Páginas

lunes, 28 de septiembre de 2015

¿Cómo son las auditorías al sistema de votación antes del 6D? ¿Son suficientes? Por @puzkas


Por Eugenio Martínez



Con la realización de la prueba de ingeniería del sistema electoral el pasado domingo 20 de septiembre, comenzó la revisión de todos los componentes que se utilizarán antes, durante y después de los comicios parlamentarios del 6 de diciembre. No obstante, esa prueba de ingeniería es de carácter interno.


Las auditorías con presencia de técnicos electorales de la oposición y de los observadores nacionales comenzarán el día lunes 28 de septiembre con la revisión de los datos de los electores en las máquinas de votación (auditoría de huellas). Desde esa fecha hasta el 6 de diciembre se deben realizar las siguientes revisiones:

1. Producción de los cuadernos de votación
2. Software de máquinas de votación
3. Software de totalización
4. Huellas de electores
5. Producción de máquinas de votación
6. Producción de equipos del Sistema de Autenticación Integrado (SAI)
7. Infraestructura electoral
8. Auditoría al Sistema de Información al Elector (SIE)
9. Pre-despacho
10. Verificación Ciudadana Fase I
11. Verificación Ciudadana Fase II
12. Estadística de Participación
13. Archivos de Configuración de Máquinas de Votación
14. Auditoría de Telecomunicaciones pre-evento electoral

Además, después del 6 de diciembre se debe realizar la Auditoría de Telecomunicaciones Post-evento Electoral y la Verificación de las Incidencias de Bloqueo de las máquinas de votación.

1. ¿Qué es la prueba de ingeniería y por qué no participa la oposición?

Se trata de una prueba que tradicionalmente es de carácter interno y se enfoca en “comprobar los niveles de tolerancia de las redes de transmisión fijas, móviles y satelitales”. Además, sirve para validar la “operatividad del personal técnico que operará estos equipos electorales”. En ella básicamente se verifica el correcto funcionamiento de los diferentes medios de transmisión de resultados utilizados (CDMA, VSAT, DialUp, FRAME RELAY).

2. ¿En qué consiste la auditoría de producción de los cuadernos de votación?

Según los técnicos de la Junta Nacional Electoral, esta verificación consiste en comprobar que no existen discrepancias entre los datos del Registro Electoral auditado por los partidos políticos y la información contenida en los cuadernos de votación que se utilizarán en las elecciones parlamentarias.
Esto no significa que los técnicos de los partidos políticos revisen los 40.602 cuadernos de votación del 6D. La revisión se realiza sobre una muestra de 1% de los cuadernos de votación impresos por cada estado. Tampoco se hace una revisión de todo el cuaderno.
Considerando que, en promedio, cada cuaderno contiene los datos de 480 electores, una vez seleccionada la muestra de cuadernos a auditar en cada uno de ellos se verifican, al menos, los datos de diez cédulas de identidad seleccionadas de forma aleatoria.

3. ¿Se auditan los dispositivos de red?

Sí. Es una revisión que se conoce con el nombre de Auditoría de Infraestructura Electoral y según los técnicos del CNE “está prevista para mostrar las características y administración del hardware y software” utilizado por el organismo comicial el día de la elección.

Los técnicos de los partidos políticos que participan en esta revisión aseguran que en ella se se analiza el funcionamiento y la configuración de los dispositivos de red, los dispositivos de seguridad, los sistemas operativos y los servidores.

Adicionalmente, se comprueba la red LAN (procesos de autenticación), el funcionamiento de la red WAN (establecimiento de túneles, procesos de autenticación), la infraestrcutura de servidores (características, servidores de bases de datos, recepción y consulta) y los protocolos de seguridad (firewall, servicios de autenticación, IDS, revisión de integridad de archivos, Public Key Infrastructure).

4. ¿Se audita el software que se usa en la máquinas? ¿Quién garantiza que no lo modifiquen?

Sí. Esta revisión se conoce como Auditoría del Software y en ella los técnicos de los partidos políticos verifican el código fuente de las máquinas de votación. El fin último de esta revisión, además de certificar las funcionalidades de la máquina, es que los técnicos de los partidos firmen la aplicación que será usada en las 40.602 máquinas que serán desplegadas para el 6D. Además, en esta auditoría se genera la clave simétrica de cifrado que se va a utilizar en cada equipo.
Al finalizar esa revisión se genera el hash. Un hash es una estructura de datos (o base de datos) con todas las herramientas y procedimientos efectuados en la máquina. También se crea una firma digital SAES.snk y se genera la clave para proteger la aplicación.

