una
mquina no autorizada no pueda enviar informacin. Algo similar ocurre con el sistema PantallaImpresora donde todos los dispositivos que envan informacin requieren ser autentificados.
Al utilizar las mquinas DRE, estos sistemas poseen sus mismas falencias, excepto la del
faltante de un comprobante tangible de voto. A saber: si el proceso otorga un tiempo mximo de
voto, este pudiera resultar escaso; si el presidente de mesa es quien habilita al elector a emitir su
voto mediante el pulsado de un botn, cabra la posibilidad de que una persona votara dos veces;
etc..
152
2.6. Secret-Ballot Receipts

Los comprobantes de voto que muestran las mquinas de votacin aseguran a los electores
que su voto ser contabilizado correctamente. Sin embargo, los sufragantes no pueden retirar del
cuarto oscuro nada que ponga en riesgo el secreto de voto. Es decir no pueden retirar del lugar de
votacin algo que permita inferir cul fue su seleccin.
Este tipo de tecnologa permite obtener otro tipo de comprobante. El comprobante se

encuentra cifrado, por lo que una vez retirado de la mquina, no puede ser utilizado para conocer
cul fue la eleccin realizada. El cifrado consiste en dividir al recibo en 2 capas que separadas se
tornan ilegibles, pero superpuestas no.
Luego de que el votante elige la boleta que desea, un dispositivo de la mquina imprime un
papel (una parte de ste ser el recibo que retire el sufragante). En l figura candidato por el cual
se vot, el partido y otros datos que normalmente forman parte de una boleta. Despus de
imprimir el papel, pero antes de que la persona que se encuentra frente a la mquina lo retire, sta
otorga la posibilidad de aceptar o cancelar la operacin. En caso de que se acepte la operacin, la
mquina pregunta si el votante prefiere quedarse con la parte superior o inferior del comprobante.
Ambas capas presentan patrones aleatorios por lo que, para votos iguales, los recibos obtenidos
difieren. En los recibos figuran unas leyendas que indican la capa con la que se debe quedar el
votante y cul debe entregar a los oficiales de mesa. Es importante remarcar que la mquina
entrega al sufragante ambas capas por separado. La impresora las imprime en forma
independiente, pero al momento de mostrarlas al elector para que ste confirme la operacin, las
capas estn perfectamente superpuestas para que puedan ser ledas. Cuando el fiscal recibe una de
las capas del recibo, valida que sea la que le corresponde y luego la coloca en una mquina
trituradora de papel, eliminando toda prueba fsica del voto, excepto la capa con la que se queda el
sufragante y la copia electrnica de la mquina.
El comprobante que le queda al votante posee impreso un cdigo de barras que sirve para
verificar si el voto fue emitido y contabilizado correctamente. Existe un sitio web oficial de las
153
elecciones que, mediante ese cdigo, permite imprimir una copia del recibo que fue utilizado para
el recuento de votos y verificar que es idntico al que uno tiene.
Si el comprobante es enviado al centro de consolidacin correctamente, uno puede estar

seguro (una probabilidad aceptable) que el voto ser bien contabilizado. Pero un comprobante que
no es enviado correctamente constituye una prueba fsica sobre la existencia de una falla y resulta
irrefutable que el sistema de votacin ha sido comprometido.
Nadie puede descifrar el recibo que posee un votante a menos que haya roto el cdigo de
cifrado o que posea todas las claves secretas que han sido utilizadas y entregadas cada una a un
fideicomisario (oficial de custodia) diferente. Las posibilidades de que la votacin se vea
comprometida son infinitesimales. Si las dos capas del recibo estn fraguadas, la falla del sistema
es detectada. Cuando una de las capas es trampeada, si es la que se queda el votante, es detectada,
de lo contrario, pasa desapercibida porque es destruida. Esto hace que la seguridad del mtodo
radique en la eleccin, post impresin del recibo, de la capa con la que se queda el elector. Es
decir por cada voto, existe un 50% de probabilidad de que el fraude sea detectado. Si se lo repite n
veces, la probabilidad de que la trampa pase desapercibida tiende a 0.
Al igual que el sistema de votacin anterior, este mtodo aumenta la complejidad del
proceso de votacin. Requiere que el elector elija la boleta, confirme la operacin, elija con qu
capa del recibo desea quedarse, extraiga los comprobantes de la mquina y luego le entregue el
que corresponda al oficial de mesa. La ventaja principal que presenta, es que el sufragante puede
verificar su voto al igual que cualquiera que desconfe de la integridad del proceso y en ningn
caso el secreto de voto se ve comprometido. [Chaum, 2004]

