Los últimos avances en la tecnología de las comunicaciones han propiciado una revolución en la vida política y en el funcionamiento de las sociedades democráticas y sus instituciones. Internet está transformando las comunicaciones entre los ciudadanos y entre los representantes políticos y su electorado, permitiendo el nacimiento de un nuevo concepto: la teledemocracia (o también e-democracia, para no fallar a la moda).

Este nuevo paradigma ha tomado ya cierta forma, con la presencia en la Red de los distintos programas políticos existentes. En la figura 1 tabulamos las URL de los partidos políticos españoles con más representación actualmente en el Congreso de los Diputados. La introducción de interactividad, a través de foros de discusión, va a permitir incrementar la participación ciudadana en las decisiones políticas. En definitiva, la teledemocracia se sirve de un conjunto de mecanismos técnicos que permiten una mayor relación entre políticos y electores, entre el ciudadano y su gobierno.

Figura 1: Direcciones Web de los principales partidos políticos españoles

En este contexto, uno de los retos más atractivos es la posibilidad del voto electrónico como método alternativo a las papeletas electorales físicas y a las urnas tradicionales. La esencia de una votación electrónica es el uso de una red de comunicaciones (como por ejemplo Internet) para la emisión de los votos, en formato digital, hacia una urna electrónica.

Las ventajas principales de una votación electrónica son el ahorro de tiempo y de dinero. El coste de procesar (recoger y, posteriormente, contabilizar) cada voto es significativamente menor en el caso de utilizar métodos informáticos, frente a métodos manuales. Además se evitan los desplazamientos físicos de los votantes a sus respectivos colegios electorales. Se podría pensar también en un incremento potencial de la participación electoral, gracias a la mayor conveniencia del sistema de voto, y en particular a la facilidad para emitir su voto que se brinda a los votantes que se encuentran fuera de su jurisdicción electoral.

Como consecuencia de estas ventajas, están apareciendo en todo el mundo iniciativas para promover el uso del voto electrónico. Especialmente interesante es el caso norteamericano, donde acaba de tener lugar la primera votación legalmente vinculante a través de Internet (elecciones primarias presidenciales del Partido Demócrata en el estado de Arizona [4]). En la figura 2 se puede observar el "certificado" con el que la website encargada de la recepción de votos obsequiaba al votante, a modo de recuerdo de este evento calificado de histórico.

Figura 2: Recuerdo de las primarias demócratas en el estado de Arizona

También a Europa ha llegado el debate sobre las implicaciones de las nuevas tecnologías en la actividad política de los distintos países. El pasado día 16 de marzo tuvo lugar en Francia el primer Foro Mundial sobre Democracia Electrónica, bajo el patrocinio del presidente de Francia, Jacques Chirac, y del Parlamento Europeo.

De momento, la mayoría de compañías que ofrecen la comercialización de sistemas de votación electrónica tienen sede americana. No obstante, empresas de software y de soluciones de seguridad basadas en otros continentes están muy interesadas en este prometedor negocio. El voto electrónico va a recibir en un futuro inmediato una gran inversión en todo el mundo. El capital riesgo está (o va a estar) muy interesado en la financiación del mercado potencialmente enorme que van a generar las votaciones electrónicas (se calcula que rondará los 20.000 millones de dólares).

Sin embargo, existen también recelos y opiniones contrarias al desarrollo de sistemas que permitan la votación a través de Internet, argumentando básicamente la desconfianza que genera un sistema de emisión del voto tan intangible, y recordando el gran número de ejemplos de ataques exitosos por parte de crackers contra sistemas informáticos de grandes instituciones.

Es cierto que las nuevas tecnologías ofrecen un campo de acción para ciertas vías de actuación deshonesta. Sin embargo, la propia tecnología también nos brinda las herramientas necesarias para construir soluciones adecuadas ante semejantes amenazas. Si bien es cierto que un sistema de votación electrónica mal diseñado, mal implementado o mal administrado presentaría debilidades que podrían ser explotadas por atacantes a través de la Red, también es cierto que existe la tecnología adecuada para diseñar, producir y usar un sistema de votación que sea robusto y seguro.

La tendencia correcta debe ser la de aceptar el nuevo entorno y las nuevas posibilidades de interrelación social que proporciona, estudiando sus vulnerabilidades, y proponiendo soluciones adecuadas, en lugar de rechazar sin ningún tipo de análisis lo que va a ser inevitable en un futuro inmediato.