5. ¿Para qué sirven todas estas auditorías si el PSUV tiene la clave de arranque de las máquinas?

Los técnicos y los auditores del sistema garantizan que la máquina de votación tiene hasta 20 claves distintas como parte de sus capas de seguridad.
Esa clave de arranque que estaba en posesión del PSUV durante las últimas elecciones presidenciales podría utilizarse para sabotear algunas máquinas. Sin embargo, esta clave no permite modificar la votación ni agregando ni restando votos a un candidato. Es decir: la clave que tenían los técnicos del PSUV en la elección presidencial de 2012 es la que corresponde al BIOS de un modelo específico de máquina de votación.
Según los técnicos de la oposición, esta clave permitiría realizar funciones básicas como cambiar la hora y la fecha del equipo o realizar cambios en la secuencia de arranque. Ésta es la única clave que no ha estado rodeada de protocolos específicos de seguridad, al punto que es conocida por la mayoría de los técnicos contratados por el CNE que trabajan en sus almacenes ubicados en Fila de Mariches durante la programación de los equipos.

6. ¿Pueden modificar todo el sistema después de que fue auditado? ¿Qué garantiza que los programas auditados semanas antes de la elección son los que se utilizarán el día de la votación?

Para despejar estas dudas se realizan dos verificaciones específicas: la Auditoría de Producción de las Máquinas de Votación y la Auditoría de Pre-Despacho o de Error Cero.

La Auditoría de Producción se realiza para comprobar que el software y los datos certificados previamente por los técnicos de los partidos políticos son los utilizados para programar las máquinas. Para esta revisión se sortean aleatoriamente 0,5% de las máquinas que el CNE programa por día. Hay que recordar que la etapa de programación de las 40.602 máquinas dura aproximadamente 4 semanas. A ese 0,5% diario de los equipos seleccionados se le revisan sus componentes, se verifica el hash de aplicación y se ejecuta la verificación del hash de datos.

Al culminar la producción de todas las máquinas de votación, se realiza la Auditoría de Pre-Despacho o de Error Cero. Esta revisión está prevista para comprobar el correcto funcionamiento de la plataforma de votación y verificar que no ocurrieron cambios en los equipos después de ser auditados. Y, para esta revisión, los técnicos de los partidos políticos seleccionan aleatoriamente 200 máquinas de votación durante la fase de producción, un número que equivale al 0,5% del total de máquinas que se utilizarán el 6D.

Con la incorporación en el 2012 del Sistema de Autenticación Integrado (SAI) es necesaria la presencia de, aproximadamente, 1.400 electores (7 por cada máquina de votación) para comprobar el funcionamiento de los equipos. Estos electores son los que están asociados o inscritos en las mesas de votación donde funcionarán las máquinas seleccionadas para la prueba de ingeniería. 

Para el momento de la revisión todos deben estar en Caracas (en los galpones del CNE en Filas de Mariches) por lo que el organismo comicial corre con los gastos de traslado y alojamiento.

Además de esta revisión, el día de la auditoría se selecciona al azar una sub-muestra de ocho máquinas de esa muestra inicial de 0,5% para realizar pruebas de integridad del hash, verificación del software, etcétera.

7. ¿Se auditan las máquinas y no se audita la Sala de Totalización del CNE?

Inicialmente los técnicos de los partidos políticos realizan la auditoría del softwre de totalización. Según los informes elaborados después de cada revisión, durante este proceso se audita “el código fuente del software de totalización, para comprobar las funciones que ejecuta: recepción, totalización y generación de resultados”.

Los técnicos de la oposición aseguran que “parte de la auditoría consiste en la revisión del código fuente y pruebas del sistema SAES-Listener, además de explicar —por parte del CNE — el funcionamiento del EMS (Election Management System)”. Y para esta auditoría el CNE permite una revisión parcial del código de REIS / Time Electoral Information System. Así se comprueba el flujo de ingreso de actas de escrutinio y de una réplica (reducida) de la votación.

Además, se realiza la Auditoría de Telecomunicaciones, una prueba que consiste en revisar la red de transmisión de resultados para comprobar si hay casos de redundancia, tolerancia a fallas, etcétera.

8. ¿Para qué sirven todas estas auditorías si el día de la votación la oposición no tiene testigos en la Sala de Totalización del CNE? ¿Qué hay de la supuesta Sala de Totalización paralela que se ha denunciado?

