Un año antes de cada contienda electoral en Brasil, un grupo de personas previamente inscritas se reúne en la sede del Tribunal Superior Electoral (TSE), en Brasilia, con el propósito de intentar vulnerar la seguridad de las urnas electrónicas. Se trata de las Pruebas Públicas de Seguridad (TPS, por sus siglas en portugués), un evento que se lleva a cabo desde el año 2009 en el que participan expertos en computación independientes, o vinculados a institutos de investigación, quienes planifican ataques contra los dispositivos. En 2021, 26 investigadores, tal como se les llama a los que intentan vulnerar el sistema electoral, realizaron 29 intentos de intrusión. Cinco de ellos detectaron algún tipo de fragilidades que fueron corregidas por los técnicos del TSE. Los ataques se repitieron en una segunda etapa, en mayo de 2022, sin ningún éxito en esa ocasión.
Uno de los creadores de la urna, el ingeniero electrónico Osvaldo Catsumi Imamura, todavía monitorea las TPS en cada elección. Graduado en el Instituto Tecnológico de Aeronáutica (ITA) e investigador del Departamento de Ciencia y Tecnología Aeroespacial (DCTA), un centro de investigación vinculado a la Fuerza Aérea Brasileña con sede en São José dos Campos (São Paulo), fue desde un primer momento, en 1995, miembro del equipo que diseñó y desarrolló la arquitectura de las urnas electrónicas. Él fue el responsable principal de garantizar la seguridad de los dispositivos. Hasta ahora nunca ha habido pruebas de que el sistema haya sido vulnerado y se hayan amañado votos, algo relativamente frecuente cuando se votaba con papeletas. El ingeniero, de 66 años, dejó el equipo técnico del TSE en 2005, permaneciendo como asesor y colaborador eventual, y el año pasado se jubiló del DCTA. En la entrevista que se transcribe a continuación, le explica al equipo de Pesquisa FAPESP por qué las urnas electrónicas siguen siendo seguras 26 años después de su creación.
Usted participó en las dos etapas del TPS para las elecciones de este año. ¿Qué pruebas se llevaron a cabo y cuáles fueron los resultados?
Las pruebas son el resultado de varias peticiones internas y externas al TSE para ampliar la auditoría de las urnas electrónicas. Siempre hemos debatido cómo podrían realizarse estas evaluaciones para hacer que el sistema sea lo más transparente posible. En 2009 surgió la idea de realizar una prueba pública, algo que ya se hacía en otros países. Esto garantizaría que las personas que quisieran formarse una opinión acerca de una determinada situación relacionada con las urnas pudieran realizar la prueba por sí mismas para, entonces, ratificar o rectificar sus propias apreciaciones. Y así fue que se dio curso a las pruebas públicas.
Desde entonces, ¿qué ha cambiado?
En líneas generales, la evaluación de las urnas electrónicas no ha cambiado casi nada en términos de alcance. Los llamados investigadores interesados pueden solicitar acceso a cualquier parte del sistema, como el hardware de las urnas y también los software. Lo único que se necesita es presentar una propuesta de lo que se desea evaluar. Desde sus comienzos hasta hoy se han hecho algunos ajustes en todo el proceso hasta llegar a la versión actual, en la que las pruebas tienen lugar en dos etapas. La primera se realiza habitualmente a finales del año previo a las elecciones en la fecha más cercana al sellado final de los códigos. Esto les da tiempo a los investigadores para analizar el sistema que será utilizado en las elecciones del año siguiente. Unos meses después de la primera prueba, ellos pueden comprobar la puesta a punto realizada por el TSE.
¿Los llamados investigadores son científicos del área?
En parte sí, pero también han participado personas de la sociedad que entienden de computación y deseaban evaluar personalmente cómo funcionan las urnas. Hay entidades académicas que se inscriben para que sus docentes les brinden a sus alumnos de computación una oportunidad para ejercitar sus conocimientos. Incluso hubo un estudiante de la carrera de computación de la Universidad Federal de Mato Grosso do Sul que sugirió la realización de una TCC [una tesina de conclusión de la carrera] sobre seguridad electoral. Ese alumno convenció a un profesor para que participara junto con él.
En el marco del TPS, ¿todo puede comprobarse?
Así es. En el TPS de noviembre de 2021 constatamos que varios de los ataques tenían por objetivo acceder a la criptografía, al manejo del registro de los votos, el recuento. Acabamos agrupando a los investigadores para que pudieran colaborar entre ellos, ya que había equipos que iban a verificar la misma parte del sistema electoral.