El mtodo de votacin utiliza mquinas de registro directo de voto, pero a diferencia de
Voter verifiable ballots, el comprobante se encuentra cifrado y es entregado al elector en lugar de
ser exhibido detrs de un vidrio. Una vez retirado de la mquina, no puede ser utilizado para saber
cul fue la eleccin realizada. Al igual que en Pantalla-Impresora, el votante se lleva del cuarto
oscuro un papel impreso que sirve como prueba de sufragio y que no revela el voto emitido.
154
Adems no genera un doble registro de votos, por lo que no existe un recuento manual que
lentifique la obtencin de los resultados oficiales.
El comprobante que le queda al votante posee impreso un cdigo de barras que sirve parra
verificar si el voto fue emitido y contabilizado correctamente. A su vez, uno puede ingresar al sitio
web oficial de las elecciones y mediante ese cdigo imprimir una copia del recibo que fue
utilizado para el recuento de votos y verificar que es idntico al que uno tiene. Si el comprobante
es enviado al centro de consolidacin correctamente, uno puede estar seguro (una probabilidad
aceptable) que el voto ser bien contabilizado. Pero un comprobante que no es enviado
correctamente constituye una prueba fsica que hubo una falla y resulta irrefutable que el sistema
de votacin ha sido comprometido. La ventaja principal que presenta, es que el sufragante puede
verificar su voto al igual que cualquiera que desconfe de la integridad del proceso y en ningn
caso el secreto de voto se ve comprometido. No obstante, la comprobacin se asemeja a la
verificacin pblica del mtodo propuesto, por tanto no constituye una verificacin real del voto.
El ciudadano que desea corroborar la integridad del proceso, recibe como prueba una impresin
igual a la que la mquina de votacin le entreg, pero nada dice all acerca del contenido de su
voto. Slo gente idnea en el rea de tecnologa y mtodos criptogrficos puede entender el
significado de poseer dos impresiones idnticas. Para el comn denominador de la poblacin, esa
operacin carece de sentido alguno. Es decir, la duda acerca de si el voto almacenado y
contabilizado es el mismo que el sufragante intent emitir, persiste. Finalmente, el proceso de
comprobacin consiste, al igual que la verificacin pblica, en una forma gil de encontrar fallas,
pero no de corroborar realmente que el voto contabilizado refleja la intencin del ciudadano. Para
ello Pantalla-Impresora aade el procedimiento de la verificacin privada, para que el ciudadano
tenga la total certeza de la correccin del mtodo y no solamente un indicador indirecto.
Secret-Ballot Receipts incrementa la complejidad del proceso de votacin. Requiere que el

elector elija la boleta, confirme la operacin, elija con qu capa del recibo desea quedarse, extraiga
los comprobantes de la mquina y luego le entregue el que corresponda al fiscal de mesa. Son
necesarios 3 pasos adicionales a los normales para poder emitir un voto. Esto supone la necesidad
de capacitar a la poblacin para el uso de las mquinas. Pantalla-Impresora no slo logra efectuar
la comprobacin real del voto, sino que mantiene la cantidad de pasos necesarios para su emisin,
respetando la simpleza requerida para emitir un sufragio.
Este sistema no permite que las personas ciegas realicen la comprobacin sin asistencia de
un tercero, ya que no son capaces de comparar el ticket que poseen con el publicado en el sitio
155
oficial. En la verificacin pblica del mtodo propuesto, existe la posibilidad de conectar un

auricular al monitor touchscreen que revela el voto, para que en lugar de visualizar el nombre del
candidato, se lo pueda escuchar.
156
ANEXO B
Fundamentos Tericos y Prcticos
1. Encriptacin
Previo a analizar algunas tcnicas de cifrado, es conveniente definir algunos trminos que
van a ser utilizados en el resto del trabajo. Se denomina cifrado al proceso de convertir un mensaje
original en un texto encriptado. El proceso inverso recibe el nombre de descifrado.
1.1. Cifrado Simtrico

El cifrado simtrico es conocido tambin como cifrado convencional o de clave nica.
Consiste de 5 partes:
Mensaje original: Es el texto inteligible que se introduce en el algoritmo de cifrado
Algoritmo de cifrado: Realiza varias sustituciones y transformaciones sobre el

mensaje original
Clave secreta: Es tambin una entrada para el algoritmo de cifrado. Es un valor

independiente del mensaje original y ante valores distintos de la misma, el
resultado del algoritmo vara. Las sustituciones y transformaciones que efecta el
algoritmo, dependen de la clave.
Texto cifrado: Es el texto confuso producido como salida; es funcin del mensaje
original y de la clave secreta. El texto es ininteligible.
157
Algoritmo de descifrado: Es esencialmente el algoritmo de cifrado pero ejecutado

