Академический Документы
Профессиональный Документы
Культура Документы
Sistemas de eVote
Verificabilidad del voto electrnico
Damin Obremski
Diciembre 2006
Padrn: 79100
Autor
Tutor
ndice
ndice ................................................................................................................... 3
CAPTULO I...................................................................................................... 7
INTRODUCCIN ............................................................................................. 7
1. Resumen ejecutivo ......................................................................................................... 7
1.1. Objetivo de la tesis..........................................................................................................................7
1.2. Lmites al trabajo............................................................................................................................8
1.3. Esquema de voto electrnico propuesto .........................................................................................9
1.4. Necesidad de verificacin del voto ...............................................................................................11
CAPTULO II .................................................................................................. 18
Definicin del Problema .................................................................................. 18
1. Inconvenientes del voto electrnico ............................................................................ 18
1.1. Problemas sociales .......................................................................................................................18
1.2. Problemas tecnolgicos................................................................................................................19
CAPTULO III................................................................................................. 35
Anlisis de requisitos de la Ley electoral....................................................... 35
1. Requisitos de la Ley..................................................................................................... 35
1.1. Carcter del sufragio....................................................................................................................35
1.2. Padrones electorales ....................................................................................................................36
1.3. Oficializacin de candidatos ........................................................................................................36
1.4. Procedimiento de votacin ...........................................................................................................37
1.5. Las juntas electorales ...................................................................................................................38
CAPTULO IV ................................................................................................. 42
3
CAPTULO V................................................................................................... 52
Detalles de los mdulos del sistema................................................................ 52
1. Inicializacin................................................................................................................ 52
1.1. Configurar mquinas....................................................................................................................53
1.1.1. Generar claves .......................................................................................................................54
1.1.2. Realizar carga inicial .............................................................................................................55
1.1.3. Limpiar registros....................................................................................................................57
1.2. Intercambiar claves ......................................................................................................................58
2. Procedimiento de votacin........................................................................................... 60
2.1. Imprimir acta inicial.....................................................................................................................61
2.2. Identificacin del votante .............................................................................................................62
2.2.1. Lectura ptica del DNI ..........................................................................................................65
2.2.1.1. Leer DNI con la mquina ...............................................................................................66
2.2.1.2. Validar contra padrn .....................................................................................................67
2.2.1.3. Registrar al votante .........................................................................................................68
2.2.2. Registro de huella dactilar .....................................................................................................69
2.3. Ejecucin de la votacin...............................................................................................................70
2.3.1. Autenticacin de usuario .......................................................................................................72
2.3.2. Seleccin de candidato ..........................................................................................................73
2.3.2.1. Mostrar opciones ............................................................................................................74
2.3.2.1.1. Leer lista de candidatos ...........................................................................................75
2.3.2.1.2. Almacenar opciones.................................................................................................76
2.3.2.1.3. Imprimir opciones....................................................................................................77
2.3.2.2. Ingresar opcin ...............................................................................................................79
2.3.3. Culminacin del voto.............................................................................................................80
2.3.3.1. Almacenado del voto ......................................................................................................81
2.3.3.2. Impresin del comprobante ............................................................................................82
2.4. Imprimir acta de cierre.................................................................................................................84
CAPTULO VI ...............................................................................................110
4
CAPTULO VIII............................................................................................129
Conclusiones ...................................................................................................129
ANEXO A .......................................................................................................132
Experiencias Tecnolgicas existentes...........................................................132
1. Antecedentes del problema ........................................................................................ 132
1.1. Experiencias Internacionales de voto electrnico......................................................................132
1.1.1. India .....................................................................................................................................132
1.1.2. Brasil....................................................................................................................................133
1.1.3. Blgica .................................................................................................................................134
1.1.4. Costa Rica............................................................................................................................134
1.1.5. Venezuela ............................................................................................................................135
1.1.6. Estados Unidos ....................................................................................................................136
1.1.7. Inglaterra..............................................................................................................................136
1.1.8. Espaa..................................................................................................................................136
1.2. Experiencias en Argentina..........................................................................................................137
1.2.1. Provincia de Tierra del Fuego..............................................................................................137
1.2.2. Provincia de Buenos Aires...................................................................................................138
1.2.3. Mendoza ..............................................................................................................................139
ANEXO B .......................................................................................................157
Fundamentos Tericos y Prcticos ..............................................................157
1. Encriptacin ............................................................................................................... 157
1.1. Cifrado Simtrico........................................................................................................................157
1.2. Cifrado de clave pblica.............................................................................................................158
Referencias......................................................................................................170
CAPTULO I
INTRODUCCIN
En este captulo se presenta el objetivo principal de la tesis que consiste en disear un
sistema de votacin electrnica verificable para solucionar los problemas que poseen los mtodos
actuales. Como el foco del diseo est centrado en incrementar la confianza de los electores en los
sistemas de eVote, sobre algunos inconvenientes no se invirti esfuerzo en solucionarlos. stos
sern expuestos en la seccin lmites al trabajo. A continuacin se describe brevemente el mtodo
de votacin propuesto como solucin a los mismos, destacando su caracterstica de permitir
verificar los votos emitidos y justificando la necesidad de esta cualidad. Luego se introduce al
lector en el tema del trabajo, ensayando definiciones de eVote y detallando requisitos necesarios
para implementar la tecnologa.
1. Resumen ejecutivo
El sistema debe asegurar que ni siquiera un fiscal electoral pueda rastrear algn voto. Sin
embargo, debe existir alguna forma, en el caso que el voto publicado no coincida con la eleccin
que hizo el votante frente a la mquina, de que ste pudiera demostrar el error cometido sin
comprometer el anonimato del sufragio.
Como resultado se busca obtener un procedimiento sencillo, seguro y que sea confiable por
parte de la poblacin en general y la gente especializada en sistemas en particular. Que pueda ser
implementado, caracterstica que obliga a cumplir con los requisitos que se plantean al final de
este captulo.
El primero de los inconvenientes es el ataque que pudieran sufrir las mquinas por parte de
un saboteador, dejndolas inoperables el da de la eleccin. Este ataque es el denominado
Denegacin de servicio. Se podran esbozar algunas reglamentaciones o conductas a seguir
como contingencia en caso de que ocurriere, pero no podran evitarse.
de esta forma prevenir cualquier tipo de ataque posible contra las mquinas
de votacin
electrnica.
1. El elector se identifica ante las autoridades de mesa, con su documento. Estas realizan
la lectura ptica del mismo para que la mquina de identificacin verifique su
presencia y habilitacin en el padrn.
2. Si est en condiciones de votar, se le toma una lectura de una huella dactilar para
habilitar la mquina de votacin que se encuentra en el cuarto oscuro. El elector
ingresa a este cuarto y se autentifica tomando una nueva lectura de su huella dactilar.
3. La emisin se concreta eligiendo una opcin de las desplegadas en una pantalla por
medio de un teclado. En el caso de ser un elector discapacitado, el sistema prev
alternativas (sonido, braille, etc.).
4. Una vez efectuada la seleccin, el sistema le permite al elector verificar las opciones
elegidas antes de emitir el voto. En este momento, si lo desea, puede cambiar sus
preferencias, la cantidad de veces que le fuera necesario. Cuando est seguro, elige la
opcin Emitir o Votar y el voto se almacena en la memoria digital de la mquina.
5. La mquina emite un comprobante en papel que el sufragante debe retirar para poder
verificar su voto.
Este proceso se repite hasta finalizar el horario de votacin, donde las autoridades de mesa
activan los procedimientos que poseen las mquinas para realizar los conteos y emitir las actas de
cierre necesarias. La tercer etapa es la de transmitir de los resultados a los centro de consolidacin
de datos. Esta ltima accin se realiza del modo ms seguro posible (datos cifrados, sistemas de
clave pblica privada de alta seguridad) para garantizar la inalterabilidad de la informacin. En
forma jerrquica se transmiten los datos y los resultados parciales hasta un centro donde se alcanza
el resultado de los comicios. La cuarta etapa es la de verificacin que ofrece a los votantes 2
formas de efectuarla. La primera de ellas sirve como aproximacin y se realiza a travs de Internet
mediante un cdigo impreso en el comprobante devuelto por la mquina de votacin. La segunda
es un lugar pblico, con condiciones similares a los cuartos oscuros, donde queda de manifiesto el
candidato votado. Esta ltima forma autentifica al elector y posee la seguridad necesaria para no
revelar el secreto y no violar el anonimato del voto. En caso de no corresponder el sufragio
reflejado por la mquina con el emitido por el elector, existe un ente regulador al cual se le pueden
presentar pruebas que demuestran la falla y no descubren el secreto del sufragio.
10
Por tales razones se requiere un sistema de votacin que permita verificar el voto emitido,
mitigando el riesgo de fraude e incrementando la confianza del elector en el uso de la tecnologa
en el acto de sufragio. Esta es la nica forma de crear las bases necesarias para implementar el
eVote y aprovechar sus ventajas innatas, porque de no existir un proceso que permita comprobar
el sufragio, la falta de confianza de los ciudadanos en los sistemas de votacin electrnica
11
12
Elegibilidad y autenticidad
Integridad
Los sistemas de votacin deben poder asegurar que los votos no sean cambiados
o eliminados.
Certificacin y auditoria
Los sistemas de votacin deben poder ser probados por agentes oficiales, para
permitirles certificar los niveles aceptables de funcionamiento y auditar el
sistema en cualquier momento.
14
Confiabilidad
Facilidad de uso
1- Separacin de funciones
15
empresas. El equipo de trabajo encargado de realizar las aplicaciones para el registro de votos
en la memoria de las mquinas, debe ser independiente de aquel responsabilizado de la
contabilizacin de sufragios, como tambin del de identificacin de los votantes.
Quienes pueden acceder al sistema, ya sea para operar o para auditar, constituyen el
eslabn dbil de la cadena de seguridad de un sistema. Al ser sus custodios, se plantea la
expresin "Qui custodies ipsos custodios", o sea quin controla a los que controlan. En esta
tesis se busca delegar parte de la auditora en los ciudadanos mediante la
implementacin de un sistema de verificacin del voto emitido.
3- Cdigo abierto.
4- Seguridad y confianza
17
CAPTULO II
Definicin del Problema
En este captulo se describen todos los problemas relacionados con el voto electrnico.
Inicialmente se exponen los inconvenientes asociados a la aplicacin de las tecnologas al acto de
sufragio desde dos puntos de vista: el social y el tecnolgico. Luego se describen algunos
requisitos esenciales, que no son mas que caractersticas innatas de los procesos de votacin
electrnica, con la finalidad de describir los problemas que trae aparejada su implementacin. Otra
importante fuente de problemas son las mquinas utilizadas para la emisin de los sufragios. Todo
artefacto electrnico posee debilidades que pueden ser explotadas por terceros o lmites acerca de
las funcionalidades que ofrece. Aqu se puntualizan las flaquezas que poseen las mquinas.
Finalmente, el captulo se cierra citando diferentes documentos que avalan la problemtica
descripta acerca de los requisitos de la votacin electrnica.
Los padrones, los sellos, los documentos, las boletas, etc. hacen a la solemnidad del
acto.
Incertidumbre
Al administrarse una materia prima tan delicada y masiva como son los votos,
todo sistema de administracin genera un margen de error que -en ciertas condiciones
de competencia poltica- torna casi indefinible la eleccin en base a los resultados
procesados. Por supuesto, probablemente en ese punto, contar con medios electrnicos
en parte de los procedimientos, permitira bajar las tasas de incertidumbre. Pero es
imposible que stos no presenten algunos problemas tcnicos.
Verificabilidad
19
Posibilidad de fraude
Quienes observan las mquinas no pueden ver la forma en que stas almacenan,
manejan y cuentan los votos. Estos procesos son transparentes para cualquier persona
que no haya estado en el equipo de desarrollo del software. A su vez, los votantes
tampoco pueden observar por s mismos el registro electrnico de su boleta. Semejante
transparencia en la forma de operar de las mquinas produce desconfianza en los
sistemas de voto electrnico.
20
2.1. Facilidad
En cualquier democracia, todas las personas tienen el derecho de emitir un voto. Es por
esto, que los sistemas de votacin deben garantizar que cualquier individuo sea capaz votar, razn
por la cual el mtodo de sufragio debe ser entendible por cualquier persona. Si el objetivo es
reemplazar los sistemas tradicionales de votacin por mquinas electrnicas, el proceso a
implementar debe ser lo ms sencillo posible para que la gente no requiera de ayuda para emitir su
voto. La necesidad de asistencia por parte de un tercero puede provocar rechazo en quien desee
conservar su eleccin poltica en secreto absoluto. Si bien la tecnologa podra contribuir a que
personas discapacitadas, ciegos en particular, puedan votar sin soporte de nadie, tambin podra
frustrar el intento de votacin de gente mayor que no entiende cmo operar mquinas electrnicas.
Como suele ocurrir, lo que se gana por un lado se pierde por el otro.
La manera de que gente reacia hacia los cambios o hacia la tecnologa se logre adaptar a
los sistemas de e-vote, es logrando que los mismos sean simples y sencillos. La facilidad de uso
otorga mayor confianza hacia el usuario ya que la persona se siente capaz de emitir su voto sin
ayuda. Esa sensacin de competencia provoca aceptacin y por tanto logra confianza en el
sistema. Mediante la sencillez tambin se consigue la correccin, ya que hay una mayor
posibilidad de que el voto almacenado refleje la intencin del elector. La base de la sencillez del
proceso, radica en un alto porcentaje en las interfaces utilizadas. Cuando stas son complejas dan
21
lugar a confusiones y por tanto inducen a los sufragantes a cometer errores y votar por quienes no
deseaban.
En definitiva se puede asegurar que la facilidad de uso y la simpleza del software de las
mquinas de votacin hacen a la correccin y al incremento de la confianza en el sistema.
Analizando un poco ms profundamente, se puede ver que la correccin se refiere a que el voto
almacenado refleje la intencin del votante. En cambio, la confianza, radica en mantener en
secreto la eleccin y que ningn paso del proceso de seleccin del candidato pueda originar una
duda en el elector acerca de si est operando bien la mquina o si cometi un error que podra
modificar su voto.
2.2. Velocidad
Si bien la implementacin de un sistema de e-vote podra perseguir objetivos tales como
reducir los altos costos electorales causados por la emisin de boletas, el propsito principal es
incrementar la velocidad con que se obtienen los resultados de los comicios. Cuando se decide
implementar un sistema de e-vote, por lo general, se busca rapidez en el proceso de recuento de
los votos.
La ventaja de los sistemas electrnicos, consiste en que cada mquina contabiliza los votos
en pequeas fracciones de tiempo y la nica demora en la obtencin del resultado es el envo de la
22
La falta de velocidad en alcanzar las sumas de votos de cada partido, tambin genera
desconfianza en la poblacin. Se plantean interrogantes acerca de la eficiencia y correccin de las
mquinas debido a la demora en la publicacin de los resultados. Estas dudas derivan en otras que
fueron mencionadas en prrafos anteriores, como ser si era necesario el cambio y si se justificaba
la inversin. Todas estas incertidumbres llevan al fracaso la implementacin de las tecnologas en
los sistemas de votacin.
23
2.3. Correccin
El requerimiento fundamental de cualquier sistema computacional es que sea capaz de
guardar los datos que se le ingresan, para que estn disponibles cuando se los necesite, es decir,
que sirva como soporte de informacin. Esta caracterstica no es ajena a los sistemas de votacin
electrnica. La correccin de los mismos radica en que el voto almacenado sea el verdadero
reflejo de la intencin del sufragante. Dada una interfaz en la cual les permita a los votantes
ingresar su voto sin error, la confianza depende directamente del correcto almacenaje de las
intenciones de voto de los sufragantes. La confianza de los ciudadanos en las mquinas depende
de sus experiencias en el uso de las mismas tanto como en el entendimiento de su funcionamiento
y el proceso que las rodea.
En cualquier sistema tradicional, los operadores pueden consultar los datos cargados y
verificar su integridad. Sin embargo, en los sistemas de votacin electrnica esa posibilidad no
existe, motivo por el cual la confianza juega un rol muy importante. Una de las razones por las
cuales los votantes confan en las mquinas DRE es debido a su semejanza con los cajeros
automticos. Despus de todo, si confiamos en una maquina electrnica que cuente dinero
podremos confiar en que cuente correctamente los votos emitidos. La falacia de este argumento
reside en que el cajero automtico le otorga al usuario un comprobante de la operacin. Si
existiera una discrepancia el cliente puede notarlo y hacer el respectivo reclamo al banco
interviniente. En las mquinas DRE no hay comprobante y tampoco hay forma de protesta
posterior sobre los resultados almacenados.
Un mecanismo ms poderoso es aquel que permite al votante saber si su voto fue includo
correctamente en el recuento. Esto debe realizarse sin comprometer el anonimato del sufragante o
sin proveer la posibilidad de que alguien infiera por quin vot otra persona.
