Usted particip\u00f3 en las dos etapas del TPS para las elecciones de este a\u00f1o. \u00bfQu\u00e9 pruebas se llevaron a cabo y cu\u00e1les fueron los resultados? Desde entonces, \u00bfqu\u00e9 ha cambiado? \u00bfLos llamados investigadores son cient\u00edficos del \u00e1rea? En el marco del TPS, \u00bftodo puede comprobarse? \u00bfQu\u00e9 diferencia a la primera etapa de los test, el a\u00f1o previo, de la segunda, ya en el a\u00f1o electoral? \u00bfExiste la posibilidad de que la urna sea violada? En teor\u00eda, los c\u00f3digos de la urna pueden descifrarse. La cuesti\u00f3n es lograr que esta teor\u00eda funcione. Por el momento, no hay evidencias de que nadie lo haya conseguido<\/p><\/blockquote>\n Una de las cr\u00edticas al TSE plantea que el elector debe confiar ciegamente en el sistema electoral. Esto se debe a que se basa en el concepto de seguridad por oscuridad, lo que, seg\u00fan los cr\u00edticos, no condice con una sociedad democr\u00e1tica. Para acceder al sistema de las urnas, ser\u00eda necesario violar todas las capas de seguridad. Se ha dicho que eso tal vez no sea cierto porque bastar\u00eda con burlar una de ellas para ingresar al sistema. \u00bfEsto es real? \u00bfSer\u00eda posible que las urnas puedan adulterarse durante su traslado, por ejemplo, para instalarles un programa malicioso con el prop\u00f3sito de dirigir los votos a un candidato en particular? En total, \u00bfcu\u00e1ntas capas existen? Al momento de enviar la informaci\u00f3n al TSE, \u00bfno hay riesgo de ataque hacker<\/em>? \u00bfC\u00f3mo es posible estar seguros de que el resultado de esa urna es el mismo que lleg\u00f3 al tribunal? \u00bfQu\u00e9 opina del planteo de que las urnas pueden auditarse mediante la impresi\u00f3n del voto? \u00bfY el voto impreso? El fraude en la votaci\u00f3n con papeleta nunca se produjo en la mano del elector, cuando este la introduc\u00eda en la urna; ocurr\u00eda durante el recuento, cuando se abr\u00eda la urna y los votos impresos se pon\u00edan sobre una mesa. Por eso, uno de los objetivos del proyecto de la urna electr\u00f3nica consist\u00eda en perfeccionar esa etapa del proceso. La Justicia Electoral busca garantizar que el voto realizado en la urna es el mismo que se escruta.<\/p>\n Entonces, \u00bfel voto electr\u00f3nico se superpone con el impreso? Osvaldo Catsumi Imamura<\/span>Las urnas fabricadas por la empresa Procomp en 2004, durante la fase final de pruebasOsvaldo Catsumi Imamura<\/span><\/p><\/div>\n \u00bfC\u00f3mo lleg\u00f3 a formar parte del grupo que cre\u00f3 las urnas? Usted form\u00f3 parte de un grupo que permaneci\u00f3 en el TSE durante varios a\u00f1os. \u00bfQui\u00e9nes fueron los otros miembros? \u00bfSu funci\u00f3n ya era garantizar la seguridad del sistema? \u00bfC\u00f3mo ve hoy a Brasil en el contexto internacional de las urnas electr\u00f3nicas?
