El Consejo Nacional Electoral (CNE) nos ha sorprendido al anunciar que Venezuela pasaría a ser uno de los primeros países del mundo en implementar sistemas informáticos. El voto electrónico ha sido cuestionado a tal punto, que en países desarrollados, como la comunidad Europea y los Estados Unidos todavía usan el voto físico o de papel. Las tecnologías de información tienen como meta la de facilitar diversos tipos de operaciones y registros de actividades, siendo bastante futurístico el que se aplique esta tecnología para un acto tan personal. El problema radica en que lejos de simplificar la actividad de la votación puede generar una gran cantidad de problemas, no solamente técnicos, sino problemas políticos de credibilidad.
Aspectos legales del voto electrónico.
Venezuela cuenta con dos leyes novedosas, que contemplan aspectos fundamentales para determinar la validez o no de la votación electrónica y de los posibles delitos que se pueden cometer durante su programación, así como en los procesos de transmisión de datos y de escrutinio, como lo es la Ley contra Delitos Informáticos.
La Ley de Mensajes de Datos y Firmas Electrónicas publicada en Gaceta Oficial Nº 37148 del 28 de febrero de 2001 establece en su primer artículo que el objeto de la misma es el de otorgar y reconocer eficacia y valor jurídico a toda información inteligible en formato electrónico independiente de su soporte material atribuible a personas naturales o jurídicas, publicas o privadas. En base a lo antes expuesto podemos asegurar que la votación electrónica tal cual se nos ha planteado se encuentra de manera absoluta regulada, por esta Ley debido a que se requiere que cada votante genere una información en formato electrónico que será impresa en un soporte material, desde una máquina cuyo uso es autorizado por el estado. Adicionalmente a que el voto será archivado digitalmente se realizará una transmisión de datos desde cada máquina a un sistema de información central encargado de la totalización. Por todo lo antes expuesto, no cabe duda que es esta Ley de Mensaje de Datos y Firmas Electrónicas la que regula toda la actividad de la votación electoral.
La firma Digital Electoral
El Presidente de SMARTMATIC ha indicado que con cada voto electrónico se imprimirá el equivalente físico en el cual aparecerá un número “aleatorio”. Entendemos que lo que se imprimirá con este número supuestamente generado al azar no es más que una firma digital, que servirá de autentificador electrónico del voto digital, por lo que en teoría con el descifrado de este número podemos saber si el voto impreso es auténtico o no.
Según la Ley de Mensajes de Datos y Firmas Electrónicas, para que una firma digital sea válida, la misma debe provenir de una persona autorizada por la Superintendencia de Servicios de Certificación Electrónica (SUSCERTE). En la actualidad se encuentra todavía en borrador el Reglamento de la Ley de Mensajes y Firmas Digitales que establecería las normas específicas, previsto para que se autoricen los proveedores de servicios de certificación y es por ello que podemos asegurar que hasta la presente fecha no existe ninguna empresa con autorización legal para dar servicios de firmas digitales y es por ello que las firmas digitales que SMARTMATIC colocará en cada voto no tendrá la validez jurídica plena que le daría la ley a este proceso.
Aparte de los requisitos de certificación previa del SUSCERTE adscrito al Ministerio de Ciencia y Tecnología establece la Ley que la firma electrónica debe permitir vincular a quien firme digitalmente (votante electrónico) con el voto, para poder atribuir la autoría del acto aunque no se registre cual fue su votación. En este sentido el CNE y el SUSCERTE como órgano legalmente autorizado para verificarlo deberán individualizar las máquinas de votación no solamente con el serial físico de la máquina, sino con un serial electrónico, que junto al número de la cédula de identidad permita obtener una firma digital única, que garantice los datos utilizados para su generación y para que pueda producirse este acto por una sola vez.
La validez de una firma digital requiere según el ordinal 2º del artículo 16 de esta Ley el que se ofrezca seguridad suficiente de que no pueda ser falsificada con la tecnología existente. La negativa rotunda del CNE de que se conozcan los códigos fuentes, los algoritmos y procesos de cálculo así como la generación de los llamados “números aleatorios”, hace ilegal el proceso electrónico de votación toda vez que no hay quién garantice la seguridad del sistema, la integridad del voto y la individualidad del acto de votación.
Validez de la impresión del Voto Electrónico
Establece el artículo 4 que la información impresa de un mensaje de datos (comprobante de voto electrónico), tendrá la misma eficacia probatoria atribuida en la ley a las copias o reproducciones fotostáticas. El primer aparte del artículo 429 del Código de Procedimiento Civil establece que solo las fotocopias o reproducciones de los documentos públicos y los privados reconocidos tendrán validez, si no fueren impugnadas en su oportunidad. Si estimamos que el voto electrónico será un acto público administrativo, es decir, que tiene fe pública, el voto impreso no tendrá sino la validez de una copia simple de este, que no tiene a misma fuerza legal que el acto electrónico por lo que puede ser rechazada o impugnada fácilmente y por ello no será un documento fidedigno desde el punto de vista legal.
