Auditando el sistema de voto electrónico azuayo-ecuatoriano, o mejor enseñando a auditar

Licencia Creative Commons
Este obra está bajo una licencia Creative Commons Atribución 3.0 Ecuador.
23 de octubre de 2013


¿Qué significa Creative Commons?
      
      Significa que puede:
  • hacer obras derivadas
  • hacer un uso comercial de esta obra
     Atribución Debe reconocer los créditos de la obra de la manera especificada por el 
                                       autor o el licenciante (pero no de una manera que sugiera que tiene su 
                                       apoyo o que apoyan el uso que hace de su obra).

     
     Bueno pues, más fácil imposible.


Recomendación

Leer previamente mi blog donde detallo el sistema de votación a utiizar en la provincia de Azuay.


1. Otra vez yo

Se avecina un nuevo proceso electoral en Ecuador (febrero 2014). 
En la provincia sureña de Azuay se aplicará el sistema voto electrónico, a la totalidad del registro electoral compuesto por un poco más de seiscientos mil de electores.

Excelente oportunidad para coadyuvar buscando que este proceso llegue a feliz término, y si se descubren falencias plantearlas, en lo posible, con soluciones.

El escenario menos deseable es aquel que a pesar de hacer observaciones, no se realicen las acciones remediales.


2. Y por qué yo?

1. Profesor titular principal jubilado de UDO/UCV Venezuela
    Matemáticas y Sistemas (35 años).

2. Especialidad en auditoría de sistemas en docencia como en organizaciones externas
    venezolanas.

2. Tres títulos universitarios venezolanos registrados ante la SENESCYT
     Ingeniero opción sistemas (promedio 20 en Matemáticas)
     Contador público (mención Cum Laude y Nº 1 de la promoción general)
     Postgrado en Sistemas (Recorriendo 800 k, lunes a viernes durante dos años y medio)

3. Auditor al software adquirido por el CNE (Ecuador) para elecciones presidenciales 2013
     (único asistente a nivel nacional) 

4. Redactor de un artículo científico sobre el método de D'Hondt, con deducción de fórmulas 
    inéditas

5. Viejo (literalmente) vendedor de libros en Amazon

6. Auditor -por cuenta propia- del sistema eleccionario de Salta Argentina (noviembre 2013)
    El informe final que fue entregado al CNE (Ecuador) y TSE (Argentina) puede bajarlo haciendo clic aquí 
 

   En caso de interés bajar mi currículo haciendo clic aquí. 


QR Code



 
3. La primera lección
       Auditando el sistema de cerradura biométrica de mi casa.





La cerradura basada en la presentación del pulgar en la micro pantalla debe operar bajo las siguientes condiciones, cuando está operando correctamente.

Trabajando con Lógica Proposicional

1.  Es mi pulgar (proposición P)
2.  Abre puerta (proposición Q)


Con la siguiente tabla de verdad, entendiendo que ¬ P es la negación de P (no es mi pulgar)


    P &     Q  => Éxito
    P &  ¬Q  => Fracaso o error
 ¬ P &  ¬Q  => Éxito
 ¬ P &    Q  => Fracaso
 ¬ Q & ¬P  => Éxito


En este caso usted no percibe el éxito sino que lo ve.
Y por supuesto no acepta aproximaciones: Es o no es (Dicotomía sin lugar a dudas)


Decisión correcta
Si, usted, determina que la cerradura tiene un funcionamiento incorrecto, que es lo mismo que producción de errores, inmediatamente bloquea (que no es lo mismo que debe bloquear) el sistema.



4. La segunda lección
       Auditando el sistema de ingreso a un centro receptor del voto, basado 
       en el pulgar.


Entonces primero lo primero: ¿Qué acción debe ocurrir, en caso de éxito, o aceptamos a pie juntillas lo que nos diga el vendedor?

Sugerencias:

Silencio total (lo común)
Un beep
Una luz verde
Que muestre el nombre y apellido
Que muestre la cédula.

