Este obra está bajo una licencia Creative Commons Atribución 3.0 Ecuador.
23 de octubre de 2013
¿Qué significa Creative Commons?
Significa que puede:
- Compartir - copiar, distribuir, ejecutar y comunicar públicamente la obra
- hacer obras derivadas
- hacer un uso comercial de esta obra
autor o el licenciante (pero no de una manera que sugiera que tiene su
apoyo o que apoyan el uso que hace de su obra).
Bueno pues, más fácil imposible.
Recomendación
Leer previamente mi blog donde detallo el sistema de votación a utiizar en la provincia de Azuay.
1. Otra vez yo
Se avecina un nuevo proceso electoral en Ecuador (febrero 2014).
En la provincia sureña de Azuay se aplicará el sistema voto electrónico, a la totalidad del registro electoral compuesto por un poco más de seiscientos mil de electores.
Excelente oportunidad para coadyuvar buscando que este proceso llegue a feliz término, y si se descubren falencias plantearlas, en lo posible, con soluciones.
El escenario menos deseable es aquel que a pesar de hacer observaciones, no se realicen las acciones remediales.
2. Y por qué yo?
1. Profesor titular principal jubilado de UDO/UCV Venezuela
Matemáticas y Sistemas (35 años).
2. Especialidad en auditoría de sistemas en docencia como en organizaciones externas
venezolanas.
2. Tres títulos universitarios venezolanos registrados ante la SENESCYT
Ingeniero opción sistemas (promedio 20 en Matemáticas)
Contador público (mención Cum Laude y Nº 1 de la promoción general)
Postgrado en Sistemas (Recorriendo 800 k, lunes a viernes durante dos años y medio)
3. Auditor al software adquirido por el CNE (Ecuador) para elecciones presidenciales 2013
(único asistente a nivel nacional)
4. Redactor de un artículo científico sobre el método de D'Hondt, con deducción de fórmulas
inéditas
5. Viejo (literalmente) vendedor de libros en Amazon
6. Auditor -por cuenta propia- del sistema eleccionario de Salta Argentina (noviembre 2013)
El informe final que fue entregado al CNE (Ecuador) y TSE (Argentina) puede bajarlo haciendo clic aquí
En caso de interés bajar mi currículo haciendo clic aquí.
3. La primera lección
Auditando el sistema de cerradura biométrica de mi casa.
La cerradura basada en la presentación del pulgar en la micro pantalla debe operar bajo las siguientes condiciones, cuando está operando correctamente.
Trabajando con Lógica Proposicional
1. Es mi pulgar (proposición P)
2. Abre puerta (proposición Q)
Con la siguiente tabla de verdad, entendiendo que ¬ P es la negación de P (no es mi pulgar)
P & Q => Éxito
P & ¬Q => Fracaso o error
¬ P & ¬Q => Éxito
¬ P & Q => Fracaso
¬ Q & ¬P => Éxito
En este caso usted no percibe el éxito sino que lo ve.
Y por supuesto no acepta aproximaciones: Es o no es (Dicotomía sin lugar a dudas)
Decisión correcta
Si, usted, determina que la cerradura tiene un funcionamiento incorrecto, que es lo mismo que producción de errores, inmediatamente bloquea (que no es lo mismo que debe bloquear) el sistema.
4. La segunda lección
Auditando el sistema de ingreso a un centro receptor del voto, basado
en el pulgar.
Entonces primero lo primero: ¿Qué acción debe ocurrir, en caso de éxito, o aceptamos a pie juntillas lo que nos diga el vendedor?
Sugerencias:
Silencio total (lo común)
Un beep
Una luz verde
Que muestre el nombre y apellido
Que muestre la cédula.
Antes de cualquier actividad es preciso entender un poco de base de datos (si quiere profundizar el tema puede ver mi blog de base de datos con mas de 40 mil visitas de alumnos de todo el mundo)
Premisa: La huella digital es única
Partiendo de la premisa anterior es totalmente sencillo formar un registro único compuesto por: Huella, Cédula, Nombre y Apellido
Y por supuesto un conjunto de registros será las base de datos.
