Monografias.com > Derecho
Descargar Imprimir Comentar Ver trabajos relacionados

Sistemas de voto telemático: Posibilidad de verificación de resultados



     

     

    ABSTRACT

    Este documento recoge una descripción general del escenario de
    votación telemática diseñado por el grupo de
    investigación al que pertenecen los
    autores, haciendo hincapié en la verificación de
    los resultados de la votación. Se justifica el uso de
    mecanismos criptográficos que faciliten esta
    verificación además del cumplimiento de las
    características propias de cualquier sistema de
    votación.

     

    1.
    Introducción

    Hoy en día existen diversos productos en
    el mercado que
    permiten a cualquier organización realizar consultas o
    votaciones, de manera que los votantes emitan sus votos a
    través de un dispositivo remoto (ordenador personal,
    teléfono móvil, PDA, etc.) conectado
    a una urna o conjunto de urnas mediante una red
    telemática.

    La gran mayoría de los sistemas de voto
    telemático que actualmente se comercializan implementan
    las garantías de seguridad
    adecuadas para proporcionar las funciones
    más elementales de cualquier sistema de votación:
    garantizar el anonimato del votante, que no se produzca
    suplantación de identidad e
    impedir que un mismo votante pueda votar más de una vez.
    Además, puesto que el votante está emitiendo su
    voto a través de redes telemáticas,
    los sistemas de votación incluyen procedimientos
    criptográficos que evitan que el voto emitido por el
    votante pueda ser alterado o examinado durante su
    transmisión a la urna. Llegada la fase de recuento, se
    eliminan las protecciones que han garantizado que el voto no ha
    sido modificado y se procede al escrutinio y publicación
    de resultados.

    Sin embargo, existe otra seria amenaza a los sistemas de
    voto telemático, que con frecuencia es descuidada o su
    riesgo
    menospreciado. Se trata de la alteración de los resultados
    de la votación desde dentro del sistema, es decir, que los
    resultados que se publiquen no se correspondan con los votos
    emitidos. Esta amenaza se hace más real cuantos más
    críticos sean los resultados de la votación. Es
    importante destacar que esta amenaza no es específica de
    los sistemas de votación telemática y que, por
    tanto, no es un nuevo requisito que deben satisfacer estos
    sistemas, sino que es inherente a cualquier sistema de
    votación (se trata del famoso
    pucherazo).

    Este artículo presenta las soluciones que
    se han implementado dentro del sistema VOTESCRIPT (1)
    (desarrollado de forma conjunta por el grupo de
    investigación del Departamento de Ingeniería Telemática de la Universidad
    Politécnica de Madrid, al que
    pertenecen los autores, y otro grupo del Departamento de Ciencia
    Política y
    de la
    Administración III de la Universidad Complutense de
    Madrid) que permiten demostrar ante votantes e interventores que
    los resultados publicados por el sistema corresponden
    efectivamente a los votos emitidos.

     

    2. Problemática
    inherente a los sistemas de votación
    telemática

    2.1. Soluciones comunes a problemas
    básicos

    La primera dificultad que plantea el desarrollo de
    estos sistemas es la de conseguir la adecuada
    identificación de los votantes en el momento en el que
    emiten sus votos, es decir, que no se produzca
    suplantación de personalidad,
    puesto que aquí no existe ninguna persona que
    acredite la identidad de los votantes, tal y como ocurre en la
    votación convencional con los miembros de la Mesa
    Electoral. La manera de resolver esta situación consiste,
    en todos los casos, en la existencia de un procedimiento
    previo off-line donde se haya distribuido a los votantes
    unas credenciales específicas de votación, de forma
    que el hecho de poseer una determinada credencial identifica a su
    poseedor. Estas credenciales se presentan de muy diversas formas
    abarcando desde la más simple como es el caso de una
    contraseña secreta a las más sofisticada como
    pudiera ser un certificado.

    El segundo reto que deben resolver los sistemas de
    votación telemática es el de garantizar el
    anonimato de los votantes, de manera que no pueda asociarse la
    credencial a partir de la cual el votante emitió su voto
    (y por tanto su identidad) con el voto emitido. La
    solución más comúnmente empleada para
    resolver este problema consiste en dividir el proceso de
    emisión del voto en dos fases: autenticación del
    votante y el propio proceso de votación, de modo que sean
    entidades distintas y no relacionadas entre sí las que se
    encarguen de controlar estos dos procesos.
    Habitualmente, la primera entidad se encarga de verificar la
    credencial del votante y concederle permiso para votar,
    mientras que la segunda reconoce este permiso y acepta el voto
    del votante. Deben tenerse a su vez las oportunas precauciones
    para evitar que la confabulación entre ambas entidades
    pueda permitir establecer la relación entre voto y
    votante.

    Además, cualquier sistema de votación debe
    impedir que un votante pueda votar más de una vez. La
    solución a este problema se consigue a partir de la
    entidad encargada de verificar la credencial del votante, con el
    simple hecho de marcar la credencial como ya utilizada y
    comprobar esta condición antes de conceder permiso para
    votar.