Antes de cualquier actividad es preciso entender un poco de base de datos (si quiere profundizar el tema puede ver mi blog de base de datos con mas de 40 mil visitas de alumnos de todo el mundo)


Premisa: La huella digital es única


Partiendo de la premisa anterior es totalmente sencillo formar un registro único compuesto por: Huella, Cédula, Nombre y Apellido




 Y por supuesto un conjunto de registros será las base de datos.

¿Entonces como mostrar el éxito?

Simple a estas alturas de Tecnologías de Información (TI), basta con que el lector de huella muestre -en el display- el número de cédula (ni más ni menos difícil que abrir la puerta).

¿Cómo se manejarían los fracasos?

Lo que diga reglamento de elecciones para el caso, que bien puede ser potestad del Presidente de la Junta receptora del voto.

No se trata de analizar el impacto de este sistema embebido en otros. Para nuestro caso está más que suficiente.


Ejemplo más avanzado



 
Depósitos en efectivo en línea, donde se escanean los billetes y se determina su valor y se acredita inmediatamente, ya funcionando en Venezuela.



5. Auditando un módulo del sistema de elecciones 
     electrónicas para Azuay 2014
       ¿Lo que veo en la pantalla es lo que está escrito en el chip, o cuál es 
         la prueba de mi éxito?


       1. Voy a trabajar con  diagramas de flujo (frías herramientas) para que cualquier
           conocedor de informática apruebe o refute lo que muestro. Demostraré que es
        posible que lo mostrado en la pantalla sea la data almacenada en la memoria del 
          computador (asumiendo que es temporal) independientemente de lo almacenado en
          el chip. Pero no quiero insinuar que eso es lo que pasa, si no que mi deber es plantear
          los posibles escenarios que puedan ocurrir y plantear la solución para que se de
          únicamente el escenario contratado o previsto.









 










   

 
       ¿Entonces cómo garantizar al sufragante que su   
     selección fue un éxito y no que solamente tenga 
     la percepción?

       Fácil en teoría, verficando que en el software no exista lo tachado (recuerde son bloques

       de instrucciones), o lo que es lo mismo que los ingenieros informáticos abran la caja negra
       y pidan o hagan las operaciones pertinentes.


       ¿Y la empresa tranquilamente deja que abran su caja negra?



       Quizá sí, quizá no. Mejor veamos algo de historia.


 

       Empresa 1

       Scytl Secure Electronic Voting
       Empresa formada a partir de la spin-off de un grupo de investigación de la 
       Universidad Autónoma de Barcelona
     
       Proporcionó el software para escrutinios finales de las elecciones presidenciales de 
       Ecuador del 2103.

       Cuando unas elecciones en el país vasco procesadas con el softawre de Scytl, se publicó el
       siguiente documento conjunto:
     



  
     De hecho participé, en solitario porque ninguna persona me acompañó, en la auditoría
     realizada en Quito - Ecuador previo a elecciones. Todos detalles puede verlos en mi blog.

     Finalmente el departamento de Marketing de Scytl, utiliza una presentación donde
     garantiza la auditoría
    





     Empresa 2
    
     Smarmatic
     Empresa que lleva el proceso eleccionario de Venezuela

     Para esta empresa el tema de auditoría al código fuente es tan normal, que lo han bajado
     del pedestal y es un tema común que lo manejan a nivel de su blog.

     
   Empresa 3

     Vot.ar
 
     En la página no se encuentra relación relativa a facilidades de auditoría, sin embargo 
     publican un reporte de prensa que puede bajar haciendo clic aquí.










   Entonces a ayudar a auditar.

     ¿Y los timestamps, qué papel juegan aquí?
   
      Nada mal saber qué datos privados se graban en el chip de la boleta única. Sería 
      muy grave que en chip vayan datos que pueden ser rastro para conocer la forma de voto.

      Si en el chip se graba un timestamp (hora del voto) será fácil determinar cómo votó un 
      elector, si se toma la hora de entrada al biombo de votación. En otras palabras se puede
      crear el vínculo voto-elector.