en forma inversa. Toma como entrada al proceso el texto cifrado y la clave secreta,
y obtiene el mensaje original.
Existen dos requerimientos para poder utilizar en forma segura el cifrado simtrico. En
primer lugar se debe contar con un algoritmo de cifrado robusto, tal que si una persona lo conoce y
tiene acceso a varios textos cifrados, no pueda descifrarlos u obtener la clave secreta. En segundo
lugar, el emisor del mensaje y el receptor tienen una copia de la clave secreta y la deben mantener
segura. Si alguien descubre la clave y conoce el algoritmo, los mensajes pasan a ser legibles. Bajo
estas condiciones no es necesario tener en secreto el algoritmo ya que la seguridad del mtodo
recae sobre la clave.
Ek[M]
1.2. Cifrado de clave pblica

Esta clase de cifrado soluciona uno de los mayores problemas que tiene el mtodo anterior,
la distribucin de la clave secreta. Como se describi anteriormente el emisor y el receptor deben
compartir la misma clave. Si ambos ya la tienen, no hay ningn problema; pero si esto no ocurre,
de qu manera se debe transmitir la clave para mantenerla en secreto. Este inconveniente se
encuentra muy estudiado y documentado y, al no ser tema de este trabajo, no se explayar sobre el
mismo.
El cifrado de clave pblica se basa en una clave para encriptar y otra diferente, pero
relacionada, para desencriptar. Este mtodo debe cumplir con la caracterstica de que es
computacionalmente imposible determinar la clave de descifrado mediante el conocimiento del
algoritmo y de la clave de cifrado. Adems cualquiera de las 2 claves puede ser utilizada para
encriptar o desencriptar.
158
El esquema de este tipo de algoritmos cuenta con 6 componentes. Cuatro de ellas son las
mismas que en el cifrado simtrico, el mensaje original, el algoritmo de cifrado, el texto cifrado y
el algoritmo de descifrado. Las dos restantes son:
Clave pblica y clave privada: Este par de claves son seleccionadas de forma tal
que si una se utiliza para cifrar un mensaje, la otra es utilizada para descifrarlo. Las
transformaciones que realiza el algoritmo de cifrado dependen de la clave pblica o
privada que se utiliza como entrada.
Si una persona desea encriptar un mensaje, lo primero que debe realizar es generar el par
de claves. Luego elegir una y publicarla, mientras que la otra debe permanecer en secreto.
Finalmente, se debe definir el tipo de transmisin, ya que este sistema permite funciones de
confidencialidad, autenticacin o ambas, dependiendo el esquema de transmisin elegido. Como
condicin, los emisores deben poseer las claves pblicas de los receptores y viceversa, para poder
transmitir respetando cualquiera de los esquemas que se describen a continuacin:
Confidencialidad:
M
Ekub[M]
KUb (Clave pblica de b)
KRb (Clave privada de b)
Autenticacin:
M
Ekra[M]
KRa (Clave privada de a)
KRa (Clave pblica de a)
Confidencialidad y Autenticacin:
Ekub[Ekra[M]]
M
KRa (Clave
privada de a)
KUb (Clave
pblica de b)
KRb (Clave
privada de b)
KRa (Clave
pblica de a)
159
2. Funciones de Hash
2.1. Introduccin a las funciones de Hash

La integridad es una de las caractersticas ms importantes en los procesos de votacin
electrnica. Muchos de los problemas que han sido explicados en este trabajo hacen referencia a
este atributo. Lo primero que deben garantizar las mquinas es que el voto permanece inalterado
desde su ingreso hasta el ltimo de los recuentos que se efectan. Para ello se utilizan funciones de
Hash que certifican la autenticidad de la informacin guardada.
Estas funciones convierten un mensaje de longitud variable en un valor de longitud fija

denominado cdigo de hash. Este valor se obtiene en funcin de todos los bits del mensaje y tiene
la capacidad de detectar errores. Un cambio en cualquiera de los bits del mensaje resulta en un
cambio en el valor del cdigo de hash. La forma de autenticar el mensaje es recalculando el valor
de hash y comparndolo con el original que se encuentra adjunto al mensaje.
Existen varias formas en que pueden utilizarse las funciones de Hash para proveer
autenticidad de mensajes:
a. El mensaje ms el cdigo de hash concatenado es cifrado utilizando encriptacin

simtrica. Al utilizar cifrado simtrico, se asume que el emisor y receptor
comparten una clave secreta. De esta forma el receptor puede asegurarse que el
mensaje proviene de A, ya que es el nico que posee la clave y que no ha sido
alterado, condicin asegurada por el cdigo de hash aadido. ste provee la
redundancia requerida para aseverar la autenticidad del mensaje. Como la
encriptacin se aplica al mensaje completo ms el cdigo de hash, este sistema
tambin provee confidencialidad.
||
Ek[M || H(M)]
H
Comparar
K
H(M)
160
b. En este caso solo se cifra, usando algoritmos simtricos, el valor de hash,