¿Qué diferencia a la primera etapa de los test, el año previo, de la segunda, ya en el año electoral?
En la primera, cada persona realiza las comprobaciones que desea en el sistema y, cuando finaliza, los miembros del comité evaluador cotejamos si ha logrado avanzar en lo que pretendía, si atacó una determinada situación y si ha progresado en su avance por senderos que no debería haber traspuesto. En este caso, aunque no haya logrado su objetivo final, se lo considera exitoso en primera instancia. Luego elaboramos un informe para el TSE y su equipo técnico dispone de tres o cuatro meses para explicar por qué sucedió eso y proponer sugerencias para corregirlo o perfeccionarlo. En la segunda etapa de pruebas, verificamos si el trabajo interno del cuerpo técnico ha logrado las metas deseadas. Para ello convocamos nuevamente a los investigadores para que ellos analicen si la urna aún presenta vulnerabilidades. Incluso si no ha sucedido nada y ningún investigador consiguió vulnerar ninguna parte del sistema, el TSE realiza una revisión general en todos los procesos. Como siempre están apareciendo nuevas tecnologías, podría ocurrir que algo que se haya intentado ahora tenga repercusiones en el futuro. Estos recaudos sirven como parámetro para evaluar futuras modificaciones al sistema electoral.
¿Existe la posibilidad de que la urna sea violada?
En teoría, sí. Los procesos y las tecnologías siempre dependen del tiempo. Las tecnologías que se emplean para proteger la urna y sus periféricos se someten a un análisis riguroso de selección que permite que todos los componentes del sistema electoral estén listos un año antes de las elecciones. Hoy en día, puede que los hackers no cuenten con suficiente tiempo para lograr sus propósitos, como la adulteración del voto. Hay un amplio debate en los medios acerca de las posibles violaciones. También seguimos debatiendo en el ámbito académico. Algunos científicos son más puristas, más teóricos, y argumentan que, teóricamente, en modelos matemáticos, puede demostrarse que los códigos pueden descifrarse. De allí surge la afirmación de que la urna es vulnerable. Y no están equivocados. La cuestión es lograr que esta teoría funcione. Y hasta ahora, no existen evidencias reales.
En teoría, los códigos de la urna pueden descifrarse. La cuestión es lograr que esta teoría funcione. Por el momento, no hay evidencias de que nadie lo haya conseguido
Una de las críticas al TSE plantea que el elector debe confiar ciegamente en el sistema electoral. Esto se debe a que se basa en el concepto de seguridad por oscuridad, lo que, según los críticos, no condice con una sociedad democrática.
La seguridad por oscuridad significa no hacer evidente cierta información. Es como decir: está a salvo porque se mantuvo en secreto. La mayoría de los códigos de los productos de seguridad criptográfica del mundo se controlan para evitar que los sistemas sean invadidos. El código que se utiliza en las urnas no es abierto ni público, pero es verificable. Solo un público selecto, de expertos, está en condiciones de realizar tal comprobación. Es cierto que hay un punto oscuro en el código: la clave. Esta no es ni tiene por qué ser pública, de la misma manera que no compartimos con nadie la clave de acceso a nuestra cuenta bancaria. Cuando tomamos esa decisión, es porque consideramos que ese desconocimiento nos protege. Esa crítica contra las urnas electrónicas no tiene ningún sustento. En el TPS, algunos ataques estaban dirigidos a tratar de descubrir la clave en su formato digital para acceder al sistema. Nadie consiguió obtener todas las claves necesarias.
Para acceder al sistema de las urnas, sería necesario violar todas las capas de seguridad. Se ha dicho que eso tal vez no sea cierto porque bastaría con burlar una de ellas para ingresar al sistema. ¿Esto es real?
Toda la seguridad es por capas. No hay una única protección, exclusiva de la Justicia Electoral, porque las urnas deben instalarse tanto en una escuela común como en lugares alejados y de difícil acceso. Actualmente, el transporte del 80 % de las urnas se encuentra a cargo de gente común. No hay un acompañamiento de la policía militar o de las Fuerzas Armadas oficiando como escolta. Hay niveles o capas de seguridad que hubo que crear considerando estas circunstancias y condiciones hasta que las urnas ingresen a la fase de oficialización del distrito electoral el día de las elecciones. A partir del momento en que se la oficializa, las capas que siguen existiendo son exclusivas de la Justicia Electoral. Las capas previas no. Si se da el caso de que un ladrón roba una urna, esto significa que violó una primera capa. ¿Eso compromete las elecciones? No. Solo se vería comprometida si se robaran una cantidad insólita de urnas, lo que haría inviable las elecciones por falta de dispositivos.
