El acto fue formal pero sin ceremonias. El viernes pasado, uno a uno, los técnicos de los partidos fueron llamados a firmar el acta de cierre de la que fue una de las auditorías más importantes al nuevo sistema automatizado de votación.

Al dejar constancia de su conformidad con las pruebas realizadas, a la nueva máquina de votación y a su software, los representantes de las organizaciones que están participando en la contienda electoral también certificaron que en Venezuela están a buen resguardo principios fundamentales del derecho al sufragio: El voto es secreto, no puede ser cambiado; a un elector solo corresponde un sufragio; los resultados son expresión fiel de las voluntades expresadas en el acto de votación.

Esta no es una mera declaración formal. La constatación de que las máquinas de votación cumplen con estos principios fue realizada por técnicos de 17 partidos políticos, algunos de los cuales actuaron en nombre de sus alianzas electorales. De ellos, 10 son organizaciones de oposición. También participaron representantes de dos organizaciones indígenas.

Allí estuvieron Copei, Pro ciudadanos, Psuv, Alianza para el Cambio, el MAS, Somos Venezuela, ORA, PPT, Podemos, Unión Progreso, Soluciones, UPP89, UPV, Voluntad Popular Activistas, Cambiemos, Avanzada Progresista y Venezuela Unida, así como Conive y la Cátedra Guaicaipuro.

Esta auditoría contó con el acompañamiento internacional de técnicos del Consejo de Expertos Electorales de Latino América (Ceela); de la República Argentina; del Consejo Supremo Electoral de Turquía; de la Comisión Electoral Central de Rusia y de la Comisión Electoral de Sudáfrica. Debido a la pandemia, estos expertos participaron en la auditoría a través de videoconferencias, aunque la mayoría ha participado en misiones electorales de acompañamiento técnico en eventos anteriores.

El inicio de un proceso de 90 días

La auditoría del software de la máquina duró dos semanas, entre el lunes 12 y el viernes 23 de octubre. Ella fue la primera de trece revisiones que se hacen al sistema automatizado de votación y que estarán desarrollándose hasta después del evento comicial.

Voceros de la oposición extremista han asegurado que no existen condiciones para la realización de estas elecciones, pues aseguran que auditar este nuevo sistema automatizado de votación requeriría de un lapso de seis meses para verificar con exactitud su confiabilidad y transparencia.

Especialistas del área desechan tal aseveración. “Esos son argumentos sin ningún fundamento”, aseguró un técnico informático que ha participado en las auditorías desde hace 16 años. “En el 2004 el sistema se auditó en 22 días y ahora la revisión a todos los componentes tarda por lo menos dos meses y medio”, dijo, al recordar que la última auditoría terminará el 21 de enero del año próximo, lo que sumará algo más de tres meses de verificaciones.

Ciertamente, las auditorías realizadas en el año 2004 –cuando se instaló el sistema automatizado- no solo fueron avaladas, sin objeción, por los técnicos de los partidos políticos que participaron en ella, sino también por las misiones de observación electoral de la Organización de Estados Americanos (OEA) y el Centro Carter, aliados ya en ese entonces con sectores de la oposición.

La auditoría que terminó el viernes no fue un acto secreto. De hecho, para conocer lo que allí sucedió, pueden consultarse las actas ( http://cne.gob.ve/web/normativa_electoral/elecciones/2020/asamblea_nacional/index_elecciones_asamblea_nacional_2020_principal.php) que se encuentran archivadas en la página oficial del CNE, donde también pueden verse los videos en los que se registra lo que sucedió cada día de esta revisión, y a los que se accede a través del canal CNETV. ( http://vod.streamingconnect.tv/cnetv/user/ )

Cómo fue la auditoría

El eje central de la auditoría del software de la máquina de votación es la revisión de los códigos fuentes de todos los módulos que lo componen.

El término software se refiere, en general, a un conjunto de programas informáticos que sirven para ejecutar determinadas operaciones en una computadora, mientras que los módulos son partes de esos programas, donde se ejecutan tareas necesarias para que aquellos cumplan con su función. 

En el caso del código fuente, éste es el corazón del programa o módulo porque contiene el conjunto de instrucciones para que cumpla con su objetivo.

En el caso de la máquina de votación, la revisión busca precisar que las instrucciones de los códigos fuentes de los módulos de los programas estén escritas de tal manera que: 1) no haya relación entre la identificación del elector y el voto; 2) que ese voto se registra tal como fue emitido y no puede ser cambiado; 3) que es sumado correctamente y transmitido sin distorsiones.

Y allí pusieron su atención los técnicos de los partidos. Este es un resumen de solo algunos de los eventos más importantes que se produjeron durante esta auditoría.

Para hacer sus comprobaciones, el primer día de auditoría fue de preparación. De acuerdo con lo contenido en las actas, ese lunes 12 de octubre, los técnicos del CNE prepararon, frente a los auditores de los partidos, la computadora en la que se realizarían las pruebas y procedieron a generar las claves que, a partir de ese día, protegerían los códigos fuentes que habrían de ser revisados.