reduciendo la complejidad y tiempo de procesamiento, pero resignando la
condicin de confidencialidad. El resultado de esta combinacin, hash ms cifrado,
es una MAC (Message Authentication Code)
||
H
D
Ek[H(M)]
Comparar
c. Al igual que en b, se cifra slo el cdigo de hash, pero utilizando algoritmos de

clave pblica. En esencia esto produce una firma digital ya que al descifrar el
mensaje con la clave pblica del emisor, nos aseguramos que fue ste quien lo
envi porque slo l tiene la clave privada utilizada para encriptar el cdigo de
hash. Es decir, no slo se provee autenticidad, sino tambin asegura que el mensaje
proviene del emisor esperado.
||
KR
H
D
EKR[H(M)]
Comparar
KU
d. Si adems de la firma digital se desea obtener confidencialidad, entonces al mtodo

c se le agrega un cifrado simtrico de clave privada al mensaje junto al cdigo de
hash encriptado con algoritmos de clave pblica.
M
KR
||
K
EK[M || EKR[H(M)]]
H
D
EKR[H(M)]
Comparar
KU
161
e. Esta tcnica utiliza funciones de hash, pero no de cifrado para autenticar los
mensajes. Se asume que el emisor y el receptor comparten un valor X cualquiera
secreto. El mtodo consiste en calcular el cdigo de hash mediante la
concatenacin de X al mensaje y se transmite solo el mensaje con el cdigo de
hash. Como el receptor conoce X, puede recalcular el valor de hash para verificar la
autenticidad del mensaje. Como X no es transmitido, el mensaje no puede ser
alterado intencionalmente porque no se podra recalcular el cdigo de hash.
||
||
H
Comparar
||
H(M||S)
f. Es similar al sistema e, pero aadindole confidencialidad encriptando el mensaje

junto al cdigo de hash generado.
||
||
H
Comparar
K
S
||
K
EK[M || H(M || S)]
H(M||S)
[Stallings, 2003]
2.2. Requerimientos de las funciones de Hash

Como se indic en el punto anterior, el propsito de las funciones de hash es producir una
huella digital o una marca de autenticidad en un mensaje o bloque de datos. Para ser til en
autenticacin de mensajes, las funciones de hash deben cumplir con ciertas propiedades que se
detallan a continuacin. Si utilizamos la nomenclatura h = H(M) donde h es el cdigo de hash, H
la funcin de hash y M el mensaje a autenticar, H debe cumplir con lo siguiente:
162
Se puede aplicar H a un mensaje de cualquier longitud
H siempre produce un valor de longitud fija
Es relativamente fcil calcular H(x) para cualquier x, implementando la solucin

tanto en hardware como en software
Para cualquier valor dado de h, es computacionalmente imposible encontrar un x

que cumpla con H(x) = h. A esta propiedad se la conoce como one-way
Para cualquier bloque dado x, es computacionalmente imposible encontrar y x

con H(y) = H(x). A esto se lo conoce como weak collision resistance.
Es computacionalmente imposible encontrar un par (x,y) tal que H(x) = H(y). A

esta propiedad se la conoce como strong collision resistance.
163
3. IPSec
3.1. Generalidades
La seguridad a nivel IP se compone de tres reas funcionales: autenticacin,
confidencialidad y administracin de claves. El mecanismo de autenticacin asegura que el
paquete recibido haya sido transmitido por una parte identificada en el encabezado del paquete
como el origen. Tambin asegura que el paquete no haya sufrido alteraciones mientras permaneci
en trnsito. La confidencialidad permite a los nodos que se comuniquen con mensajes cifrados
para prevenir invasiones de terceras partes. La administracin de claves se refiere al intercambio
de las mismas en forma segura.
IPSec provee la capacidad de convertir en seguras a las comunicaciones a travs de una