Los requisitos de seguridad en una votación electrónica

La seguridad debe ser una preocupación fundamental para cada participante en una votación electrónica. Los votantes necesitan privacidad de su voto, y a la vez desean métodos para verificar que sus respectivos votos han sido incluidos en el recuento final. Los candidatos a la votación están probablemente más preocupados por la corrección de los resultados en general. Organizaciones auditoras independientes pueden requerir también garantías suficientes de la seguridad del sistema, junto con determinados mecanismos de verificación.

Toda propuesta de sistema de votación electrónica debe desarrollarse con una lista de requisitos de seguridad en mente. La comunidad científica internacional ha propuesto distintas listas de requisitos de seguridad para sistemas de votación electrónica, en las que el nivel de concordancia suele ser elevado. En nuestra opinión, los requisitos de seguridad deberían ser los siguientes [5]:

1. Democracia: Solamente los votantes autorizados han de ser capaces de emitir su voto, y además han de ser capaces de hacerlo una sola vez.
   
2. Corrección: Los resultados de la votación deben ser correctos, en el sentido de que todos los votos validados deben aparecer sin ninguna alteración en el recuento final, y de que ningún voto puede ser añadido de forma fraudulenta.
   
3. Secreto: Todos los votos deben ser anónimos (incluso para el administrador del sistema de votación) y deben mantenerse en secreto hasta la finalización de la votación. Además, debe ser imposible para los votantes demostrar cuál ha sido su voto (para evitar la compra de votos y la extorsión).
   
4. Verificabilidad: Los votantes que han participado en la votación deben ser capaces de comprobar, de manera independiente, que su voto ha sido efectivamente incluido en el recuento final. En caso negativo, el votante afectado debe ser capaz de demostrar el fraude, sin que ésto requiera la revelación de cuál era realmente su voto.
   

Actualmente, multitud de websites ofrecen la posibilidad de emitir votos sobre cuestiones muy diversas a través de Internet. Sin embargo, dichas aplicaciones de votación no consideran en absoluto las características de seguridad de un sistema de votación. Como máximo, sólo algunos de los requisitos de seguridad son tenidos en cuenta. Habitualmente, no obstante, los mecanismos usados para "garantizar" los requisitos considerados son demasiado débiles como para ofrecer una protección adecuada (por ejemplo, se suele comprobar que no haya más de un voto que provenga de la misma dirección de origen). De este modo, se consiguen sistemas de voto electrónico muy fáciles de diseñar y de implementar pero que no obstante no pueden ser utilizados para ninguna finalidad seria.

Solamente unas pocas votaciones realizadas en la Web ofrecen un nivel de seguridad aceptable. Aún así, dicho nivel se consigue normalmente a través del uso de mecanismos fuera de banda (como la transmisión de información privada a través de correo ordinario) y a través de la utilización de simples palabras de paso. Sin ir más lejos, un ejemplo de este tipo de votaciones han sido las presidenciales primarias del Partido Demócrata en el estado de Arizona [4]. También las elecciones para la Board of Trustees de la Internet Society en 1999 [3]. En estos ejemplos, los votos se transmitían por la Red a través de una interfaz Web de manera confidencial (utilizando SSL). No obstante, el cumplimiento de algunos de los requisitos de seguridad se basaba en un número de control que cada votante autorizado había recibido previamente por correo. De acuerdo con los organizadores, la relación entre cada uno de estos números de control y el votante que lo había recibido se mantenía en secreto. De esta forma se argumentaba (de forma poco rigurosa) la privacidad de los votantes. Sin embargo, aún confiando en el anonimato de la distribución de números de control, siempre existe la posibilidad de comprobar la dirección IP de origen de los datagramas recibidos.

Soluciones robustas

Para llevar a cabo de forma segura una votación a través de una red de comunicaciones abierta, debe diseñarse un sistema de votación electrónica robusto, con un núcleo constituido por un número de mecanismos y protocolos criptográficos. El sistema de votación debe ser implantado en sistemas informáticos con las debidas políticas de seguridad y las medidas adecuadas para garantizarlas.

El diseño de sistemas seguros de votación electrónica debe tener en cuenta tres tipos básicos de ataque:

1. Ataques por parte de crackers o hackers contra la seguridad de los sistemas informáticos que soportan el sistema de votación.
   