24
Una forma simple pero insatisfactoria de hacer eso es proveer al votante de una nica y
aleatoria boleta numerada y luego publicar cada nmero de boleta con el voto asociado. Los
sufragantes van a poder comprobar si en la publicacin se encuentra su voto y si adems fue
registrado correctamente. El problema reside en que nadie podra ser capaz de probarle a ninguna
otra persona que su voto no fue incluido en la cuenta. Otro problema es que los votantes podran
ser forzados a revelar su voto, dicindole a quien los obliga el nmero de boleta. Finalmente, no
habra ninguna forma de probar que se hayan agregado votos de gente que no ha concurrido a
votar.
Por estas razones se le debe otorgar al sufragante un comprobante que les permita
verificar que su voto fue realmente includo correctamente en el recuento o de lo contrario
servir como prueba para que un fiscal electoral pueda comprobar el error. Este
comprobante no debe permitir de ninguna forma que un coerzor pueda conocer por quin
vot una persona. [Evans & Paul, 2004]
2.4. Confianza
En los puntos anteriores se han analizado 3 de las caractersticas de los sistemas de
votacin que se creen vitales para el xito en la implementacin de e-vote. La conjugacin de la
facilidad, velocidad y correccin en un sistema, generan en la poblacin la confianza necesaria
para que persista en el tiempo. Sin embargo, las primeras dos cualidades pueden ser sacrificadas
en cierto grado, aunque nunca eliminadas, con el nico fin de garantizar la correccin en el
25
almacenado y recuento de votos. Cualquier duda sobre este aspecto, pondra en tela de juicio al
procedimiento y terminara por erradicarlo por completo.
De nada sirve tener el sistema de seleccin ms simple, con la interfaz ms amigable para
el usuario, si la operacin que realiza es incorrecta. Lo mismo ocurre con la velocidad, el proceso
ms gil no tiene valor si es errneo. Pero tambin se puede apreciar que la correccin sin la
velocidad o facilidad, tampoco subsistira porque la poblacin demandara retornar a los sistemas
de votacin tradicionales ya que los tecnolgicos no proveeran ninguna ventaja.
Evitando el doble registro de votos, manual y electrnico, y siendo las mquinas quienes
efecten el recuento, la velocidad est garantizada. El problema radica en balancear la facilidad
con el agregado de procesos que aseguren la correccin de los sistemas pero dificultan el uso de
las mquinas de votacin. La dificultad se acota a resolver hasta qu nivel se puede complicar la
seleccin de los candidatos para implementar un sistema de verificacin del voto, nico recurso
disponible para legitimar al e-vote.
26
Los ataques apuntan directamente a manipular los votos para modificar el resultado
de las elecciones. Esto lo logran mediante el cambio de votos o la suma de nuevas boletas a
un candidato. Un caso aparente de alteracin de la votacin es agregar un porcentaje de
votos a algn candidato. Una forma de realizar esto sin ser detectado en el testeo de las
mquinas, es activar el cdigo que modifica la votacin luego de emitidas una cierta
27
cantidad de votos. Se especula con que los auditores prueben una cuanta de votos menor,
para dar como ptimo el funcionamiento de la mquina.
Denegacin de servicio
Consiste en inhabilitar el sistema para que nadie pueda emitir ningn voto. La
mquina queda inutilizada. De esta forma la eleccin no podr ser completada y los
resultados a los que se accedan sern parciales. Ante una votacin despareja, la
consecuencia es menor ya que el resultado no se vera afectado, sino que simplemente se
atentara contra la democracia e igualdad de los ciudadanos de elegir sus representantes. Si
este ataque se efecta en varias terminales de votacin, los comicios deberan ser
pospuestos. Lo mismo ocurre ante una eleccin cerrada donde existe gran paridad entre los
candidatos y una urna pueda definir la votacin.
Todos estos ataques pueden traer serias consecuencias en los procesos electorales y
requieren de los mayores cuidados para prevenirlos. Los posibles daos que pueden causar van
desde retrasar la eleccin, por el tiempo demorado en reparar las mquinas, hasta hacer ganar a un
candidato que no recibi la mayora de los votos. Estos ataques pueden ser causados por fallas
28
Los sistemas de votacin deben contabilizar los votos en forma annima para prevenir
cualquier tipo de presin, represalia o recriminacin contra aquellos que eligen boletas
impopulares. Uno debe estar seguro que ni siquiera un fiscal electoral puede rastrear nuestro voto.
Es muy sencillo realizar un programa capaz de emitir un ticket que indique mediante un cdigo,
slo identificable por el elector, por quin se voto. Terminada la eleccin se publican los
resultados con los candidatos correspondientes a cada cdigo, para que el sufragante verifique si el
voto fue contabilizado en forma correcta. Esto no exime que venga un tercero y obligue a una
persona a mostrarle el cdigo, hacindole perder el anonimato al voto.
29
La dificultad que poseen los sistemas de votacin para ser verificados en un ambiente
similar al real, hace que cualquier proceso de auditora o comprobacin, no impacte positivamente
en la confianza que les tienen los electores. Esta complicacin obliga a redisear los procesos para
permitir al elector verificar su voto, convirtiendo a toda la sociedad en auditora del sistema.
30
31
Otra publicacin que se refiere a la problemtica que trata este trabajo, es la publicada por
Mole [Mole, 2005], quien se opone a la tecnologa de las mquinas DRE (ver Punto 2.1.3.4)
afirmando que efectan el registro de votos y el recuento en secreto. Los votantes no pueden ver si
sus votos se encuentran registrados correctamente en la memoria de las mquinas. El autor
propone tomar conciencia y eliminar a las computadoras de los sistemas de votacin. Asegura que
hay que volver a las boletas de papel y llama a utilizar un mtodo de lectores pticos para acelerar
el recuento. No confa en la tecnologa de las mquinas porque no se puede observar el registro,
seguimiento, almacenado, manejo y conteo de votos.
32
mquinas de votacin por sistemas que permitan a votantes y auditores verificar los votos y el
proceso completo. Esta fundacin public varios artculos y elabor una resolucin [Verified
Voting Foundation, 2004] que solicita cambiar las mquinas DRE por otras que permitan verificar
el voto antes de aceptar la operacin y que no se altere la eleccin despus de confirmarla. Que
emita una boleta y que sta tenga mayor valor que los registros de las mquinas. Si no existe la
posibilidad de verificar en forma independiente los votos, no se provee seguridad sobre la
integridad de los sistemas de votacin por ms que se hayan hecho revisiones de diseo,
inspecciones, testeo, anlisis lgico y/o control sobre el proceso de desarrollo del sistema. Algo
importante que destaca es que actualmente no existe forma alguna de detectar errores en el registro
de los votos, por lo que los resultados de las elecciones arrojados por estas mquinas estn
abiertos a cuestionamientos.
Peter Neumann [Neumann, 1993] present un paper en la 16ta conferencia denominada
National Computer Security en Baltimore. En l describa algunos criterios a tener en cuenta para
los sistemas de computacin involucrados en la votacin electrnica. A medida que los procesos
de votacin fueron siendo ms automticos, la cantidad de reportes sobre supuestos errores
accidentales o sospechas de fraude tambin fue creciendo. Las vulnerabilidades de seguridad en
los sistemas de votacin proveen oportunidades para abusar de ellas. Por esta razn, enumera
varios criterios para aplicar a la confiabilidad, integridad, accesibilidad, confidencialidad y
seguridad. Esto demuestra la existencia de falta de credibilidad y confianza en los sistemas que se
utilizan actualmente.
Existen muchos otros documentos que avalan la problemtica del trabajo. Muchos autores
se oponen a la posibilidad de verificar los votos y otros se encuentran a favor. Los motivos son
varios y difieren entre s. Los que se encuentran a favor se basan en la falta de transparencia de
los procesos actuales y la imposibilidad de auditarlos. Quienes se oponen, aseguran que la
redundancia de registros agrega complicaciones y genera conflictos sobre la confiabilidad de cada
uno. Otros opositores afirman que es imposible o muy difcil implementar sistemas que permitan
verificar el voto [Papageorgiou, 2001] porque en cualquier instancia del proceso se puede alterar
el curso normal del mismo de forma transparente al votante.
Es objetivo de esta tesis hilvanar un mtodo que permita a quien quisiere, auditar el
proceso de votacin, permitiendo a los sufragantes verificar si su voto refleja realmente su
33
intencin. Se espera poder acercar las posiciones de aquellos que se encuentran a favor y en contra
de la votacin electrnica. Siguiendo los dichos de Pibel [Pibel, 2003], las mquinas presentan
muchas ventajas. Se pueden tener boletas en mltiples idiomas, habilitar sonido, ahorrar costos de
impresin de boletas, etc. Sin embargo los profesionales de sistemas se oponen a estas porque
conocen la vulnerabilidad de las computadoras a errores o sabotajes.
Los interrogantes que se plantean son los siguientes: es posible aprovechar las ventajas de
estos sistemas de votacin electrnica, incorporando al proceso la posibilidad de verificar los
votos, auditar el proceso y los resultados?. Existe alguna manera de incorporar la redundancia
necesaria en los registros para permitir comprobar la correccin de los votos guardados sin
complicar los procesos existentes? Hasta el momento se han creado nuevos sistemas, como el que
propuso Rebecca Mercuri [Mercuri, 2003] (Voter Verifiable Ballots del Anexo A) aunque no han
logrado conformar lo suficiente.
34
CAPTULO III
Anlisis de requisitos de la Ley electoral
El objetivo de este captulo es estudiar los requerimientos que se deducen de la Ley
electoral Nacional y ver cmo se ajustan a ellos los diferentes sistemas de votacin electrnica
existentes. En el diseo de la propuesta de solucin se deben tener en cuenta los requisitos que se
desprenden del cdigo electoral Nacional para que la misma pueda ser implementada. Por tal
motivo se procede a describir uno a uno los derechos y obligaciones impuestos por la Ley. En la
segunda parte del captulo se realizar un anlisis acerca de la aplicabilidad en la Argentina de
cada uno de los sistemas de votacin electrnica segn los requerimientos de la Ley electoral
Nacional.
1. Requisitos de la Ley
Las personas no videntes sern acompaadas por el presidente y los fiscales que quieran
hacerlo, quienes se retirarn cuando el ciudadano haya comprobado la ubicacin de las distintas
boletas y quede en condiciones de practicar a solas la eleccin de la suya.
35
Las mesas electorales podrn contener hasta 450 electores inscriptos y con un mnimo de
sesenta.
Los fiscales podrn votar en las mesas en que acten aunque no estn inscriptos en ellas,
siempre que estn en la seccin a que ellos pertenecen. En ese caso se agregar el nombre del
votante en la hoja del Registro, haciendo constar dicha circunstancia y la mesa en que est
inscripto. La designacin del fiscal ser comunicada hasta 24 horas antes del acto eleccionario.
Los presidentes y suplentes a quienes corresponda votar en una mesa diferente a aquella en
que ejercen sus funciones podrn hacerlo en la que tienen a su cargo.
36
Treinta das antes de la eleccin, los partidos polticos que hayan proclamado candidatos,
debern someter a aprobacin los modelos exactos de las boletas de sufragio destinadas a ser
utilizadas en los comicios.
Los electores podrn votar nicamente en la mesa receptora de votos en cuya lista figuren
asentados y con el documento cvico habilitante. El presidente verificar si el ciudadano a quien
pertenece el documento cvico figura en el padrn electoral de la mesa y que posea un documento
igual o ms nuevo del que aparece en el padrn.
Todo aquel que figure en el padrn electoral y exhiba su documento cvico tiene derecho a
votar y nadie podr cuestionarlo en el acto de sufragio. Los presidentes no aceptarn impugnacin
alguna que se funde en la inhabilidad del ciudadano para figurar en el padrn electoral. Se podr
impugnar la identidad del elector cuando a juicio de las personas ste hubiere falseado su
identidad.
37
La iniciacin de las tareas de escrutinio de mesa no podr tener lugar, bajo ningn
pretexto, antes de las 18 horas, aun cuando hubiera sufragado la totalidad de los electores.
Concluida la tarea del escrutinio se consignar en acta impresa la hora de cierre, el nmero de
sufragios emitidos, cantidad de votos impugnados, diferencia entre las cifras de votos escrutados y
los votantes sealados en el registro de electores. Cantidad de los sufragios logrados por cada uno
de los respectivos partidos y en cada una de las categoras de cargos. El nmero de votos nulos,
recurridos y en blanco, el nombre del presidente, los suplentes y fiscales que actuaron en la mesa.
La junta declarar nula la eleccin realizada en una mesa cuando falte el acta de inicio o
fin, el acta haya sido maliciosamente alterada o el nmero de sufragantes consignados en el acta
difiera en 5 sobres o ms del nmero de sobres utilizados y remitidos por el presidente de mesa.
38
39
interpretarse como una violacin a la libertad de eleccin o al secreto de voto ya que est
revelando la intencin del votante en el caso que no se tratare de un error.
Aquellas mquinas que otorgan un tiempo mximo al votante para emitir el sufragio,
limitan la libertad del ciudadano para elegir su representante. Existe la posibilidad de que una
persona no pueda emitir su voto a causa de que expir el tiempo otorgado para seleccionar el
candidato.
Si el sistema utiliza mquinas para identificar al votante, las mismas deberan proveer una
funcin para agregar votantes a los padrones, para satisfacer el requisito de que los fiscales y
40
autoridades de mesa pueden votar en su mesa por ms que no pertenezcan a ella. Si adems la
identificacin del elector se realiza en la misma mquina en la cual se efecta la emisin del
sufragio, cabran dudas acerca del anonimato y secreto del voto.
Si utilizan monitores touchscreen y no poseen otro medio de ingreso de datos como ser un
teclado braille, las personas no videntes seran incapaces de emitir un sufragio por s mismas.
41
CAPTULO IV
Descripcin global de la solucin propuesta
En este punto se explica en forma genrica el mtodo Pantalla-Impresora. El objetivo es
que el lector comprenda la esencia del proceso de votacin, para facilitar el entendimiento del
captulo siguiente, donde se detallan cada uno de los procedimientos que intervienen. Inicialmente
se describen algunas caractersticas que poseen las mquinas utilizadas, para luego describir el
proceso completo de la solucin propuesta.
1. Mtodo Pantalla-Impresora
Otra de las caractersticas destacables que posee este mtodo de votacin electrnica que lo
diferencia de los otros sistemas, y que es indispensable para la etapa de verificacin, es la interfaz
con el usuario. La pantalla de la mquina no utiliza una tecnologa de rayos de luz, cristal lquido
o plasma, sino que es un papel impreso que se muestra tras un vidrio (en el futuro ser mencionada
como pantalla de papel). El sistema consiste principalmente en una impresora de papel continuo y
2 rodillos que se encargan de deslizar la hoja impresa para dejar visible lo que necesita el usuario.
De esta forma queda una prueba fsica de la comunicacin entre la mquina y el elector. Hasta el
momento, el mayor problema de los sistemas de evote es que no dejan constancia alguna de las
transacciones que realizan, lo que genera desconfianza en el elector. Esa desconfianza radica en la
posibilidad de que la mquina guarde en sus registros algo que difiere de lo exhibido. Las
tecnologas que utilizan monitores convencionales poseen la desventaja que la informacin que
circula por su interfaz se pierde cuando la misma desaparece, son voltiles. Desde el momento en
que quedan evidencias de lo visualizado por el elector, cualquier proceso que altere lo que la
mquina muestra, sera detectado en alguna instancia de la verificacin.
43
La interfaz de papel se complementa con una pequea pantalla convencional (en un futuro
se la mencionar como pantalla electrnica) que sirve para mostrar mensajes que no ameritan ser
impresos en papel ya que no requieren ser verificados. El dispositivo muestra las instrucciones de
qu es lo que debe realizar la persona que se encuentra frente a la mquina de votacin en cada
momento.
Existen ciertos requisitos de seguridad que se deben cumplir para mitigar riesgos de averas
que pudieran ocurrirle a las mquinas o hechos que atenten contra la correcta finalizacin de los
comicios. Estos son:
Todas las mquinas deben poseer bateras de larga duracin (que el tiempo de
autonoma que otorgan por lo menos sea igual al de la duracin de los comicios)
para evitar la interrupcin de las elecciones a causa de cortes de luz
Todas las mquinas deben tener papel suficiente para poder imprimir en pantalla
las listas de candidatos correspondientes a todos los votantes empadronados para
votar en ese dispositivo y para emitir todos los comprobantes de los sufragios que
se llevan los electores.
Los datos impresos en los papeles de las pantallas y los recibos entregados por las
mquinas no se deben borrar por un tiempo a determinar de X aos para garantizar
que sirvan como evidencia de voto.
La inicializacin se ejecuta en una etapa previa al inicio de los comicios. Aqu se preparan
las mquinas para poder utilizarlas durante el da de las elecciones. La funcin principal que tiene
es la garantizar la seguridad de las comunicaciones inalmbricas entre los diferentes dispositivos
que intervienen en el proceso de votacin. El objetivo consiste en generar las claves a utilizar por
cada mquina y distribuirlas en forma segura a travs de redes cableadas.