LAN, una WAN privada o pblica e Internet. La principal funcionalidad de IPSec que le permite
soportar gran variedad de aplicaciones es que puede encriptar y /o autenticar todo el trfico de una
red en el nivel IP, esto significa que sistemas distribuidos incluyendo acceso remoto, cliente
servidor, e-mail, transmisin de archivos, acceso web, etc. puede ser seguro.
IPSec se encuentra por debajo de la capa de transporte, lo que le permite ser transparente a
las aplicaciones. No existe la necesidad de cambiar el software en un sistema de usuario o
servidor para que IPSec pueda ser implementado. Tambin es transparente para el usuario final,
evitando entrenar a los usuarios en mecanismos de seguridad.
IPSec provee servicios de seguridad en la capa IP, permitiendo a los sistemas seleccionar
los protocolos de seguridad que requieran, determinar los algoritmos para esos servicios y
almacenar cualquier clave criptogrfica que requiera el servicio. Dos protocolos son utilizados
para proveer seguridad: el primero de ellos se denomina Authentication Header (AH), que es un
protocolo de autenticacin; el segundo es una combinacin de cifrado y autenticacin denominado
Encapsulating Security Payload (ESP).
164
Un concepto clave que aparece evidenciado en los mecanismos de autenticacin y

confidencialidad de IPSec es el denominado Security Association (SA). Una asociacin es una
relacin unidireccional entre un emisor y un receptor que ofrece servicios de seguridad para el
trfico de paquetes. Si se necesita una comunicacin bidireccional entonces dos asociaciones
debern ser utilizadas. Las asociaciones son los suficientemente flexibles para permitirle al usuario
configurar el comportamiento que necesita.
Existen 2 modos de uso del protocolo: modo transporte y modo tnel. El primero est
orientado a proveer seguridad a las capas superiores. Mediante ESP cifra y opcionalmente
autentica la carga til de IP pero no el encabezado. Con AH autentica la carga til y algunas partes
del encabezado. El segundo est orientado a proveer seguridad al paquete IP completo. Despus
de haber agregado los campos de AH o de ESP, el paquete completo es utilizado como carga til
de un nuevo paquete IP exterior con un nuevo encabezado. El nuevo paquete pasa a travs de
routers sin que los mismos puedan inspeccionar el encabezado IP contenido dentro mismo, ya que
se encuentra embebido en la seccin de carga til del nuevo paquete. [Stalllings, 2003]
3.2. Authentication Header (AH)

El encabezado de autenticacin provee soporte para la integridad de los datos y la
autenticacin de los paquetes IP. La funcionalidad de integridad hace imposible que una
modificacin que sufra el paquete no sea detectada. Se logra mediante un cdigo de Hash
calculado con algoritmos MD5 o SHA-1 y luego truncado a 96 bits. La funcin de autenticacin
permite a un dispositivo de red legitimar a un usuario o aplicacin y como consecuencia, filtrar el
trfico. Previene los ataques de address spoofing (engaos de direcciones IP) y de replay (envo de
copias de paquetes autenticados). La Autenticacin se basa en el uso de una MAC, por lo que las 2
partes de la comunicacin deben compartir una clave secreta.
165
3.3. Encapsulating Security Payload (ESP)

El Encapsulating Security Payload provee servicios de confidencialidad y opcionalmente
puede proveer el mismo servicio de autenticacin de AH. Varios algoritmos pueden ser utilizados
para cifrar los paquetes IP: Triple DES, RC5, etc..Cuando se ofrece el servicio de autenticacin, es
preferible hacerlo sobre el texto cifrado y no sobre el texto claro.
3.4. Key Managment

Este servicio sirve para el clculo y la distribucin de las claves secretas que son necesarias
para la utilizacin del protocolo. Generalmente son requeridas 4 claves para utilizar en la
comunicacin de 2 aplicaciones: un par para trasmisin y recepcin para AH y otro par para ESP.
Se pueden administrar las claves de dos formas diferentes: manual y automtica. En la primera el
administrador configura en cada sistema las claves que va a utilizar. En la segunda, la creacin y
distribucin se realiza a pedido y mediante determinados protocolos basados por ejemplo en
Diffie-Hellman.
166
4. Lectura de huellas dactilares
4.1. Caractersticas
Las personas poseen varios elementos de identificacin en la composicin de los cuerpos.
Las huellas digitales son una marca nica que poseen los individuos. Se componen de surcos que
forman un dibujo particular. El mismo es totalmente aleatorio y depende de la posicin en que el
feto se encuentra en determinado momento y la densidad y recorrido del lquido amnitico.
Adems existen otros factores que hacen que sea virtualmente imposible que haya 2 huellas
exactamente iguales. Por ende las huellas digitales son una marca nica que identifica a cada
persona y por tal condicin son tiles en la seguridad de los sistemas.
Existen 2 tipos de dispositivos que sirven para obtener las huellas digitales de las
personas: el escner ptico y el escner de capacitores. Ambas tecnologas deben cumplir 2
funciones. La primera de ellas consiste en obtener una imagen de la huella y la segunda en
reconocer mediante los patrones de los surcos en la imagen la coincidencia de la misma con otra
imagen pre-escaneada. [Harris, 2006]
4.2. Escner ptico

