A pesar de las afirmaciones de los proveedores de sistemas de votación en línea, la votación de hoy en la Cámara de Representantes pone en riesgo la seguridad de las papeletas militares en el extranjero

Mientras la Cámara de Representantes de Kentucky se prepara hoy para votar sobre la SB 1, un proyecto de ley diseñado para facilitar la votación a los residentes de Kentucky y al personal militar en el extranjero, Pamela Smith, presidenta de Verified Voting, un grupo nacional no partidista dedicado a proteger nuestras elecciones en la era digital, y Richard Beliles de Common Cause Kentucky, emitieron la siguiente declaración:

“Instamos a los miembros de la Cámara a que evalúen con claridad los peligros de la votación por Internet. Lejos de proteger los votos de nuestras tropas, permitir que los votantes en el extranjero emitan sus votos por Internet los expone a ser víctimas de piratería y manipulación, en un momento en que estamos descubriendo cada vez más el grado de penetración de los chinos y otros en las redes de nuestra nación.

La votación por Internet es la forma de votación menos segura, y quienes afirman que los sistemas de votación actuales utilizan altos estándares de encriptación y protección ignoran la realidad tecnológica de que no existe ningún sistema actual que esté a salvo de la penetración.

Los objetivos de la SB 1 son loables, como también lo es la intención detrás de la iniciativa de hacer que el voto sea más accesible para nuestras tropas. Pero los peligros de la votación por Internet son tales que, en un intento por fortalecer los derechos de voto de los miembros militares, la Cámara corre el riesgo de poner en peligro ese derecho.

“Instamos a la Cámara a aprobar la SB 1 sin disposiciones que permitan la devolución electrónica de las papeletas votadas”.

Verdades y mentiras sobre el voto electrónico

1. Ficción: Los sistemas de votación por Internet son impenetrables o absolutamente seguros.

Realidad: Quienes afirman que los sistemas de votación por Internet son seguros no son expertos en seguridad nacional. Son vendedores de sistemas de votación en línea que comercializan sus productos a funcionarios electorales de todo el país, prometiéndoles seguridad, autenticación de votantes y verificabilidad. Sus afirmaciones no han sido sometidas a pruebas revisables públicamente ni a ningún tipo de certificación gubernamental.

El Instituto Nacional de Estándares y Tecnología (NIST) es la agencia federal responsable de estudiar y evaluar la seguridad de la votación por Internet. Durante años, el NIST ha estudiado y evaluado las herramientas de seguridad disponibles para proteger las papeletas votadas que viajan por Internet. Ha analizado en profundidad lo que se puede y no se puede hacer para proteger las papeletas en línea y evitar ataques exitosos. El NIST ha publicado varios informes sobre sus hallazgos y el año pasado emitió una declaración que resumía su trabajo y conclusiones hasta la fecha. El NIST advirtió que con las herramientas de seguridad disponibles actualmente, la votación segura por Internet no es "factible"[1] y que se necesita más investigación antes de poder superar los desafíos de seguridad. Cualquier afirmación por parte de un proveedor de que ha desarrollado un sistema de votación segura por Internet está en directa contradicción con la mejor evaluación del NIST después de años de investigación y análisis.

2. Ficción: La votación por correo electrónico no es votación por Internet.

Realidad: Existe un malentendido común de que devolver las papeletas votadas por correo electrónico o fax digital no es votar por Internet. Tanto el correo electrónico como el fax digital viajan por Internet y están sujetos a ataques, borrado o manipulación. Cada vez que una papeleta votada se transmite por correo electrónico, fax digital o un portal de votación por Internet, esas papeletas viajan por Internet y están sujetas a manipulación o eliminación por parte de atacantes en cualquier parte del mundo.

3. Ficción: Decenas de estados ya permiten la votación a través de Internet y no ha habido ningún ataque informático que haya tenido éxito.

Realidad: Si bien es cierto que muchos estados han permitido la votación en línea, no se ha demostrado que sus sistemas sean seguros y no hayan sido comprometidos. Los piratas informáticos expertos pueden vulnerar los sistemas y borrar cualquier rastro de sus acciones, por lo que no hay forma de saber si estos sistemas han sido infiltrados y comprometidos. Se ha estimado que la mayoría de los ataques a las redes no se detectan durante más de un año. El hecho de que los estados no hayan identificado un ciberataque a un sistema de votación en línea no significa que no haya sido comprometido, o que no lo estará en futuras elecciones.