¿Sería posible que las urnas puedan adulterarse durante su traslado, por ejemplo, para instalarles un programa malicioso con el propósito de dirigir los votos a un candidato en particular?
Supongamos que alguien consigue atravesar una capa específica e introducir un programa en algunas urnas. Cuando el dispositivo se inicializa, además de la verificación de autenticidad, el programa malicioso se topará con otras capas de protección. Para poder avanzar, se requiere que la urna funcione sin las validaciones necesarias cuando se oprime el interruptor. La urna es una computadora, un hardware, y puede modificarse el sistema operativo. Pero no se puede avanzar con resultados manipulados ni tampoco firmar el informe de la urna, que es el resultado final del dispositivo, que luego debe ser validado por la Justicia Electoral. Esta es solo una etapa. Existen varias otras capas de protección. Algunos investigadores procuraron infructuosamente atacar ese ítem en las TPS, tratar que las urnas se inicialicen sin necesidad de realizar esos diálogos para poder ejecutar el código invasor.
En total, ¿cuántas capas existen?
Depende de la etapa del proceso: encendido de la urna, inicio de la votación, finalización de la votación. Cada una de ellas posee dos o tres capas de protección. Si se suman, tenemos algo más de media docena de capas del proceso en su conjunto. El envío de los resultados de la votación constituye otro proceso, que también tiene sus propias capas. Las urnas, desde su preparación hasta su cierre, con la generación de los resultados, no se conectan con nada. La conexión a la red se produce solamente con los sistemas de transmisión de los resultados de cada sección electoral al sistema de recuento final. Además de los mecanismos de seguridad lógica, existen otros componentes de seguridad para garantizar el funcionamiento físico del conjunto, haciéndolo tolerante a los fallos y asegurando la integridad de la elección.
Al momento de enviar la información al TSE, ¿no hay riesgo de ataque hacker? ¿Cómo es posible estar seguros de que el resultado de esa urna es el mismo que llegó al tribunal?
En función de las capas existentes tanto en la inicialización de la urna como en la finalización del su tarea. En ambos procesos existe una clave única dentro de cada dispositivo. Si se la quita o se la modifica, el hardware pierde su validez. Esta clave genera una firma digital del resultado y permite que la Justicia Electoral verifique la información de cada urna. Si la máquina fuera sustituida debido a algún problema físico o una falla, el TSE utiliza urnas de reserva.
¿Qué opina del planteo de que las urnas pueden auditarse mediante la impresión del voto?
Voy a brindar un ejemplo: cuando se rompió la represa de Brumadinho, en Minas Gerais, se realizó una auditoría. Sin embargo, el defecto de diseño no pudo comprobarse. La auditoría es un evento importante para constatar que la ejecución de algo se ajuste al plan operativo, con base en los registros y la documentación técnica y administrativa. Una auditoría no es sinónimo o garantía de seguridad. Todos los sistemas lógicos que se emplean en las elecciones están sometidos a un proceso de firma digital para asegurar que lo que ha sido sellado sea exactamente lo que será utilizado, haciendo posible una auditoría previa y posterior a las elecciones. Por ahora, la auditoría por sí sola no es suficiente como para comprobar la seguridad de los sistemas implicados. La única forma de verificar la corrección de un sistema lógico la constituyen las pruebas y un análisis técnico de los códigos. Para cumplir con ese requerimiento fue que se diseñaron las TPS.
¿Y el voto impreso?
Representa una seudoconfianza. El elector puede recibir un papel, pero, ¿qué seguridad puede tener de que la información impresa en el papel fue contabilizada?
El fraude en la votación con papeleta nunca se produjo en la mano del elector, cuando este la introducía en la urna; ocurría durante el recuento, cuando se abría la urna y los votos impresos se ponían sobre una mesa. Por eso, uno de los objetivos del proyecto de la urna electrónica consistía en perfeccionar esa etapa del proceso. La Justicia Electoral busca garantizar que el voto realizado en la urna es el mismo que se escruta.
Entonces, ¿el voto electrónico se superpone con el impreso?