Esta tecnologa se basa en varios conjuntos de diodos sensibles a la luz, que miden su
intensidad y generan una corriente elctrica. Cada uno de los conjuntos almacena un pxel. El
escaneo se produce al colocar el dedo sobre el censor del dispositivo, el cual posee su propia
fuente de luz para tomar la fotografa. La imagen generada es invertida, es decir, las reas
oscuras son las ms luminosas y viceversa. Para dar por finalizada la lectura, el escner se asegura
de haber tomado una imagen clara. Para ello verifica que la misma no sea ni muy clara ni muy
oscura, obteniendo un promedio de la oscuridad de cada pxel. Finalmente el dispositivo chequea
la definicin de la imagen, y en caso de ser correcta, procede a la etapa de reconocimiento.
167
4.3. Escner de capacitores

A diferencia del sistema anterior, la lectura de la huella digital la realiza por medio de
corriente elctrica. El censor esta hecho de un chip semiconductor que posee pequeas celdas,
cada una conformada por dos platos conductores cubiertos de una capa aislante. Los mismos estn
conectados a un integrado compuesto por transistores, resistencias y capacitores. Estos ltimos
tienen la capacidad de almacenar carga. La cantidad almacenada va a depender de la distancia de
los platos conductores al dedo. Debido a la calidad, la carga va a ser diferente si el plato est en
contacto con el surco de la huella o con la piel. El procesador del escner lee el voltaje e infiere el
dibujo de la huella.
4.4. Resumen
Existen diferentes sistemas de seguridad para verificar que una persona es realmente quien
dice ser. Algunos se basan en las posesiones de los individuos (tarjetas, documentos, etc.), otros
en sus conocimientos (requieren ingresar un PIN o contrasea) y otros en sus evidencias fsicas
(como ser huellas digitales). Estos ltimos poseen ciertas ventajas frente al resto:
Los atributos fsicos son ms difciles de falsificar que una tarjeta o documento.
No se puede adivinar un atributo fsico como se hace con una clave.
No se puede extraviar una huella digital como se pierde una tarjeta.
No se puede olvidar una huella digital como se hace con un PIN
Sin embargo, cada uno de los sistemas de escaneo de huellas presenta ciertas desventajas:
168
El escner ptico puede ser engaado colocando en el censor una imagen de una
huella en lugar de una real
El escner de capacitores a veces puede ser engaado con un molde de un dedo.
Si se tiene acceso a la huella de una persona, se puede sortear la seguridad de los

escneres.
La comparacin de las imgenes tomadas de las huellas con las que se encuentran
almacenadas, en ambos sistemas se realiza de la misma manera. No se compara la totalidad de la
huella, sino que se buscan ciertos detalles minuciosos mediante algoritmos complejos.
Generalmente se buscan las zonas donde los surcos se bifurcan o terminan. Para machear una
huella no es necesario verificar todos los detalles, sino simplemente una cantidad suficiente que
depende de cada algoritmo.
Una caracterstica importante es que la imagen de la huella dactilar ocupa poco lugar de
almacenamiento, aproximadamente 512 bytes. [Maclean, 2002] Esto posibilita el almacenaje de
las mismas en bases de datos para ser utilizadas fcilmente en los sistemas para autentificar a las
personas.
169
Referencias
[Gelli, 2001] Gelli Mara Anglica. 2001. Informe sobre la relevancia de la creacin de un
Componente de Administracin y Justicia Electoral. Proyecto ARG/00/007 Apoyo al Programa de
Reforma Poltica del PNUD. Disponible en www.undp.org.ar. Pgina vigente al 05/08/2005.
[Escolar] Escolar Marcelo. Incorporacin de nuevas tecnologas al proceso electoral.