     

    2.2. Amenazas que surgen por el uso de redes y
    sistemas informáticos

    Aparte de las condiciones anteriores que debe satisfacer
    cualquier sistema de votación [1][2][3][4], los sistemas
    de votación telemática deben enfrentarse a amenazas
    específicas originadas, por una parte, por el hecho de
    emplear redes de comunicación para conectar los dispositivos
    de los votantes con la urna remota y, por otra, por la
    utilización de sistemas informáticos para emitir el
    voto o realizar los procedimientos de recuento. Tanto unas como
    otras hacen posible ataques a la confidencialidad de la información y a su integridad, haciendo
    factible que un atacante pudiera modificar o eliminar los votos
    legítimamente emitidos por los votantes o averiguar su
    contenido (una forma de atacar un sistema de votación
    telemático puede ser mediante la introducción de programas
    maliciosos en los ordenadores personales de los votantes o de los
    lugares públicos donde se pudiera votar, consiguiendo
    cambiar el voto emitido por el votante o impedirle
    votar).

    Para contrarrestar los citados ataques a las redes
    telemáticas, los sistemas de votación más
    avanzados incluyen procedimientos de encriptado del voto,
    usualmente mediante la aplicación de algoritmos de
    cifrado de clave pública, que permiten garantizar la
    confidencialidad e integridad de la información,
    así como proporcionar una prueba sobre el origen efectivo
    de la misma.

    A estas amenazas hay que sumar la posibilidad real de
    que la infraestructura de comunicaciones
    sufra un ataque de denegación de servicio
    el día de la votación, de manera que se impidiera a
    los votantes el legítimo derecho a ejercer su voto. Una de
    las maneras habituales en que se presenta este tipo de ataques
    consiste en que, previamente a la celebración del evento
    señalado, se hayan introducido troyanos en un
    número elevado de ordenadores, y que el día en que
    éste tiene lugar, el troyano se active y los ordenadores
    generen tráfico suficiente para inutilizar la
    infraestructura de comunicaciones.

    Este problema es de muy difícil solución
    si la votación se realiza desde casa a través de
    Internet, dado el
    carácter abierto y universal de esta
    red, por lo que
    las contramedidas usuales para evitar esta amenaza se basan en
    constreñir el ámbito de actuación de los
    votantes: votación sólo desde lugares
    específicos y empleo de
    redes privadas virtuales.

     

    2.2.1. Votación telemática y
    alteración de resultados

    Además de los riesgos y
    amenazas citados, los sistemas de votación
    telemática presentan, a priori, un riesgo mayor que la
    votación convencional de que se produzca una
    alteración de los resultados desde dentro del sistema,
    dada la facilidad con que pueden modificarse o eliminarse
    datos en
    formato electrónico, sin que quede ninguna constancia de
    ello.

    Esta amenaza es ignorada en la mayoría de los
    sistemas de voto telemático actuales, donde la
    publicación de resultados no conlleva ninguna prueba que
    acredite su validez ni, por tanto, se proporciona ningún
    elemento a partir del cual pueda hacerse una reclamación
    (a diferencia de la votación convencional en la que
    existen las papeletas). Este planteamiento quizás pueda
    mantenerse cuando los sistemas de votación se emplean para
    realizar consultas menores, pero desde luego es arriesgado
    en votaciones cuyo resultado pudiera ser considerado
    crítico.

    Por tanto, un sistema de voto telemático que
    aspire a sustituir algún día al voto convencional
    debe incluir mecanismos robustos de verificación que
    proporcionen pruebas
    fehacientes de que los resultados publicados corresponden a los
    votos emitidos.

     

    3. Descripción
    genérica del sistema VOTESCRIPT

    Como se ha comentado, el sistema de votación
    VOTESCRIPT desarrollado por este grupo de investigación,
    además de solucionar los problemas comunes asociados con
    la votación telemática, aborda el problema de la
    verificación. En este apartado y en el siguiente se
    incluye una descripción de este sistema, indicando el
    porqué de las soluciones adoptadas y los beneficios que
    conllevan.

    Analizadas las consideraciones expuestas en el apartado
    anterior, se constató que la votación desde casa a
    través de Internet, hoy día presenta riesgos
    derivados, principalmente, de la dificultad de determinar la
    libertad de
    acción
    de la persona que está utilizando la credencial de
    identificación. Esto unido a las serias amenazas al
    sistema que pudieran derivarse de un ataque de denegación
    de servicio, originado por hackers, que impidieran la
    celebración de la votación, llevó a
    considerar que el sistema con más expectativas de éxito a
    medio plazo era aquel en el que se empleasen Puntos de
    Votación que se comunicaran con una urna central mediante
    una red privada virtual.

    En este diseño,
    se optó por un sistema en el que el votante debe emplear
    una tarjeta inteligente en una cabina de votación para
    emitir su voto, desplazándose a un Colegio Electoral, en
    lugar de hacerlo desde casa por Internet. De esta forma, se ha
    pretendido satisfacer de forma más adecuada los requisitos
    de seguridad necesarios, así como minimizar la
    problemática de la compra de votos, la coacción en
    el momento de la emisión del voto y la posibilidad de
    relacionar el voto con la ubicación física del votante.
    También se ha tenido en consideración el aporte
    negativo a la conocida como brecha digital que se
    produciría al facilitar el acceso al proceso electoral a
    las personas que cuenten con los recursos y
    conocimientos necesarios en detrimento de aquellas personas que
    no posean ese nivel económico, social o
    cultural.

     

    3.1. Arquitectura del
    sistema

    El escenario propuesto en VOTESCRIPT se compone de un
    conjunto de sistemas automáticos (agentes
    telemáticos). Estos son (fig. 1):

    Cabinas de Autenticación o Puntos de
    Autenticación a los que acude el votante a
    identificarse.

    Cabinas de Votación o Puntos de Votación,
    donde el votante emite el voto.

    Un sistema Administrador de
    autenticación que identifica y autentica al
    votante.