      No estoy insinuando que esto pase, sino que se debe auditar para que no pase.


6. Algunas inquietudes

        1. En el sistema de voto por papel, un pequeño incidente puede genera un pequeño 
            retraso mientras que en el electrónico puede significar horas.

       2. ¿Cómo un ciudadano común puede auditar el proceso, sin confiar en terceros?

       3. ¿Mi voto puede ser transmitidos a dispositivos cercanos?  


7. ¿Qué podemos tomar de las elecciones PASO 
     (Primarias Abiertas Simultáneas Obligatorias)
     que se celebraron en Salta Argentina el 6 de
     octubre de 2013, con un sistema similar?

       1. Apurar el paso en la capacitación de los electores. En las elecciones PASO, trescientos
           sesenta mil electores -equivalentes a 40%- no participaron.

        2. Tener listo un plan b.

        3. Tener un manual acciones ante incidencias.

        4. Contar con un sistema alterno a las elecciones electrónicas electrónicas

        5. Considerar que en Azuay hay para el momento aproximadamente 90.000 adultos 
            mayores de 60 años.
       
        6. Corregir en tiempo real el programa de capacitación.

        7. Cuál es la moda (en edad) de capacitados en la provincia de Azuay?

        8. ¿Cuál es el error más común que cometen los usuarios en la capacitación?

        9. Hacer auditorías funcionales, con usuarios expertos en detectar debilidades.

      10. Los tuiteros, blogueros y más son los que menos necesidad de capacitación tienen. Por
             tanto los éxitos marcados en estos ambientes no son indicadores confiables.

       11. Observar, con sentido crítico, las elecciones en Salta el 10 de noviembre de 2013,
             prueba de fuego si se quiere.

      12.  La eficacia debe estar por encima de la eficiencia, hacerlo bien antes que rápido.

      13.  Definir tiempos promedio de voto, para simular (si se quiere estocásticamente) 
             el sistema. 


8. Finalmente

       El hecho de que no conozcamos vulnerabilidades no implica que no existan o que alguien
       no las conozca. En esto de voto electrónico es menester el apoyo de todos. Un palo no 
       hace montaña.


9.  ¿Y luego de tanto teorizar cuál es mi propuesta? 


      En pocos pasos

        1. Desarrollar un concepto mejorado

        2. Que una universidad ecuatoriana lidere el desarrollo con código abierto

        3. Publicar en internet todo el código 

        4. Invitar a toda la academia glocal para que auditen en conpletitud el software

        6. Promover concursos para conseguir debilidades

        7. Compartir el software y hardware con países interesados

        
        La calidad y excelencia, que pregonan en muchas páginas web oficiales de universidades
        ecuatorianas estarán un vez más a prueba.


10. Las frías matemáticas
      Los datos primarios fueron tomados de CNE (Ecuador)


         1. ¿Cantones azuayos con mayor cantidad de
           sufragantes?






          Cuenca:     418113
          Gualaceo:    40050



         2. ¿Cuántos electores promedio por junta 
           receptora?






          Nota:  Paradójicamnte los cantones que aportan más votos, tienen las mayores 
                        cantidades de votantes promedio por mesa.

          Cuenca:      292
          Gualaceo:   290


    3. Si en del 2014 la 
       abstención promedio en la provincia es de 
      25.202706%  y en Cuenca 5%, entonces cuál será 
      abstención por cantón? 

      Respuesta: 71.61%





        Justificación:

        Universo de sufragantes azuayos:    600130
        25.202706% de abstencionistas:       151249 total provincial                     
      
        5% abstencionistas en Cuenca:            20906 total cantón Cuenca

        En el resto de la provincia:                 130343 abstencionistas que se repartirán
                                                                                                 uniformemente en el resto de la 
                                                                                                 provincia.
     
     Población restante:                             600130 - 418130 = 182017 en la que se producirán 
                                                                       130343 abstenciones.