\n<\/strong>Las pruebas son el resultado de varias peticiones internas y externas al TSE para ampliar la auditor\u00eda de las urnas electr\u00f3nicas. Siempre hemos debatido c\u00f3mo podr\u00edan realizarse estas evaluaciones para hacer que el sistema sea lo m\u00e1s transparente posible. En 2009 surgi\u00f3 la idea de realizar una prueba p\u00fablica, algo que ya se hac\u00eda en otros pa\u00edses. Esto garantizar\u00eda que las personas que quisieran formarse una opini\u00f3n acerca de una determinada situaci\u00f3n relacionada con las urnas pudieran realizar la prueba por s\u00ed mismas para, entonces, ratificar o rectificar sus propias apreciaciones. Y as\u00ed fue que se dio curso a las pruebas p\u00fablicas.<\/p>\n
\n<\/strong>En l\u00edneas generales, la evaluaci\u00f3n de las urnas electr\u00f3nicas no ha cambiado casi nada en t\u00e9rminos de alcance. Los llamados investigadores interesados pueden solicitar acceso a cualquier parte del sistema, como el hardware<\/em> de las urnas y tambi\u00e9n los software<\/em>. Lo \u00fanico que se necesita es presentar una propuesta de lo que se desea evaluar. Desde sus comienzos hasta hoy se han hecho algunos ajustes en todo el proceso hasta llegar a la versi\u00f3n actual, en la que las pruebas tienen lugar en dos etapas. La primera se realiza habitualmente a finales del a\u00f1o previo a las elecciones en la fecha m\u00e1s cercana al sellado final de los c\u00f3digos. Esto les da tiempo a los investigadores para analizar el sistema que ser\u00e1 utilizado en las elecciones del a\u00f1o siguiente. Unos meses despu\u00e9s de la primera prueba, ellos pueden comprobar la puesta a punto realizada por el TSE.<\/p>\n
\n<\/strong>En parte s\u00ed, pero tambi\u00e9n han participado personas de la sociedad que entienden de computaci\u00f3n y deseaban evaluar personalmente c\u00f3mo funcionan las urnas. Hay entidades acad\u00e9micas que se inscriben para que sus docentes les brinden a sus alumnos de computaci\u00f3n una oportunidad para ejercitar sus conocimientos. Incluso hubo un estudiante de la carrera de computaci\u00f3n de la Universidad Federal de Mato Grosso do Sul que sugiri\u00f3 la realizaci\u00f3n de una TCC [una tesina de conclusi\u00f3n de la carrera] sobre seguridad electoral. Ese alumno convenci\u00f3 a un profesor para que participara junto con \u00e9l.<\/p>\n
\n<\/strong>As\u00ed es. En el TPS de noviembre de 2021 constatamos que varios de los ataques ten\u00edan por objetivo acceder a la criptograf\u00eda, al manejo del registro de los votos, el recuento. Acabamos agrupando a los investigadores para que pudieran colaborar entre ellos, ya que hab\u00eda equipos que iban a verificar la misma parte del sistema electoral.<\/p>\n
\n<\/strong>En la primera, cada persona realiza las comprobaciones que desea en el sistema y, cuando finaliza, los miembros del comit\u00e9 evaluador cotejamos si ha logrado avanzar en lo que pretend\u00eda, si atac\u00f3 una determinada situaci\u00f3n y si ha progresado en su avance por senderos que no deber\u00eda haber traspuesto. En este caso, aunque no haya logrado su objetivo final, se lo considera exitoso en primera instancia. Luego elaboramos un informe para el TSE y su equipo t\u00e9cnico dispone de tres o cuatro meses para explicar por qu\u00e9 sucedi\u00f3 eso y proponer sugerencias para corregirlo o perfeccionarlo. En la segunda etapa de pruebas, verificamos si el trabajo interno del cuerpo t\u00e9cnico ha logrado las metas deseadas. Para ello convocamos nuevamente a los investigadores para que ellos analicen si la urna a\u00fan presenta vulnerabilidades. Incluso si no ha sucedido nada y ning\u00fan investigador consigui\u00f3 vulnerar ninguna parte del sistema, el TSE realiza una revisi\u00f3n general en todos los procesos. Como siempre est\u00e1n apareciendo nuevas tecnolog\u00edas, podr\u00eda ocurrir que algo que se haya intentado ahora tenga repercusiones en el futuro. Estos recaudos sirven como par\u00e1metro para evaluar futuras modificaciones al sistema electoral.<\/p>\n