¿Con cuál propósito? Con el propósito de garantizar que, en cada jornada, se revise exactamente el mismo código fuente que fue presentado el primer día, y evitar así modificaciones, antes o después de esta auditoría.

Esta es una clave segmentada y compartida, que se construye con la suma de los segmentos de cada partido y del CNE. Ello significa que para modificar cualquiera de esos códigos fuentes se requeriría que todos los que participan estén de acuerdo.

Esta medida de seguridad se hizo con el método conocido como Hash que sirve para generar claves que representan de manera casi unívoca a un documento, registro o archivo. De acuerdo con el libro Auditorías al Sistema Automatizado de Votación Venezolano, editado por el CNE, una función hash “es una operación que se realiza sobre un conjunto de datos de cualquier tamaño, de tal forma que se obtiene como resultado otro conjunto de datos… (que) tiene la propiedad de estar asociado unívocamente a los datos iniciales. Es decir, resulta prácticamente imposible encontrar dos mensajes distintos que tengan un resumen hash idéntico”.

Quienes siguieron la transmisión televisada de la auditoría pudieron ver, entonces, cómo fueron pasando por la computadora, rodeada de una mampara improvisada para garantizar la privacidad, cada uno de los 17 técnicos que ingresaron su segmento de la clave. A ellos se sumó también el representante del CNE, al que correspondió el segmento institucional.

A partir de allí, cada jornada se inició con la revisión de los Hash para comprobar que se revisaría lo que se protegió el primer día.

El primer módulo revisado por los auditores fue el de votación para verificar cómo se crea y almacena un voto de forma segura, a fin de mantener el secreto del voto y que no pueda establecerse la secuencia del voto, es decir que no se sepa cómo votó determinado elector.

En los primeros días también se revisó parte de la seguridad del software en lo relativo al inicio de trabajo de la máquina, lo que incluyó la verificación de la integridad de los archivos y las bases de datos.

También se examinaron los protocolos para un eventual reemplazo de la máquina o de la memoria removible –que sirve de dispositivo de contingencia en caso de impedimento para transmitir desde la máquina- para asegurar que pueden realizarse solo con dispositivos autorizados. Los técnicos del CNE recordaron que la máquina de votación no reconoce dispositivos no autorizados que puedan ser conectados a cualquiera de sus ocho puertos.

Una de las jornadas más importantes de esta auditoría fue la realizada el 15 de octubre, cuando los auditores de los partidos solicitaron la revisión del código fuente del módulo de seguridad del software, en el que se encuentran los mecanismos para garantizar la integridad y confiabilidad de los datos, el secreto del voto, así como la clave compartida.

Según el acta de ese día, los técnicos hicieron la verificación de siete elementos en este código fuente. La asociación de las bases de datos durante la instalación de la máquina, para evitar que se cambie o manipule la información; cómo se obtiene la información desde estas bases de datos; cómo se calcula el código de autenticación entre la activación de la máquina y los archivos de huellas que son capturadas en la autenticación para verificar que no haya secuencias.

También se revisó cómo se crea y se cifran los datos que son transmitidos al centro de totalización para verificar si el software utiliza algoritmos éstandar y cómo se calcula el código de autenticación de la información que se muestra en el código QR del acta, que es una función nueva del software.

Al día siguiente, el 16 de octubre, los auditores de los partidos examinaron la máquina de votación, la cual fue desarmada para la revisión. En esta prueba se evidenció que ningún componente se puede conectar a una red inalámbrica o cualquier otra. Es decir “no tiene interfaz de red inalámbrica o cualquier otro dispositivo de comunicación diseñado en la tarjeta”.

Asimismo se verificó que es de tecnología abierta por lo que no contiene componentes que solo existan para esta máquina de votación; que la impresora permite realizar gran cantidad de impresiones, y que el dispositivo biométrico solo captura huellas y no las procesa, pues esto corresponde al software de la máquina, entre otros elementos de interés.

El último día de auditoría, el 23 de octubre, entre otras tareas, los auditores realizaron la revisión del código fuente de la herramienta que se encarga de transmitir la información de la memoria removible en aquellos casos en los que, por problemas de conexión, la misma no pueda enviarse desde la máquina de votación. También se comprobó la imposibilidad de que la información que va a trasmitirse no puede ser alterada.

Al final, los técnicos simularon un acto de votación para ver el funcionamiento completo del software.

En esta auditoría participaron técnicos con larga experiencia en revisiones electorales, tal como José Villarroel, del Psuv, así como también profesionales informáticos, como el auditor de Avanzada Progresista, Jaime Parada, profesor universitario cuyo perfil de Linkedin asegura que es profesional en ciberseguridad con 18 años de experiencia en investigación y diagnóstico de problemas de seguridad.

Para verificar que el software certificado será el mismo que se utilice el próximo seis de diciembre, los auditores revisarán la producción de máquinas de votación en otra auditoría que se iniciará el próximo 11 de noviembre.

(LaIguana.TV / Taynem Hernández)