Por Ramiro Martínez (*)
¿Hasta qué punto y en qué sentido podrían ser seguras? Que los votos se envíen por internet a un servidor que no vemos físicamente, igual que vemos la urna, genera desconfianza. Pero hay estrategias que permitirían garantizar, hasta cierto punto, la seguridad.
El secreto del voto se puede conseguir empleando un cifrado. Y detrás de la criptografía hay muchas matemáticas.
Podemos pensar en cifrar como en una serie de operaciones matemáticas. Y en descifrar como un problema matemático cuya solución es el mensaje original.
El motivo por el que confiamos en la criptografía moderna es porque los métodos de cifrado se diseñan desde el principio a partir de un problema matemático conocido (RSA, DLog, RLWE…), para que descifrar sin la clave implique resolver uno de esos problemas. Y los mejores algoritmos que conocemos hoy en día necesitarían billones de años en el superordenador más potente del mundo para resolverlos.
Para garantizar que se contabiliza únicamente un voto por cada ciudadano, los votos cifrados se enviarían además firmados, por ejemplo con un DNI electrónico. Y la firma electrónica consiste precisamente en una serie de números que se corresponden con la solución a un problema cuyo enunciado contiene su voto cifrado y un número asociado a su identidad. Ese número nos identifica igual que el DNI.
Resolver ese problema es fácil si tenemos la clave que está guardada en el chip de nuestro DNIe, pero es un problema matemático extremadamente difícil de resolver sin esa clave.
El punto fundamental es que la seguridad de las elecciones no se basaría en que el algoritmo que se ejecuta en el servidor que recibe esos votos funcione adecuadamente y solo deje pasar las firmas válidas. Todos los votos cifrados y firmados se deben publicar, y cualquiera podría descargarlos y verificar por su cuenta esas firmas (decimos que es universalmente verificable).
Para asegurar el secreto del voto, una vez terminada la votación, se cifran de nuevo los votos (así no se sabe quién los había firmado).
Por último, se publican, junto a los votos originales, los votos recifrados y la solución a un nuevo problema matemático que sabemos que es fácil de resolver si las dos listas contienen los mismos votos, pero que sería un problema difícil de resolver si el enunciado tuviera una segunda lista de votos manipulada de cualquier otra forma.
Cómo detectar posibles fraudes
Esto se puede repetir tantas veces como queramos, idealmente por distintas instituciones. Incluso aunque alguna de ellas fuera corrupta (hay que ponerse en lo peor), nuestra confianza en el resultado no depende de comprobar cómo se han ejecutado esas operaciones que recifran los votos. Se basa solo en comprobar que la solución publicada es válida, porque ya sabemos que matemáticamente eso implica que los votos no se han manipulado.
Únicamente con que alguna de esas instituciones guarde en secreto la correspondencia entre la lista de votos que le llega y su lista de votos recifrada, el voto será anónimo.
Puede parecer raro leer condiciones como esta: “Mientras que al menos uno sea honesto”, pero con las elecciones tradicionales sucede algo parecido.
Una persona rellenando las actas podría cambiar el resultado, por error o por mala fe, pero las mesas están compuestas por tres personas, elegidas por sorteo para evitar cualquier tipo de sesgo, los partidos pueden tener apoderados y los ciudadanos podemos quedarnos a supervisar el recuento. No es un método infalible, pero la cantidad de controles es tal que descartamos la posibilidad de un fraude masivo.
Hay estudiadas diferentes soluciones similares para muchos de los inconvenientes que se nos pueden ocurrir.
La clave suele estar distribuida en distintos fragmentos para que nadie pueda descifrar los votos individualmente. Se puede permitir cambiar el voto cuantas veces se quiera hasta el cierre de la votación para evitar coacciones. Se pueden enviar códigos adicionales a un dispositivo distinto al utilizado para comprobar que el voto enviado es el que el votante deseaba. Se puede ampliar el tiempo de la votación a semanas (como sucede con el voto por correo) para evitar que una caída puntual de la web impida votar.
Las propuestas son menos satisfactorias en otros aspectos, como la posible pérdida de privacidad del voto si el propio dispositivo utilizado está comprometido, que suelen dejarse a la responsabilidad del votante escogiendo el dispositivo desde el que votar.
Sistemas como el descrito se han utilizado ya en países como Estonia, Canadá, Noruega o Suiza, aunque en este último se paralizó la adopción generalizada precisamente porque durante una exhaustiva auditoría se descubrió que por una cuestión técnica el problema matemático utilizado no era exactamente el que se describía.
Quizás haga falta que estas propuestas alcancen la madurez necesaria y pasen muchas más auditorías antes de utilizarse para algo tan relevante como unas elecciones generales, pero podrían ser una opción a considerar en un futuro cercano.
Habría que tener en cuenta en cualquier caso que es un modelo de seguridad diferente, con el que habría que familiarizarse, y sobre el que habría que discutir si estamos conformes.
Las votaciones electrónicas, que son más bien una alternativa al voto por correo que al presencial, tienen un modelo de seguridad más complejo que las tradicionales, y son necesarios procedimientos mucho más técnicos para verificar el resultado. A cambio, comprobando que las soluciones a esos problemas matemáticos son correctas, cualquier grupo independiente puede verificar de una vez el resultado completo, no solo de aquellos colegios donde puedan estar físicamente como sucede en el modelo presencial.
(*) Doctorando en Matemática Aplicada, Universitat Politècnica de Catalunya – BarcelonaTech