¿Entonces como mostrar el éxito?
Simple a estas alturas de Tecnologías de Información (TI), basta con que el lector de huella muestre -en el display- el número de cédula (ni más ni menos difícil que abrir la puerta).
¿Cómo se manejarían los fracasos?
Lo que diga reglamento de elecciones para el caso, que bien puede ser potestad del Presidente de la Junta receptora del voto.
No se trata de analizar el impacto de este sistema embebido en otros. Para nuestro caso está más que suficiente.
Ejemplo más avanzado
Depósitos en efectivo en línea, donde se escanean los billetes y se determina su valor y se acredita inmediatamente, ya funcionando en Venezuela.
5. Auditando un módulo del sistema de elecciones
electrónicas para Azuay 2014
¿Lo que veo en la pantalla es lo que está escrito en el chip, o cuál es
la prueba de mi éxito?
1. Voy a trabajar con diagramas de flujo (frías herramientas) para que cualquier
conocedor de informática apruebe o refute lo que muestro. Demostraré que es
posible que lo mostrado en la pantalla sea la data almacenada en la memoria del
computador (asumiendo que es temporal) independientemente de lo almacenado en
el chip. Pero no quiero insinuar que eso es lo que pasa, si no que mi deber es plantear
los posibles escenarios que puedan ocurrir y plantear la solución para que se de
únicamente el escenario contratado o previsto.
¿Entonces cómo garantizar al sufragante que su
selección fue un éxito y no que solamente tenga
la percepción?
Fácil en teoría, verficando que en el software no exista lo tachado (recuerde son bloques
de instrucciones), o lo que es lo mismo que los ingenieros informáticos abran la caja negra
y pidan o hagan las operaciones pertinentes.
¿Y la empresa tranquilamente deja que abran su caja negra?
Quizá sí, quizá no. Mejor veamos algo de historia.
Empresa 1
Scytl Secure Electronic Voting
Empresa formada a partir de la spin-off de un grupo de investigación de la
Universidad Autónoma de Barcelona
Proporcionó el software para escrutinios finales de las elecciones presidenciales de
Ecuador del 2103.
Cuando unas elecciones en el país vasco procesadas con el softawre de Scytl, se publicó el
siguiente documento conjunto:
De hecho participé, en solitario porque ninguna persona me acompañó, en la auditoría
realizada en Quito - Ecuador previo a elecciones. Todos detalles puede verlos en mi blog.
Finalmente el departamento de Marketing de Scytl, utiliza una presentación donde
garantiza la auditoría
Empresa 2
Smarmatic
Empresa que lleva el proceso eleccionario de Venezuela
Para esta empresa el tema de auditoría al código fuente es tan normal, que lo han bajado
del pedestal y es un tema común que lo manejan a nivel de su blog.
Empresa 3
Vot.ar
En la página no se encuentra relación relativa a facilidades de auditoría, sin embargo
publican un reporte de prensa que puede bajar haciendo clic aquí.
¿Y los timestamps, qué papel juegan aquí?
Nada mal saber qué datos privados se graban en el chip de la boleta única. Sería
muy grave que en chip vayan datos que pueden ser rastro para conocer la forma de voto.
Si en el chip se graba un timestamp (hora del voto) será fácil determinar cómo votó un
elector, si se toma la hora de entrada al biombo de votación. En otras palabras se puede
crear el vínculo voto-elector.
No estoy insinuando que esto pase, sino que se debe auditar para que no pase.
6. Algunas inquietudes
1. En el sistema de voto por papel, un pequeño incidente puede genera un pequeño
retraso mientras que en el electrónico puede significar horas.
2. ¿Cómo un ciudadano común puede auditar el proceso, sin confiar en terceros?
3. ¿Mi voto puede ser transmitidos a dispositivos cercanos?
7. ¿Qué podemos tomar de las elecciones PASO
(Primarias Abiertas Simultáneas Obligatorias)
que se celebraron en Salta Argentina el 6 de
octubre de 2013, con un sistema similar?
1. Apurar el paso en la capacitación de los electores. En las elecciones PASO, trescientos
sesenta mil electores -equivalentes a 40%- no participaron.