\n<\/strong>En teor\u00eda, s\u00ed. Los procesos y las tecnolog\u00edas siempre dependen del tiempo. Las tecnolog\u00edas que se emplean para proteger la urna y sus perif\u00e9ricos se someten a un an\u00e1lisis riguroso de selecci\u00f3n que permite que todos los componentes del sistema electoral est\u00e9n listos un a\u00f1o antes de las elecciones. Hoy en d\u00eda, puede que los hackers<\/em> no cuenten con suficiente tiempo para lograr sus prop\u00f3sitos, como la adulteraci\u00f3n del voto. Hay\u00a0 un amplio debate en los medios acerca de las posibles violaciones. Tambi\u00e9n seguimos debatiendo en el \u00e1mbito acad\u00e9mico. Algunos cient\u00edficos son m\u00e1s puristas, m\u00e1s te\u00f3ricos, y argumentan que, te\u00f3ricamente, en modelos matem\u00e1ticos, puede demostrarse que los c\u00f3digos pueden descifrarse. De all\u00ed surge la afirmaci\u00f3n de que la urna es vulnerable. Y no est\u00e1n equivocados. La cuesti\u00f3n es lograr que esta teor\u00eda funcione. Y hasta ahora, no existen evidencias reales.<\/p>\n
\n<\/strong>La seguridad por oscuridad significa no hacer evidente cierta informaci\u00f3n. Es como decir: est\u00e1 a salvo porque se mantuvo en secreto. La mayor\u00eda de los c\u00f3digos de los productos de seguridad criptogr\u00e1fica del mundo se controlan para evitar que los sistemas sean invadidos. El c\u00f3digo que se utiliza en las urnas no es abierto ni p\u00fablico, pero es verificable. Solo un p\u00fablico selecto, de expertos, est\u00e1 en condiciones de realizar tal comprobaci\u00f3n. Es cierto que hay un punto oscuro en el c\u00f3digo: la clave. Esta no es ni tiene por qu\u00e9 ser p\u00fablica, de la misma manera que no compartimos con nadie la clave de acceso a nuestra cuenta bancaria. Cuando tomamos esa decisi\u00f3n, es porque consideramos que ese desconocimiento nos protege. Esa cr\u00edtica contra las urnas electr\u00f3nicas no tiene ning\u00fan sustento. En el TPS, algunos ataques estaban dirigidos a tratar de descubrir la clave en su formato digital para acceder al sistema. Nadie consigui\u00f3 obtener todas las claves necesarias.<\/p>\n
\n<\/strong>Toda la seguridad es por capas. No hay una \u00fanica protecci\u00f3n, exclusiva de la Justicia Electoral, porque las urnas deben instalarse tanto en una escuela com\u00fan como en lugares alejados y de dif\u00edcil acceso. Actualmente, el transporte del 80 % de las urnas se encuentra a cargo de gente com\u00fan. No hay un acompa\u00f1amiento de la polic\u00eda militar o de las Fuerzas Armadas oficiando como escolta. Hay niveles o capas de seguridad que hubo que crear considerando estas circunstancias y condiciones hasta que las urnas ingresen a la fase de oficializaci\u00f3n del distrito electoral el d\u00eda de las elecciones. A partir del momento en que se la oficializa, las capas que siguen existiendo son exclusivas de la Justicia Electoral. Las capas previas no. Si se da el caso de que un ladr\u00f3n roba una urna, esto significa que viol\u00f3 una primera capa. \u00bfEso compromete las elecciones? No. Solo se ver\u00eda comprometida si se robaran una cantidad ins\u00f3lita de urnas, lo que har\u00eda inviable las elecciones por falta de dispositivos.<\/p>\n