45
permite intercambiar las claves a travs de la misma red. Si bien la forma en que lo realiza es
segura, no es infalible. La ventaja de poder conectar fsicamente dos extremos de una
comunicacin, es que este intercambio de claves pasa a ser invulnerable, ya que nadie puede estar
escuchando el canal de transmisin.
1
Inicializacin
Iniciar
2
Procedimiento de votacin
3
Consolidacin
de resultados
Votos y actas
4
Verificacin
Votos
del voto
Otra tarea que realiza el proceso de inicializacin, es la carga del padrn electoral en cada
una de los dispositivos utilizados para identificar a las personas en las mesas de votacin, y la
limpieza de sus registros, para que ninguna persona aparezca como que ya emiti un voto.
En las mquinas de votacin se proceder a cargar la lista de candidatos por los cuales las
personas deben optar en la eleccin. Tambin se deben limpiar los registros para asegurar que no
poseen ningn voto ya almacenado. Esta tarea de limpieza, tambin se efecta en los
administradores y en toda mquina encargada de efectuar la cuenta de votos.
46
Finalmente, todas las mquinas deben generar las claves de cifrado que van a utilizar para
proteger la informacin que manipulan durante el proceso de votacin. En este conjunto se
encuentran los pares de claves pblicas y privadas y las claves simtricas para uso interno. El
administrador central, la mquina que publica el resultado de la eleccin, debe crear la clave
simtrica utilizada para cifrar los votos e informes que sern transmitidos por las redes pblicas
cuando se cierren las mesas de votacin. Esta clave debe estar en posesin de todas las mquinas.
La forma de transmitirla es utilizando la misma va que se usar el da de los comicios para
transmitir los votos emitidos en cada mquina. Es decir que este ltimo paso requiere que las redes
inalmbricas se encuentren instaladas. La clave es distribuda en forma jerrquica, desde el
administrador central hasta los dispositivos de identificacin y las mquinas de votacin de cada
una de los centros de sufragio.
La segunda etapa implementa las tareas que se requieren ejecutar para poder emitir un
voto. Es la transformacin del procedimiento tradicional de votacin, por un sistema equivalente
que utiliza dispositivos tecnolgicos. Al igual que en las elecciones actuales, se divide en 2
grandes procesos que se repiten por cada ciudadano que se presente a sufragar. Uno de ellos, es el
de identificacin del votante y el otro el de ejecucin de la votacin, que tienen lugar durante el
tiempo en que se extiendan los comicios. El primero, realiza las tareas necesarias para validar que
la persona que se presenta en la mesa de votacin est habilitada para emitir un sufragio y obtiene
una huella dactilar del elector para ser utilizada en otros procesos. Actualmente el ciudadano se
presenta frente a la mesa de votacin, entrega su documento civil al presidente de mesa y ste lo
busca en un listado impreso que posee. En caso de que exista, le entrega un sobre y cuando ingresa
al cuarto oscuro, coloca en su planilla la seal de que la persona vot. Algo similar ocurre con el
mtodo Pantalla-Impresora. Cuando el elector se presenta en la mesa y entrega su documento, en
lugar de rastrearlo en el padrn impreso, se le efecta una lectura ptica y es la mquina la que
ejecuta la tarea. Si lo encuentra, en lugar de entregarle un sobre para que pase al cuarto oscuro, se
le solicita un dedo de su mano para tomarle una imagen de su huella dactilar. En ese momento el
ciudadano puede pasar al cuarto oscuro y la mquina guarda en sus archivos que ste emiti su
voto. En ambos esquemas, el presidente de mesa tambin verifica que el documento presentado
47
sea igual o mas nuevo que aquel que figura en el padrn. No se puede votar con un documento
viejo.
El segundo proceso de la segunda etapa, posee como fin autenticar al ciudadano que
ingresa al cuarto oscuro, permitirle emitir su voto y entregarle una constancia que acredite la
concrecin de la operacin, sirviendo como prueba fsica del sufragio. Para ello, cuando la persona
ingresa al cuarto oscuro, debe colocar sobre el lector de huellas dactilares, el mismo dedo utilizado
durante la identificacin. La imagen obtenida es comparada con la anterior para certificar que se
trata de la misma persona. Luego se imprime sobre la pantalla el listado de candidatos numerado
en forma aleatoria y mediante un teclado numrico el sufragante debe optar por uno de ellos. La
mquina solicita confirmacin de la eleccin y luego imprime un comprobante que el votante debe
retirar de la mquina. Este procedimiento es similar al actual, la diferencia radica en la tarea
adicional de la lectura de la huella dactilar y en que para elegir una candidato, en lugar de tomar
una boleta y colocarla dentro de un sobre, hay que seleccionarlo de una lista mediante un teclado
numrico.
48
sufragios que posee almacenados y elabora un informe con los totales hallados, como fue
explicado anteriormente.
La segunda etapa en que se realiza el conteo de votos, se lleva a cabo en un centro que
consolida los datos de toda una zona geogrfica, ya sea un estado o provincia. Aqu llegan los
datos provenientes de los administradores de cada lugar de votacin. En estos centros existen
varias mquinas encargadas de sumar los totales de votos obtenidos por cada centro, firmar cada
uno de los sufragios y elaborar un informe de todo lo contabilizado. Tambin existe una mquina
administradora que se encarga de retransmitir los resultados arrojados por cada mquina a un
centro nacional para ser sumados con los totales de las diferentes zonas.
Este esquema es necesario para garantizar la imposibilidad de agregar votos emitidos por
mquinas no autorizadas o la prdida de votos emitidos por los dispositivos reales de votacin, y
para dividir el volumen de procesamiento de la informacin en varias partes para acelerar la
obtencin de los resultados. Algo que es importante destacar, es que la primera carcterstica
recin mencionada, se logra mediante una firma digital al voto procesado que agrega cada
mquina interviniente en el proceso de eleccin. Esta marca de seguridad sirve para descartar
votos que no han pasado por todas las etapas. Por ende, un voto no emitido no puede ser
49
incorporado en una segunda etapa porque sera descartado automticamente por la mquina que
detecta la falta de la firma.
Para poder tener acceso al cuarto que posee la mquina de verificacin, se debe efectuar la
lectura de la huella dactilar utilizada para poder votar. Una vez leda se comprueba que exista en
los registros de votacin asociada a un sufragio. Si eso ocurre, muestra un cartel habilitante para
que la custodia permita pasar a la persona. Dentro del cuarto oscuro, el elector se encuentra con un
monitor de tecnologa touch screen, donde luego de presionar un botn, se visualizar en pantalla
al candidato para que ste pueda comprobar su correccin. Luego de un tiempo se reinicia el
sistema.
En la comprobacin pblica, un sitio de Internet posee una base de datos con todos los
votos emitidos. La mecnica de verificacin consiste en el ingreso del identificador del voto que
se encuentra impreso en el comprobante de papel generado por la mquina de votacin y, luego de
que el servidor lo procese, devuelve el nmero de opcin elegida por el sufragante. Los votantes
podrn comprobar si el nmero publicado coincide con el que tienen impreso en el recibo.
50
51
CAPTULO V
Detalles de los mdulos del sistema
En este captulo se propone ver en detalle cada uno de los procesos que fueron
mencionados anteriormente. El objetivo es describir la forma en que interactan y cada una de las
tareas que ejecutan para realizar la funcin que tienen encomendadas. El sistema completo se
explica utilizando una metodologa top down, donde se especifican los procesos en forma
jerrquica, desde el nivel ms alto al ms bajo. Partiendo del esquema 1 presentado en el punto
anterior, se proceder a explotar cada uno de los procedimientos en otros ms pequeos. Este
desglose se realizar en forma reiterada hasta alcanzar el nivel de mayor detalle, compuesto de
tareas atmicas que no agrupan procesos que ameriten ser especificados.
1. Inicializacin
La funcin principal que tiene es la de preparar los dispositivos intervinientes en el proceso
de votacin para garantizar la seguridad de las comunicaciones inalmbricas entre ellos. Adems
realiza la carga del padrn de cada uno de los dispositivos de identificacin, la carga del listado de
candidatos de las mquinas de votacin y la distribucin de una clave simtrica utilizada para el
cifrado de la informacin que viaja por la red pblica.
52
1.1
Configurar
mquinas
1.2
Intercambiar
claves
Esquema N 2 Inicializacin
Lo primero que realiza es la creacin de las claves que van a utilizar los dispositivos y que
servirn para autenticar a cada uno durante las transmisiones. El siguiente paso consiste en la
carga inicial de datos que debe realizarse sobre cada mquina. En particular, las tareas que se
ejecutan en este mdulo, dependen de la mquina que se est configurando y su lgica ser
detallada ms adelante. Finalmente se procede a ejecutar una limpieza de los contadores que posee
cada mquina para asegurarse que no posean datos residuales.
53
Clave simtrica
1.1.1
Generar
claves
1.1.2
Realizar carga
inicial
1.1.3
Limpiar
registros
Fin
1.1.1.1
Generar claves
pbl. y priv.
1.1.1.2
Generar clave
simtrica
Luego de haber sido cargados los datos en las correspondientes mquinas los mismos son
cifrados con la clave simtrica generada en el punto anterior, por las causas que ya fueron
explicadas. La secuencia en que se ejecutan estos procesos es mostrada en el esquema N 5.
55
b) Los contadores de cada centro geogrfico, encargados de sumar los votos de los
diferentes lugares de votaciones que pertenecen a la zona y auditar los totales
informados.
c) El administrador de cada centro, que consolida los totales informados por los
contadores y elabora un informe con el resultado de la regin.
d) La mquina central encargada de sumar los datos recibidos por cada centro y
obtener el resultado de los comicios.
1.1.2.1
Cargar padrn/
candidatos
1.1.2.2
Cifrar archivo
56
Como muestra el esquema N 6, una vez efectuada esta operacin se inicializan los
contadores. Esta tarea no slo consiste en ejecutar un proceso que muestra el total de votos de
cada mquina para certificar que est en 0, sino tambin consiste en colocar en las mquinas
identificadoras el total de personas habilitadas para votar. Este nmero es utilizado para la
generacin de los informes y para el control cruzado.
1.1.3.1
Crear archivos
vacos
1.1.3.2
Inicializar
contadores
57
Sobre el resto de las mquinas, solo debe ejecutarse el proceso 1.1.3.2, para garantizar que
todos los contadores se encuentren en 0 y la cuenta de votos se ajuste a la realidad. En particular, a
los dispositivos de votacin se les debe colocar el papel preimpreso utilizado para la emisin de
los tickets y la pantalla de papel.
Cada mquina posee un cdigo que la identifica y que figura con marcas de agua en el
papel que utiliza, para garantizar que no pueda ser falsificado ningn comprobante. La colocacin
del papel se efecta en el proceso limpieza de registros, ya que es el momento en que se efectan
las ltimas verificaciones.
administrador una tabla que identifica a cada emisor con su clave segn la direccin IP.
Una vez que el administrador posea almacenadas las claves pblicas de cada mquina, se
lo coloca en una red con las mquinas contadoras de cada centro geogrfico para intercambiar
entre ellos nuevas claves de sesin y la clave pblica del administrador y las de las mquinas de su
lugar de votacin.
Finalizada la tarea anterior, se debe efectuar el mismo tipo de intercambio entre los
contadores y el administrador de cada centro geogrfico. Este proceso se repite entre stos ltimos
y la mquina central.
58
claves privadas y la cifran con las claves pblicas de los contadores y se las transmiten. Este
sistema de transmisin se repite hasta llegar a las terminales de votacin y de identificacin.
1.2.1
Generar claves
de sesin
1.2.2
Distribuir
claves
Distribuyendo la clave de esta forma, se evita tener que colocar a todas las mquinas en red
nuevamente y adems se prueba la comunicacin a distancia que se utilizar el da de las
elecciones.
59
2. Procedimiento de votacin
Este proceso comprende las tareas que se desarrollan en cada mesa de votacin el da de
los comicios. En un principio se procede a imprimir el acta inicial de cada mquina identificadora
y de votacin dando comienzo al acto electoral. A partir de ese momento se ejecutan en forma
reiterada los procesos de identificacin del votante y ejecucin de la votacin. Terminada la
jornada de sufragio, el presidente de mesa inicia el proceso de cierre, cuya finalidad es la iniciar el
recuento de votos en cada mquina y labrar el acta de cierre. Este comportamiento es exhibido en
el esquema N 8. Las lneas punteadas que van del proceso de impresin del acta de cierre a los de
identificacin y votacin, indican una seal de control que al recibirla, stos pasan a modo
inactivo.
Una vez iniciada la votacin, la comunicacin entre los procesos 2.2 y 2.3 se efecta
mediante mensajes transmitidos a travs de redes inalmbricas cuya seguridad se encuentra
garantizada mediante la utilizacin del protocolo IPSec, descripto en el Anexo B. El mensaje que
viaja del proceso de identificacin al de ejecucin, sirve para habilitar la mquina de votacin. El
que vuelve es uno de habilitacin de la mquina de identificacin y sirve para mantener la
sincronizacin entre ambos dispositivos. De este intercambio se desprende el hecho de que ambos
procesos no pueden estar activos en forma simultnea y la activacin de uno produce la
desactivacin del otro y viceversa.
votacin sirve para poder autenticar a las personas que entran al cuarto oscuro mediante su huella
dactilar. Contrario a lo que se intuye, la ejecucin concurrente del sistema de identificacin y de
votacin no introduce ninguna demora significante, ya que el tiempo empleado para el
reconocimiento de la persona en la mesa de votacin es nfimo. El mismo consiste en la suma de
las duraciones de las tareas de lectura ptica del DNI y de lectura de la huella dactilar. Ambos
sistemas son giles y emplean muy pocos segundos. Estos tiempos son despreciables contra los
que demora una persona dentro del cuarto oscuro.
60
2.1
Imprimir acta
inicial
Activar Mquina
Iniciar
2.2
2.3
Identificacin
Ejecucin de
del votante
la votacin
Activar Identificador
2.4
Imprimir acta
de cierre
Votos e informes
61
62
El proceso 2.2.1 se inicia luego de la impresin del acta, cuando se recibe un mensaje que
habilita la mquina para realizar lecturas de DNI. Ese mismo mensaje es recibido despus que
cada persona finaliza la emisin de su voto.
Activar identificador
2.2.1
ID Persona vlida
Lectura ptica
del DNI
2.2.2
Error
Registro de
Activar
Mquina
huella dactilar
El proceso 2.2.2 es aquel que da inicio al proceso de seleccin del candidato por parte del
votante. Consiste nicamente en la lectura de la huella digital mediante un dispositivo que se
encuentra conectado a la mquina de identificacin y al almacenaje de la misma en un archivo
independiente al padrn electoral. A partir de la huella digital se genera un cdigo que es utilizado
como clave de seguridad, la cual posee varias aplicaciones a lo largo del ciclo de votacin. La
primera de ellas es validar que la persona identificada en la mesa, sea la misma que ingresa al
cuarto oscuro a sufragar. La forma de cerciorarse es mediante otra lectura de la huella dactilar en
la mquina de votacin, previo a comenzar el proceso de seleccin de candidatos. En el mensaje
saliente del proceso 2.2.2 viaja el cdigo generado y es el que sirve para activar el proceso 2.3
63
La lectura ptica del DNI devuelve error en el caso de no poder efectuarse. Los
inconvenientes que pueden causar los errores van desde el mal estado del documento hasta la
posibilidad de que la persona ya emiti su voto. El espectro completo de posibles errores se
detallar en los puntos siguientes.
(Ver punto 3 de este captulo), el nico que posee todos los votos emitidos y el que obtiene el
resultado de los comicios. Si bien los votos no podrn ser anulados, las personas que hayan
cometido el fraude podrn ser identificadas y castigadas con la sancin que les correspondiera. Si
la cantidad de votos invlidos agregados, producto del indebido aadido de personas llegara a ser
significativo para modificar el resultado de los comicios, la eleccin completa podra ser anulada
en caso de que las autoridades as lo dispusieran.
Activar identificador
Nro. de documento, apellido y nombre
2.2.1.1
Leer DNI con
la Mquina
2.2.1.2
ID votante
Validar
contra padrn
Error de lectura
No existe o ya vot
2.2.1.3
Registrar al
votante
Activar
Mquina
Error de escritura
Esquema N 10 Lectura ptica del DNI
65
Como muestra el esquema N 10, lo primero que se realiza es la lectura del DNI para
identificar a la persona. Una vez obtenidos los datos, se valida que cumpla con ciertos requisitos y
finalmente se registra y contabiliza que vot mediante el ID de identificacin que le enva el
proceso 2.2.1.2 al 2.2.1.3.