Estas dos denuncias han sido comunes en el pasado. Incluso, han sido formuladas por integrantes de los equipos de campaña de la oposición. No obstante, en todos los procesos electorales se levantan actas en las que no sólo se deja constancia de la presencia de técnicos acreditados por la oposición en las dos Salas de Totalización del CNE, sino también de los procedimientos ejecutados.

Aunque muchos voceros políticos aseguran haber “descubierto” la existencia de una Sala de Totalización “oculta” donde se modifican los resultados, tanto los técnicos de los partidos políticos de oposición como los observadores nacionales e internacionales (incluyendo los de la OEA y la Unión Europea hasta 2006), han certificado en el pasado la existencia de dos Salas de Totalización. En resumen: desde las elecciones de 2005 han existido dos centros de totalización, uno, en la sede principal del CNE en Plaza Caracas (Municipio Libertador, Distito Capital) que se conoce como CNT1, y otro en la Torre El Chorro en la Av. Universidad, conocido como CNT2. Este último fue mudado en 2008 al antiguo datacenter de Lagoven en la Universidad Bolivariana, pero desde la elección presidencial del año 2012 funciona en la nueva sede del CNE ubicada en la antigua torre del Caracas Teleport (Plaza Venezuela).

En cada elección la oposición contó con testigos en estas dos salas de totalización. Por ejemplo: en las actas firmadas por los representantes del Comando Venezuela ante el CNE se indica que durante la elección presidencial del año 2012 estuvieron acreditados en el CTN1 los ingenieros en electrónica Luis Velutini y Antonio Ales, mientras que para el CNT2 fueron acreditados como auditores Javier Pose y Carlos Sosa. Y, según las actas firmadas en cada proceso electoral, los auditores en las salas de totalización realizan:
“la validación de todas las aplicaciones y la Base de Datos, la revisión del registro de conexiones y de transmisión de las máquinas de votación, el monitoreo de la red (interna y externa), el flujo de ingreso y procesamiento de las actas, la validación y almacenamiento de las actas recibidas y el control de acceso a los componentes del sistema”

9. ¿Las máquinas pueden transmitir a una tercera sala de totalización?

En las distintas auditorías que realizan los técnicos de los partidos políticos y los observadores nacionales se verifica:
1. El número de teléfono que la máquina de votación debe discar una vez que cierra la mesa de votación e inicia el proceso de transmisión de actas de escrutinio.
2. El número de la dirección de red del servidor a la cual la máquina debe enviar los datos, una vez establecida la comunicación.
En las auditorías que se realizan al sistema los técnicos de la oposición aseguran que se comprueba que:
“el número de teléfono en los archivos de configuración pertenece a un número especial de CANTV que enruta las llamadas al CNT1 y CNT2 y que la dirección de red corresponde al servidor de recepción que está ubicado en las sedes del CNE”
Según han explicado en el pasado los auditores técnicos de la oposición, la VPN (Virtual Private Network o Red Privada Virtual) operada por CANTV para el CNE, es auditada antes y después de las elecciones. La VPN tiene múltiples capas de seguridad que la hacen muy segura en las pocas horas que opera el día de las elecciones. Esta red únicamente puede ser accedida a través de las líneas telefónicas, líneas celulares y enlaces satelitales que se encuentran en una lista blanca auditada (la plataforma inteligente de CANTV procesa llamadas a los centros de totalización sólo si el número está en esta lista llamada blanca).

10. ¿Y si engañan a los técnicos de la oposición?

Los responsables de las auditorías al sistema de votación recuerdan que las actas de escrutinio de cada mesa son impresas antes de iniciar la transmisión de resultados a la salas de totalización (CTN1 Y CTN2). Si se cambiaran los resultados en otra sala de totalización, estos serían distintos a los recibidos en las salas auditadas y, además, serían distintos a los resultados que se encuentran en la actas impresas por las máquinas, lo que provocaría que las diferencias podrían fácilmente ser detectadas.

Hasta la fecha no se han reportado ni demostrado casos de actas de escrutinio impresas por las máquinas que sean diferentes a los resultados totalizados en el CTN1 y CTN2.

11. ¿Las huellas se auditan?

Esta verificación comienza el lunes 28 de septiembre. Los técnicos del CNE aseguran que con esta auditoría:
“se probará la consistencia de la base de datos y se podrá validar la conformación del archivo que contiene los datos del elector conformado por el Registro Electoral, las huellas y en algunos casos la fotografía de los votantes”
Para esta revisión se usa “una muestra aleatoria y estratificada” para determinar la no duplicidad de registros en la base de datos de huellas con una búsqueda 1:N (es decir: una huella sobre el total de registros). Se selecciona una muestra (no especificada) para realizar una comparación 1:N y se determina si existen registros duplicados.