2. Ataques desde la Red contra los protocolos criptográficos que pretenden dotar de seguridad a la aplicación de votación.
   
3. Ataques por parte de los administradores de la votación, haciendo uso de su condición privilegiada.
   

Los ataques de hackering se centran en explotar debilidades de los sistemas informáticos donde residen los elementos del sistema de votación (fundamentalmente, el sistema que mantiene el fichero correspondiente al censo electoral y el sistema que implementa la urna digital).

Este tipo de ataques deben ser contrarrestados con una correcta administración de la seguridad en dichos sistemas finales. El uso de sistemas cortafuegos, herramientas de seguridad del sistema operativo utilizado, y herramientas de monitorización, son técnicas válidas para esta finalidad. En última instancia, los sistemas más sensibles (como el que soporta la urna digital) pueden residir en ordenadores dedicados, con el mínimo de servicios de red instalados y con un acceso muy restringido.

Los ataques contra los protocolos criptográficos que constituyen el núcleo de un sistema de votación electrónica no pueden ser contrarrestados a través de una correcta administración y una eficiente monitorización. Por contra, este tipo de ataques debe considerarse des del primer momento del diseño, incorporando los servicios de seguridad adecuados que protejan debidamente al sistema.

Los servicios de seguridad deben incorporarse fundamentalmente en dos niveles de la arquitectura de comunicación: el nivel de transporte y el nivel de aplicación. Los servicios de seguridad en el nivel de transporte (por ejemplo, el uso de SSL en aplicaciones Web) permite el establecimiento de sesiones seguras (confidenciales, íntegras y auténticas) entre un browser y una website, pero no obstante no permiten discriminar entre las necesidades y requisitos de seguridad específicos de cada aplicación. Para tal fin, es necesario complementar la seguridad en el nivel de transporte con seguridad implementada en la propia aplicación.

Otro ejemplo importante de aplicación con necesidades especiales de seguridad es el pago con tarjeta de crédito de compras electrónicas, que idealmente debería realizarse sin que el vendedor fuera capaz de conocer los datos de la tarjeta de crédito del comprador. El uso exclusivo de SSL no permite esta funcionalidad específica.

Finalmente, los ataques por parte de los administradores de la votación son potencialmente muy peligrosos, debido a la condición privilegiada de los propios atacantes. Existen dos técnicas básicas para hacer frente a este tipo de amenazas, que pueden ser utilizadas simultáneamente. En primer lugar, la utilización de módulos hardware resistentes a la manipulación puede evitar accesos no deseados a una determinada información o proceso. En segundo lugar, los esquemas criptográficos de compartición de secretos se utilizan para evitar que un solo administrador (o un grupo reducido de ellos) tenga determinadas capacidades sobre el sistema, del mismo modo que también son utilizados por ejemplo para requerir la aprobación de un número mínimo de altos cargos militares para el lanzamiento de misiles.

Soluciones prácticas

En el contexto de las tecnologías de la información, la seguridad suele estar reñida con la comodidad. Productos muy seguros suelen presentar dificultades prácticas de utilización. Es por ello que debe encontrarse un punto de equilibrio entre ambas cualidades de un sistema de voto electrónico. Las soluciones criptográficas escogidas en la fase de diseño de la aplicación deben permitir una implementación práctica posterior sobre redes de ordenadores. En las publicaciones científicas sobre el tema podemos encontrar múltiples ejemplos de sistemas de voto electrónico cuya elevada complejidad de cálculo y/o de comunicación impide cualquier implementación práctica.

Aparte de los requisitos de seguridad a tener en cuenta para todo sistema de voto electrónico, también debería ser considerada pues una lista de referencia de requisitos prácticos [5]:

1. Conveniencia: Los votantes deben poder emitir su voto de forma rápida, durante una sola sesión, con un equipamiento mínimo y sin habilidades especiales.
   
2. Flexibilidad: Los votos digitales deben poder considerar una variedad de posibilidades.
   
3. Movilidad: Es crucial para un sistema de votación electrónica que los votantes puedan emitir sus votos desde cualquier punto de la red de comunicaciones utilizada, sin ningún tipo de restricción.
   
4. Escalabilidad: El sistema debe ser suficientemente escalable como para soportar un elevado número de votantes sin que ningún elemento se convierta en cuello de botella.