Cabe destacar cul es la verdadera importancia de este proceso. Mediante la lectura ptica
de los documentos extendidos por el registro de las personas, se est reduciendo la posibilidad de
fraguar la eleccin mediante el agregado de votos. Como el resultado de esta accin es la
habilitacin de la mquina de votacin, para poder agregar un voto fuera de la ley, se requiere de
la existencia de un documento. Si a esa necesidad se le suma la condicin de que la persona tiene
que encontrarse precargada en los registros de la mquina de lectura, la dificultad se potencia.
Adems, como se ver ms adelante, la mquina lleva registro de las personas empadronadas que
ya emitieron su voto e imposibilita que lo vuelvan a realizar, invalidando la posibilidad de que una
persona vote 2 veces. Por ltimo la mquina posee un registro con la cantidad de votantes
habilitados y la cantidad de lecturas de documentos de identidad que se hicieron. Obviamente este
ltimo no slo debe ser menor o igual que el anterior, sino que tambin debe coincidir con la
cantidad de votos almacenados en la mquina de votacin. Este es uno de los controles cruzados
que se efectan durante la jornada electoral.
66
2.2.1.2.1
ID votante
2.2.1.2.2
Chequear si
Error de persona
invlida
ya vot
ID
votante
Error de voto ya emitido
67
ID votante
2.2.1.3.1
Escribir marca
2.2.1.3.2
de vot
Si s
Validar si es
el ltimo
Error de escritura
Si no
2.2.1.3.3
Inhabilitar
mquina
ID votante
68
ID de Persona vlida
2.2.2.1
Ingreso de
Huella
2.2.2.2
Almacenado
Incorrecto
2.2.2.3
de la huella
Huella
Leer clave de
sesin
Activar Mquina
69
Como muestra el esquema N 14, el votante tiene la opcin de cambiar su eleccin en caso
de no confirmar el voto. Si bien la revalidacin de la seleccin realizada le agrega complejidad a
la votacin, es necesaria. Cualquier persona puede equivocar la opcin seleccionada, ya sea por un
70
error de tipeo o por un error de lectura. Por estas razones se otorga la posibilidad de confirmar y
cambiar el voto en caso de error. Este proceso de revalidacin, tambin ocurre en los mtodos
tradicionales que utilizan boletas de papel. La diferencia est en que pasa inadvertido. Sin
embargo, cuando una persona agarra una boleta, la lee por lo menos 2 veces para ver si no se
equivoc al tomarla. Esta doble lectura no es ms que una confirmacin de que la boleta
seleccionada es la correcta. Por otro lado, existen varias personas que entran al cuarto oscuro sin
saber por quin van a votar, por lo que van tomando boletas y luego dejndolos nuevamente, por
motivos de su indecisin. Las mquinas de evote deben permitir que el sufragante realice lo
mismo. La forma de permitir eso, es mediante el proceso de confirmacin.
Mensaje de Activacin
2.3.1
Autenticacin
Voto no confirmado
de usuario
2.3.2
Seleccin de
Opcin
Invlida
2.3.3
candidato
Opcin elegida
Consumacin
del voto
Activar Identificador
Una vez que se emiti el voto, la mquina de votacin enva un mensaje de activacin a la
de identificacin, para que sta pueda registrar al siguiente individuo y permitirle votar.
71
Si las huellas no coinciden, se otorga la posibilidad de volver a colocar el dedo para una
segunda lectura. Si vuelve a no coincidir, se genera una interrupcin del proceso que requiere
intervencin del presidente de mesa. ste puede certificar que la persona que ingreso al cuarto
oscuro sea la misma que se identific en la mesa de votacin, mediante el ingreso de un cdigo.
De igual forma, tambin puede anular el voto. Como muestra el esquema N 15, la anulacin del
voto genera un mensaje de activacin para indicarle a la mquina identificadora que puede
continuar con la lectura de documentos para que otra persona vote.
2.3.1.1
Mostrar
leyenda
Iniciar
Si es correcta
2.3.1.2
2.3.1.4
Leer huella
Generar ID
dactilar
del voto
cdigo de habilitacin
Si no coincide
Si no coincide
por segunda vez
ID
2.3.1.5
Imprimir ID
de voto
2.3.1.3
Ingresar
cdigo del Pte
Mensaje de Activacin
por anulacin
72
Las mquinas de votacin poseen almacenados los cdigos que puede utilizar el presidente
para certificar que el votante es quien se identific o para anular el voto. Esos cdigos slo son
requeridos cuando la huella leda no concuerda con la enviada por la red y estn en posesin del
presidente de mesa nicamente.
2.3.2.1
Habilitar teclado
Mostrar
opciones
2.3.2.2
Ingresar
Opcin
incorrecta
opcin
N de
opcin
74
Listado
2.3.2.1.1
Leer lista de
candidatos
2.3.2.1.2
Almacenar
opciones
2.3.2.1.3
Listado
Imprimir
opciones
Habilitar teclado
75
Listado
2.3.2.1.1.1
Descifrar lista
de candidatos
2.3.2.1.1.2
Ordenar
azarosamente
2.3.2.1.1.3
Listado ordenado
Asignar nros.
consecutivos
El orden aleatorio de las boletas permite otorgarle a cada candidato la misma probabilidad
de ser elegido que al resto. Cuando una persona indecisa se presenta en un cuarto oscuro, la
ubicacin en que se encuentran las boletas puede inducir la eleccin hacia un candidato. Aquel
que se encuentre primero en la fila, va a ser ledo siempre por todos los votantes, mientras que el
ltimo posiblemente no, ya que el ser humano probablemente se canse antes de llegar al final. Sin
embargo, si el orden cambia cada vez de manera azarosa, los principios probabilsticos nos dicen
que en una cantidad grande de casos, la totalidad de veces que cada boleta aparece en cada orden
se equipara, otorgndole a cada uno la misma posibilidad de ser seleccionada.
76
2.3.2.1.2.3
Archivo
Firmar y
guardar
Listado de opciones
Esquema N 19 Almacenar opciones
77
eleccin mediante la alteracin de votos. Suponiendo que el listado es alterado por un proceso
malicioso previo a ser impreso, pero posterior a ser guardado, el voto almacenado no va a
coincidir con el archivo y ser descartado, adems de ser informada la anomala. Otra posibilidad,
es que el proceso que altera el listado sea anterior a su almacenamiento, en ese caso, los registros
coincidiran con lo que ve el votante, por lo que no se estara alterando la intencin de voto del
sufragante, sino simplemente cambiando la equidad existente entre las boletas de ocupar cualquier
posicin en el listado. Eso desigualara las posibilidades de que un candidato sea elegido por un
indeciso, llevndonos a un escenario similar al de los mtodos tradicionales de votacin, pero no
alterando el resultado de los comicios.
Listado
2.3.2.1.3.1
Fin impresin
Imprimir
listado
2.3.2.1.3.2
Mostrar
Instrucciones
Habilitar
teclado
78
Habilitar teclado
2.3.2.2.1
Opcin
Leer opcin
del teclado
2.3.2.2.2
2.3.2.2.3
Si es incorrecta
Validar opcin
ingresada
Mostrar
Opcin
leyenda
2.2.2.4
No confirmado
Preguntar si
confirma
2.2.2.5
Confirmar
Opcin
79
Es de suma importancia que el papel utilizado para imprimir los comprobantes posea
marcas de agua para que no sea falsificado. Si el taln sufriera alteraciones, las mismas deberan
ser identificadas. Caso contrario, el sistema completo podra llegar a caer si el nmero de recibos
alterados es alto. Esto ocurrira porque los registros almacenados en las mquinas de votacin no
coincidiran con el comprobante; al permitir el sistema probar fehacientemente si la intencin de
voto fue contabilizada correctamente, es sencillo demostrar que las mquinas fueron corrompidas.
Esta situacin obliga a colocar marcas en el papel que certifiquen el origen del mismo.
Opcin
2.3.3.1
Almacenado
del voto
Opcin
2.3.3.2
Impresin del
comprobante
Activar identificador
Esquema N 22 Culminacin del voto
80
Opcin
2.3.3.1.1
Voto
Buscar
candidato
2.3.3.1.2
Firmar
Digitalmente
Voto cifrado
Voto firmado
2.3.3.1.4
Guardar en
2.3.3.1.3
archivos
Cifrar voto
Opcin
2.3.3.1.5
Mezclar votos
Opcin
81
Con este esquema de seguridad se busca detectar cualquier alteracin que pudieran sufrir
los votos. Las claves utilizadas por las mquinas para cifrar y firmar digitalmente son generadas
das previos a la eleccin y almacenadas en la memoria de la mquina. Los claves pblicas
correspondientes a las claves privadas de cada mquina, as como las claves de los algoritmos de
cifrado simtrico son almacenadas en los servidores de consolidacin y contabilizacin de votos.
82
El esquema N 24 muestra que lo primero en realizarse es la impresin del ticket que sirve
como prueba de voto, para despus mostrar en la pantalla electrnica un mensaje que indica que se
debe retirar el comprobante impreso por la mquina. Luego se busca la clave de sesin en los
registros de la mquina para transmitir el mensaje de activacin del identificador utilizando el
protocolo IPSec. Por ltimo se enva el mensaje.
Opcin
2.3.3.2.1
Imprimir
ticket
2.3.3.2.2
Mostrar
leyenda de fin
Clave
2.3.3.2.4
Enviar
2.3.3.2.3
mensaje
Buscar clave
de sesin
Activar mquina
El ticket que se extrae de la mquina posee preimpreso un cdigo que identifica al lugar de
votacin y a la mquina. La razn de ser de esta marca es la de dificultar la falsificacin del
comprobante y la de facilitar la verificacin del voto en la ltima instancia de la eleccin. La
utilidad del mismo que se expondr cuando se explique en detalle ese proceso.
El contenido del ticket consta del nmero de opcin elegido por el votante, el identificador
del voto generado por la mquina y un cdigo de barras que representa al valor del identificador
cifrado mediante el algoritmo de clave simtrica, al identificador del voto sin cifrar y al cdigo de
83
mesa. Mediante el cdigo de barras, en la etapa de verificacin, se logra autenticar al portador del
comprobante y a identificar al voto que respalda.
Este proceso constituye el cierre de los comicios y debe realizarse segn figura en la Ley.
Se ejecuta nicamente manualmente, mediante el ingreso de un cdigo que posee el presidente de
mesa y corre tanto en la mquina de identificacin como en la de votacin. La diferencia entre el
proceso que se ejecuta en uno y otro dispositivo consiste en el clculo de las estadsticas y los
resultados obtenidos. El esquema N 25, muestra las tareas realizadas luego del cierre de la
votacin.
Cierre de votacin
2.4.1
Estadsticas
Calcular
estadsticas
2.4.2
Firmar
Digitalmente
Archivo cifrado
Estadstica firmada
2.4.4
Enviar archi-
2.4.3
vos cifrados
Cifrar
estadsticas
Archivo cifrado
84
Para el clculo de las estadsticas de la mquina de votacin, se debe tener en cuenta que
los votos almacenados se encuentran cifrados, por lo que para conocer su contenido se los debe
descifrar previamente. Luego se debe analizar a qu candidato corresponde y sumar una unidad a
ese total. Este proceso se describir en forma detallada en el punto 3.2.1.
85
86
3. Consolidacin de resultados
Este proceso se ejecuta por etapas, como fue descripto en el captulo anterior. En cada una
de ellas se audita la integridad de los datos procesados en la etapa anterior y se certifica la
procedencia de la informacin para evitar agregados y eliminaciones de sufragios. En cada fase se
agrupan los votos en conjuntos cada vez ms grandes hasta consolidar un nico paquete de votos
en el administrador central. Este es el nico momento en que toda la informacin se encuentra
reunida en un solo dispositivo, por lo que slo en esta instancia se pueden sumar los resultados
parciales que se fueron obteniendo por regin para obtener el resultado de los comicios. Esta
condicin hace del administrador central, el nico dispositivo capaz de validar que una persona
no haya emitido dos veces un sufragio, ya que posee unificado todo el archivo de electores.
87
Votos e informes
Votos e informes
3.1
Recibir votos
y totales
3.2
Contabilizar
los votos
3.3
Votos e informes
Enviar los
datos
Votos e informes
88
Votos e informes
Votos e informes
3.1.1
Identificar
emisor
3.1.2
Agrupar pares
Emisor desconocido
y almacenar
Votos e informes
seleccionar la clave pblica segn la procedencia y luego verificar mediante la firma, la integridad
de los datos y la autenticidad del emisor.
Votos e informes
3.1.1.1
Buscar clave
3.1.1.2
Votos e
informes
descifrados
Descifrar con
3.1.1.3
K simtrica
Descifrar con
K pblica
3.1.1.5
Comparar
Votos e
informes
descifrados
Esquema N 28 Identificar al emisor
90
El esquema N 28 muestra la secuencia exacta en que las tareas son llevadas a cabo. En un
primer momento se busca la clave pblica correspondiente al emisor. Se descifra el paquete con la
clave simtrica y luego la firma digital con la clave buscada. Como resultado se obtiene el valor de
hash correspondiente a los datos. Se procede a calcularlo nuevamente para compararlo con el
original descifrado. Si coincide, significa que el archivo recibido pertenece al emisor y su estado
es ntegro. De lo contrario, pudieron haber ocurrido dos hechos: el archivo fue alterado o el emisor
no es quien dice ser. Independientemente de lo acontecido, el resultado arrojado no vara, el voto
pasa al lote de errores y se lo informa como anomala.
La importancia de verificar los sufragios que pertenecen al lote defectuoso, radica en que
la auditora que realiza cada mquina, compara la suma de los valores contenidos en los informes
transmitidos por cada administrador con la cantidad de votos que firm. Estos totales incluyen los
votos defectuosos ya que forman parte de los informes. Adems, como fue mencionado
anteriormente, cada mquina debe firmar los sufragios que procesa, por lo que los votos anmalos
tambin deben ser firmados.
91
3.2.1
Sumar votos
3.2.2
Comparar
Votos defectuosos
resultados
Por esta razn es que al proceso de contabilizacin ingresan los votos autnticos y los
defectuosos, como muestra la figura N 29.
Se identifican claramente dos tareas: la que efecta la suma de sufragios y la que audita la
cuenta de la mquina de la instancia anterior. En particular, la primer tarea la realiza nicamente
la mquina de votacin, as como tambin es la nica que no realiza la tarea de auditora.
92
Cada registro que identifica la seleccin realizada por cada individuo en la mquina de
votacin posee un archivo que lo complementa, cuyo contenido es el listado de candidatos
desplegado por la mquina en el instante de la eleccin. La conformacin de ambos registros se
ver en el punto siguiente, sin embargo es importante remarcar que los registros que contienen el
listado de candidatos desplegado por la pantalla de papel, poseen para cada opcin enumerada un
cdigo de hash que debe coincidir con el valor de hash del registro del sufragio. El proceso de
validacin el cdigo de hash del candidato referenciado por el sufragio con el valor de hash del
registro del sufragio. Si coincide, significa que le seleccin realizada por el elector, no fue
modificada a lo largo del proceso.
En este proceso de revisin recae la mayor responsabilidad por el xito del mtodo. La
razn de esta afirmacin se basa en que el registro poseedor del listado de candidatos se conforma
antes de ser mostrado por la pantalla de papel, por lo cual, aprovechando la ventaja de la novolatilidad de la misma, se obtienen 4 registros fidedignos, incluyendo el comprobante impreso
entregado al elector. Los nicos registros que podran sufrir alteraciones a lo largo del proceso de
emisin de votos, son los 2 registros electrnicos que al almacenarse en la memoria de la mquina
de votacin guardan informacin diferente a la indicada, y la pantalla de papel, cuyo listado pudo
haber sido modificado previo a su impresin y posterior a su almacenado. Debido a esto, el
resultado de la revisin esta condicionado por las siguientes posibilidades:
93
d) Si se modificaran los tres registros de igual forma, estaramos en el caso a), sin
embargo, si la alteracin de cada uno es independiente, la anomala se detectara en
las validaciones b) o c).
Votos
Estado y voto
3.2.1.1
Validar votos
3.2.1.2
Totalizar
votos
Votos defectuosos
firmados
Votos firmados e
informes de totales
94
Este proceso valida que el voto almacenado no haya sido cambiado al momento de ser
guardado o que el listado de candidatos haya sido modificado tambin en esa instancia; el caso b)
mencionado en el punto anterior. Por otro lado tambin se valida que tanto el voto como el listado
de candidatos no haya sido alterado despus de haber sido creado.
1)
Identificador del voto
Opcin ID Candidato
Opcin ID Candidato
Hash
Hash
Hash General
2)
Opcin ID Candidato
Hash General
Una vez conocida la estructura de los archivos, se puede entender el proceso de validacin.
Como lo muestra el esquema N 32, el mismo consiste en buscar el registro compuesto por el
listado de candidatos a partir del identificador del voto y, una vez hallado, calcular los valores de
95
hash de ambos registros y compararlos contra los almacenados. Si los mismos coinciden, el voto
es consistente, de lo contrario significa que fue alterado y se informa su estado. Si es vlido, se
ejecuta el siguiente paso, cuyo objetivo en calcular el valor de hash para la dupla nmero de
opcin e identificador del candidato que figura en el voto. Se compara el hash de la opcin
perteneciente al voto que se encuentra en el registro 1) con el calculado. Si son iguales, el voto es
vlido, de lo contrario se informa el error.