       Porcentaje de abstención 
       en el resto de la provincia:                    130343/182017 = 71.61%
    

      Un aparente éxito de la capacitación en el cantón Cuenca puede convertirse en un 
       búmeran. No se trata de desmerecer a grupos que ponen el hombro para que todo sea un
       éxito, simplemente alerto de posibles indeseables escenarios, para cuando estimen
       necesario hacer los correctivos pertinentes. Juego al éxito con conocimiento, no hay otra.


4. ¿Cual es el punto de quiebre, en otras palabras   
       cuál es el tiempo promedio máximo permitido 
       para que el sistema pueda atender a todos los
       votantes en un lapso de 10 horas, con todos las 
       máquinas operativas y con cero ocio de ellas y
       asumiendo una máquina por junta receptora?


          Respuesta: 123 segundos (Cálculos propios)


5. ¿Si el tiempo promedio estuviera por encima de 
       123 segundos, cuál cantón se verá afectado de 
       primero y cuál de último?

       Respuesta: Primer afectado:   Cuenca
                                  Último afectado:   Sevilla de Oro (que puede soportar un tiempo 
                                                                      promedio máximo de 173 segundos)
 

  La veeduría en sí. 

1.   La inscripción como veedor.
      Luego de la inscripción ante el CNE, llamadas, cartas y mediaciones del Consejo de 
      Participacion Ciudadana y Control Social (CPCCS)

2.   Reunión de veedores. Fui nombrado vocero de los veedores.

3.   Definición de planes de trabajo y lapso de la veeduría. Bajar el informe #1 haciendo clic 
      aquí. 

4.   Comprobación de la legalidad del proceso, que debe ser ajustado a la Constitución y a las
      leyes. Bajar informe #2 haciendo clic aquí.

5.   Análisis del reglamento del Voto Electrónico en sintonía con la Constitución y el Código de
       la Democracia. Bajar el informe #3 haciendo clic aquí. 

6.   Solicitud de información a fin de proseguir con la labor de veeduría. Bajar el informe #4
      haciendo clic aquí. 

7.   Análisis de la seguridad de la Boleta Electoral Única. Bajar el informe #5 haciendo clic 
       aquí.

8.   Reclamo por la no invitación a los simulacros de voto elrctrónico. Bajar el informe #6
      haciendo clic aquí.

9.   Análisis de la capacitación física y virtual. Bajar el informe #7 haciendo clic aquí.

10. Solicitud de información (planes de contingencia, capacitación, etc). Bajar el informe
      #8 haciendo clic aquí. 

11.  Observación de la capacitación física y virtual. Bajar el informe #9 haciendo clic aquí.

12.  Definición de nuevo cronograma. Bajar el informe #10 haciendo clic aquí.

13.  Análisis del segundo simulacro. Bajar el informe #11 haciendo clic aquí.

       Fue una fiesta, o por lo menos así me pareció. Puede ver las fotos haciendo clic aquí.

14. Análisis del instructivo para el día de elecciones. Bajar el informe #12 haciendo clic aquí

15. Análisis de puntos faltantes antes de elecciones. Bajar el informe #13 haciendo clic aquí. 

16. Todo llega a su final. Despedida antes de elecciones. Bajar el informe #14 haciendo clic 
       aquí. 

17. PUNTO FINAL.  La satisfacción del deber cumplido. Bajar informe final #15 haciendo clic 
     aquí.



      Los comentarios relativos al tema, en este post no 
     son moderados.




7 comentarios:

  1. Este comentario ha sido eliminado por un administrador del blog.

    ResponderEliminar
  2. Está muy interesante el análisis que haces acá. Te comento algunas impresiones adicionales mías, que espero te sean de utilidad.

    Con respecto a que si la información mostrada corresponde a la del chip o a la de la memoria, creo que eso lo resuelve el sistema permitiendo que leas el chip en cualquier otra máquina del mismo recinto de votación, lo cual da un poco más de tranquilidad.

