Argentina: no criminalicen la investigación sobre la seguridad en el voto electrónico

Argentina está reformando su sistema de votación/electoral y está enfocada en adoptar máquinas electrónicas de votación, pero las leyes propuestas podrían poner la investigación sobre seguridad informática en riesgo.

Argentina se dirige hacia el voto electrónico

El partido de gobierno en Argentina recientemente ha introducido una nueva ley para la reforma del sistema de votación. El objetivo de esta ley es abordar varias cuestiones en el actual sistema, afrontando problemas tales como candidatos postulándose para múltiples cargos públicos, y haciendo mejoras como la introducción de debates presidenciales obligatorios y fortaleciendo los controles de la manera en que los partidos políticos son financiados. Pero la cuestión más importante pertinente a los derechos digitales es la propuesta de adopción de un sistema de votación electrónico. Si el sistema no es aplicado correctamente, la seguridad digital, transparencia, rendición de cuentasdel sistema de votación argentino estará en riesgo.

Una versión del sistema que la ley propone para las elecciones nacionales en Argentina ya está en uso en algunas jurisdicciones locales, como la provincia de Salta y la ciudad de Buenos Aires. Consiste en una terminal de votación electrónica con una pantalla táctil que graba la elección del votante en una boleta de papel equipada con un chip RFID que luego es impresa, el votante lee la opción para verificarla, dobla e introduce la boleta de papel en la urna, Al final del dia de la elección, las urnas son abiertas y la misma máquina de votación es utilizada para leer los votos RFID y grabar/imprimir una constancia con los resultados, los cuales son posteriormente transmitidos hacia un centro de datos.

¿Parece muy sencillo, verdad? Pero hay un problema, y tiene que ver con la manera en que este tipo de sistemas son probados.

Un investigador de seguridad del sistema de votación es procesado

El verano pasado, cuando la ciudad de Buenos Aires celebró elecciones locales, el investigador en seguridad Joaquin Sorianello, descubrió que loscertificados SSL que autentican las comunicaciones entre las computadoras en los lugares de votación y el centro de datos se habían filtrado en  internet debido a un error en la configuración de los servidores. Joaquin inmediatamente reportó el incidente a Magic Software Argentina, la compañía privada que ha sido contratada para proveer las máquinas y transmitir los resultados. Ya que él accedió al servidor para crear un archivo y demostrar que la  vulnerabilidad era real, la compañía presentó cargos contra él por acceso no autorizado al sistema de computadoras y daño a la propiedad. La compañía hizo esto aún sabiendo que Joaquin estaba informandoles de un serio problema de seguridad.

LLevo un año de esfuerzo en una costosa y desigual batalla legal entre Joaquin y Magic software Argentina, antes que el fiscal desestimara los cargos, reconociendo que las intenciones de Joaquin eran positivas. El quería advertir al público contra el uso de un “sistema fácilmente vulnerable”. La exoneración de Joaquin es una buena noticia pero la decisión sólo llega hasta ese punto. La propuesta del nuevo gobierno de reforma del sistema de votación facilita este tipo de procesamientos. Incluiría penas de prisión para personas como Joaquin, quienes investigan la seguridad de los sistemas de votación.

Como la ley de reforma electoral amenaza la seguridad digital

La ley de reforma electoral crea nuevos delitos para desalentar la “alteración” con el sistema de votación, usando lenguaje que falla para tener en cuenta o proteger las actividades de los investigadores en seguridad como Joaquin. Muchos investigadores han encontradovulnerabilidades en sistemas informáticos al hacer exactamente las mismas cosas que la nueva ley penalizará, como acceder a una computadora o “sistema criptográfico” sin autorización y usar boletas RFID en papel para otros propósitos que contabilizar los votos el dia de la elección. La ley incluso penalizarà un amplio y vago comportamiento como “ostentar” conocimientos sobre sistemas informáticos para inducir a las autoridades electorales a la confusión con tiempo de prisión.

Estas disposiciones representan una seria amenaza a la seguridad digital y limitan la habilidad para auditar los mecanismos electorales. La ley haría cualquier auditoría independiente del sistema extremadamente difícil, obstaculizando a rendición de cuentas.

Qué es lo que Argentina debería hacer; apoyar, no criminalizar, la investigación en seguridad

Si los legisladores en Argentina desean elecciones  seguras y confiables, necesitan asegurar que los investigadores en seguridad tienen la libertad de llevar a cabo investigaciones y reportar vulnerabilidades sin el riesgo de recibir multas, demandas o encarcelamiento. Cuando se refiere a sistemas que sustentan la democracia, no hay aspecto más importante que la seguridad digital. Las leyes criminales deben ser formuladas -o enmendadas- para que no infrinjan en la investigación en seguridad. Descubrir y reportar brechas en la seguridad no debería ser un crimen.

Ningún sistema informático es infalible. Todos dependemos de investigadores independientes en seguridad -o “hackers”- porque ellos colaboran asegurando transparencia y responsabilidad en nuestras sociedades cada vez complejas tecnológicamente. Es por eso que compañías e incluso algunos gobiernos han empezado a reconocer el valor de la investigación en seguridad independiente, y están trabajando para fomentarla.

Globalmente existen más países están utilizando la tecnología en la administración pública, en el futuro, habrá mayores oportunidades para actores con malas intenciones u otros gobiernos para secretamenteexplotar las vulnerabilidades del sistema para sus propios propósitos. Los legisladores en Argentina necesitan reconocer que los hackers como Joaquin que encuentran y reportan bugs en estos sistemas pueden ser su mejor defensa contra desastres como una violación a la privacidad o una elección robada,

El gobierno argentino necesita reconsiderar las disposiciones en la ley de reforma electoral y tomar una mirada más dura a su sistema de justicia criminal como un todo, para asegurar que las políticas públicas apoyan en lugar de criminalizar la investigación en seguridad informática. Sólo entonces la población de Argentina se beneficiará de la inclusión de la tecnología en su vida diaria, incluyendo las propuestas “actualizaciones” del sistema de votación.