Este ciclo se ejecuta para los votos que no fueron identificados como errneos en el
proceso de autenticacin del emisor. Aquellos sufragios defectuosos por esta causa pasan
directamente al proceso de totalizacin
Votos
3.2.1.1.1
Buscar registro
Voto y listado
segn ID voto
3.2.1.1.2
validar hash
3.2.1.1.3
de cada uno
Calcular hash
de la opcin
Votos y listado
Voto errneo
Hash voto y
listado
3.2.1.1.4
Comparar
Votos errneos
Votos
vlidos
Esquema N 32 Validar votos
96
A medida que se suman uno a uno los votos, se llevan varios registros de los totales con el
fin de obtener los datos contenidos en el acta final.
Voto
Sumar s/
estado y boleta
3.2.1.2.2
Calcular hash
3.2.1.2.3
Cifrar hash c/
clave pblica
Voto y
firma
Voto y hash
3.2.1.2.4
Concatenar
firma al voto
Votos
firmados
Esquema N 33 Totalizar votos
97
Para poder efectuar la comparacin del total de votos contra los valores informados, este
proceso tiene la restriccin de que todos los sufragios que provienen del mismo origen, deben ser
contabilizados por la misma mquina. Cada centro posee varias mquinas que reciben y procesan
la informacin que envan los administradores de la instancia anterior, pero los datos enviados por
un administrador son recibidos por una nica mquina del centro de contabilizacin.
3.2.2.1
Elaborar
informe
3.2.2.2
Informes y votos
firmados
Firmar
informes
3.2.2.3
Cifrar votos e
informes
Informes y votos,
firmados y cifrados
98
3.2.2.1.1
Contar y
Cantidad de votos,
totales e informes
firmar votos
3.2.2.1.2
Cotejar totales
y acumular
Totales hallados
3.2.2.1.3
Crear
informe
99
Estas tareas son realizadas por todas las mquinas intervinientes en el proceso de votacin
excepto por las de emisin de sufragios. Esto significa que los administradores de cada centro
realizan las tareas de auditora sobre las mquinas de contabilizacin del centro y stas sobre los
administradores de la instancia anterior. Por lo tanto todas los dispositivos son auditados por el
mismo proceso, salvo la mquina de la ltima instancia. Sin embargo, el informe que esta elabora
es fcilmente auditable por cualquier persona porque solo se requiere sumar un nmero acotado de
valores igual a la cantidad de totales de cada informe por la cantidad de provincias o estados del
pas.
100
4.1
Archivo
Generar
archivos
4.2
Verificacin
Archivo
pblica
4.3
Verificacin
privada
101
La figura N 36 muestra los tres procesos que se ejecutan en esta etapa. Inicialmente se
generan los archivos para permitir las verificaciones. Los otros procesos se ejecutan en paralelo y
uno pertenece a la comprobacin pblica y otra a la privada
Votos
4.1.1
Descifrar votos
Votos descifrados
Votos descifrados
4.1.2
Clasificar
4.1.3
votos
Armar archivo
Grupos de votos
Archivo
4.1.4
Ordenar
archivo
Archivo
ordenado
Esquema N 37 Generar archivos
102
Lo primero que se realiza es el descifrado de los votos para poder leer el contenido. Luego
se los clasifica por origen, mediante las firmas digitales que poseen. Cada mquina est
identificada por su clave y se conoce la zona geogrfica donde fue utilizada. En forma
independiente a este ltimo, se confecciona el archivo utilizado en la comprobacin pblica y se
lo ordena. El orden de ejecucin y la interaccin entre estos procesos est detallado en el esquema
N 37.
Como muestra la figura N 38, en tres pasos se puede tener una idea aproximada acerca de
la correccin con que fue ejecutado el proceso. En una primera instancia, oficiales electorales
suben a una pgina web oficial del gobierno, el archivo generado en el proceso anterior. Una vez
publicado, los electores pueden ingresar al sitio y mediante el ingreso de nmero identificatorio
que figura en el ticket impreso por la mquina de votacin, el sistema revela la opcin elegida por
el sufragante. El nmero que aparece en pantalla puede ser validado contra el que figura en el
ticket. Si el proceso se ejecut correctamente deben coincidir, de lo contrario se debe informar al
ente encargado de controlar la eleccin, la irregularidad detectada. Como se explica en el captulo
VI existen formas de probar que el candidato por el cual uno vot no es el mismo que la mquina
contabiliz.
103
Archivo
4.2.1
Publicar votos
4.2.2
Identificador
Ingresar
identificador
4.2.3
Mostrar
opcin
Opcin
En una primera percepcin, se puede arriesgar a pensar que en realidad lo que el votante
est comprobando es que la mquina de votacin haya respetado su eleccin. Esto en realidad no
ocurre por la caracterstica de los sistemas de mostrar una cosa y poder almacenar otra. Es posible
que una mquina exhiba el nmero de opcin elegido por el sufragante, pero tener guardado otro
diferente, logrando procesar un voto que no refleja la intencin del elector, sin que ste se diera
cuenta. Esta posibilidad existe debido a que no se est informando el nombre del candidato por
quin opt el votante.
104
105
ID del voto
4.3.1
Identificar
4.3.2
Consultar
Fin
4.3.1. Identificar
El dispositivo encargado de la identificacin del voto que va a ser consultado posee un
lector de cdigo de barras, mediante el cual se obtienen los datos del comprobante. Luego, se
habilita el fingerprint scanner capaz de efectuar la lectura de la huella digital del votante. A partir
de la misma, se busca la huella dactilar almacenada en la memoria del dispositivo que se
corresponda con la imagen leda. La huella
identificacin del votante, previo a la emisin del voto, y la que se utiliz como clave de cifrado
del identificador que posee el comprobante. Con ella, se descifra el identificador del voto extrado
del cdigo de barras y se compara contra el valor descifrado ledo directamente del ticket, para
autenticar al elector. Si coinciden, se busca en los archivos de la mquina, el registro cuya clave
concuerde con el mismo. En caso de encontrarlo, se enciende una seal verde indicando el xito
para que el custodio permita a la persona ingresar al cuarto de comprobacin. Caso contrario se
encender una luz roja de alerta, seal de que fall el reconocimiento. Este indicador se enciende
de amarillo cuando falla la autenticacin, ya sea porque no se encuentra una huella almacenada
que posea los mismos patrones que la obtenida de la lectura recientemente efectuada o por
cualquier otra razn.
106
Incorrecto
Huella
Lectura de
Huella
4.3.1.3
Buscar huella
clave
4.3.1.4
Descifrar y
comparar
Incorrecto
Identificador de voto y
cdigo de mesa
4.3.1.5
Buscar voto
Activar Mquina
Esquema N 40 - Identificar
107
4.3.2. Consultar
Este proceso se inicia al recibir el mensaje que contiene el identificador del voto a travs
de la red. Este evento dispara una bsqueda para encontrar el voto referido por ese nmero. Al
encontrarlo, se queda esperando que el usuario le d la orden para mostrar el nombre del candidato
del sufragio. Una vez que ocurre, se inicia un temporizador, que despus de unos segundos, oculta
el contenido de la pantalla y enva una seal por la red para habilitar nuevamente el dispositivo
que lee las huellas dactilares.
Identificador
4.3.2.2
Mostrar
candidato
4.3.2.3
Iniciar
Contar tiempo
Fin
Esquema N 41 - Consultar
108
109
CAPTULO VI
Verficabilidad del mtodo
La forma en que el mtodo permite verificar el voto emitido es explicada en este punto.
Aqu se busca detallar las caractersticas y la funcionalidad que cumplen cada una de las pruebas
fsicas que proporciona el sistema. Se puntualiza en las funciones del ente regulador, en quin
recae la responsabilidad de comprobar e informar las anomalas que presente el sistema. Si bien el
procedimiento de verificacin fue explicado en el punto anterior, aqu se hace hincapi en la
deteccin de las fallas y en la demostracin de los errores mediante las evidencias que posee el
elector sin violar el secreto de sufragio.
1. Pruebas fsicas
La posibilidad de verificar la correccin del sistema de votacin electrnica por parte de
los votantes la otorga la existencia de pruebas fsicas del sufragio que se encuentran repartidas
entre los electores y el ente responsable del escrutinio. Cada parte posee una pieza que por s
misma carece de significado, pero juntas revelan el voto emitido por el sufragante. Esta
caracterstica del sistema, de otorgarle a las personas el poder de demostrar por quin votaron, le
da vida al proceso de verificacin. Si no existiera, el mismo carecera de sentido porque nadie
sera capaz de probar que hubo una falla y que el voto contabilizado no refleja su intencin.
Como fue explicado anteriormente, cada elector se lleva un comprobante impreso por la
mquina de votacin al finalizar la seleccin de su candidato. Este recibo conforma la prueba
fsica que poseen las personas para demostrar por quin votaron en caso de existir un error en el
sistema. La pantalla de papel es el comprobante que complementa al ticket para poner en
manifiesto el voto del individuo. ste permanece en manos del ente encargado de regular las
votaciones.
110
1.1. El ticket
El ticket impreso por la mquina de votacin cumple con 4 funciones diferentes. La
primera de ellas consiste en indicarle al elector la finalizacin de la operacin de seleccin del
candidato. La segunda, es la de servir de soporte de informacin en el momento en que el
sufragante utiliza la opcin de comprobacin pblica. La tercera, consiste en autenticar al votante
cuando se presenta para efectuar la verificacin privada. Finalmente, la cuarta, es la de
complementarse con la pantalla de papel para dejar de manifiesto el voto del poseedor del
comprobante.
La funcin de soporte sirve para que al momento de verificar que el voto se contabiliz
correctamente mediante la comprobacin pblica, el elector posea un registro impreso del nmero
de opcin elegido, que debe coincidir con el valor publicado en Internet. Adems el ticket posee el
cdigo identificador del voto, nmero que debe ser ingresado en la web para poder acceder al voto
que uno desea cotejar. ste, es el papel principal que desempea en esta instancia, ya que se
convierte en el medio de acceso a los datos publicados.
La ltima de las funciones nicamente tiene lugar en el caso de que las verificaciones
existentes a lo largo del proceso de votacin hayan arrojado resultados no esperados. Si luego de
efectuadas la verificacin pblica y la privada, el voto revelado no coincide con la eleccin
realizada por el elector, el ticket se convierte en la prueba del error cometido por las mquinas de
votacin. La forma de comprobar la equivocacin, consiste en buscar la impresin de la pantalla
de papel que posee el mismo identificador de voto que el recibo, observar realmente cul fue el
voto emitido y revisar si coincide con la revelacin efectuada por la mquina encargada de realizar
la comprobacin privada.
111
Para poder servir como prueba, el mismo no debe poder ser alterado, porque de lo
contrario se podra hacer caer la votacin completa. Slo bastara con generar una cierta cantidad
de tickets falsos con el nmero de opcin modificado para aparentar que las mquinas cometieron
errores en el registro de los votos. Si la cantidad de anomalas detectadas es significativa, la
eleccin completa debera ser anulada. El riesgo de que algo as ocurriera, no es menor si se
contempla que los recibos se encuentran en manos de los electores y constituyen un elemento de
gran valor para legitimar o invalidar una eleccin. Para que un hecho semejante no ocurra, los
papeles impresos por las mquinas de votacin poseen marcas de agua. Entre ellas se encuentra un
cdigo que identifica a la mquina unvocamente. Adems, los dispositivos de impresin utilizan
una tinta especial que no es comercializada. Estas medidas de seguridad sirven para evitar la
falsificacin de los tickets.
La otra funcin, slo es requerida para comprobar errores que son informados por los
votantes, luego que los mismos verifiquen que su voto no se corresponde con la eleccin que
hicieron cuando se encontraban frente a la mquina de votacin en el cuarto oscuro. El papel
utilizado como pantalla, adems del listado de candidatos ordenado en forma azarosa, posee el
identificador de voto de cada elector. Es la prueba fsica que se encuentra en manos del ente
112
regulador. Si bien cada impresin del listado de candidatos por s misma carece de significado, ya
que en ella no se informa la eleccin realizada, cuando se junta con el ticket que posee el mismo
identificador, deja de manifiesto el voto.
Para evitar que el mismo sea falsificado, posee marcas de agua al igual que el recibo que se
queda el votante. Tambin es impreso con una tinta especial. De esta forma se mitiga el riesgo de
que las pruebas sean alteradas y dejen de servir como evidencia.
113
Por cada anomala informada, el ente posee la obligacin de comprobar mediante las
pruebas fsicas que posee y las proporcionadas por los electores, que cada falla sea real. Si el
nmero total de errores es significativo, esto es, si supera cierto nmero preestablecido que ser en
funcin de la cantidad de electores empadronados, la eleccin completa debera ser anulada. De
igual manera, pueden ser anulados los votos provenientes de una mquina si el nmero de defectos
producidos por el dispositivo de votacin excede al valor permitido por cada mesa.
La forma de comprobar las fallas informadas es simple. Se leen el identificador del voto y
el cdigo de mesa que estn impresos en el ticket. Se busca el papel utilizado como pantalla por la
mquina que posee el listado de candidatos expuesto para ese voto. Una vez encontrado, el
sufragio queda manifestado a travs del nmero de opcin que figura en el ticket y el nombre del
candidato que figura en el listado precedido por el mismo nmero. En este paso se alcanza a
conocer el voto real emitido. Lo que queda por verificar es que la mquina lo haya contabilizado
mal. Para ello el ente regulador posee una terminal que permite verificar los votos, de manera
similar a la comprobacin privada. La diferencia radica en que no requiere la autenticacin de la
persona para revelar el voto, sino que se debe ingresar el cdigo de identificacin del mismo por
teclado. Si el candidato o boleta que se visualiza en la pantalla no coincide con el voto real, la falla
est probada.
114
Contrario a lo que se puede imaginar, la verificacin del voto y la exposicin real del
mismo no compromete su secreto. Para ello es necesaria la participacin de un ente regulador que
ejecute las tareas de revisin. Mientras las mismas se llevan a cabo, a la persona que acerca el
ticket se le entrega una copia provisoria para que no se quede sin ninguna prueba. Si se confirma
la falla, se examina el ticket para comprobar que no haya sido falsificado. Terminados los estudios
sobre el mismo, es devuelto a quin lo provey y se elabora un informe con el resultado.
115
CAPTULO VII
Resultados
La finalidad de este captulo es analizar si el mtodo propuesto cumple con los objetivos
planteados al inicio de este trabajo y con lo requerimientos que poseen los sistemas de votacin
electrnica segn las fuentes que fueron citadas. Se evala su aplicabilidad en la Argentina en
base al cumplimiento de los requisitos impuestos por la Ley electoral Nacional. Luego se
describen las ventajas y desventajas que presenta el mtodo, con el fin de demostrar las fortalezas
y debilidades del sistema. El anlisis concluye comparando los sistemas de votacin existentes con
el mtodo Panalla-Impresora en base a determinadas caractersticas que se exigen de los sistemas
de eVote.
1. Resultados obtenidos
ya que la visualizacin del voto correcto provoca la sensacin de que el mismo fue contabilizado
debidamente. A quienes entienden de tecnologa y de sistemas informticos, se les debe explicar
el mtodo y demostrar la imposibilidad de que, al momento de la comprobacin, revele un
resultado diferente al que utiliz en el conteo, para poder satisfacer el requisito.
Otro de los objetivos que se pretenda cumplir, consista en que el mtodo nos asegure que
ningn fiscal u oficial electoral sea capaz de rastrear nuestro voto. El proceso de votacin posee
las tareas de identificacin del elector y de emisin de votos en mquinas independientes. El voto
almacenado no posee ningn dato que permita relacionarlo con algn registro de la mquina
identificadora. Adems, el hecho de que el archivo que posee los sufragios atraviese un proceso de
mezcla, evita que mediante el orden de los mismos alguien pueda rastrear a quin pertenece un
voto. Por lo tanto, por ms que un fiscal o cualquier persona que se proponga rastrear algn voto,
no podr conseguirlo husmeando en los archivos. Tras la seleccin de un candidato en la mquina
de votacin, el nico elemento que vincula a la persona con el sufragio emitido, es el ticket
obtenido como resultado de la operacin. Como se ha explicado en el captulo anterior, la
posesin del mismo no nos permite tener acceso al voto propiamente dicho. En la nica instancia
post electoral que se consigue es en la comprobacin privada, pero solo el emisor del voto puede
hacerlo, resguardado por un oficial de seguridad y la lectura de la huella dactilar.
por los recursos con que cuenta cada uno. Este objetivo no slo fue alcanzado, sino que se logr
equiparar la probabilidad de que una boleta sea leda con respecto a otra cualquiera. Esta
caracterstica no ocurre ni en los sistemas tradicionales de votacin, donde el orden en que se
despliegan las boletas en las mesas del cuarto oscuro, distribuye tendenciosamente esa
probabilidad.