Existe un tipo de medición denominada Tiempo Medio entre Fallas (MTBF), que indica aproximadamente cuándo un producto comenzará a presentar problemas. El MTBF de los componentes electrónicos, como es el caso de la urna, es superior a 100.000 horas; el de una impresora, que es un dispositivo mecánico, se ubica entre 10.000 y 20.000 horas. No hay manera de realizar una verificación cruzada utilizando elementos que presentan probabilidades de fallas diferentes. En otras palabras, no es posible validar lo que la urna imprimió con lo que registró de manera electrónica, a menos que esa diferencia pueda equipararse. Cuando se diseñó la urna electrónica, en 1995, uno de los jueces del TSE solicitó a nuestro equipo: “Ustedes deben presentar garantías técnicas para que, en caso de que se produzca una impugnación, la corte pueda juzgarla basándose en una fundamentación”. Por el momento, lo que vale es el voto electrónico, porque técnicamente puede comprobarse que la existencia de inconsistencias en la parte electrónica es mucho menor que en la mecánica.
Osvaldo Catsumi ImamuraLas urnas fabricadas por la empresa Procomp en 2004, durante la fase final de pruebasOsvaldo Catsumi Imamura
¿Cómo llegó a formar parte del grupo que creó las urnas?
A finales de 1994 y a principios del año siguiente, el ministro Carlos Veloso, por entonces presidente del TSE, recomendó que había que crear algo que fuera mejor que el recuento manual de las cédulas de votación en papel, las papeletas. La Justicia Electoral llamó a concurso para la contratación de los primeros técnicos en el área de tecnología de la información [TI]. Simultáneamente, se cursó una invitación al Poder Ejecutivo, que disponía de ingenieros y técnicos en las instituciones de los ministerios de Ciencia y Tecnología, Educación, Industria y Comercio, Comunicación, y también al Ejército. Una de las invitaciones se envió al antiguo Ministerio de Aeronáutica. Se consultó al DCTA [Departamento de Ciencia y Tecnología Aeroespacial], que es el centro de investigación de la Fuerza Aérea en São José dos Campos. La invitación llegó hasta el IEAv [Instituto de Estudios Avanzados], en donde yo trabajaba. Entonces me designaron como representante del Ministerio de Aeronáutica para que formara parte del equipo técnico.
Usted formó parte de un grupo que permaneció en el TSE durante varios años. ¿Quiénes fueron los otros miembros?
Inicialmente el equipo estaba compuesto por 14 personas. Luego de tres meses de trabajo, cuando la arquitectura de la urna y los términos que estipulaba el pliego del concurso se cumplieron, la mayoría de los integrantes regresó a sus instituciones de origen, excepto yo y otros tres miembros provenientes del Inpe: Paulo Seiji Nakaya, Antônio Ezio Marcondes Salgado y Mauro Hissao Hashioka. En el TSE, quedé a cargo de la coordinación del desarrollo del hardware y el software; Nakaya dirigía el área de logística; Salgado era el responsable de las redes de comunicación y producción industrial, y Hashioka asumió la gerencia general. Entre los técnicos designados por concurso, una de las personas que formamos para darle continuidad al proceso fue Giuseppe Dutra Janino, quien en 2005 fue designado para ocupar el cargo de secretario de TI del tribunal.
¿Su función ya era garantizar la seguridad del sistema?
Al principio, el equipo tuvo que generar los requisitos para todo el sistema, lo que incluía la seguridad. Como yo ya había trabajado en otros procesos de esas características y conocía a especialistas en la materia del ámbito académico, quedé como responsable a cargo de la seguridad del sistema desde 1998 hasta 2005. Sugerí la participación de la Agencia Brasileña de Inteligencia [Abin], que cuenta con una institución, el Centro de Investigación y Desarrollo para la Seguridad de las Comunicaciones [Cepesc], centrada en el resguardo de los módulos criptográficos del gobierno. Firmamos con ellos un convenio para el desarrollo de módulos exclusivos para el TSE.
¿Cómo ve hoy a Brasil en el contexto internacional de las urnas electrónicas?
En el mundo existen varios modelos, algunos más sofisticados, otros menos. Algunos países realizan la totalidad del proceso en formato electrónico –nada en papel–, como en nuestro caso, mientras que otros incluso utilizan a internet como parte del sistema electoral. Es el caso de Estonia, en donde todos los procesos posibles se han hecho virtuales, no solo las elecciones, sino también los administrativos del gobierno. Ellos llevan más de 10 años votando por internet, pero han padecido un fuerte ataque de hackers. En materia de sistemas cibernéticos, hoy en día el eslabón más débil es la conexión a la red, es decir, a internet.