12. ¿Una persona puede votar más de una vez?

Sí. A pesar de todas estas auditorías, no se puede evitar que una persona vote en más de una ocasión. No obstante si alguien lo hace (y el CNE permite verificar las huellas después de la elección) podría ser detectado.
En la elección presidencial del año 2013, en la auditoría que el CNE realizó a puerta cerrada sin técnicos de la oposición en la mayor parte del proceso, se descubrió que 247 personas votaron en más de una ocasión. Según el reporte del CNE, que sólo se entregó a los integrantes de la misión de acompañamiento de UNASUR que se desplegó en el país para los comicios de 2013, para considerar que una huella era idéntica a otra debía tener un “score de comparación” fijado a partir de 800 puntos, por lo que para considerar que un registro era idéntico a otro (duplicado automático), el CNE optó por un rango “relativamente bajo” de 400 puntos.
Según el análisis realizado por el CNE, los casos de posible duplicidad encontrados en la primera categoría (mayor o igual a 400 puntos) fueron 94. Estos casos fueron considerados como “duplicados automáticos”. Los casos registrados en el segundo rango (de 300 hasta 400) sumaron 153, pero estos fueron evaluados en su totalidad manualmente, confirmándose como casos comprobados de huellas duplicadas.

En una tercera categoría (de 200 a 300) se registraron 7.776 casos, de los cuales los peritos evaluaron una muestra de casi el 10% (778 casos) y tras la revisión se confirmaron 20 casos de huellas duplicadas. En la cuarta categoría (de 150 a 200) se encontraron 167.062 casos, de los cuales se envió a revisión manual de los peritos una muestra del 1%, posterior a la cual se encontró un duplicado. En la última categoría (de 100 a 150) se encontraron 4.238.248 transacciones con posibilidad de duplicado, de las cuales se envió a peritaje una muestra del 0,5% confirmándose un caso de huella duplicada.

En total se concluyó que 247 huellas fueron consideradas como casos reales y comprobados de voto duplicado. Y con base en una proyección estadística que tomó en cuenta el universo de huellas registradas, los técnicos del CNE expresaron que un total máximo de 1.454 votos (correspondiente al 0.07% del total de huellas registradas) podrían haber sido afectados por casos de voto múltiple.

Por otra parte, el total de registros con posible problema de identidad en la base de datos del SIA fue de 9.272, que al sumarlo a los 1.454 casos máximos de posibles votos duplicados arrojan un total máximo de 10.726 votos afectados por identidad negativa o voto múltiple.

13. ¿El día de la votación el Sistema de Autenticación Integrado (SAI) de huellas no reportan si alguien ya votó?

El día de la elección el SAI puede reportar hasta cuatro incidencias distintas:
1. Coincidencia o match. Ocurre cuando el SAI determina que la huella del elector coincide con una de la huellas previamente almacenadas para este elector.
2. No coincidencia o no match. El SAI determina que ninguna de las huellas del elector coincidía con las huellas previamente almacenadas para ese elector.
3. Sin miembros superiores. El elector carecía de miembros o extremidades superiores.
4. Sin huellas registradas. El elector no tenía sus huellas registradas en la memoria de la máquina.
En el pasado la oposición ha exigido la entrega detallada de todas estos reportes de incidencia por mesa, pero el CNE se ha negado a entregarlos.
No obstante, se sabe de forma general que en 2012 votaron 1.656.379 personas (11% del total) sin que el SAI hubiese hecho “match” entre la huella del dedo del votante y la almacenada en la máquina.
Técnicos electorales de la oposición creen que la cantidad de electores que votaron sin que existiese comparación efectiva entre su huella y el registro almacenado en la presidencial de 2013 debe ser similar a la de 2012.

14. ¿Se conocen los detalles del resto de las auditorías?

Sí. Por ejemplo: la del Sistema de Información al Electoral (SIE) se emplea para verificar “el código fuente de la aplicación empleada para verificar la identidad de los votantes en la entrada de los centros”, adicionalmente “se audita las aplicaciones empleadas para el control del inventario del material electoral”, mientras que la producción del SIE se tienen como finalidad “el seguimiento y control del alistamiento de las laptos del SIE a través de la selección aleatoria de los equipos (no se especifica cuántos).
NOTA IMPORTANTE: A medida que se vayan realizando las revisiones al sistema, iremos publicando los datos asociados a estas revisiones 

25-09-15




No hay comentarios:

Publicar un comentario

Para comentar usted debe colocar una dirección de correo electrónico