La seguridad del sistema est dada a travs de los mtodos criptogrficos utilizados a lo
largo de todo el proceso y el protocolo de comunicacin empleado en las redes inalmbricas y en
la transmisin de los datos hacia los centros de consolidacin de la informacin. Para garantizar la
seguridad, existe el proceso de inicializacin donde todas las mquinas intervinientes en la
votacin generan e intercambian las claves que van a utilizar a travs de redes cerradas. Cada
mquina es autenticada y la integridad de la informacin es protegida mediante cdigos de Hash.
De esta forma se obtiene un sistema seguro y difcilmente violable.
Elegibilidad y autenticidad
119
Integridad
Certificacin y auditoria
Confiabilidad
Facilidad de uso
120
votos y la impresin de las actas iniciales mediante el ingreso de un PIN. Sin embargo,
deben existir capacitaciones previas para que esta accin no provoque complicaciones
en los encargados de ejecutarlas.
Este punto consiste en el objetivo principal de este trabajo, por lo que el mtodo
hallado como solucin satisface ampliamente este requisito. El sistema es verificable
no solo por agentes oficiales encargados de la auditora o el ente regulador que se
menciona, sino tambin por los mismos ciudadanos. Cada votante tiene la posibilidad
de comprobar si su voto fue correctamente almacenado.
1.3.1. Ventajas
Rpido conteo y totalizacin de los sufragios a causa de la transmisin de votos a travs de
las redes que comunican los centros de votacin con los de contabilizacin.
Posee un comprobante tangible del sufragio que permite certificar con exactitud que el
voto almacenado refleja la intencin del elector.
Permite la eliminacin del voto nulo ya que nadie puede optar por 2 candidatos al mismo
tiempo.
Permite a las personas discapacitadas emitir votos sin necesidad de asistencia, por lo que se
garantiza la libertad y privacidad para todos los ciudadanos.
121
El sistema no permite votar ms de una vez a cada ciudadano. Adems no permite votar a
quienes no se encuentren empadronados o no posean el documento que acredite su personalidad.
Posee medidas de seguridad para que las comunicaciones entre las mquinas no sean
alteradas.
Cada mquina se encuentra identificada y es autenticada para que sus votos no sean
contabilizados ms de una vez.
Utiliza funciones de hash y cifrados para garantizar la integridad de los datos. Pantalla de
papel para asegurar que lo que el votante visualiza es lo mismo que se graba y no puede existir un
proceso que altere esta relacin.
Es el nico sistema que permite al votante verificar realmente el voto emitido luego de
finalizado el escrutinio. Esto se traduce en confianza del elector hacia el sistema y la imposibilidad
de fraguar la eleccin. Posee pruebas fsicas para demostrarle a un tercero la existencia de un voto
alterado sin revelar el secreto de quien lo emiti.
122
1.3.2. Desventajas
Se pueden generar dudas acerca del secreto y anonimato del voto por la utilizacin de la
huella dactilar en la mquina de votacin. Sin embargo, por el uso que se le otorga a la misma, el
secreto est garantizado. La huella no es almacenada en ningn momento junto al registro del
voto, sino en un archivo independiente en la mquina de identificacin.
123
SISTEMAS
Tarjetas perforadas
SECRETO Y ANONIMATO
Respeta
Optical Marksense
Respeta
Respeta
Pantalla-Impresora *
Respeta
124
SISTEMAS
Tarjetas perforadas
VELOCIDAD DE CONTABILIZACIN
Media, por ser un proceso mecnico. El resultado oficial se conoce
luego del recuento manual
Optical Marksense
Rpida
Pantalla-Impresora *
Rpida
SISTEMAS
Tarjetas perforadas
SENCILLEZ
Dificultad para comprobar el candidato representado por la tarjeta
Optical Marksense
Simple
Simple
Pantalla-Impresora *
Simple
125
SISTEMAS
Tarjetas perforadas
COMPROBANTE TANGIBLE
Es la tarjeta misma.
Optical Marksense
Es la tarjeta misma.
No tiene.
No tiene.
Pantalla-Impresora *
Comprobante impreso.
SISTEMAS
Tarjetas perforadas
PERSONAS DISCAPACITADAS
Requieren asistencia.
Optical Marksense
Requieren asistencia.
Pantalla-Impresora *
SISTEMAS
Tarjetas perforadas
COSTO
Bajo, recae en la emisin de las tarjetas.
Optical Marksense
Pantalla-Impresora *
126
SISTEMAS
Tarjetas perforadas
AUDITABLE
S, mediante el recuento manual de las tarjetas.
Optical Marksense
No.
No.
Pantalla-Impresora *
SISTEMAS
Tarjetas perforadas
EQUIDAD
Depende de la cantidad de tarjetas existentes de cada partido.
Optical Marksense
S.
Pantalla-Impresora *
SISTEMAS
Tarjetas perforadas
Optical Marksense
Pantalla-Impresora *
Separada. Posee una mquina para votar y otra para identificar a las
personas.
127
SISTEMAS
Tarjetas perforadas
INTEGRIDAD
Depende del estado de las tarjetas.
Optical Marksense
No se puede probar.
Pantalla-Impresora *
SISTEMAS
Tarjetas perforadas
CONFIABILIDAD
Los recuentos no arrojan siempre los mismos resultados.
Optical Marksense
Pantalla-Impresora *
* Las calificaciones realizadas al mtodo Pantalla Impresora son a opinin del autor y estn sujetas a
revisin y verificacin de los pares.
128
CAPTULO VIII
Conclusiones
La necesidad de reducir el tiempo demandado en conocer los resultados de los comicios
condujo a la incorporacin de las tecnologas de informacin al acto de sufragio, obteniendo como
resultado, el denominado voto electrnico. El mismo puede comprender las tareas de registro y
verificacin de la identidad del elector, la emisin del voto, el recuento de votos y la transmisin
de los resultados. Desde la aparicin de la primera mquina capaz de registrar y contabilizar los
sufragios, surgieron demandas que requeran soluciones inmediatas para no poner en riesgo la
solemnidad del acto de votacin. La experiencia expuso las falencias de cada una de las mquinas
que fueron surgiendo con el correr de los aos y que se utilizaron en los comicios de diferentes
regiones geogrficas.
Actualmente, se duda acerca de la utilidad del comprobante ya que el voto puede ser
alterado en etapas posteriores a la emisin. Surge la necesidad de verificar el voto en instancias
subsiguientes a la finalizacin del acto electoral. Hasta el momento no existe forma alguna de
comprobar realmente el voto. Slo existen medios criptogrficos que inducen a creer que el
sufragio contabilizado es el correcto, mediante diferentes representaciones, pero no permiten
vislumbrar realmente el voto. Los esfuerzos realizados no alcanzan para hallar una solucin que
revele el sufragio sin comprometer el secreto y anonimato del voto.
129
Como resultado de este trabajo, se concluye que resulta imposible realizar una verificacin
pblica del voto, que coloque de manifiesto el nombre del candidato o partido poltico elegido por
el sufragante, sin comprometer el secreto del voto. Nada garantiza que el ciudadano no est
verificando su voto bajo coaccin. Por ms que se apliquen los medios criptogrficos ms
avanzados, el elector requiere descifrar la informacin para poder corroborar la correccin de su
voto; si esa tarea la realiza desde lugares pblicos o privados, que no poseen custodia y no
garantizan la libertad del elector en realizar la verificacin, la persona podra estar siendo forzada
a efectuar la comprobacin, quebrando el secreto y anonimato del sufragio.
Tras haber analizado la problemtica, todos los sistemas de votacin electrnica existentes
y las experiencias realizadas en diferentes pases, se ensay una solucin con un claro objetivo:
permitir verificar los votos emitidos sin resignar la velocidad de recuento, la simplicidad del
proceso de emisin de sufragio, la correccin de su funcionamiento y cumpliendo con los
requisitos intrnsecos del voto. El resultado obtenido se denomin Mtodo Pantalla-Impresora.
Pantalla-Impresora cumple con el requerimiento que poseen las mquinas de eVote que
consiste en la emisin de pruebas fsicas que permitan al elector verificar su voto, y a su vez
puedan ser utilizadas como evidencia de mal funcionamiento de los dispositivos, sin comprometer
el secreto y anonimato de los sufragios. Esto se consigue mediante la utilizacin de las huellas
dactilares como claves de cifrado, sirviendo de autentificadoras de personas, y efectuando la
verificacin en lugares pblicos bajo custodia, necesaria para garantizar la libertad y privacidad
del elector al momento de la comprobacin. Cabe destacar, que resulta imposible relacionar un
voto con una persona, a pesar del almacenamiento de la huella dactilar como fue explicado en el
desarrollo de la solucin. La necesidad de contar con oficiales que protejan a los electores durante
la revisin mantiene la lnea de pensamiento anteriormente expuesta.
La clave del xito del mtodo propuesto en la tesis es la interfaz con el usuario que posee
cada mquina. El hecho de que la interaccin ocurrida entre el elector y el dispositivo de votacin
no sea voltil y quede registrado en un documento tangible que ste visualiza, permite recrear el
voto emitido e identificar puntualmente los sufragios que sufrieron alteraciones, al
complementarse con el comprobante que retiene el elector. Mientras los otros sistemas slo
detectan diferencias de totales entre la contabilizacin electrnica y la manual, o permiten inducir
posibles errores en las mquinas, Pantalla-Impresora es capaz de sealar como defectuoso cada
voto individualmente y conocer la modificacin que sufri.
130
Como consecuencia de resguardar el anonimato del voto y permitir una primera instancia
de comprobacin, el sistema implementa la verificacin pblica, factible de realizar desde los
hogares de cada ciudadano ya que no revela el voto sino una representacin numrica que slo
tiene valor para el elector.
El mtodo de votacin electrnica propuesta consigue verificar los sufragios sin resignar
las cualidades bsicas que deben ofrecer este tipo de sistemas: velocidad, simplicidad y
correccin, con el adicional de ofrecer equidad entre los candidatos. Por eso se concluye que la
votacin electrnica es verificable bajo ciertas condiciones de seguridad que garanticen la libertad
y privacidad de los electores durante la comprobacin.
131
ANEXO A
Experiencias Tecnolgicas existentes
1.1.1. India
Las razones principales de la implementacin tecnolgica fueron dos:
Reducir los altos ndices de violencia creados durante las votaciones tradicionales.
El proceso de recuento es bsico ya que no se realiza en los lugares de eleccin sino que las
urnas deben ser fsicamente trasladadas hasta alguno de los centros oficiales de consolidacin (en los
que participan veedores de los diversos partidos polticos). No se emite un acta de cierre y el sistema
de recuento es automtico.
132
Como las elecciones en muchas regiones del pas suelen ser interrumpidas por ataques
violentos de patotas partidarias, las urnas cuentan con un botn que puede ser operado en una
emergencia por los funcionarios a cargo. Este botn bloquea e inutiliza la urna en caso de robo o
vandalismo.[Misra, 2004]
1.1.2. Brasil
Brasil es posiblemente uno de los pases ms avanzados en la implantacin de sistemas de
voto electrnico. Las principales motivaciones que indujeron su implementacin fueron las siguientes:
El sistema que se ha estado utilizando es el de urna electrnica con teclado numrico para la
emisin del voto. Tiene botones especiales de confirmacin e impresin de acta inicial con activacin
por clave. El registro de los votos se realiza directamente en la memoria de la mquina de votacin y
en un diskette que luego ser trasladado hasta la sede de la autoridad electoral. No se emite ningn
comprobante fsico de sufragio. El cierre se realiza mediante clave y se emite un acta. La transferencia
para el recuento se realiza en forma tradicional con encriptacin de datos y firma digital. Algunas
mquinas poseen un modem interno para la transmisin de los datos. El escrutinio se efecta por
sumarizacin automtica. La caracterstica ms destacable del sistema brasilero reside en que permite
unificar el registro y verificacin de la identidad del elector, la emisin y el escrutinio de voto en una
misma mquina.
utilizaron el voto
133
1.1.3. Blgica
Blgica decidi adoptar un sistema de votacin electrnica para resolver los problemas
ocasionados por la complejidad de su sistema electoral. Poseen de 1 a 5 elecciones simultneas
con listas de hasta 87 candidatos cada una y por eleccin, lo que deriva en totalizaciones de voto
complejas y propensas a errores.
Luego de que el elector se identifica, recibe la tarjeta magntica que le permite pasar al
cuarto oscuro a utilizar la mquina de votacin. Finalizada la eleccin, se efecta el cierre de las
urnas y se deben enviar los diskettes que poseen los totales de cada urna a un centro de cmputos
donde se suman para obtener el resultado de los comicios.
Las tarjetas permanecen dentro de las urnas hasta que se conoce el resultado de la eleccin
y slo pueden ser retiradas para el proceso de auditora. [SPF, 2004]
Se realiz una prueba piloto, y las mquinas donde se emitan los votos consistan en PCs
tradicionales, con teclado, monitor e impresora, ubicadas dentro de un contenedor. El programa de
votacin se cargaba mediante un CD.
134
Para poder seleccionar un candidato, la mquina despliega un listado con las opciones
electorales. Mediante el teclado, el votante debe digitar el nmero correspondiente a la boleta que
refleja su intencin de voto. Luego de realizar una confirmacin de la seleccin, el elector debe
introducir en la impresora la boleta comprobante que le fue entregada por el presidente de mesa al
ser identificado. En caso de ser necesario, para realizar esta operacin, puede solicitar ayuda de un
auxiliar tcnico. Una vez que la impresora devuelve la boleta, se la debe doblar e introducir en una
urna. Esta boleta posee una marca identificatoria y la firma de la autoridad competente.
Las mquinas poseen modems para enviar los totales calculados a la computadora central
para consolidar los resultados de los comicios. [TSECR, 2002]
1.1.5. Venezuela
En las elecciones del ao 2004, se utilizaron mquinas con pantalla touchscreen que
imprimen un voto fsico en un papel trmico, lo que permitira auditar el proceso de votacin.
El elector selecciona, tocando la pantalla, la opcin que desea. Para confirmar su sufragio
oprime la opcin Votar. Al realizar esta accin la mquina emite un sonido indicando que el
votante finaliz su proceso e imprime el voto en papel. Si luego de transcurrido un tiempo
prudencial, la mquina no recibi la orden de sufragar, se desactiva automticamente y emite un
recibo indicando que el tiempo expir.
El ticket impreso posee un cdigo seguridad adems de los principales datos del evento:
tipo de elecciones, cdigo que corresponde al centro de votacin, mesa y tomo. El cdigo de
seguridad es esencial para evitar la falsificacin del voto. Esta impresin es colocada por el elector
en una urna. Una vez finalizado el da electoral el presidente de mesa cierra la misma y la maquina
imprimir el acta de dicha mesa.
Luego de esta impresin, la informacin final acumulada por cada mquina se transmite
va telefnica -en algunos casos satelital- en forma encriptada con clave pblica y privada de 128
bits al centro de consolidacin de datos. [Bracci, 2004]
135
Se cre una Comisin Electoral Federal que establece el marco general que deben seguir
los diferentes Estados en la eleccin de los instrumentos de votacin electrnica.
1.1.7. Inglaterra
En el ao 2003 el gobierno britnico hizo una apuesta al voto electrnico. Para llevar
adelante los comicios se permiti utilizar Internet, televisin interactiva y SMS. Los resultados de
estas experiencias mostraron que cuanto ms fcil es la utilizacin de los sistemas implementados,
los ciudadanos participan ms a gusto y en mayor proporcin en las votaciones; aunque persisten
las preocupaciones vinculadas a cuestiones tales como la seguridad y vulnerabilidad del sistema.
1.1.8. Espaa
Se organizaron una serie de experiencias piloto de voto electrnico. stas, planteadas como
un acercamiento a la e-democracia, no tenan validez legal, si bien el procedimiento se articul tal
136
como se hara en elecciones reales. As, la apertura y cierre de urnas se realiz en presencia de
"juntas electorales virtuales" formadas para tal efecto, cuyos miembros posean claves que, slo si
estaban combinadas, permitan abrir o cerrar la votacin.
Cada participante elega una boleta que posea preimpreso el candidato electoral y una
banda magntica para el registro, recuento y totalizacin de votos. El sistema cont con una urna
electrnica que posea dos ranuras, una para validar el voto y otro para depositarlo. sta ltima era
la que lo registr y lo contabiliz. Para cerrar la votacin se volvan a combinar las claves y se
emita un acta. Luego mediante transporte tradicional o va telefnica, se enviaban los datos a una
central y se sumaban en forma automtica.[DE, 2004]
137
Para evitar eventuales fraudes, los equipos tcnicos del Juzgado con competencia electoral
tuvieron acceso al software que usa el sistema. Tambin se puso el cdigo a disposicin de
cualquier experto propuesto por los partidos polticos interesados en revisarlo.
Se puede mencionar que hubo una completa capacitacin y divulgacin del tema a travs
de los medios de comunicacin, propuesta fundamental para interiorizar a los ciudadanos.