    Un Sistema de Intervención de
    autenticación por cada una de las distintas candidaturas
    que se determine deban participar supervisando la fase de
    votación.

    Una Urna que va recibiendo los votos emitidos. El
    contenido de la urna no es conocido hasta que no termina la
    jornada electoral.

    Un Contador que contabilizará los votos una vez
    finalizado el período de recepción de los mismos y
    publicará los resultados.

    Puntos de Verificación a los que puede acudir el
    votante a verificar el tratamiento dado a su voto.

     

    Fig. 1.
    Arquitectura del Sistema VOTESCRIPT

    Todos estos agentes telemáticos disponen de una
    pareja de claves asimétricas para los distintos procesos
    de firma y encriptado-desencriptado de datos
    necesarios.

    El sistema contempla, además, la existencia de
    personas que intervienen de forma directa en el proceso de
    votación y recuento:

    • Votante, dotado de una Tarjeta de
      Votación.
    • Autoridad de Elección: máximo
      responsable del buen funcionamiento de todo el
      sistema.
    • Interventores responsables de cada uno de los
      Sistemas de Intervención.
    • Un gestor del sistema Administrador que, junto con
      los interventores, inicia las diferentes fases del
      proceso.

     

    Todas estas personas disponen de una tarjeta inteligente
    que les identifica ante el sistema y contiene además las
    claves públicas y privadas necesarias en las distintas
    fases de la votación en las que participan.

     

    3.2. Proceso genérico de
    votación

    A continuación, se resumen los pasos más
    relevantes del proceso propuesto para llevar a cabo una
    votación telemática (No se hace una
    descripción detallada de los protocolos
    criptográficos y mecanismos de seguridad implementados en
    cada paso ya que requeriría de una explicación muy
    extensa [5]):

    Como paso previo al comienzo de la votación, se
    habrá hecho llegar a los votantes una tarjeta inteligente
    y un identificador de votante que deberá ser conocido por
    algunos de los agentes automáticos que participan en la
    elección.

    La tarjeta inteligente, diseñada especialmente
    para este proyecto, es
    capaz tanto de generar claves como de realizar gran parte de los
    procesos criptográficos necesarios para la seguridad del
    sistema. Implementa para ello diversos algoritmos adicionales,
    además de los ya habituales en las tarjetas
    criptográficas.

    En una primera fase, que podríamos llamar fase de
    identificación, el votante interactúa, por medio
    del Punto de Autenticación, con el sistema Administrador y
    éste con los Sistemas de Intervención para
    comprobar la identidad del votante y proceder a su
    autenticación (comprobar que está autorizado para
    votar).

    Cabe resaltar aquí, que el software de este Punto de
    Autenticación no posee ningún tipo de capacidad
    criptográfica y que todas las que se necesitan en esta
    fase y en el resto de fases (generación de claves, cifrado
    y descifrado de datos, firmas y comprobación de firmas,
    etc.), las realiza la tarjeta inteligente.

    La segunda fase sería la fase de votación
    propiamente dicha, en la que el votante envía desde el
    Punto de Votación, con las garantías de seguridad
    necesarias, el voto a la Urna, donde se almacena hasta el final
    del proceso de votación. En esta fase, la Urna devuelve
    una pieza criptográfica (comprobante), que es
    almacenada en la tarjeta del votante, y que servirá para
    que la Autoridad de
    Elección pueda resolver futuras reclamaciones.

    Una vez terminado el periodo previsto para votar, se
    inicia la fase de recuento y publicación de los resultados
    por parte del proceso Contador. Las listas que se publican
    incluyen las piezas criptográficas necesarias para la
    verificación del correcto funcionamiento del
    proceso.

    Con posterioridad a la publicación de los
    resultados, tanto los votantes como los sistemas de
    intervención podrán hacer una verificación
    de la corrección del proceso, es lo que llamaríamos
    la fase de verificación. Si, como consecuencia de esta
    verificación, se produce alguna reclamación, la
    Autoridad de Elección podrá, con las pruebas
    criptográficas almacenadas en el sistema y en la tarjeta
    del votante, comprobar si existe alguna discordancia e
    identificar al componente responsable de ella.

     

    4. Descripción
    detallada

    Se describen a continuación de forma más
    detalladas algunos de los componentes del sistema así como
    los mecanismos de seguridad que implementan y las
    garantías que aportan.

    Es obvio decir que, previo a cualquier proceso
    electoral, todos los recursos, tanto software como hardware deben haber pasado
    inspecciones técnicas y
    pruebas de homologación por parte tanto de la administración encargada de organizar el
    proceso como por parte de las candidaturas.

     

    4.1. Puntos de Autenticación y Puntos de
    Votación

    Los Puntos de Autenticación (PAs) son un tipo de
    kiosco o cabina, equipado con un lector de tarjetas, a
    través de los cuales los votantes se autentican ante el
    sistema, como primer paso del proceso de
    votación.

    Los Puntos de Votación son, igualmente, cabinas
    equipadas con un lector de tarjetas, que permiten al votante
    emitir su voto y le protegen de cualquier observador que pudiera
    verlo.

    En el sistema VOTESCRIPT, el votante puede elegir
    durante el proceso de autenticación cualquiera de los
    múltiples PAs existentes y puede emitir su voto en
    cualquiera de los PVs disponibles.

     

    4.2. Sistema Administrador y Sistemas de
    Intervención

    El Administrador y los Sistemas de Intervención
    tendrán acceso a la base de datos
    de votantes que incluye sus claves públicas y su
    identificador. Esta información es la que necesitan para
    poder
    determinar la validez de una credencial para permitir o denegar
    el derecho al voto.