\n<\/strong>Supongamos que alguien consigue atravesar una capa espec\u00edfica e introducir un programa en algunas urnas. Cuando el dispositivo se inicializa, adem\u00e1s de la verificaci\u00f3n de autenticidad, el programa malicioso se topar\u00e1 con otras capas de protecci\u00f3n. Para poder avanzar, se requiere que la urna funcione sin las validaciones necesarias cuando se oprime el interruptor. La urna es una computadora, un hardware<\/em>, y puede modificarse el sistema operativo. Pero no se puede avanzar con resultados manipulados ni tampoco firmar el informe de la urna, que es el resultado final del dispositivo, que luego debe ser validado por la Justicia Electoral. Esta es solo una etapa. Existen varias otras capas de protecci\u00f3n. Algunos investigadores procuraron infructuosamente atacar ese \u00edtem en las TPS, tratar que las urnas se inicialicen sin necesidad de realizar esos di\u00e1logos para poder ejecutar el c\u00f3digo invasor.<\/p>\n
\n<\/strong>Depende de la etapa del proceso: encendido de la urna, inicio de la votaci\u00f3n, finalizaci\u00f3n de la votaci\u00f3n. Cada una de ellas posee dos o tres capas de protecci\u00f3n. Si se suman, tenemos algo m\u00e1s de media docena de capas del proceso en su conjunto. El env\u00edo de los resultados de la votaci\u00f3n constituye otro proceso, que tambi\u00e9n tiene sus propias capas. Las urnas, desde su preparaci\u00f3n hasta su cierre, con la generaci\u00f3n de los resultados, no se conectan con nada. La conexi\u00f3n a la red se produce solamente con los sistemas de transmisi\u00f3n de los resultados de cada secci\u00f3n electoral al sistema de recuento final. Adem\u00e1s de los mecanismos de seguridad l\u00f3gica, existen otros componentes de seguridad para garantizar el funcionamiento f\u00edsico del conjunto, haci\u00e9ndolo tolerante a los fallos y asegurando la integridad de la elecci\u00f3n.<\/p>\n
\n<\/strong>En funci\u00f3n de las capas existentes tanto en la inicializaci\u00f3n de la urna como en la finalizaci\u00f3n del su tarea. En ambos procesos existe una clave \u00fanica dentro de cada dispositivo. Si se la quita o se la modifica, el hardware<\/em> pierde su validez. Esta clave genera una firma digital del resultado y permite que la Justicia Electoral verifique la informaci\u00f3n de cada urna. Si la m\u00e1quina fuera sustituida debido a alg\u00fan problema f\u00edsico o una falla, el TSE utiliza urnas de reserva.<\/p>\n
\n<\/strong>Voy a brindar un ejemplo: cuando se rompi\u00f3 la represa de Brumadinho, en Minas Gerais, se realiz\u00f3 una auditor\u00eda. Sin embargo, el defecto de dise\u00f1o no pudo comprobarse. La auditor\u00eda es un evento importante para constatar que la ejecuci\u00f3n de algo se ajuste al plan operativo, con base en los registros y la documentaci\u00f3n t\u00e9cnica y administrativa. Una auditor\u00eda no es sin\u00f3nimo o garant\u00eda de seguridad. Todos los sistemas l\u00f3gicos que se emplean en las elecciones est\u00e1n sometidos a un proceso de firma digital para asegurar que lo que ha sido sellado sea exactamente lo que ser\u00e1 utilizado, haciendo posible una auditor\u00eda previa y posterior a las elecciones. Por ahora, la auditor\u00eda por s\u00ed sola no es suficiente como para comprobar la seguridad de los sistemas implicados. La \u00fanica forma de verificar la correcci\u00f3n de un sistema l\u00f3gico la constituyen las pruebas y un an\u00e1lisis t\u00e9cnico de los c\u00f3digos. Para cumplir con ese requerimiento fue que se dise\u00f1aron las TPS.<\/p>\n
