CLCERT-ED11-001

Votaciones electrónicas e Internet

En la presente editorial realizamos un análisis de la experiencia concreta de votación electrónica durante el llamado "Plebiscito por la educación". Este análisis sirve de punto de partida para justificar por qué no es aconsejable permitir votaciones por Internet y permite ilustrar los requerimientos mucho más exigentes que debiese implementar una votación electrónica vinculante.

Los días 7 y 8 de octubre del 2011 se realizó el llamado "Plebiscito por la Educación". En esta votación se permitió a los usuarios votar no sólo de la forma tradicional (presencial) sino de forma remota a través de Internet. Sin entrar a analizar los objetivos políticos ni motivaciones sociales de este plebiscito, sentimos es nuestro rol señalar los severos inconvenientes del mecanismo utilizado. En particular, nuestro análisis se focaliza en la componente "online" de la votación. El análisis ilustra los motivos por los cuales el permitir el voto a través de Internet no es deseable.

Un sistema de votación debe garantizar que el proceso sea correcto, verificable y cuyos votos sean privados. En particular un sistema se votación electrónica debe poseer características de seguridad, definida bajo las siguientes propiedades:

Democrático: Solamente los votantes válidos pueden sufragar, esto es, manifestar su preferencia por medio de un voto, y ningún votante puede sufragar más de una vez.
Correcto: El valor de cada voto válidamente emitido no puede ser alterado, duplicado, ni eliminado sin ser detectado. Por lo tanto, el resultado final debe corresponder a los votos correctamente emitidos.
Privado: El valor de cada voto debe mantenerse en secreto mientras se desarrolla el proceso. Más aún, al concluir la votación ninguna información acerca del voto debe revelarse, excepto aquella deducible del conteo total y posiblemente conteos parciales. No debe ser posible asociar un voto con el votante que lo emitió.
Verificable: Un observador externo puede convencerse que el proceso fue correcto.
Robusto: El sistema debe soportar un nivel razonable de ataques intencionados por parte de alguna colusión pequeña de entidades, ya sean externas o partícipes del proceso.
No coercibilidad: El valor del voto debe reflejar la voluntad del usuario.

La votación a través de Internet típicamente falla en varias de estas propiedades. El esquema de votación­ específico implementado para este proceso a través de su sitio web (www.votociudadano.cl, y posteriormente en dos sitios espejos www.colegiodeprofesores.cl/votación y minuano.org/votoCiud/) no fue la excepción, fallando en todas y cada una de las propiedades mencionadas:

Democrático: No existió registro previo de votantes ni método de autenticación. El sistema sólo verificaba que el dígito verificador fuese válido de acuerdo al algoritmo de validación de RUT, sin realizar un cruce con datos con el Registro Civil. Por ello, cualquier usuario, usando diversos RUTs, podía emitir su voto a través del sitio web. De este modo la suplantación de usuarios parece haber sido un hecho común, al menos ampliamente comentado en las redes sociales.
Correcto: El mecanismo utilizado no permite asegurar que el voto emitido sea el mismo voto depositado en la urna electrónica y luego contabilizado. Es perfectamente posible que hubiese existido un proceso malicioso en el equipo del cliente (o incluso en el equipo del servidor) que hubiese modificado la opción emitida por el usuario. Además, la conexión entre el cliente y el servidor web carecía de mecanismos de protección de la comunicación (ni siquiera el estándar SSL/TLS) y, en consecuencia, no había manera de garantizar la integridad del mensaje. En principio, era factible que dicho mensaje fuese alterado en el camino por un potencial atacante.
Privado: El mecanismo utilizado no da garantías que el voto sea privado durante todo el proceso. En principio, el voto emitido podría ser capturado por un proceso malicioso en el cliente, capturado por alguien monitoreando la red durante la transmisión, o incluso por un proceso malicioso en el servidor. Peor aún, dada la carencia de protección SSL/TLS, era muy difícil para el usuario detectar si había sido víctima de un ataque tipo phishing o pharming - un votante podria estar enviando su voto a un servidor web malicioso, lo cual violaría la privacidad del voto y correctitud del sistema. Además, no hubo claridad respecto a qué información sobre el voto se almacenó en el servidor (si por ejemplo, fue encriptada o no, y el mecanismo utilizado). Con ello, no hay garantías que la preferencia e identificación del votante no hayan sido expuestas. Asimismo, no se utilizaron mecanismos para impedir que el votante pudiera "vender" su voto. Tal accionar es ciertamente factible dada la falta de protección contra el monitoreo malicioso del canal de comunicaciones entre el cliente y el servidor.
Verificable: No existió un procedimiento o mecanismo para que la correcta ejecución del proceso fuera verificable por entidades externas o por cualquier usuario que así lo requiriera. La única alternativa posible era suponer la honestidad de todos los participantes.
Robusto: Claramente el sistema no fue robusto. Los propios organizadores reportaron que el sistema no estuvo disponible por varias horas debido a una saturación de conexiones. Tales conexiones podrían haber sido intencionales, esto es, parte de un ataques tipo DDoS (Distributed Denial of Service, o ataque de denegación de servicio distribuido), aunque no existe claridad al respecto. En general, de no tomar medidas de protección concretas ante ataques DDoS, cualquier sistema podría haberse visto impactado por dichos ataques, aún contando con conexiones SSL/TLS. No existe información si el sistema en uso en esta oportunidad contaba con mecanismos de protección ante dichos eventos.
No coercibilidad: La votación sobre Internet no puede garantizar que el votante no esté emitiendo un voto contra su voluntad.

Podemos concluir que en general, no es aconsejable permitir votaciones por Internet, principalmente por la dificultad de garantizar la no coercibilidad (evitar "votar con una pistola en la frente"). La salvedad son sistemas de votacion cuyos locales de votación son controlados y auditados, o bien en votaciones de "bajo perfil", donde la probabilidad de que el resultado de la votación sea cuestionado sea mínima. En un sistema de votacion electrónica, las otras propiedades pueden y deben ser garantizadas utilizando mecanismos criptográficos conocidos.

De hecho, los sistemas de votación electrónica masivos, de alto perfil, prácticos, seguros y eficientes son posibles, pero requieren la utilización de técnicas criptográficas, infraestructura adecuada y ambiente controlado para la emisión del voto.

Para concluir, es importante notar que lo anterior es simplemente un análisis de una experiencia concreta de votación electrónica. Nuestro objetivo es ilustrar los requerimientos mucho más exigentes que debiese cumplir una votación electrónica vinculante. Los plebiscitos, por otra parte, son procesos políticos cuyo análisis no sólo incluye los aspectos técnicos. Entendemos que el plebiscito en cuestión responde a un contexto social especial con sus dinámicas propias.