    Los recursos informáticos del Administrador y de
    los Sistemas de Intervención se encontrarán en un
    entorno de red de área local, en la cual solamente el
    Administrador tendrá conexión con los Puntos de
    Autenticación. Los Sistemas de Intervención se
    comunicarán con los Puntos de Autenticación
    mediante la intermediación del Administrador que les
    remitirá todas las peticiones de autenticación de
    votantes que reciba. Asimismo, se prevé que sus programas
    puedan ser auditados por peritos de confianza de las candidaturas
    antes del proceso de votación.

    La mayor parte del proceso confiado al Administrador, es
    supervisado por los interventores de las candidaturas por medio
    de la ejecución de procesos paralelos que deberían
    conducir a idénticos resultados. Cualquier evento
    discordante, aunque sea mínimo, debe ser registrado. El
    Administrador y los Sistemas de Intervención
    firmarán la autorización que el votante
    deberá adjuntar al voto que envía a la
    urna.

    En concreto, el
    Administrador recibe del votante un paquete, que está
    cifrado con la clave pública del Administrador para que
    sólo éste pueda conocer su contenido: la
    identificación del votante junto a una pieza de
    información. Esta pieza de información consiste en
    la clave que posteriormente deberá ser usada por el
    Contador para abrir (descifrar) el voto. Si esta clave fuese
    conocida por el Administrador, o por los sistemas de
    intervención, se rompería el anonimato del voto,
    por lo que el votante envía la clave de votación
    opacada para cada una de las entidades que la deben
    autorizar. Antes de cifrar con la clave pública del
    Administrador, la totalidad de la información es firmada
    por el votante para dar fe ante el Administrador y ante los
    Sistemas de Intervención, de que es él, y no otro,
    quien solicita la autorización.

    Nada más recibir el paquete de
    información, es descifrado por el Administrador haciendo
    uso de su clave privada para entregárselo
    íntegramente a cada uno de los Sistemas de
    Intervención. Gracias a la identificación del
    votante, tanto el Administrador como los Sistemas de
    Intervención verifican que el votante identificado es el
    mismo que firma y que no se le ha firmado aún la
    autorización para votar. Tras lo cual el Administrador
    firma la clave de votación opacada que le corresponde con
    la clave secreta de Administrador para devolvérsela
    posteriormente al votante en calidad de
    "autorización".

    El mismo proceso, es realizado por todos y cada uno de
    los Sistemas de Intervención. Los Sistemas de
    Intervención devuelven sus respectivas firmas hacia el
    Administrador. Éste forma un paquete de respuesta con
    todas las firmas recibidas añadidas a su propia firma.
    Finalmente el Administrador firma todo el paquete de
    información que acaba de formar, con el objetivo de
    servir de prueba de origen. La información firmada, es
    posteriormente cifrada con la clave pública del votante a
    fin de garantizar la confidencialidad de la información
    que fluye por la red.

    Cuando esta información llega al votante,
    éste, mediante su tarjeta de votación y una vez
    comprobada la correcta procedencia de la información y de
    las diferentes firmas, procede a desopacar la
    información, con lo que queda en posesión de la
    clave de descifrado firmada por todos y cada uno de los Sistemas
    de Intervención y por el Sistema Administrador. Esta clave
    firmada servirá de autorización para votar y se
    enviará a la urna junto con el voto.

    Corresponde a los interventores, por tanto, la tarea de
    supervisar, en nombre de las candidaturas, la limpieza del
    proceso. Unos de los puntos débiles fundamentales de la
    mayoría de los sistemas de votación electrónica propuestos es el peligro de que
    algún elemento del sistema tenga la posibilidad de agregar
    votos o denegar el derecho a voto de forma arbitraria. Si la
    autorización para votar que emite el Administrador es
    supervisada por los interventores, ya no habrá posibilidad
    de denegar arbitrariamente el derecho a voto, ni de agregar votos
    de votantes inexistentes, sin que fuese inmediatamente detectado
    por los Sistemas de Intervención.

    El sistema Administrador y los Sistemas de
    Intervención, como se ha dicho anteriormente, no tienen en
    ningún momento el voto en su poder, por lo tanto no es un
    riesgo el que se puedan romper las claves a largo plazo, ya que
    la única información que se obtendría
    sería el
    conocimiento de dichas claves, pero no de los votos. El
    riesgo de poder desvelar, en un futuro próximo o lejano,
    el voto de un votante es una de las críticas más
    fuertes que se hacen a los sistemas de votación
    electrónica [6].

     

    4.3. La Urna

    Las autorizaciones recibidas por el votante desde el
    Administrador y los Sistemas de Intervención junto con el
    voto convenientemente cifrado con la clave de cifrado son
    entregados por la tarjeta a la urna. La información que el
    votante entrega a la urna lleva protecciones para evitar que el
    contenido de su voto pueda ser desvelado mientras permanezcan
    abiertos los colegios electorales para la recepción de
    votos. Esto se consigue incluyendo dicha información en un
    sobre seguro que sólo el Contador puede abrir. La
    urna devuelve un comprobante (que contiene toda la
    información recibida del votante) que podría ser
    usado, a posteriori, por parte de un votante en caso de
    reclamación para verificar el buen o mal funcionamiento de
    la urna. La confidencialidad se completa cifrando el comprobante
    con la clave pública de la Autoridad de Elección,
    así el votante no puede demostrar su voto a
    terceros.