\n<\/strong>Representa una seudoconfianza. El elector puede recibir un papel, pero, \u00bfqu\u00e9 seguridad puede tener de que la informaci\u00f3n impresa en el papel fue contabilizada?<\/p>\n
\n<\/strong>Existe un tipo de medici\u00f3n denominada Tiempo Medio entre Fallas (MTBF), que indica aproximadamente cu\u00e1ndo un producto comenzar\u00e1 a presentar problemas. El MTBF de los componentes electr\u00f3nicos, como es el caso de la urna, es superior a 100.000 horas; el de una impresora, que es un dispositivo mec\u00e1nico, se ubica entre 10.000 y 20.000 horas. No hay manera de realizar una verificaci\u00f3n cruzada utilizando elementos que presentan probabilidades de fallas diferentes. En otras palabras, no es posible validar lo que la urna imprimi\u00f3 con lo que registr\u00f3 de manera electr\u00f3nica, a menos que esa diferencia pueda equipararse. Cuando se dise\u00f1\u00f3 la urna electr\u00f3nica, en 1995, uno de los jueces del TSE solicit\u00f3 a nuestro equipo: \u201cUstedes deben presentar garant\u00edas t\u00e9cnicas para que, en caso de que se produzca una impugnaci\u00f3n, la corte pueda juzgarla bas\u00e1ndose en una fundamentaci\u00f3n\u201d. Por el momento, lo que vale es el voto electr\u00f3nico, porque t\u00e9cnicamente puede comprobarse que la existencia de inconsistencias en la parte electr\u00f3nica es mucho menor que en la mec\u00e1nica.<\/p>\n![\"\"](\"https:\/\/revistapesquisa.fapesp.br\/wp-content\/uploads\/2022\/09\/072-075_entrev-catsumi_317-1-1140-1.jpg\")
\n<\/strong>A finales de 1994 y a principios del a\u00f1o siguiente, el ministro Carlos Veloso, por entonces presidente del TSE, recomend\u00f3 que hab\u00eda que crear algo que fuera mejor que el recuento manual de las c\u00e9dulas de votaci\u00f3n en papel, las papeletas. La Justicia Electoral llam\u00f3 a concurso para la contrataci\u00f3n de los primeros t\u00e9cnicos en el \u00e1rea de tecnolog\u00eda de la informaci\u00f3n [TI]. Simult\u00e1neamente, se curs\u00f3 una invitaci\u00f3n al Poder Ejecutivo, que dispon\u00eda de ingenieros y t\u00e9cnicos en las instituciones de los ministerios de Ciencia y Tecnolog\u00eda, Educaci\u00f3n, Industria y Comercio, Comunicaci\u00f3n, y tambi\u00e9n al Ej\u00e9rcito. Una de las invitaciones se envi\u00f3 al antiguo Ministerio de Aeron\u00e1utica. Se consult\u00f3 al DCTA [Departamento de Ciencia y Tecnolog\u00eda Aeroespacial], que es el centro de investigaci\u00f3n de la Fuerza A\u00e9rea en S\u00e3o Jos\u00e9 dos Campos. La invitaci\u00f3n lleg\u00f3 hasta el IEAv [Instituto de Estudios Avanzados], en donde yo trabajaba. Entonces me designaron como representante del Ministerio de Aeron\u00e1utica para que formara parte del equipo t\u00e9cnico.<\/p>\n
\n<\/strong>Inicialmente el equipo estaba compuesto por 14 personas. Luego de tres meses de trabajo, cuando la arquitectura de la urna y los t\u00e9rminos que estipulaba el pliego del concurso se cumplieron, la mayor\u00eda de los integrantes regres\u00f3 a sus instituciones de origen, excepto yo y otros tres miembros provenientes del Inpe: Paulo Seiji Nakaya, Ant\u00f4nio Ezio Marcondes Salgado y Mauro Hissao Hashioka. En el TSE, qued\u00e9 a cargo de la coordinaci\u00f3n del desarrollo del hardware<\/em> y el software<\/em>; Nakaya dirig\u00eda el \u00e1rea de log\u00edstica; Salgado era el responsable de las redes de comunicaci\u00f3n y producci\u00f3n industrial, y Hashioka asumi\u00f3 la gerencia general. Entre los t\u00e9cnicos designados por concurso, una de las personas que formamos para darle continuidad al proceso fue Giuseppe Dutra Janino, quien en 2005 fue designado para ocupar el cargo de secretario de TI del tribunal.<\/p>\n