Una semana antes de los comicios se realiz un simulacro completo, con los apoderados
partidarios presentes.
Por otra parte, la velocidad de la obtencin de resultados tambin fue buena: en una hora se
logr cerrar el escrutinio provisorio, y tener todos los resultados.
Se implement una prueba piloto durante las elecciones realizadas en septiembre de 2003.
138
En el caso que nos ocupa, la consolidacin se realiz sin mayores inconvenientes y fue
veloz. La evaluacin final result ms que satisfactoria.
Otra caracterstica que resalt esta experiencia es que la urna electrnica facilit el corte de
boleta, lo que - en definitiva - debera ayudar a mejorar la calidad de la representatividad. [GBA]
1.2.3. Mendoza
La provincia de Mendoza llev a cabo dos experiencias piloto de votacin electrnica,
aunque a diferencia de otras provincias, las mismas no fueron de tenor poltico. El motivo
principal de estos ensayos fue generar que los electores vayan tomando confianza en los sistemas
de eVote. Para ambos sondeos se eligi hacer una eleccin abierta y de participacin voluntaria.
Se utilizaron diez mesas conectadas por medio de una red inalmbrica (ocho fijas y dos
mviles), ubicadas en diferentes puntos de la ciudad y durante tres das, los ciudadanos votaron
sin dificultades. [Telpin, 2004]
139
2. Tecnologa existente
El mayor problema de este mecanismo es que el agujero no se encuentre bien hecho, por lo
que no queda claro cul fue la intencin de voto del votante. Esto provoca que si bien el
recuento es fcil, rpido y barato, dos conteos de tarjetas perforadas, raramente arrojan el
mismo resultado, hecho por el cual la gente perdi total confianza en el sistema.
140
Para poder verificar la seleccin que el votante realiz, se deba superponer la tarjeta
perforada sobre otra que posea los nombres de los candidatos. En cambio, el nuevo sistema,
resuelve el problema mediante una pantalla electrnica que solicita la confirmacin sobre la
eleccin hecha, ms la impresin de un comprobante de papel cuyo contenido consiste en la
opcin ingresada en la mquina de votacin.
Una gran desventaja que presenta este mtodo consiste en la probabilidad de que dos
conteos arrojen resultados diferentes. El agujero mal realizado sobre la tarjeta, produce cierta
ambigedad sobre la intencin de voto del ciudadano, convirtindose en la causa principal de los
errores de contabilizacin de sufragios. La imposibilidad de creer en los resultados arrojados por
el mtodo, hace perder la confianza de los ciudadanos. Si bien ningn sistema est exento de sufrir
errores en el escrutinio, Pantalla-Impresora mediante el proceso de verificacin de los votos
emitidos, evita que causen la prdida de confianza en el sistema. Si el voto se encuentra bien
almacenado, con seguridad ser contabilizado correctamente. El mtodo le permite al elector
comprobar que el sufragio est registrado adecuadamente, y si no, permite demostrar el defecto a
las autoridades electorales para que tomen las medidas que correspondan.
Es difcil establecer una comparacin entre ambos procesos electorales, ya que son
tecnologas bastante diferentes. Lo nico que se pudo demostrar, es que las falencias de este
sistema antiguo estn solucionadas en el mtodo propuesto.
141
Existen otras variantes de este sistema de votacin donde la diferencia entre cada uno
radica nicamente en el diseo de las boletas. Un tipo de boleta distinta a la mencionada en el
prrafo anterior, es aquella que posee un cdigo de reconocimiento preimpreso por lo que no
requiere que el elector efecte ninguna marca sobre ella.
Sin embargo, este sistema posee sus desventajas. Comnmente, los votantes marcan las
tarjetas de forma que las mismas no pueden ser escaneadas correctamente. Si el escaneo se efecta
antes de que el sufragante deposite la tarjeta en la urna, la mquina podra advertir a la persona si
no marc ninguna opcin o marc ms de una, dndole la oportunidad de corregir el error. Pero el
escaneo se realiza en la central de consolidacin, despus de que el votante abandon el cuarto
oscuro. A pesar de esto, el sufragante confa en que la mquina interprete correctamente el voto,
aunque sabe que un humano tambin puede examinar la tarjeta. Este sistema reduce la cantidad de
votos residuales (votos emitidos no contabilizados + boletas no marcadas + boletas con errores de
llenado) del sistema anterior. [Caltech/MIT, 2001]
142
general ya que en el peor de los casos se puede realizar un recuento manual. Pantalla-Impresora
tambin provee de un aval del voto emitido, que consiste en el ticket impreso por la mquina una
vez finalizada la seleccin del candidato. Si bien su contenido no refleja el sufragio propiamente
dicho, sino nicamente el nmero de opcin ingresado, si se lo combina con la informacin
provista por la pantalla de papel, se constituye en la prueba que garantiza la existencia del voto y
la integridad del sistema.
El sufragante confa en que la mquina interprete correctamente el voto, pero sabe que un
humano puede tambin examinar la tarjeta. La posibilidad de efectuar el doble conteo, manual y
automtico, permite certificar la exactitud del escrutinio y eliminar cualquier duda acerca de su
manipulacin. Sin embargo, esta posibilidad de realizar un recuento manual, puede convertirse en
una gran desventaja. Como las constancias de papel son los verdaderos reflejos de las intenciones
de voto de los electores, la contabilizacin de los mismos se convierte en el resultado real de los
comicios, relegando a un lugar de menor importancia al escrutinio realizado por la mquina. Por
tanto, el resultado oficial no se conoce hasta tanto no se efecte el recuento manual. Aqu se llega
a la controversia que plantea la utilizacin de recursos del estado en el cambio de los sistemas
tradicionales de votacin para permitir acelerar el conteo de votos y disponer de los resultados en
tiempos ms cortos, cuando en realidad lo que se est consiguiendo en forma veloz es un resultado
aproximado y, el oficial, recin se conocer en el mismo tiempo que antes, ya que el modo de
obtenerlo es el mismo.
Existen mquinas que implementan diferentes variantes del mtodo, pero la diferencia
fundamental entre unos y otros consiste en el diseo de las tarjetas. En particular, si el elector debe
realizar alguna marca sobre las mismas, es sencillo validar si el voto refleja la intencin del
votante, ya que l la marc. Lo mismo ocurre si las boletas ya se encuentran identificadas. Este
ltimo mantiene el procedimiento casi similar a los sistemas tradicionales de votacin. En este
aspecto la solucin propuesta queda un poco relegada. Si bien el mtodo que implementa es fcil,
143
Las urnas donde se depositan las boletas, se encuentran en las mesas donde se identifican
los electores. El ciudadano debe doblar la tarjeta o depositarla en un sobre para conservar el
secreto del voto. El problema que poseen estos sistemas, es que la lectura se efecta durante el
conteo de votos en el centro de consolidacin, por lo que si llegara a arrojar un error, no se podra
corregir. Esto no ocurre en el mtodo propuesto como solucin, ya que en el momento inmediato
posterior a realizar la seleccin del candidato o partido, el sistema solicita confirmacin a cerca de
la interpretacin que realiza sobre la eleccin del votante.
Si las boletas requieren ser marcadas por el votante, y existen varias opciones entre las
cuales se debe elegir, puede tornar muy dificultoso el proceso de emisin del voto. En cambio
Pantalla-Impresora no se ve afectado por la cantidad de opciones por las que haya que elegir, lo
nico que habra que contemplar es el tamao de la pantalla y la organizacin de los datos en la
misma. Algo similar ocurre con las listas sbanas, mientras que en un sistema la boleta puede ser
extensa, en el otro se resuelve organizando los datos en la pantalla o extendiendo la parte visible
de la misma. Si se deben realizar varias elecciones, el proceso puede repetirse de 1 a N veces hasta
completar la totalidad de cargos que se estn eligiendo.
Optical mark-sense no permite votos nulos, por lo que la urna avisa sobre la existencia de
los mismos. En ese caso el presidente de mesa alerta al votante sobre la situacin, para que pueda
alterar su voto. Esto puede ser considerado como una barrera contra la libertad de expresin y el
libre ejercicio del voto ciudadano. Adems el hecho de que se revele la nulidad del voto podra
estar violando el secreto de sufragio. En Pantalla-Impresora no existe la posibilidad de que algo
as suceda porque el voto queda registrado en la mquina que se encuentra dentro del cuarto
oscuro, ms all de que no se puede emitir un voto nulo, por la metodologa de eleccin de
candidatos que utiliza.
144
En el caso de las tarjetas que deben ser rellenadas, la tinta utilizada para la marca puede
ensuciar el lector ptico, dejndolo fuera de servicio.
145
equivoc en la seleccin en su apuro por terminar de votar. A su vez impide que un sufragante
vote por mltiples candidatos al mismo tiempo. Otra ventaja que presenta este sistema es la
posibilidad de que personas que presentan diferentes discapacidades puedan llevar a cabo el acto
de votacin sin asistencia de otro ser humano. Sin embargo, diferentes anlisis realizados sobre
esta tecnologa, arrojaron resultados desfavorables sobre temas concernientes a la seguridad. A
saber:
posee algunas desventajas que la solucin propuesta en esta tesis no, ya que las logr resolver
mediante el intercambio de mensajes entre la mquina identificadora y la de votacin. En las
mquinas DRE puede existir la posibilidad de votar ms de una vez, cuando la mquina de
votacin se habilita mediante un botn pulsado por el presidente de mesa. En aquellas donde
existe un tiempo mximo para emitir un voto, alguna persona podra no llegar a tiempo para
completar la operacin. Por ltimo si en lugar de introducir una tarjeta magntica en aquellas
mquinas que lo requieran, introduzco cualquier otro objeto, se desconocen las consecuencias que
podra causar, entre las cuales se encuentra la inhabilitacin de la mquina para emitir nuevos
sufragios.
La ventaja que presentan estos sistemas, exceptuando aquellas mquinas que posean una
interfaz compuesta nicamente por un monitor touchscreen, es que personas discapacitadas
puedan llevar a cabo el acto de votacin sin asistencia.
Cada mquina contabiliza los votos, en lugar de tener un nico centro, por lo que se
reducen las instancias de fraude. Sin embargo, a diferencia de Pantalla-Impresora, las mquinas
no registran individualmente los votos, sino que almacenan los totales. Esto puede ser peligroso,
ya que son altamente vulnerables en lo que a seguridad se refiere [SAIC, 2003], sobre todo si el
cdigo del programa es propietario y no se publica. En la solucin propuesta, si bien existen
centros donde se contabilizan los votos, estos no son ms que tareas de consolidacin y auditora,
ya que cada mquina individualmente cuenta los sufragios que posee almacenados en su memoria.
Este registro individual de cada una, es lo que permite la verificacin pblica y privada del
mtodo. En ambos casos se elimina el recuento manual y carga de resultados ya que los votos se
encuentran digitalizados y en el caso puntual de Pantalla-Impresora, la pantalla de papel no
conforma un voto contabilizable.
voto. Como el voto queda guardado en la tarjeta magntica, se puede realizar auditora y
fiscalizacin del proceso. Este paso no es necesario realizarlo en el mtodo Pantalla-Impresora
gracias a la impresin de un ticket como resultado de la operacin y a la existencia de un proceso
de verificacin del correcto funcionamiento de las mquinas.
Las mquinas utilizan diskettes u otro tipo de tecnologas como soporte de informacin.
Cada uno de estos est identificado con un nmero para evitar que los votos que contiene sean
contabilizados dos veces. Esto mismo ocurre con las mquinas de la solucin, cuyos votos son
autenticados durante el proceso de escrutinio.
A diferencia de la solucin propuesta, en estos sistemas, no todas las mquinas cuentan con
modems para transmitir la informacin hacia una central, por lo que las urnas deben ser
transportadas o su dispositivo de almacenamiento. Esto otorga mayor seguridad ya que las
mquinas no se encuentran conectadas a ninguna red, por lo que no pueden sufrir ataques de
ningn tipo. Sin embargo, no estn exentas de ser daadas durante el transporte. PantallaImpresora decidi implementar la transmisin de los datos por red, ya que de esta forma se acelera
la obtencin de los resultados, sobre todos en regiones de gran superficie, debido a que la
celeridad en la totalizacin de votos no se ve afectada por la demora causada por el traslado de las
urnas al centro de consolidacin. El envo de la informacin por la red implementa cifrado de
datos y medios de transmisin segura, como ser el protocolo IPSec, para permitir el cifrado de las
comunicaciones y la autenticacin de las partes.
Las mquinas DRE son de menor costo ya que no requieren imprimir papeles. Sin
embargo, al carecer de un comprobante tangible del sufragio no pueden garantizar la integridad
del sistema. Sin el comprobante, el votante no tiene la certeza de que su voto fue registrado.
Adems complica la auditora del sistema. Si bien Pantalla-Impresora posee un costo ms elevado,
ofrece la posibilidad de auditar el sistema fcilmente mediante el ticket impreso y los procesos de
verificacin que posee.
Una desventaja importante que presenta esta tecnologa frente al mtodo propuesto, es que
los nmeros que identifican a los candidatos durante la votacin, son siempre los mismos. Si bien
esto facilita la eleccin por parte de los ciudadanos, genera recelos entre los partidos polticos
acerca de la jerarqua de los nmeros asignados a cada uno. Las encuestas indican que quienes
estn en los primeros puestos, suelen ser los ms votados.
149
Si bien estos sistemas garantizan el anonimato y el secreto del voto, en el caso de que la
identificacin del votante y la emisin del voto se encuentren unificados en una misma mquina,
pudieran existir dudas acerca de la imposibilidad de rastrear un voto. Como el mtodo propuesto
posee dividas las funciones de identificacin y votacin, el secreto est garantizado.
Este proceso incrementa la confianza del sufragante ya que le permite verificar el correcto
registro de su voto. Adems provee una prueba fsica de lo almacenado por la mquina para poder
validar los resultados arrojados. Una de las desventajas que presenta este sistema es el alto costo
de mantenimiento e impresin de las boletas soportes y la complejidad que presenta para los
votantes la eleccin del candidato. La complejidad radica en que son necesarios 2 pasos para
150
completar el voto: el primero que realiza la seleccin del representante y el segundo que confirma
la operacin. Este escenario obliga a implementar un sistema que impida al sufragante salir del
cuarto oscuro hasta tanto no realice el segundo paso, de lo contrario, la persona que ingrese
despus podra examinar el voto del primero e incluso anularlo o cambiarlo. [Evans & Paul, 2004]
Ambos sistemas poseen un alto costo de mantenimiento e impresin de los tickets soporte.
Sin embargo, para Voter verifiable ballots, sera conveniente evaluar si se justifica semejante
costo, para el beneficio que otorga.
Voter verifiable ballots requiere 2 pasos para completar la emisin del voto: el primero
para realizar la seleccin del candidato y el segundo para confirmar la operacin. Este escenario
obliga a implementar un sistema que impida al votante salir del cuarto oscuro hasta tanto no
realice el segundo paso, de lo contrario, la persona que ingrese despus podra examinar el voto
del primero e incluso anularlo o cambiarlo. En la solucin propuesta, este inconveniente se
soluciona mediante la interaccin entre la mquina identificadora y la de votacin. Como fue
explicado en detalle en el punto 4, mientras una se encuentra activa, la otra queda inhabilita para
operar. Esta forma de trabajo concurrente impide que un ciudadano ingrese al cuarto oscuro, hasta
tanto el anterior no haya finalizado con la emisin de su voto, ya que no pudo haber sido
identificado a causa de que la mquina no estaba habilitada para ejecutar ninguna tarea.
Cada dispositivo est registrado en el centro de contabilizacin como para que una
mquina no autorizada no pueda enviar informacin. Algo similar ocurre con el sistema PantallaImpresora donde todos los dispositivos que envan informacin requieren ser autentificados.
Al utilizar las mquinas DRE, estos sistemas poseen sus mismas falencias, excepto la del
faltante de un comprobante tangible de voto. A saber: si el proceso otorga un tiempo mximo de
voto, este pudiera resultar escaso; si el presidente de mesa es quien habilita al elector a emitir su
voto mediante el pulsado de un botn, cabra la posibilidad de que una persona votara dos veces;
etc..
152
Luego de que el votante elige la boleta que desea, un dispositivo de la mquina imprime un
papel (una parte de ste ser el recibo que retire el sufragante). En l figura candidato por el cual
se vot, el partido y otros datos que normalmente forman parte de una boleta. Despus de
imprimir el papel, pero antes de que la persona que se encuentra frente a la mquina lo retire, sta
otorga la posibilidad de aceptar o cancelar la operacin. En caso de que se acepte la operacin, la
mquina pregunta si el votante prefiere quedarse con la parte superior o inferior del comprobante.