    Hay que decir en este punto, que la clave de descifrado
    junto con la clave de cifrado, forman una pareja de claves
    asimétricas que se han generado dentro de la tarjeta. La
    clave de cifrado no sale nunca de la tarjeta con lo que se evita
    el riesgo de que terceros pudieran conocerla y firmar votos con
    ella.

    La confabulación entre el Administrador y la urna
    no consigue introducir votos, ya que deberá publicarse
    información suficiente que demuestre que los votos
    proceden de votantes legítimos y la labor del
    Administrador está supervisada por los interventores.
    Tanto los registros de
    funcionamiento del Administrador y de la Urna deberán
    estar accesibles durante un cierto periodo de tiempo para
    poder realizar una auditoría del proceso si fuera
    necesario.

    Si se obliga al Administrador a hacer pública la
    cantidad de votantes que le han solicitado autorización
    para votar, la suma total de autorizaciones debe ser igual o
    mayor que la cantidad total de votos válidos que aparecen
    a la hora del escrutinio. Esta comprobación actúa
    como elemento disuasorio ante la tentación, que pudiesen
    tener la urna o el contador, de añadir votos sin que medie
    la solicitud de un votante (hecho este ya de por si bastante
    difícil si se analiza la composición y formato de
    la información que reciben la urna y el contador
    procedente del votante).

    Además, la posesión del comprobante por
    parte del votante debería de disuadir a la urna de la
    tentación de destruir votos, puesto que esta
    situación podría ser fácilmente detectable
    tras el proceso de verificación individual.

     

    4.4. El Contador

    Una vez finalizado el periodo de recogida de votos se
    procede, mediante un proceso de secreto compartido en el que
    participan las tarjetas inteligentes del Administrador y todos
    los interventores, a la apertura de la urna y la obtención
    por parte del Contador de la clave necesaria para obtener los
    votos.

    El Contador recibe el contenido de la Urna, lo descifra
    con la clave recién adquirida, obteniendo una lista de
    piezas de información relacionadas con cada voto. Para
    cada uno de ellos comprueba que la clave de descifrado
    está correctamente firmada por el Administrador y los
    Sistemas de Intervención y que sirve para abrir el voto
    cifrado. Esta clave de descifrado firmada por todos ellos
    constituye una garantía para el Contador de que ninguna de
    las entidades participantes en la elección, excepto un
    votante autorizado, es el origen del voto que está
    procesando. Una vez realizado el recuento, el Contador publica
    una lista de resultados que incluye, además del voto
    propiamente dicho, otras informaciones necesarias para la
    verificación.

     

    4.5. La Tarjeta de votante

    Los algoritmos criptográficos básicos
    necesarios que la tarjeta debe implementar son aquellos que
    permitan cifrar, descifrar, opacar o desopacar mensajes,
    verificar firmas y realizar almacenamiento
    seguro de
    información. Las órdenes de ejecutar uno u otro
    algoritmo con
    determinados parámetros son recibidas desde el
    periférico adecuado. Además deberá ser capaz
    de generar las distintas claves simétricas y
    asimétricas que durante las distintas fases del proceso se
    necesiten.

    La tarjeta se autoprotegerá ante cualquier
    periférico que intente conocer el valor de la
    clave privada o que intente grabar información en ella,
    protegiendo así a las personas frente a la posibilidad de
    que sean obligadas a aportar y presentar ante terceros una
    información tan crítica.

    Se podría programar que antes de que el
    periférico del Punto de Autenticación o del Punto
    de Votación devuelva al votante su tarjeta, bloqueara en
    ella toda posibilidad de volver a realizar estas operaciones a fin
    de que el votante no pueda, ni por equivocación ni por
    mala intención, usar una misma autorización para
    enviar más de un voto.

     

    5. Revisión de los
    resultados de la votación

    En todo este proceso es importante la forma en que se
    realiza la verificación de los resultados de la
    votación. Los esquemas de votación clásicos
    analizados suponen que todos los agentes telemáticos del
    sistema operan honestamente por lo que no se presta casi ninguna
    atención a la verificación, siendo
    por tanto relativamente sencillo manipular los resultados de la
    votación, sin que exista ningún método de
    detección de este tipo de acciones.

    Elementos fundamentales para esa verificación son
    las claves, el comprobante que se almacenan en la tarjeta y la
    información que se hace pública por los diferentes
    agentes automáticos. La información debe hacerse
    pública junto con los resultados del escrutinio, antes de
    que se abra el período de comprobación y
    reclamación, como instrumento que garantice que ninguna
    entidad tiene posibilidad de modificar las pruebas como
    consecuencia de una petición de
    verificación.

    El proceso de verificación de resultados del
    escrutinio es especialmente delicado ya que, por una parte, debe
    ofrecer al votante una prueba convincente acerca del tratamiento
    sufrido por su voto y, por otra, se deben tomar todas las
    precauciones (tanto criptográficas como de procedimiento)
    para que el votante no pueda usar esa verificación con el
    fin de probar ante terceros cuál ha sido el contenido de
    su voto. Esta imposibilidad de obtención de una
    relación fehaciente entre votante y voto debe ser
    absoluta. Es decir, la obtención de esta
    información ni tan siquiera puede ser potestad del votante
    ya que éste podría actuar bajo coacción de
    cualquier índole para demostrar ante terceros cuál
    ha sido su comportamiento
    en las elecciones.