Fidelidad del Voto Electrónico
Es la misma ley la que establece los requisitos de calidad del sistema de tecnologías de información para que la misma sea tenida como válida y para ello es necesario según el artículo 7, que se presente o conserve en su forma original la data y que se mantenga inalterable desde que se generó y durante su comunicación, archivo o presentación. De lo antes expuesto debemos acotar que el CNE deberá ordenar el que se preserve la data en todas y cada una de las máquinas en que se realice la votación aun cuando sea impresa, para el caso en que hayan impugnaciones. El artículo 8 obliga a que se conserven los datos en el mismo formato en que fueron generados, archivados y recibidos, al igual que todo dato que permita determinar el origen y el destino del mensaje tales como la fecha y hora que fue enviada o recibida. De este artículo 8 se evidencia que SMARTMATIC está violando claramente la Ley de Mensaje de Datos y Firmas Digitales, de ser cierta la declaración que dio su presidente en la que estableció que no quedarán registrados la hora y la fecha de cada una de las votaciones, lo que desde el punto de vista informático forense, limita una posible reconstrucción de los hechos relacionados con las votaciones realizadas en una máquina de votación y es por ello que sostenemos que es ilegal el omitir determinados tipos de datos, lo cual por demás obstruiría una investigación sobre delitos informáticos. Según la Ley deberá conservarse todo dato que permita determinar el origen y el destino de la transmisión de datos de las maquinas de votación al CNE lo cual si bien es cierto será cifrada debe garantizar igualmente la identificación de la máquina que la produce y los datos que permitan garantizar que la data llegó al sistema central íntegramente.
De la existencia y omisión de la Superintendencia de Servicios de Certificación Electrónica.
Del artículo 20 al artículo 30 de la Ley se establecen claramente las atribuciones de la misma entre las cuales podemos mencionar el que su función es la de acreditar, supervisar y controlar todos los procesos y los datos electrónicos para que tengan validez legal. La SUSCERTE no ha acreditado, supervisado y controlado todas las actividades realizadas y por realizar por la empresa SMARTMATIC, de donde podemos deducir fácilmente la ilegalidad de los procesos realizados hasta la fecha bajo el cristal de esta ley.
Este mismo organismo es el encargado por ley de inspeccionar y fiscalizar la instalación, cooperación y prestación de servicios de los proveedores de servicios de certificación digital como ha sido designada SMARTMATIC por lo que es este organismo el que estaría encargado de diseñar y poner en marcha una auditoria a las máquinas y su programación, lo cual es virtualmente imposible dada la cercanía del referéndum.
Obligación legal de la auditoria de los procesos
El artículo 31 de la Ley establece que para ser proveedor de servicios de mensajes de datos y firmas digitales debe tenerse la capacidad técnica para proveer certificados electrónicos lo cual aparentemente tiene SMARTMATIC, pero el ordinal 5 de este artículo establece que el certificador electrónico debe garantizar la utilización de herramientas y estándares adecuados a los usos internacionales de tal forma que garanticen la seguridad técnica de los procesos de certificación. El bloqueo que aparentemente ha decidido establecer el CNE respecto a la constatación pública, abierta y transparente del funcionamiento de las máquinas así como su programación lleva a todo el proceso de votación electrónica fuera del marco de la ley aprobada por este mismo gobierno para la certificación de actos públicos electrónicos como lo será la votación en las máquinas de SMARMATIC, por cuanto el órgano competente, es decir, el SUSCERTE y tampoco el CNE ha garantizado el que se esté utilizando estándares internacionales, ni haya seguridad técnica en los procesos de votación electrónica.
Aspectos técnicos sobre la fidelidad de la votación
Todo desarrollo de sistemas informáticos incluidos el Software requiere pruebas de simulación, por tiempo prolongado a efectos de garantizar su total operatividad. El rendimiento del sistema que se va a implementar no se ha medido de forma real por lo que se corre un gran riesgo.
A los efectos de garantizar más o menos la preservación de la evidencia digital electoral deberá cumplirse con los siguientes criterios:
Deberán identificarse plenamente las máquinas a través de su señal física. Esta identificación deberá formar parte de las actas de entrega de material y en el caso en que la máquina sufra desperfecto o no funcione deberá dejarse constancia de los seriales de las máquinas sustituidas y las sustituyentes.
Las máquinas deberán contener aparte de un serial electrónico que las individualice y controle la conexión de las máquinas a efectos de su autentificación en el centro de recolección de datos.
Cada acto de votación deberá estar firmado digitalmente.
Cada vez que se cambie la base de datos de la máquina deberá hacerse un registro de la integridad de toda la data contenida en el computador.
Deberá realizarse una firma digital final que tome en cuenta toda la data que ha sido procesada en el centro a los efectos de que no pueda ser alterada y pueda ser verificada su integridad posteriormente.
Deberá registrarse las horas de votación sin dejar constancia de cuál fue la manifestación de voluntad del elector.
A los efectos de certificar la integridad del programa de votación que correrá en la máquina deberá permitirse la revisión por especialistas del código fuente el cual igualmente deberá ser firmado digitalmente.
En el supuesto de que no se de acceso al código fuente deberán realizarse pruebas con antelación y deberá realizarse un proceso parecido al de la firma digital para identificar en caso de que se hagan cambios que el código fuente no es el mismo.
Las máquinas de votación deberán alojar la confirmación de recepción de los datos enviados al CNE a los efectos de confirmar si la máquina que se identifica en el acta es la máquina que envío los datos.
(*) Abogado, Postgrado en Tecnologías Gerenciales, Perito en Evidencia Digital, Técnico Superior en Ciencias Policiales mención Grafotécnica y Dactiloscopia. Presidente del Instituto Venezolano de Ciencias Forenses.
www.experticias.com
info@experticias.com Tlf 212-2660087 04143220886