Iniciativas en curso

Según Rodrigo Rato, vicepresidente económico del Gobierno, existe la determinación de que en las próximas elecciones generales (previstas para el año 2004) el voto por Internet sea una realidad. Para llegar al punto de efectuar una votaciones electrónicas a gran escala, con un censo de más de 30 millones de electores, de forma segura y fiable, es necesario acumular experiencias previas en entornos más reducidos. De esta forma, se podrán determinar con precisión los puntos débiles de los sistemas de voto electrónico (no sólo de seguridad, sino también de disponibilidad, escalabilidad y de soporte al votante) y analizar las posibles soluciones o alternativas.

En Intelligent Software Components (iSOCO, http://www.isoco.com) se está desarrollando un sistema seguro de votación corporativo para la toma de decisiones por parte de un grupo de trabajo, sin necesidad de una reunión física de sus miembros. De hecho, el voto electrónico va a resultar cada vez más atractivo a organizaciones profesionales y sociales con carácter distribuido, que quizás actualmente ya mantienen votaciones a través de correo ordinario. Posteriormente, en iSOCO asumiremos un entorno a gran escala, con un gran número de votantes y un proceso descentralizado de captación de votos.

Ambas aplicaciones van a utilizar tecnología WAP (Wireless Application Protocol) [2], para incrementar la accesibilidad de los votantes al sistema de votación, satisfaciendo así totalmente el requisito de movilidad (ver figura 3). La utilización de teléfonos móviles como terminales cliente Internet va a permitir el acceso al sistema de votación des de cualquier lugar y a cualquier hora (dentro del periodo electoral). Según un estudio de Strategy Analytics [1], el 95% de todos los teléfonos móviles vendidos el año 2003, van a incorporar soporte para WAP. El estándar WAP es independiente de la tecnología utilizada por el enlace de telefonía móvil subyacente y puede ser utilizado por distintos tipos de dispositivos, proporcionando acceso unificado al sistema de votación a toda la comunidad global de usuarios.

Figura 3: Arquitectura de un sistema de votación basado en WAP

Conclusiones

En un futuro inmediato, Internet va a representar, como mínimo, una vía alternativa a la emisión de votos vinculante en elecciones reales. Negarse a esta realidad es una equivocación. No obstante, lanzarse a la carrera del desarrollo de sistemas de votación sin una buena planificación y sin control sobre las características de seguridad de los sistemas de voto, es otro error de graves consecuencias.

El problema de la emisión segura de votos a través de una red abierta de comunicaciones es de una elevada complejidad. Existen multitud de requisitos involucrados y algunos requieren soluciones muy elaboradas. Un diseño poco consciente lleva irremisiblemente a un sistema de votación débil, susceptible a determinado tipo de ataques.

El diseño de cualquier sistema de votación electrónica debe incluir una fase inicial de identificación de las amenazas y las vulnerabilidades. A partir de una lista de referencia de requisitos deseados de seguridad y también de requisitos prácticos, el diseñador debe encontrar las soluciones adecuadas.

Todo sistema tiene sus pros y sus contras. En nuestra opinión, las ventajas del voto electrónico (bien diseñado y implementado correctamente) superan claramente los inconvenientes que pueda presentar. Los esfuerzos deben centrarse, más que en proferir críticas a ciegas contra todo producto de las nuevas tecnologías, en asegurar la corrección y robustez de los futuros sistemas desarrollados.

Bibliografía

1

Strategy Analytics.
Strategy analytics predicts 525 million wap handsets shipped in the us & w. europe between 1999 and 2003.
http://www.strategyanalytics.com/press/PRCR001.htm, 1999.

2

WAP Forum.
Wireless application protocol.
http://www.wapforum.org, 2000.

3

Internet Society.
1999 ISOC Board of Trustees election.
http://www.isoc.org/members/vote/99election/, 1999.

4

Arizona Democratic Party Primary.
The world´s first legally-binding public election over the internet.
http://www.election.com/political/arizona/index.htm, 2000.

5

A. Riera.
Design of Implementable Solutions for Large Scale Electronic Voting Schemes.
Tesis Doctoral, Universitat Autònoma de Barcelona,
http://ccd.uab.es/~andreu/indexenglish.shtml, 1999.

Andreu Riera Jorba, Ph.D.
Research manager
iSOCO, Intelligent Software Components S.A.