    En la tarjeta se encuentran almacenadas ciertas piezas
    de información necesarias para la verificación
    posterior: la clave de descifrado de voto, esta misma clave
    firmada por el Administrador y los Sistemas de
    Intervención y el comprobante entregado por la urna. En
    estas dos últimas piezas de información, la firma
    del Administrador y Sistemas de Intervención (en un caso)
    y de la urna (en el otro) es la prueba criptográfica
    irrefutable y verificable del origen.

    El comprobante firmado por la urna, a su vez está
    cifrado para que tan solo la Autoridad de Elección pueda
    desvelar su contenido. La única prueba de que el
    comprobante de la urna pertenece al votante es que está
    presente en su propia tarjeta, puesto que el comprobante no
    contiene ninguna identificación del votante.

    Finalizada la fase de recepción de votos, la urna
    hace pública una lista en la que figura toda la
    información que pasará a escrutarse en el Contador.
    Esta lista estará ordenada de acuerdo a algún
    criterio que facilite la búsqueda de piezas de
    información, y que no permita hacer deducciones sobre la
    orientación del voto de los votantes por la
    posición que ocupan en la lista y la hora o lugar desde
    donde votaron, etc., cuando se compare con la lista publicada por
    el Administrador.

    Esta publicación tendrá como objetivo
    posibilitar la delimitación de responsabilidades en caso
    de que algún votante presentase reclamación por no
    encontrar su voto incluido en el escrutinio. El votante
    podrá presentar como prueba el comprobante que la urna ha
    enviado a su tarjeta, el cual está firmado por la urna y
    en su interior debe contener la misma información que
    contiene uno de los campos publicados.

     

    5.1. Verificación individual

    Una vez haya finalizado la votación, cada Votante
    puede comprobar de forma independiente que su voto ha sido
    correctamente tenido en cuenta. Para ello basta con que el
    Votante se dirija a un Punto de Verificación y, siempre de
    forma individual, utilice su tarjeta y pida que se le muestre el
    voto asociado.

    El sistema ubicado en el Punto de Verificación
    está habilitado para leer la clave de descifrado
    almacenada en la tarjeta del Votante, de manera que, una vez
    obtenida dicha clave de la tarjeta, accede vía
    telemática a la lista de parejas clave en
    claro-voto
    generada por el Contador y le muestra el voto
    asociado, de forma que el Votante y sólo éste pueda
    leerlo.

    En el caso de que el Votante no esté conforme con
    la opción visualizada, puede iniciar un proceso de
    reclamación ante la Autoridad de Elección, la cual
    descubrirá y comparará todas las pruebas
    criptográficas presentes en el sistema así como el
    comprobante almacenado en la tarjeta, para comprobar la validez
    del recuento. De esta manera se proporciona al votante herramientas
    que contrarresten la crítica de que no hay forma de
    ofrecer al votante la seguridad de que el voto se ha registrado
    tal cual ha sido emitido, o que el recuento es el correcto
    [6].

    La Autoridad de Elección, tras recibir la tarjeta
    del Votante, puede demostrar sin ninguna ambigüedad un
    tratamiento correcto o incorrecto del voto, pues tiene acceso
    a:

    • La clave de descifrado del voto del Votante
      almacenada en su tarjeta.
    • El comprobante enviado por la Urna al Votante
      (firmado por la Urna y garantizada su inviolabilidad por la
      clave pública de la Autoridad de Elección) donde
      se contiene el voto emitido.
    • Los registros del Contador que relacionan la clave
      de descifrado del voto
      firmada por el Administrador y los
      Sistemas de Intervención, la clave de descifrado del
      voto
      en claro y el voto cifrado con ella.

    Con todo ello la Autoridad de Elección,
    apoyándose en pruebas criptográficas robustas,
    dictaminará si el Votante no tiene razón o si ha
    existido una falsificación por parte del
    sistema.

     

    5.2. Verificación global

    En cuanto a la verificación global, una vez
    publicados los resultados de la votación, y con la
    intención de que las distintas candidaturas obtengan una
    prueba del correcto funcionamiento del Contador a la hora de
    abrir y contar votos, se permite que cada una de ellas verifique
    el procedimiento. Cada candidatura tiene la posibilidad, mediante
    una serie de procedimientos concretos que se han diseñado,
    de comparar la información que posee con la que se ha
    obtenido como resultado final del proceso de recuento. Caso de
    que ambas informaciones no se correspondieran, podrían
    proceder a impugnar la votación, presentando para ello
    pruebas criptográficas robustas. Mediante estas pruebas
    criptográficas se introducen elementos de auditoría
    en el sistema que permiten garantizar la validez de todo el
    proceso, respondiendo así a una de las críticas que
    se suele hacer a los sistemas de votación
    electrónica.

    El procedimiento propuesto en VOTESCRIPT consiste en que
    una vez realizado el recuento de votos y publicado el resultado,
    con la intención de que las distintos Interventores
    obtengan una prueba del correcto funcionamiento del Contador, se
    le entrega a cada uno de ellos una copia de algunas de las piezas
    de información obtenidas por el Contador tras abrir los
    distintos sobres seguros recibidos de la Urna.

    Cada Interventor dispondrá de su propia
    máquina donde se cargará dicha copia. Esta
    máquina será previamente auditada por peritos de
    confianza para conseguir total seguridad de que solamente
    podrá realizar el recuento de votos. Haciendo uso de esta
    copia, cada uno de los Interventores podrá verificar si el
    procedimiento de recuento en el Contador se ha realizado o no de
    forma correcta, y si los resultados que ha obtenido en su
    recuento coinciden con los publicados.

