Las cajas negras del ‘software’ electoral en Colombia
Nadie en el país se atreve a afirmar o descartar que haya fraude en las presidenciales, pero los partidos se están preparando para evitarlo. Expertos en seguridad digital señalan que “hay vulnerabilidades” y falta de transparencia en el proceso
En la entrada de una de las sedes de campaña de Gustavo Petro, en el barrio La Soledad, un grupo de personas hace fila para una reunión de testigos electorales. Un hombre de chaleco verde y gorra se presenta en la entrada y dice que viene a ofrecerse para “cuidar los votos”. Es reciclador y ya ha sido testigo antes junto a su esposa, cuenta. Esta vez quiere hacerlo también. Faltan dos semanas para la primera vuelta en las elecciones presidenciales y en la campaña del candidato de izquierda, que puntea las encuestas, consideran que esa, la de los testigos electorales, es la gran apuesta para protegerse de lo que pueda ocurrir con los votos. Esperan convocar a 200.000 personas para esa labor, 137.000 más que las que reunieron para las legislativas.
Pero no es la única. “También es la fuerza técnica. Se tomó la decisión de hacer un equipo técnico que mediante analítica de datos y cruces de bases de datos pueda encontrar la verdad electoral”, explica luego Gustavo García, director de Control Electoral de la campaña de Petro. Fue su aprendizaje, dice, después de las legislativas en las que detectaron el faltante de 569.813 votos en el preconteo y que se aclararon durante el escrutinio, que es el que tiene validez legal.
Álvaro Echeverry es el abogado que detectó la ausencia de esos votos. En su oficina, que se conoce como la Fábrica de Reclamaciones, está la sede de operaciones desde la cual verificaron en tiempo real que había cero votos por el Pacto Histórico en 29.425 mesas de votación y alertaron de que algo similar ocurría en otros partidos. “Mi consigna es hay que gastarse la plata en conseguir los votos y la otra mitad en cuidarlos”, dice este abogado, conocedor de las profundidades del sistema electoral, porque trabajó 26 años en la Registraduría y llegó al segundo cargo del organismo.
Hace un año - cuenta en su oficina en Bogotá- convenció a Petro de la importancia de invertir en el control y la seguridad electoral y armó un equipo de 3 desarrolladores, 5 programadores y 60 personas que hacen analítica de datos de Ingenial Media. La noche de las elecciones recibieron los archivos de las mesas de las 109.000 mil mesas de votaciones y buscaron 5 variables: que no hubiera partidos con concentración de las votaciones en una mesa determinada, que no hubiera candidatos con votación concentrada dentro de ellas, que no hubiera partidos y candidatos con concentración de votos, los índices de participación que no tienen caracter histórico y el examen de las mesas cero. Su trabajo permitió recuperar los votos y aumentar el número de escaños en el Congreso para ese movimiento.
”En el uribismo dicen y, ¿por qué se dieron cuenta?, ¿es que tienen contactos con el Registrador? La respuesta es no, todos los partidos teníamos la misma información. La respuesta es porque nos preparamos. Ahora, todos los partidos contrataron expertos”, dice el abogado mientras muestra actas en las que 48 horas antes de las elecciones magistrados del Consejo Nacional Electoral advertían a la Registraduría que el software de preconteo no estaba estabilizado.
Las voces que gritan fraude
El temor de un fraude electoral ha sido uno de los fantasmas más mencionados por los partidos políticos de izquierda y de derecha. No solo después de las inconsistencias en el preconteo de los votos en marzo pasado; desde 2018 tanto Petro como el expresidente conservador Andrés Pastrana, vienen azuzando esa posibilidad. Y se le dice fantasma porque nadie garantiza que haya podido verlo pero todos creen que está ahí.
Los expertos digitales, sin embargo, no se atreven a una afirmación de tal calado que podría, incluso, caldear aún más el ambiente político del país. Sin embargo, varios de ellos sí reconocen que hay “vulnerabilidades” y alertan por falta de transparencia.
Karisma, una fundación experta en seguridad digital y derechos sociales, ha hecho una veeduría al software de escrutinio desde 2018. Sus hallazgos hablan con claridad de los riesgos. “Nuestra conclusión es que el software es vulnerable, que no ha sido diseñado para ser controlado, que no se ha hecho nunca una auditoría independiente al sistema de escrutinio”, explicó a este diario Pilar Sáenz, física y Coordinadora del Laboratorio de Seguridad digital y privacidad K+LAB de Fundación Karisma. “Existen muchas oportunidades de mejora en materia de transparencia y acceso a la información generada en el proceso electoral”, señala sobre su trabajo de observación.
Un sistema electoral complejo
El de la tecnología es solo una parte del complejo sistema electoral colombiano que es mixto. El voto y el preconteo son manuales, aunque participa una empresa con un software de divulgación; pero el escrutinio es asistido por programa de software que el Estado contrata con una empresa privada, en este caso Indra.
En la primera parte del proceso hay un amplio panorama de delitos electorales que ha documentado Transparencia por Colombia y va desde constreñimiento al sufragante, fraude en inscripción de cédulas, corrupción al sufragante conocido como compra de votos, mora en la entrega de documentos relacionados con una votación y alteración de resultados electorales, entre otros. Solo 111 de los 7.000 supuestos delitos electorales de 2014 a 2021 llegaron a investigaciones formales
Pero ahora, en medio de la polarización política del país, se suma una preocupación por el “fraude en tecnología”. “Hay razones válidas para que la gente este intranquila. No solamente porque en Colombia, en general, siempre ha habido compra de votos o tamales a cambio de votos, sino porque en los últimos años ha habido oscuridad en la manera como se incorpora la tecnología al proceso”, dice la abogada Carolina Botero, directora de Karisma y experta en defensa de los derechos humanos en Internet.