www.buenosaires.gov.ar/dgelec/index.php?module=informesinvestigacion&file=modernizacion.
Pgina vigente al 10/10/2005
[Evans & Paul, 2004] Evans David & Paul Nathanael. 2004. Election Secutiry: Perception and
Reality. Revista Security & Privacy. Volumen 2. Nmero 1. Pginas 24-31.
[Caltech/MIT, 2001] Caltech MIT Voting Technology Project. Julio 2001. Voting: What Is What
Could Be.
[Bannet et al., 2004] Bannet Jonathan, Price David W., Rudis Algis, Singer Justin & Wallach Dan
S.. 2004. Hack-a-Vote: Security Issues with Electronic Voting Systems. Revista Security &
Privacy. Volumen 2. Nmero 1. Pginas 32-36.
[Chaum, 2004] Chaum David. 2004. Secret-Ballot Receipts: True Voter-Verifiable Elections.
Revista Security & Privacy. Volumen 2. Nmero 1. Pginas 38-47.
[Schneier, 2004] Schneier Bruce. 2004. Voting Security and Technology. Revista Security &
Privacy. Volumen 2. Nmero 1. Pgina 84.
[Misra, 2004] Misra Neelesh. 2004. Worlds biggest vote goes all-electronic.
www.msnbc.msn.com/id/4788644/. Pgina vigente al 10/10/2005.
[TSE, 2003] Tribunal Superior Electoral. www.tse.gov.br. Pgina vigente al 10/10/2005
170
[Stallings, 2003] Stallings, William. 2003. Cryptography and Network Security. Principles and
Practice. Third Edition. Prentice Hall. 681 pginas.
[Mole, 2005] Mole. 2005. Protecting the Vote: The fight for our Democracy.
http://www.boomantribune.com/story/2005/8/28/2228/00379. Pgina vigente al 04/12/2005.
[Verified Voting Foundation, 2004] Verified Voting Foundation. 2004. Resolution on Electronic
Voting. http://www.verifiedvotingfoundation.org/article.php?id=5028. Pgina vigente al
04/12/2005.
[Neumann, 1993] Neumann Peter G.. 1993. Security Criteria for Electronic Voting. 16th National
Computer Security Conference. http://www.csl.sri.com/users/neumann/ncs93.html. Baltimore.
Pgina vigente al 04/12/2005.
[Papageorgiou, 2001] Papageorgiou Pavlos. 2001. Why it is hard to verify e-voting.

http://www.greenhealth.org.uk/evoteTech.htm. Pgina vigente al 04/12/2005.
[Pibel, 2003] Pibel Doug. 2003. Safeguarding then vote.

http://www.yesmagazine.org/article.asp?ID=619. Pgina vigente al 05/12/2005.
[Mercury, 2003] Mercury Rebecca. 2003. Facts About Voter Verified Paper Ballots.
http://www.notablesoftware.com/Papers/VVPBFacts.pdf. Pgina vigente al 05/12/2005.
[Harris, 2006] Harris Tom. 2006. How Fingerprint Scanners Work.

http://computer.howstuffworks.com/fingerprint-scanner.htm. Pgina vigente al 07/05/2006.
[Maclean, 2002] Maclean A. 2002. The digitalPersona FingerPrint Scanner.

http://www.maclean-nj.com/compute/fingerprints.htm. Pgina vigente al 07/05/2006.
[SAIC, 2003] Science Applications International Corporation. 2003. Risk Assesment Report.
DieBold AccuVote-TS Voting System and Processes.
www.dbm.maryland.gov/dbm_publishing/public_content/dbm_search/technology/toc_voting_syst
em_report/votingsystemreportfinal.pdf. Pgina vigente al 10/05/2006.
171
[SPF, 2004] Service Public Fdral Intrieur. 2004. Direction des lections.
www.verkiezingen.fgov.be/2004/2004fr/docufr/instructionsformules/directivestechniques/directiv
es.htm. Pgina vigente al 20/04/2006.
[TSECR, 2002] Tribunal Supremo de Elecciones de Costa Rica. 2002. Informacin disponible en
www.tse.go.cr/menu_votoelect.html. Pgina vigente al 25/04/2006.
[Bracci, 2004] Bracci Luigino. 2004. Conozca las mquinas de SmartMatic y sepa como se votar
el 15 de agosto. www.rnv.gov.ve/noticias/index.php?act=ST&f=15&t=6034. Pgina vigente al
01/05/2006.
[Hernndez,] Hernndez Alfonso. El sistema de voto electrnico de Estados Unidos, en

entredicho. http://www.edemocracia.com/eVoto/exp/eD-eVoto-EEUU-000.html. Pgina vigente al
20/04/2006.
[DE, 2004] Directorio del Estado. 2004. Voto electrnico en aulas.

www.directoriodelestado.com.ar/contenido.php?pais=Espaa=270. Pgina vigente al 01/05/2006.
[GBA] Gobierno de la Provincia de Buenos Aires. www.votoelectronico.gba.gov.ar. Pgina

vigente al 10/05/2006.
[Alegre, 2005] Alegre Silvia. 2005. El voto electrnico. La experiencia de Ushuaia.

www.ushuaia.gov.ar/voto.htm. Pgina vigente al 10/05/2006.
[Telpin, 2004] Telpin Sistemas. 2004.

www.telpin.com.ar/interneteducativa/webeleccion/mendoza.htm. Pgina vigente al 11/05/2006
[Rial, 2001] Rial Juan. 2001. Modernizacin del Proceso Electoral: Voto Electrnico en Amrica
Latina. Disponible en www.undp.org.ar/archivos/A184_Informe_Rial_voto_electrnico.DOC.
Pgina vigente al 06/10/2005
[CEN, 1983] Cdigo Electoral Nacional. Agosto 1983. Decreto N 2135. Disponible en
http://infoleg.mecon.gov.ar/infolegInternet/anexos/15000-19999/19442/texact.htm.
172
Otras fuentes consultadas