    Tanto para las listas de registros recibidos por el
    Contador como para las listas de información entregadas a
    cada candidatura se establecerá un periodo de validez de
    manera que, una vez transcurrido el tiempo estipulado y
    considerada válida la elección, deberán ser
    destruidas.

     

    6. Aportaciones del proyecto
    VOTESCRIPT a los sistemas tradicionales de
    voto

    En este apartado se destacan las principales
    aportaciones del proyecto VOTESCRIPT a la votación
    electrónica, comparando las soluciones propuestas con las
    recogidas en los principales esquemas de votación que hoy
    día sirven de referencia en esta área.

    En este proyecto se ha abordado el desarrollo del
    sistema desde un punto de vista interdisciplinar, tanto
    sociológico como telemático, lo que ha propiciado
    que el sistema de votación se haya diseñado en sus
    diferentes fases en base a requisitos demandados por los
    ciudadanos y determinados por la investigación
    sociológica. Cabe señalar que algunos de estos
    requisitos fueron en principio detectados más bien como
    procedimentales, pero a la luz de la
    investigación social, aparecen como
    garantes del sistema de votación al satisfacer demandas
    que surgen con fuerza en los
    trabajos de campo realizados. Entre estos requisitos demandados
    por los votantes cabe destacar la necesidad de disponer de
    herramientas para poder verificar el correcto funcionamiento del
    sistema, no sólo a nivel global, sino también a
    nivel particular.

    En la mayoría de los sistemas se observa que no
    existe la posibilidad de verificar que el sistema opera
    correctamente, es decir, que como consecuencia del comportamiento
    malicioso de algún agente telemático del sistema
    (Mesa Electoral, Urna o Contador) o la confabulación de
    varios agentes dentro del sistema, no se está produciendo
    una alteración de los resultados de la votación. El
    sistema diseñado se ha concebido para permitir la
    verificación tanto a nivel global como a nivel
    individual.

    El sistema VOTESCRIPT proporciona un sistema de
    verificación individual que permite a cada votante
    comprobar en lugares precisos y durante un tiempo determinado si
    su voto se ha tenido en cuenta y ha sido correctamente
    contabilizado. La novedad respecto a otras soluciones radica en
    que el proceso de verificación es privado, de manera que
    en ningún momento el votante puede demostrar ante terceros
    no autorizados qué es lo que ha votado, lo que impide
    la compra-venta de votos o
    la extorsión.
    Esto representa una significativa mejora
    incluso con respecto a los sistemas de votación
    convencionales, en los que, mediante opciones como el voto
    delegado o el voto por correo, se hace posible este tipo de
    agresiones masivas a la soberanía popular.

    La existencia de los Sistemas de Intervención es
    una de las principales aportaciones de este sistema, puesto que
    permite el control de todo
    el proceso electoral por parte de las de agrupaciones de
    ciudadanos o candidaturas autorizadas para ello. Además,
    se les dota de la posibilidad de realizar de forma sencilla una
    auditoría no sólo del resultado final sino de todo
    el proceso. La verificación global, puesta a
    disposición de los interventores, proporciona pruebas
    criptográficas robustas, que permiten demostrar sin
    ningún tipo de ambigüedad si el sistema ha operado o
    no de forma fraudulenta.

    Cada interventor tiene la posibilidad, mediante una
    serie de procedimientos concretos que se han diseñado, de
    comparar la información que posee su Sistema de
    Intervención con la que se ha obtenido como resultado
    final del proceso de recuento. Caso de que ambas informaciones no
    se correspondieran, podrían proceder a impugnar la
    votación, presentando para ello pruebas
    criptográficas robustas. Mediante estas pruebas
    criptográficas se introducen elementos de auditoría
    en el sistema que permiten garantizar la validez de todo el
    proceso.

    En el desarrollo del proyecto VOTESCRIPT se
    decidió emplear tarjetas criptográficas
    específicamente diseñadas para este proyecto, que
    no sólo permitieran garantizar la identidad del votante
    sino que realizaran todas las funciones de cifrado/descifrado,
    generación de claves de sesión y
    comprobación de firmas dentro de la propia tarjeta, con
    objeto de impedir el acceso a información crítica
    por parte de usuarios maliciosos. Asimismo, la tarjeta almacena
    cierta información asociada al proceso de emisión
    del voto, el comprobante, con vistas a una posible
    verificación posterior.

    Existe una Autoridad de Elección encargada del
    control general del sistema, de velar por su correcto
    funcionamiento, ocupándose de atender todas las posibles
    reclamaciones que realicen los votantes. En el caso de que se
    produzca una reclamación por parte de un votante sobre el
    tratamiento dado a su voto, ésta descubrirá y
    comparará todas las pruebas criptográficas
    presentes en el sistema para comprobar la validez del
    recuento.

     

    El sistema diseñado dificulta también que
    el voto emitido pueda ser conocido en el futuro. Los esquemas de
    votación clásicos analizados se basan en la
    presentación del voto debidamente ocultado al
    Administrador (y Sistemas de Intervención, si los hubiera)
    para que una vez que verifique que el votante tiene derecho a
    votar y que no lo ha hecho todavía, devuelva el voto
    firmado como mecanismo de autorización. El hecho de
    presentar el voto oculto mediante algoritmos
    criptográficos garantiza que en la actualidad éstos
    no puedan conocer su contenido, pero no garantiza que con el
    avance de las técnicas de criptoanálisis
    éste no pueda ser conocido en el futuro. El sistema
    desarrollado en el proyecto VOTESCRIPT aporta como novedad que en
    la fase de autenticación del votante lo que se presenta
    oculto por algoritmos criptográficos al Administrador y a
    los Sistemas de Intervención no es el voto sino la clave
    que se va a utilizar después para descifrarlo,
    evitándose que el Administrador (o los Sistemas de
    Intervención) lo pueda almacenar para el futuro (el voto
    únicamente se envía a la urna).