Se trata de un coctel con tres factores concretos. “Dudas legítimas de los ciudadanos frente a la manera en que el Registrador Nacional (Alexander Vega) ha tomado decisiones de contratación; dos ecosistemas partidistas (de derecha e izquierda) hablando de fraude desde 2018; y la institucionalidad que no logra calmar ni explicar los vacíos”, asegura Cristina Vélez, de Linterna Verde, una organización que investiga cómo se construye opinión pública en redes sociales.
“Los resultados preliminares buscan es dar confianza, que el día de las elecciones la gente se vaya a dormir tranquila y no nos matemos. Decirlo ahora es mucho más importante porque esa confianza fue lo que se rompió”, agrega Sáenz.
El año en que comienza lo que Vélez llama la “narrativa del fraude”, es clave. En 2018, el partido cristiano MIRA recuperó tres escaños al Congreso después de demostrar ante el Consejo de Estado que, en las legislativas de 2014, “hubo manipulación y sabotaje al software que manejaba el sistema de información de los escrutinios”.
Tampoco en esa sentencia se le llamó fraude, pero el trabajo que hizo ese partido, que durante 5 meses creó una suerte de Registraduría paralela, reuniendo a mil digitadores para revisar y transcribir los votos de 95.000 mesas, sirvió de base para la forma como se preparan los partidos en las actuales elecciones. Además, generó un precedente para el proceso electoral porque ordenó a la Registraduría hacer cambios en la contratación actual.
Las vulnerabilidades, en detalle
La contratación del sistema electoral en Colombia está llena de vericuetos. Sin embargo, hay dos empresas que se reparten las dos grandes partes del proceso.
La Unión Temporal Disproel (Distribución de Procesos Electorales), que lleva 20 años trabajando en las elecciones colombianas, se encarga del preconteo (desde los puestos de votación empleados suyos dictan los datos vía telefónica hasta un centro de recepción), digitaliza y divulga la información que se ve en la web de la Registraduría; y también, a través de Thomas Greg & Sons, traslada las bolsas con los votos y los formularios, que van al escrutinio. La otra es Indra, una tecnológica española que tiene un contrato para la divulgación del preconteo y, además, diseñó el software para el escrutinio, cuya propiedad es del Consejo Nacional Electoral.
Sin embargo, trabajan interconectadas. “Y hay cajas negras en ambas (zonas a las que no se tiene acceso)”, explica Stéphane Labarthé, experto en seguridad digital de Karisma, quien trabajó en la Agencia de protección de datos de Francia (CNIL). Algo que ha denunciado también la Misión de Observación Electoral (MOE) y la Fundación Pares: al no acceder al código fuente del software no pueden saber si todos los componentes funcionan bien. La Registraduría argumenta que no puede dar acceso al porque se trata de una empresa que alquila ese programa al Estado por 4 años.
Ninguno de ellos ha podido conocer los resultados de la auditoría hecha por la Registraduría al software porque en el contrato hay una cláusula de confidencialidad, alerta el abogado Juan Pablo Parra.
Se trata de un sistema piramidal, que separa la información zonal y municipal de la nacional y con dos softwares diferentes: el de Disproel se instala en 2.700 computadores, mientras la de Indra es una aplicación web. “Entonces no es solo conocer el código instalado en cada uno de esos computadores, también es importante la trazabilidad. Esa es una de las vulnerabilidades. Un sistema electoral debe garantizar la integridad y que en ninguna de las etapas se vayan a alterar los resultados”, dice Labarthé. El experto en seguridad digital asegura que hay que pensar que en cada uno de esos puntos de la pirámide se podrían alterar los resultados. “No es únicamente en los formularios al inicio, sino en las bases de datos del servidor, en muchas partes se podría pensar una alteración”.
Hasta el momento nadie ha dicho que el sistema haya sido atacado, pero desde distintos sectores critican la falta de transparencia y acceso a los detalles técnicos de estos sistemas. Álvaro Echeverry, de la campaña de Petro, dice que nunca se ha hecho una auditoría “real y efectiva que permita prever el fraude electoral o las diferentes modalidades de fraude electoral y que permita conjurarlo a tiempo”. La única solución, afirma el abogado, es la preparación de los partidos.”Si no se hace analítica, todo lo oscuro que sucede en una mesa de votación, oscuro se queda”. “Cuando digo caja negra no estoy diciendo fraude, digo es que en Colombia no hay un procedimiento operativo que permita que la auditoría se haga en tiempo real”, aclara.
Y la Fundación Karisma asegura que uno de los asuntos más preocupantes es que “no hay garantías en los softwares que busquen evitar accesos indebidos y modificaciones desde los servidores”. Además de que “el software no cuenta con un sistema que verifique que la información que sale del nivel departamental del escrutinio es la misma que entra al nivel nacional”.
Con la palabra fraude todos tienen cuidado. “Cuando decimos el sistema es vulnerable no estamos diciendo que lo hackearon y hay fraude, que sea vulnerable y que haya problemas de transparencia es que no podemos tener plena confianza en lo que está pasando ahí”, aclara Pilar Sáenz. Ese el de la confianza es el meollo de estas elecciones presidenciales y por eso los partidos siguen armando sus equipos para el 29 de mayo cuando se pondrá a prueba el sistema electoral.
Sigue toda la información internacional en Facebook y Twitter, o en nuestra newsletter semanal.
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.