    Hay sin embargo dos detalles con los que creo que se debe tener cuidado, uno de orden técnico y otro más asociado a procedimientos:

    1. ¿Sería posible que un chip esté programado para decirme una cosa durante la verificación y otra distinta durante el escrutinio? Explico: Yo voto por la opción A, el chip guarda (voto emitido: A, voto registrado: B). Cuando verifico el chip (teniendo la máquina en modo "votación") me dice correctamente "Opción A". Sin embargo, al leerlo en modo "escrutinio" arroja "Opción B" y es ésta la que se suma. Entiendo que si la boleta tiene impresa la información puede mitigarse este riesgo, pero no deja de ser un detalle a tomar en cuenta.

    2. Entiendo que la máquina permite (y es una de las bondades que ofrecen en el website del fabricante) que en caso de que un elector se equivoque y se de cuenta de ello al momento de imprimir o verificar la boleta, ésta se destruya y se le permita votar de nuevo. Esto no afectaría el escrutinio porque los datos no se guardan en el "disco duro" de la máquina hasta que se cierre el proceso de votación al final del día de la elección. Sin embargo esto me crea una duda, que tiene que ver con el mantenimiento de la cadena de custodia del voto: Qué ocurre si al final del día de votación, se abre la urna donde se resguardan los votos y se procede a "destruir" algunos que se quieran cambiar, y a emitir otros para sustituirlos (digamos que destruyo 10 votos por la Opción A, y emito 10 nuevos votos por la Opción B). Posteriormente paso a modo "escrutinio", y cuento los votos que quedan. La cantidad total de votos coincidirá con la cantidad total de electores, sin embargo, el resultado se verá alterado, sin que quede ninguna traza de ello. Hay alternativas para contrarrestar esto de manera efectiva?

    Espero que mis comentarios hayan sido de utilidad. En mi blog tengo unos artículos acerca de las auditorías de código fuente, y cadena de custodia del voto, así como acerca de destrucción y sustitución/alteración de votos.

    Saludos!

    ResponderEliminar
    Respuestas
    1. Hola Rui

      Como te comenté, fue imposible abrir el blogger en Argentina, debido a que la clave de validación -por abrir el blog para edición en una localización diferente a la frecuente- me la enviaban a un teléfono de Ecuador.

      Tus comentarios me son de extrema utilidad, sobre todo por tu experticia en sistemas de este tipo. En este asunto no siempre es fácil transmitir en solitario, porque las cosas que se plantean no siempre parecen creibles y hay que reiterarlo permanentemente.

      El haber vivido en Salta el proceso a replicar en Azuay, me permite -justo en este momento (23/11 10.00 a.m.) estoy haciendo el informe de auditoría- proponer remedios en casos y reforzar lo bueno. Tus sugerencias las tomaré para el tema de custodia del voto, sobre todo, donde me parece hay que regorzar.

      Sigo tu blog desde hace tiempo y me gustan los sistemas donde hasta "la abuelita pueda auditar", que es tu parecer.

      Un abrazo Rui y apenas tenga el informe te lo enviaré a tu mail.

      Buen camino

      Bolívar

      Eliminar
  3. Leyendo El Articulo, como hace la observacion , como se podria garantizar que los chips sean completamente virgenes.. y almacenen unicamente los votos, ademas garantizar igual q el momento de insertarlas en las maquinas , La maquina al detectar este chip no lo escriba previamente??

    ResponderEliminar
  4. Gracias CXHsistem.

    !Tremenda pregunta!

    La incluiré en mi observancia como veedor social. Pero la gran duda que tengo es qué es lo que muestra la máquina cuando el sufragante la acerca al lector, ¿lo de la RAM, o lo del Chip? y al respecto haremos funcionalidad de caja negra.

    Su observación alarga mi camino

    Un abrazo y buen camino


    ResponderEliminar
  5. LogoMantenimiento contadoras de billetes y monedas Bienvenidos a cash machines service, aquí usted encontrará soluciones de mantenimiento para sus equipos de conteo de efectivo.

    ResponderEliminar
  6. LogoMantenimiento contadoras de billetes y monedasBienvenidos a cash machines service, aquí usted encontrará soluciones de mantenimiento para sus equipos de conteo de efectivo.

    ResponderEliminar