4. Ficción: Los sistemas de votación por Internet viajan a través de redes seguras del Departamento de Defensa.

Realidad: Incluso para los votantes militares, los sistemas de votación por Internet disponibles en la actualidad no utilizan una red del Departamento de Defensa. Todos los sistemas que se utilizan en la actualidad se conectan a la Internet pública y están expuestos a ataques de piratas informáticos en cualquier parte del mundo. Algunos proveedores afirman o hacen alusión a la utilización de sistemas privados que están separados de la Internet pública, pero incluso los sistemas privados virtuales siguen dependiendo de la Internet pública y son vulnerables.

5. Ficción: Los sistemas de votación por Internet que se utilizan hoy en día han sido aprobados por el Departamento de Defensa.

Realidad: Los proveedores se jactaron de que el Departamento de Defensa había comprado sus sistemas, lo que implica que el Departamento de Defensa aprobó el uso de estos sistemas para la votación en línea, lo cual es inexacto. El Departamento de Defensa compró algunos de estos sistemas para entregar papeletas en blanco únicamente en línea, pero no para transmitir (devolver) las papeletas con el voto. El gobierno federal no tenía la intención de que estos sistemas se utilizaran para transmitir papeletas con el voto por Internet debido a los riesgos de seguridad no resueltos.[2]

6. Ficción: Los sistemas de votación por Internet pueden proporcionar una autenticación segura de los votantes. O bien, los sistemas de votación en línea utilizan tarjetas CAC militares.

Realidad: Los proveedores han afirmado que sus sistemas pueden autenticar la identidad de los votantes, pero la autenticación de los votantes a través de Internet sigue siendo un problema sin resolver. Como concluyó el NIST, “Estados Unidos carece actualmente de una infraestructura pública para la autenticación electrónica segura de los votantes”. [3] Y si bien el uso de la tarjeta CAC podría, algún día, proporcionar una autenticación fiable de los votantes, no está claro si algún sistema de votación por Internet disponible en la actualidad puede incorporar el uso de la tarjeta CAC. Según el NIST, el uso de la tarjeta CAC es difícil y costoso de implementar con la tecnología disponible y no cubre a los votantes no militares de la UOCAVA. [4]

7. Ficción: Se puede comprobar la precisión de los sistemas de votación por Internet.

Realidad: Los proveedores a menudo afirman que sus sistemas pueden ser auditados, pero es imposible realizar una auditoría significativa de las papeletas enviadas por Internet con la tecnología actual. Los ataques pueden alterar la papeleta de un votante sin su conocimiento, de la misma manera que los ataques a los sistemas bancarios que transfieren fondos sin el permiso del titular de la cuenta son indetectables.[5] Estos ataques también serían imperceptibles para el proveedor o el funcionario electoral, y como votamos mediante voto secreto, es prácticamente imposible realizar una auditoría significativa de una elección en la que las papeletas se transmiten por Internet. Según el NIST, "garantizar que los sistemas de votación electrónica a distancia sean auditables sigue siendo en gran medida un problema difícil, y ninguna tecnología actual o propuesta ofrece una solución viable".[6]

[1] http://www.nist.gov/itl/vote/uocava.cfm

[2] Según la comunicación del Departamento de Defensa al Congreso en relación con la compra de sistemas de votación en línea de Everyone Counts y otros, los sistemas se adquirieron para entregar papeletas en blanco en línea, permitir que un votante marque la papeleta y luego la imprima para devolverla por correo; los sistemas no se deben utilizar para enviar la papeleta votada de vuelta por Internet. La comunicación dice que “[e]l votante podrá marcar la papeleta con todos los candidatos seleccionados,[ .] y luego imprimir la papeleta con instrucciones de emisión específicas del Estado y un sobre con dirección preimpresa para que el votante la imprima con una copia impresa, la firme con una firma húmeda y la devuelva por correo postal. Estos sistemas son los mismos que la experiencia inicial que tendría un votante en un sistema de votación por Internet completo. El [sistema] detiene el proceso en línea en el momento del marcado en línea de la papeleta y permite la devolución por correo postal de una papeleta impresa con firma “húmeda””. http://comptroller.defense.gov/defbudget/fy2012/budget_justification/pdfs/03_RDT_and_E/DHRA.pdf

[3] http://www.nist.gov/itl/vote/uocava.cfm

[4] NIST 7770 “Consideraciones de seguridad para la votación electrónica remota de UOCAVA” http://www.nist.gov/itl/vote/upload/NISTIR-7700-feb2011.pdf

[5] Sin embargo, en el caso de fondos robados a través de software malicioso en la computadora del usuario, los fondos perdidos pueden recuperarse gracias a las leyes federales que limitan las pérdidas de la banca minorista. Estos límites no se aplican a las cuentas bancarias comerciales.

[6] Ibíd.