Ambas capas presentan patrones aleatorios por lo que, para votos iguales, los recibos obtenidos
difieren. En los recibos figuran unas leyendas que indican la capa con la que se debe quedar el
votante y cul debe entregar a los oficiales de mesa. Es importante remarcar que la mquina
entrega al sufragante ambas capas por separado. La impresora las imprime en forma
independiente, pero al momento de mostrarlas al elector para que ste confirme la operacin, las
capas estn perfectamente superpuestas para que puedan ser ledas. Cuando el fiscal recibe una de
las capas del recibo, valida que sea la que le corresponde y luego la coloca en una mquina
trituradora de papel, eliminando toda prueba fsica del voto, excepto la capa con la que se queda el
sufragante y la copia electrnica de la mquina.
El comprobante que le queda al votante posee impreso un cdigo de barras que sirve para
verificar si el voto fue emitido y contabilizado correctamente. Existe un sitio web oficial de las
153
elecciones que, mediante ese cdigo, permite imprimir una copia del recibo que fue utilizado para
el recuento de votos y verificar que es idntico al que uno tiene.
Nadie puede descifrar el recibo que posee un votante a menos que haya roto el cdigo de
cifrado o que posea todas las claves secretas que han sido utilizadas y entregadas cada una a un
fideicomisario (oficial de custodia) diferente. Las posibilidades de que la votacin se vea
comprometida son infinitesimales. Si las dos capas del recibo estn fraguadas, la falla del sistema
es detectada. Cuando una de las capas es trampeada, si es la que se queda el votante, es detectada,
de lo contrario, pasa desapercibida porque es destruida. Esto hace que la seguridad del mtodo
radique en la eleccin, post impresin del recibo, de la capa con la que se queda el elector. Es
decir por cada voto, existe un 50% de probabilidad de que el fraude sea detectado. Si se lo repite n
veces, la probabilidad de que la trampa pase desapercibida tiende a 0.
Al igual que el sistema de votacin anterior, este mtodo aumenta la complejidad del
proceso de votacin. Requiere que el elector elija la boleta, confirme la operacin, elija con qu
capa del recibo desea quedarse, extraiga los comprobantes de la mquina y luego le entregue el
que corresponda al oficial de mesa. La ventaja principal que presenta, es que el sufragante puede
verificar su voto al igual que cualquiera que desconfe de la integridad del proceso y en ningn
caso el secreto de voto se ve comprometido. [Chaum, 2004]
154
Adems no genera un doble registro de votos, por lo que no existe un recuento manual que
lentifique la obtencin de los resultados oficiales.
El comprobante que le queda al votante posee impreso un cdigo de barras que sirve parra
verificar si el voto fue emitido y contabilizado correctamente. A su vez, uno puede ingresar al sitio
web oficial de las elecciones y mediante ese cdigo imprimir una copia del recibo que fue
utilizado para el recuento de votos y verificar que es idntico al que uno tiene. Si el comprobante
es enviado al centro de consolidacin correctamente, uno puede estar seguro (una probabilidad
aceptable) que el voto ser bien contabilizado. Pero un comprobante que no es enviado
correctamente constituye una prueba fsica que hubo una falla y resulta irrefutable que el sistema
de votacin ha sido comprometido. La ventaja principal que presenta, es que el sufragante puede
verificar su voto al igual que cualquiera que desconfe de la integridad del proceso y en ningn
caso el secreto de voto se ve comprometido. No obstante, la comprobacin se asemeja a la
verificacin pblica del mtodo propuesto, por tanto no constituye una verificacin real del voto.
El ciudadano que desea corroborar la integridad del proceso, recibe como prueba una impresin
igual a la que la mquina de votacin le entreg, pero nada dice all acerca del contenido de su
voto. Slo gente idnea en el rea de tecnologa y mtodos criptogrficos puede entender el
significado de poseer dos impresiones idnticas. Para el comn denominador de la poblacin, esa
operacin carece de sentido alguno. Es decir, la duda acerca de si el voto almacenado y
contabilizado es el mismo que el sufragante intent emitir, persiste. Finalmente, el proceso de
comprobacin consiste, al igual que la verificacin pblica, en una forma gil de encontrar fallas,
pero no de corroborar realmente que el voto contabilizado refleja la intencin del ciudadano. Para
ello Pantalla-Impresora aade el procedimiento de la verificacin privada, para que el ciudadano
tenga la total certeza de la correccin del mtodo y no solamente un indicador indirecto.
Este sistema no permite que las personas ciegas realicen la comprobacin sin asistencia de
un tercero, ya que no son capaces de comparar el ticket que poseen con el publicado en el sitio
155
156
ANEXO B
Fundamentos Tericos y Prcticos
1. Encriptacin
Previo a analizar algunas tcnicas de cifrado, es conveniente definir algunos trminos que
van a ser utilizados en el resto del trabajo. Se denomina cifrado al proceso de convertir un mensaje
original en un texto encriptado. El proceso inverso recibe el nombre de descifrado.
Texto cifrado: Es el texto confuso producido como salida; es funcin del mensaje
original y de la clave secreta. El texto es ininteligible.
157
Existen dos requerimientos para poder utilizar en forma segura el cifrado simtrico. En
primer lugar se debe contar con un algoritmo de cifrado robusto, tal que si una persona lo conoce y
tiene acceso a varios textos cifrados, no pueda descifrarlos u obtener la clave secreta. En segundo
lugar, el emisor del mensaje y el receptor tienen una copia de la clave secreta y la deben mantener
segura. Si alguien descubre la clave y conoce el algoritmo, los mensajes pasan a ser legibles. Bajo
estas condiciones no es necesario tener en secreto el algoritmo ya que la seguridad del mtodo
recae sobre la clave.
Ek[M]
El cifrado de clave pblica se basa en una clave para encriptar y otra diferente, pero
relacionada, para desencriptar. Este mtodo debe cumplir con la caracterstica de que es
computacionalmente imposible determinar la clave de descifrado mediante el conocimiento del
algoritmo y de la clave de cifrado. Adems cualquiera de las 2 claves puede ser utilizada para
encriptar o desencriptar.
158
El esquema de este tipo de algoritmos cuenta con 6 componentes. Cuatro de ellas son las
mismas que en el cifrado simtrico, el mensaje original, el algoritmo de cifrado, el texto cifrado y
el algoritmo de descifrado. Las dos restantes son:
Clave pblica y clave privada: Este par de claves son seleccionadas de forma tal
que si una se utiliza para cifrar un mensaje, la otra es utilizada para descifrarlo. Las
transformaciones que realiza el algoritmo de cifrado dependen de la clave pblica o
privada que se utiliza como entrada.
Si una persona desea encriptar un mensaje, lo primero que debe realizar es generar el par
de claves. Luego elegir una y publicarla, mientras que la otra debe permanecer en secreto.
Finalmente, se debe definir el tipo de transmisin, ya que este sistema permite funciones de
confidencialidad, autenticacin o ambas, dependiendo el esquema de transmisin elegido. Como
condicin, los emisores deben poseer las claves pblicas de los receptores y viceversa, para poder
transmitir respetando cualquiera de los esquemas que se describen a continuacin:
Confidencialidad:
M
Ekub[M]
Autenticacin:
M
Ekra[M]
Confidencialidad y Autenticacin:
Ekub[Ekra[M]]
M
KRa (Clave
privada de a)
KUb (Clave
pblica de b)
KRb (Clave
privada de b)
KRa (Clave
pblica de a)
159
2. Funciones de Hash
Existen varias formas en que pueden utilizarse las funciones de Hash para proveer
autenticidad de mensajes:
||
Ek[M || H(M)]
H
Comparar
K
H(M)
160
||
H
D
Ek[H(M)]
Comparar
||
KR
H
D
EKR[H(M)]
Comparar
KU
M
KR
||
K
EK[M || EKR[H(M)]]
H
D
EKR[H(M)]
Comparar
KU
161
e. Esta tcnica utiliza funciones de hash, pero no de cifrado para autenticar los
mensajes. Se asume que el emisor y el receptor comparten un valor X cualquiera
secreto. El mtodo consiste en calcular el cdigo de hash mediante la
concatenacin de X al mensaje y se transmite solo el mensaje con el cdigo de
hash. Como el receptor conoce X, puede recalcular el valor de hash para verificar la
autenticidad del mensaje. Como X no es transmitido, el mensaje no puede ser
alterado intencionalmente porque no se podra recalcular el cdigo de hash.
||
||
H
Comparar
||
H(M||S)
||
||
H
Comparar
K
S
||
K
EK[M || H(M || S)]
H(M||S)
[Stallings, 2003]
162
163
3. IPSec
3.1. Generalidades
La seguridad a nivel IP se compone de tres reas funcionales: autenticacin,
confidencialidad y administracin de claves. El mecanismo de autenticacin asegura que el
paquete recibido haya sido transmitido por una parte identificada en el encabezado del paquete
como el origen. Tambin asegura que el paquete no haya sufrido alteraciones mientras permaneci
en trnsito. La confidencialidad permite a los nodos que se comuniquen con mensajes cifrados
para prevenir invasiones de terceras partes. La administracin de claves se refiere al intercambio
de las mismas en forma segura.
IPSec se encuentra por debajo de la capa de transporte, lo que le permite ser transparente a
las aplicaciones. No existe la necesidad de cambiar el software en un sistema de usuario o
servidor para que IPSec pueda ser implementado. Tambin es transparente para el usuario final,
evitando entrenar a los usuarios en mecanismos de seguridad.
IPSec provee servicios de seguridad en la capa IP, permitiendo a los sistemas seleccionar
los protocolos de seguridad que requieran, determinar los algoritmos para esos servicios y
almacenar cualquier clave criptogrfica que requiera el servicio. Dos protocolos son utilizados
para proveer seguridad: el primero de ellos se denomina Authentication Header (AH), que es un
protocolo de autenticacin; el segundo es una combinacin de cifrado y autenticacin denominado
Encapsulating Security Payload (ESP).
164
Existen 2 modos de uso del protocolo: modo transporte y modo tnel. El primero est
orientado a proveer seguridad a las capas superiores. Mediante ESP cifra y opcionalmente
autentica la carga til de IP pero no el encabezado. Con AH autentica la carga til y algunas partes
del encabezado. El segundo est orientado a proveer seguridad al paquete IP completo. Despus
de haber agregado los campos de AH o de ESP, el paquete completo es utilizado como carga til
de un nuevo paquete IP exterior con un nuevo encabezado. El nuevo paquete pasa a travs de
routers sin que los mismos puedan inspeccionar el encabezado IP contenido dentro mismo, ya que
se encuentra embebido en la seccin de carga til del nuevo paquete. [Stalllings, 2003]
165
166
4.1. Caractersticas
Las personas poseen varios elementos de identificacin en la composicin de los cuerpos.
Las huellas digitales son una marca nica que poseen los individuos. Se componen de surcos que
forman un dibujo particular. El mismo es totalmente aleatorio y depende de la posicin en que el
feto se encuentra en determinado momento y la densidad y recorrido del lquido amnitico.
Adems existen otros factores que hacen que sea virtualmente imposible que haya 2 huellas
exactamente iguales. Por ende las huellas digitales son una marca nica que identifica a cada
persona y por tal condicin son tiles en la seguridad de los sistemas.
Existen 2 tipos de dispositivos que sirven para obtener las huellas digitales de las
personas: el escner ptico y el escner de capacitores. Ambas tecnologas deben cumplir 2
funciones. La primera de ellas consiste en obtener una imagen de la huella y la segunda en
reconocer mediante los patrones de los surcos en la imagen la coincidencia de la misma con otra
imagen pre-escaneada. [Harris, 2006]
167
4.4. Resumen
Existen diferentes sistemas de seguridad para verificar que una persona es realmente quien
dice ser. Algunos se basan en las posesiones de los individuos (tarjetas, documentos, etc.), otros
en sus conocimientos (requieren ingresar un PIN o contrasea) y otros en sus evidencias fsicas
(como ser huellas digitales). Estos ltimos poseen ciertas ventajas frente al resto:
Los atributos fsicos son ms difciles de falsificar que una tarjeta o documento.
Sin embargo, cada uno de los sistemas de escaneo de huellas presenta ciertas desventajas:
168
El escner ptico puede ser engaado colocando en el censor una imagen de una
huella en lugar de una real
La comparacin de las imgenes tomadas de las huellas con las que se encuentran
almacenadas, en ambos sistemas se realiza de la misma manera. No se compara la totalidad de la
huella, sino que se buscan ciertos detalles minuciosos mediante algoritmos complejos.
Generalmente se buscan las zonas donde los surcos se bifurcan o terminan. Para machear una
huella no es necesario verificar todos los detalles, sino simplemente una cantidad suficiente que
depende de cada algoritmo.
Una caracterstica importante es que la imagen de la huella dactilar ocupa poco lugar de
almacenamiento, aproximadamente 512 bytes. [Maclean, 2002] Esto posibilita el almacenaje de
las mismas en bases de datos para ser utilizadas fcilmente en los sistemas para autentificar a las
personas.
169
Referencias
[Gelli, 2001] Gelli Mara Anglica. 2001. Informe sobre la relevancia de la creacin de un
Componente de Administracin y Justicia Electoral. Proyecto ARG/00/007 Apoyo al Programa de
Reforma Poltica del PNUD. Disponible en www.undp.org.ar. Pgina vigente al 05/08/2005.
[Evans & Paul, 2004] Evans David & Paul Nathanael. 2004. Election Secutiry: Perception and
Reality. Revista Security & Privacy. Volumen 2. Nmero 1. Pginas 24-31.
[Caltech/MIT, 2001] Caltech MIT Voting Technology Project. Julio 2001. Voting: What Is What
Could Be.
[Bannet et al., 2004] Bannet Jonathan, Price David W., Rudis Algis, Singer Justin & Wallach Dan
S.. 2004. Hack-a-Vote: Security Issues with Electronic Voting Systems. Revista Security &
Privacy. Volumen 2. Nmero 1. Pginas 32-36.
[Chaum, 2004] Chaum David. 2004. Secret-Ballot Receipts: True Voter-Verifiable Elections.
Revista Security & Privacy. Volumen 2. Nmero 1. Pginas 38-47.
[Schneier, 2004] Schneier Bruce. 2004. Voting Security and Technology. Revista Security &
Privacy. Volumen 2. Nmero 1. Pgina 84.
[Misra, 2004] Misra Neelesh. 2004. Worlds biggest vote goes all-electronic.
www.msnbc.msn.com/id/4788644/. Pgina vigente al 10/10/2005.
170
[Stallings, 2003] Stallings, William. 2003. Cryptography and Network Security. Principles and
Practice. Third Edition. Prentice Hall. 681 pginas.
[Mole, 2005] Mole. 2005. Protecting the Vote: The fight for our Democracy.
http://www.boomantribune.com/story/2005/8/28/2228/00379. Pgina vigente al 04/12/2005.
[Verified Voting Foundation, 2004] Verified Voting Foundation. 2004. Resolution on Electronic
Voting. http://www.verifiedvotingfoundation.org/article.php?id=5028. Pgina vigente al
04/12/2005.
[Neumann, 1993] Neumann Peter G.. 1993. Security Criteria for Electronic Voting. 16th National
Computer Security Conference. http://www.csl.sri.com/users/neumann/ncs93.html. Baltimore.
Pgina vigente al 04/12/2005.
[Mercury, 2003] Mercury Rebecca. 2003. Facts About Voter Verified Paper Ballots.
http://www.notablesoftware.com/Papers/VVPBFacts.pdf. Pgina vigente al 05/12/2005.
[SAIC, 2003] Science Applications International Corporation. 2003. Risk Assesment Report.
DieBold AccuVote-TS Voting System and Processes.
www.dbm.maryland.gov/dbm_publishing/public_content/dbm_search/technology/toc_voting_syst
em_report/votingsystemreportfinal.pdf. Pgina vigente al 10/05/2006.
171
[SPF, 2004] Service Public Fdral Intrieur. 2004. Direction des lections.
www.verkiezingen.fgov.be/2004/2004fr/docufr/instructionsformules/directivestechniques/directiv
es.htm. Pgina vigente al 20/04/2006.
[TSECR, 2002] Tribunal Supremo de Elecciones de Costa Rica. 2002. Informacin disponible en
www.tse.go.cr/menu_votoelect.html. Pgina vigente al 25/04/2006.
[Bracci, 2004] Bracci Luigino. 2004. Conozca las mquinas de SmartMatic y sepa como se votar
el 15 de agosto. www.rnv.gov.ve/noticias/index.php?act=ST&f=15&t=6034. Pgina vigente al
01/05/2006.
[Rial, 2001] Rial Juan. 2001. Modernizacin del Proceso Electoral: Voto Electrnico en Amrica
Latina. Disponible en www.undp.org.ar/archivos/A184_Informe_Rial_voto_electrnico.DOC.
Pgina vigente al 06/10/2005
[CEN, 1983] Cdigo Electoral Nacional. Agosto 1983. Decreto N 2135. Disponible en
http://infoleg.mecon.gov.ar/infolegInternet/anexos/15000-19999/19442/texact.htm.
172
Menezes, Alfred. 1996. Handbook of applied cryptography. CRC Press. 816 pginas.
173