Stinson, Douglas. 2002. Cryptography. Theory and practice. Second Edition. Chapman & Hall /
CRC Press. 373 pginas.
Menezes, Alfred. 1996. Handbook of applied cryptography. CRC Press. 816 pginas.
www.smartmatic.com/infographs.htm. Pgina vigente al 01/05/2006
www.edemocracia.com. Pgina vigente al 05/05/2006
www.undp.org.ar. Pgina vigente al 13/03/2006
www.eucybervote.org/articles/England_evoting.txt. Pgina vigente al 10/04/2006
www.evotesheffield.com. Pgina vigente al 10/04/2006
173

Obremski Tesisdegradoingenieriainformatica PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Obremski Tesisdegradoingenieriainformatica PDF

Загружено:

Авторское право:

Доступные форматы

Tesis de grado en Ingeniera en Informtica

Tema: Verificabilidad del voto electrnico

Alumno: Obremski Damin

Tutor: Ing. Dams Alberto

2. Breve Descripcin del eVote ....................................................................................... 13

2. Facilidad, velocidad, correccin: confianza ................................................................ 21

3. Debilidades de los sistemas de e-vote.......................................................................... 27

4. Referencias que amparan el problema ......................................................................... 32

2. Aplicabilidad de los sistemas de eVote ....................................................................... 39

Descripcin global de la solucin propuesta ................................................. 42

3. Consolidacin de resultados ........................................................................................ 87

4. Verificacin del voto.................................................................................................. 101

Verficabilidad del mtodo.............................................................................110

2. Mtodo de verificacin real ....................................................................................... 114

CAPTULO VII .............................................................................................116

2. Comparacin con los sistemas de eVote existentes................................................... 124

2. Tecnologa existente .................................................................................................. 140

2.6. Secret-Ballot Receipts.................................................................................................................153

2. Funciones de Hash ..................................................................................................... 160

3. IPSec .......................................................................................................................... 164

4. Lectura de huellas dactilares...................................................................................... 167

1.1. Objetivo de la tesis

Se espera que la metodologa propuesta no requiera de boletas preimpresas para funcionar,

Para acotar el estudio y circunscribirlo a una problemtica en particular, algunos de los

1.2. Lmites al trabajo

Lo mismo ocurre con el inconveniente denominado Rompimiento del sistema de

Se propone la apertura de una lnea de investigacin, en el caso de cumplir con los

Este trabajo est enfocado en el aspecto de integridad de los sistemas de votacin

Esta investigacin se centra en incrementar la confianza de los votantes en los sistemas de

1.3. Esquema de voto electrnico propuesto

6. El elector recibe su documento con la constancia de haber votado. Se asienta la emisin

1.4. Necesidad de verificacin del voto

Las tecnologas actuales que implementan la votacin electrnica presentan varias

Hoy en da la votacin electrnica es un tema que se ha instalado en la sociedad. En las

provocaran el retorno a los sistemas de tradicionales o el constante cuestionamiento a los

El mtodo propuesto como solucin en este trabajo es verificable ya que finalizada la

2. Breve Descripcin del eVote

2.1. Definicin de eVote

A su vez, cuando se habla de voto electrnico, tambin se hace referencia a la tecnologa

2.2. Definicin de Voto Digital

2.3. Requisitos del voto electrnico

a) Desde el punto de vista del sufragante.

La confianza del elector en el buen funcionamiento del sistema.

La conveniencia del elector para usarlo. Esta se resume en la facilidad, la

b) Los requisitos intrnsecos del eVote.

Anonimato, privacidad y no coercin

Los sistemas de voto electrnico deben garantizar el anonimato, la privacidad y

Se debe garantizar que slo puedan votar los electores habilitados y

Los sistemas de votacin deben funcionar de manera robusta y eficiente, sin

Se trata de disear mtodos de votacin fcilmente utilizables por los

Exactitud y posibilidad de verificacin

Los sistemas de votacin deben procurar el correcto almacenamiento de los

2.4. Requisitos de seguridad para implementar el eVote

Se recomienda tener un sistema de registro y verificacin de identidad del votante, otro

2- Control del sistema.

Se recomienda que el cdigo fuente sea propiedad de la autoridad electoral

Es importante diferenciar entre seguridad y confianza, ya que el primero es un

Es tema de esta tesis motivar el incremento de la confianza del elector en la

1. Inconvenientes del voto electrnico

1.1. Problemas sociales

Secreto del voto

En la Argentina, todo lo relacionado con el secreto de la eleccin parece algo

Solemnidad del acto