     

    7.
    Conclusiones

    Las soluciones técnicas que se adopten a la hora
    de diseñar un sistema de votación tienen un impacto
    social muy relevante en lo tocante al mantenimiento
    y mejora de los derechos y libertades de los
    ciudadanos y, consecuentemente, en el desarrollo de la democracia en
    la Sociedad de la
    Información.

    El diseño de
    sistemas de Democracia Digital debe partir de un análisis crítico y exhaustivo de las
    experiencias y propuestas formuladas con anterioridad e
    incorporar metodologías multidisciplinares
    (tecnológica, sociopolítica y jurídica)
    tanto para la determinación de los requisitos y
    condicionantes como para la evaluación
    del sistema final que se desarrolle.

    El sistema VOTESCRIPT, aplicando esta metodología multidisciplinar, ha conseguido
    soluciones más eficaces que propuestas anteriores,
    aportando procedimientos válidos para la resolución
    de objeciones que descalificaban globalmente la viabilidad de las
    votaciones electrónicas (Informe Mercury
    [6], por ejemplo).

    A juicio de los autores del presente artículo,
    todo el esfuerzo intelectual y material volcado en este
    área tiene sentido si da como resultado una mejora
    cualitativa de la democracia que refuerce su legitimidad.
    Entendemos que esta mejora radica fundamentalmente en estudiar la
    potencialidad de la redes telemáticas para facilitar y
    desarrollar la participación ciudadana. Es decir,
    profundizar en dinámicas de democracia participativa, que
    eduquen, permitan y agilicen la participación de los
    ciudadanos a través de la discusión y
    solución de las cuestiones que les son comunes.

    Hoy día prolifera la realización de
    experiencias de voto telemático en las que como
    conclusión siempre se destacan los beneficios que supone
    para el votante el hecho de poder emitir su voto desde cualquier
    ordenador conectado a Internet. Sin embargo, la euforia que suele
    acompañar a este tipo de experiencias, a menudo hace
    olvidar, tanto a los organizadores como a los votantes, la
    incapacidad que tienen estos sistemas de demostrar que los
    resultados que se publican no han sido manipulados antes de su
    divulgación.

    El sistema VOTESCRIPT presentado en este
    artículo, se concibió, desde el primer momento,
    como un sistema que debía ser totalmente verificable: por
    los votantes que debían tener la certeza de que su
    voto se había contabilizado adecuadamente y por los
    interventores que debían poder auditar el correcto
    funcionamiento del sistema, tal y hacen actualmente con la
    votación convencional.

    El resultado del desarrollo es un sistema totalmente
    verificable, destacando que la fortaleza del sistema se basa en
    la obtención, por parte de los distintos actores (entre
    los que principalmente se encuentran los votantes y los
    interventores), de piezas de información
    criptográficamente robustas y seguras que podrán
    presentar como prueba ante terceros en caso de litigio o
    disconformidad con los resultados del proceso.

    Todo lo expuesto lleva a la conclusión de que
    únicamente aquellos sistemas de voto que incluyan
    capacidades de verificación tendrán
    garantías de éxito en un futuro.

     

    8.
    Referencias

    • Fujioka, T. Okamoto, K. Otha. A Practical Secret
      Voting Scheme for Large Scale Elections, Advances in
      Cryptology, AUSCRYPT´92, Lecture Notes in Computer
      Science 718. Springer-Verlang, Berlin, pp.244-251
      (1993).
    • M.Ohkubo, F. Miura, M. Abe, A. Fujioka, T. Okamoto.
      An Improvement on a Practical Secret Voting Scheme. Lecture
      Notes in Computer Science 1729, Springer-Verlag, Berlin, pp.
      225-234 (1999).
    • Cranor, Lorrie F. y Cytron, Ronald K. Design and
      Implementation of a Practical Security-Conscious Electronic
      Polling System, WUCS-96-02, Departamento de Informática, Universidad de Washington,
      St. Louis (1996).
    • Riera i Jorba, Andreu. Design of Implementable
      Solutions for Large Scale Implementable Voting Schemes,
      Tesis
      doctoral Universidad Autónoma de Barcelona,
      1999.
    • Carracedo J., Gómez A. and Carracedo J.D.,
      (2003). Sistema VOTESCRIPT: Una propuesta innovadora
      desarrollada para resolver los problemas clásicos de
      votación electrónica. 2º Congreso
      Iberoamericano de Seguridad
      Informática (CIBSI’03). México D.F.
    • Mercuri R. Testimonio presentado en U.S. House of
      Representatives Committee on Science, Mayo 2001. http://www.house.gov/science/full/may22/mercuri.htm

     

    Notas

    [1] – El proyecto VOTESCRIPT (TIC2000-1630,
    TIC2002-4223 and TIC2003-2141) ha sido subvencionado por el
    Ministerio de Ciencia y
    Tecnología dentro del Plan Nacional de
    I+D+I (2000-2003).

     

    El contenido del presente trabajo
    está gobernado por la siguiente Licencia de Creative
    Commons: ver
    http://creativecommons.org/licenses/by-nc/2.0

    Jesús Moreno Blázquez // Sergio
    Sánchez García // Jose David Carracedo
    Verde

    Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

    Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

    Categorias
    Newsletter