\n<\/strong>Al principio, el equipo tuvo que generar los requisitos para todo el sistema, lo que inclu\u00eda la seguridad. Como yo ya hab\u00eda trabajado en otros procesos de esas caracter\u00edsticas y conoc\u00eda a especialistas en la materia del \u00e1mbito acad\u00e9mico, qued\u00e9 como responsable a cargo de la seguridad del sistema desde 1998 hasta 2005. Suger\u00ed la participaci\u00f3n de la Agencia Brasile\u00f1a de Inteligencia [Abin], que cuenta con una instituci\u00f3n, el Centro de Investigaci\u00f3n y Desarrollo para la Seguridad de las Comunicaciones [Cepesc], centrada en el resguardo de los m\u00f3dulos criptogr\u00e1ficos del gobierno. Firmamos con ellos un convenio para el desarrollo de m\u00f3dulos exclusivos para el TSE.<\/p>\n
\n<\/strong>En el mundo existen varios modelos, algunos m\u00e1s sofisticados, otros menos. Algunos pa\u00edses realizan la totalidad del proceso en formato electr\u00f3nico \u2013nada en papel\u2013, como en nuestro caso, mientras que otros incluso utilizan a internet como parte del sistema electoral. Es el caso de Estonia, en donde todos los procesos posibles se han hecho virtuales, no solo las elecciones, sino tambi\u00e9n los administrativos del gobierno. Ellos llevan m\u00e1s de 10 a\u00f1os votando por internet, pero han padecido un fuerte ataque de hackers<\/em>. En materia de sistemas cibern\u00e9ticos, hoy en d\u00eda el eslab\u00f3n m\u00e1s d\u00e9bil es la conexi\u00f3n a la red, es decir, a internet.<\/p>\n","protected":false},"excerpt":{"rendered":"El ingeniero que dise\u00f1\u00f3 las capas de protecci\u00f3n de las urnas electr\u00f3nicas brasile\u00f1as explica por qu\u00e9 estos equipos son confiables","protected":false},"author":15,"featured_media":453075,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_exactmetrics_skip_tracking":false,"_exactmetrics_sitenote_active":false,"_exactmetrics_sitenote_note":"","_exactmetrics_sitenote_category":0,"footnotes":""},"categories":[183,192],"tags":[283,288,297,312],"coauthors":[104,116],"class_list":["post-453074","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-entrevista-es","category-tecnologia-es","tag-ciencia-politica-es","tag-computacion","tag-ingenieria","tag-innovacion"],"acf":[],"_links":{"self":[{"href":"https:\/\/revistapesquisa.fapesp.br\/es\/wp-json\/wp\/v2\/posts\/453074","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/revistapesquisa.fapesp.br\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/revistapesquisa.fapesp.br\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/revistapesquisa.fapesp.br\/es\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/revistapesquisa.fapesp.br\/es\/wp-json\/wp\/v2\/comments?post=453074"}],"version-history":[{"count":2,"href":"https:\/\/revistapesquisa.fapesp.br\/es\/wp-json\/wp\/v2\/posts\/453074\/revisions"}],"predecessor-version":[{"id":453766,"href":"https:\/\/revistapesquisa.fapesp.br\/es\/wp-json\/wp\/v2\/posts\/453074\/revisions\/453766"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/revistapesquisa.fapesp.br\/es\/wp-json\/wp\/v2\/media\/453075"}],"wp:attachment":[{"href":"https:\/\/revistapesquisa.fapesp.br\/es\/wp-json\/wp\/v2\/media?parent=453074"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/revistapesquisa.fapesp.br\/es\/wp-json\/wp\/v2\/categories?post=453074"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/revistapesquisa.fapesp.br\/es\/wp-json\/wp\/v2\/tags?post=453074"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/revistapesquisa.fapesp.br\/es\/wp-json\/wp\/v2\/coauthors?post=453074"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}