Los agujeros del proceso de primarias de Ciudadanos

Ciudadanos intenta cerrar la crisis abierta por el fraude en las primarias de Castilla y León. Dos días después de descubrir 82 votos falsos, el secretario general del partido, José Manuel Villegas, salió a defender "la robustez y la transparencia del sistema".

¿Cómo se puede saber que ese sistema es tan seguro? A través de una auditoría externa, que nunca se ha realizado. EL PAÍS mandó este jueves seis preguntas al partido sobre el funcionamiento de su procedimiento de voto. A pesar de repetidos mensajes, no ha habido respuesta. El mismo partido es quien crea, controla y certifica los resultados.

“La complejidad de desarrollar un sistema de voto por Internet es muy elevada”, dice David Marcos, profesor del Instituto de Empresa y consultor de la Organización de Estados Americanos para ciberseguridad y procesos democráticos. El voto remoto en Cs funciona así: un afiliado al corriente de pago y con más de 6 meses de antigüedad accede a su página. Para entrar, el usuario necesita su DNI y una contraseña.

Desde allí va a la página de las primarias correspondientes. Escoge a su candidato, clica en “votar”, la aplicación le pregunta si está seguro y crea entonces un PDF que une un código con la persona a quien se ha votado. Cs añade un sello de tiempo de la Fábrica Nacional de Moneda y Timbre, pero ese documento solo prueba que algo ha ocurrido a una hora, no qué ha ocurrido. Ese PDF queda en la página del afiliado junto al candidato escogido.

Este proceso tiene tres potenciales agujeros que arrojan dudas sobre la posibilidad de que alguien de dentro pueda vincular al votante con el sentido de su voto:

1. La IP. La dirección IP es una etiqueta que identifica al ordenador que se conecta a una red. Una de las preguntas que el partido no ha respondido es cómo ha sabido qué 82 votos de entre todos los emitidos en Castilla y León eran los fraudulentos. Unos se produjeron de madrugada y otros por la mañana, pero ¿no podría estar mezclado alguno legal? ¿Cómo se identificó que esos precisamente eran los malos? Una opción es la IP. Pero si así fuese, eso significaría que el partido puede ver la IP ligada a cada voto.

Después del fraude de Castilla y León, un candidato en otro proceso de primarias pidió a la Comisión de Garantías del partido que le diera la lista de votos vinculados a la IP. La comisión le respondió un día después que ya los tenía preparados, pero que antes de mandarlos el candidato debía firmar un acuerdo de confidencialidad que de momento no ha aceptado.

Son dos posibles ejemplos de IP ligada a sentido del voto. ¿Cómo podría entonces Cs vincular la IP con el DNI de cada afiliado, el modo definitivo de saber qué ha votado cada uno? Por el login. El administrador del sistema sabe desde qué IP pide entrar cada usuario a la página de afiliado. Si luego es capaz de ligar IP con sentido del voto, se cierra el círculo.

2. El administrador. El ejemplo de la IP puede incluso que sea demasiado sofisticado. Hay un camino más sencillo. El desarrollador del sistema tiene la llave de todas las puertas. Las páginas de los afiliados antes y después de la votación las gestiona el partido. “Si el votante puede ver su voto, los administradores del sistema también. Eso no cumple los requisitos del voto secreto”, dice Eduardo Robles, director técnico de nVotes. El administrador no solo tiene acceso a las páginas de los afiliados. Puede ver el proceso del voto mientras se desarrolla. “Esa persona sabe quién se está moviendo por allí”, dice Justo Carracedo, catedrático jubilado de Ingeniería Informática de la Universidad Politécnica de Madrid.

3. El PDF. “Ninguno de los actores involucrados en el proceso debería poder vincular un voto con un votante identificable”, dice el profesor Dimitris A. Gritzalis, experto en voto electrónico. Ni siquiera el propio votante. La mejor manera de evitar posibles presiones sobre los electores es que no haya pruebas que permitan descubrir el sentido de su voto. Pero eso es lo que hace precisamente el PDF que queda en la página del afiliado detrás de un mensaje que dice: “Descargar comprobante de voto”.

4. Las horas. Cualquier militante puede consultar cada voto a cada candidato, incluyendo la hora a la que se emitió. Eso se presta a miradas indiscretas: si sé a qué hora votó una persona, puedo ver los votos emitidos en ese momento y, en determinados casos, tal vez averiguar su voto.

5. Falta de auditoría. “Solo hay que hacer una pregunta: ¿quién les ha auditado el sistema?”, dice Luis Panizo, profesor de Arquitectura y Tecnología de Computadoras de la Universidad de León, quien resalta que no basta la palabra del partido para garantizar que es un proceso democrático limpio. La carga de la prueba, en este caso, no está en quien duda sino en quien crea el sistema.

“Hay muy pocos sistemas que tengan un mínimo de garantías. Esto se debe dejar a una empresa con credibilidad”, dice Marcos. El sistema que usa hoy Cs fue creado en 2014 por Raúl Guillén, un informático que había fundado poco antes la empresa Monomio.

El argumento de Cs es que nadie vulnera el anonimato de los votantes. Pero lo que debe asegurar es que no sea posible.