2. Tener listo un plan b.
3. Tener un manual acciones ante incidencias.
4. Contar con un sistema alterno a las elecciones electrónicas electrónicas
5. Considerar que en Azuay hay para el momento aproximadamente 90.000 adultos
mayores de 60 años.
6. Corregir en tiempo real el programa de capacitación.
7. Cuál es la moda (en edad) de capacitados en la provincia de Azuay?
8. ¿Cuál es el error más común que cometen los usuarios en la capacitación?
9. Hacer auditorías funcionales, con usuarios expertos en detectar debilidades.
10. Los tuiteros, blogueros y más son los que menos necesidad de capacitación tienen. Por
tanto los éxitos marcados en estos ambientes no son indicadores confiables.
11. Observar, con sentido crítico, las elecciones en Salta el 10 de noviembre de 2013,
prueba de fuego si se quiere.
12. La eficacia debe estar por encima de la eficiencia, hacerlo bien antes que rápido.
13. Definir tiempos promedio de voto, para simular (si se quiere estocásticamente)
el sistema.
8. Finalmente
El hecho de que no conozcamos vulnerabilidades no implica que no existan o que alguien
no las conozca. En esto de voto electrónico es menester el apoyo de todos. Un palo no
hace montaña.
9. ¿Y luego de tanto teorizar cuál es mi propuesta?
En pocos pasos
1. Desarrollar un concepto mejorado
2. Que una universidad ecuatoriana lidere el desarrollo con código abierto
3. Publicar en internet todo el código
4. Invitar a toda la academia glocal para que auditen en conpletitud el software
6. Promover concursos para conseguir debilidades
7. Compartir el software y hardware con países interesados
La calidad y excelencia, que pregonan en muchas páginas web oficiales de universidades
ecuatorianas estarán un vez más a prueba.
10. Las frías matemáticas
Los datos primarios fueron tomados de CNE (Ecuador)
1. ¿Cantones azuayos con mayor cantidad de
sufragantes?
Cuenca: 418113
Gualaceo: 40050
2. ¿Cuántos electores promedio por junta
receptora?
Nota: Paradójicamnte los cantones que aportan más votos, tienen las mayores
cantidades de votantes promedio por mesa.
Cuenca: 292
Gualaceo: 290
3. Si en
abstención promedio en la provincia es de
25.202706% y en Cuenca 5%, entonces cuál será
abstención por cantón?
Respuesta: 71.61%
Justificación:
Universo de sufragantes azuayos: 600130
25.202706% de abstencionistas: 151249 total provincial
5% abstencionistas en Cuenca: 20906 total cantón Cuenca
En el resto de la provincia: 130343 abstencionistas que se repartirán
uniformemente en el resto de la
provincia.
Población restante: 600130 - 418130 = 182017 en la que se producirán
130343 abstenciones.
Porcentaje de abstención
en el resto de la provincia: 130343/182017 = 71.61%
Un aparente éxito de la capacitación en el cantón Cuenca puede convertirse en un
búmeran. No se trata de desmerecer a grupos que ponen el hombro para que todo sea un
éxito, simplemente alerto de posibles indeseables escenarios, para cuando estimen
necesario hacer los correctivos pertinentes. Juego al éxito con conocimiento, no hay otra.
4. ¿Cual es el punto de quiebre, en otras palabras
cuál es el tiempo promedio máximo permitido
para que el sistema pueda atender a todos los
votantes en un lapso de 10 horas, con todos las
máquinas operativas y con cero ocio de ellas y
asumiendo una máquina por junta receptora?
Respuesta: 123 segundos (Cálculos propios)
5. ¿Si el tiempo promedio estuviera por encima de
123 segundos, cuál cantón se verá afectado de
primero y cuál de último?
Respuesta: Primer afectado: Cuenca
Último afectado: Sevilla de Oro (que puede soportar un tiempo
promedio máximo de 173 segundos)
La veeduría en sí.
1. La inscripción como veedor.
Luego de la inscripción ante el CNE, llamadas, cartas y mediaciones del Consejo de
Participacion Ciudadana y Control Social (CPCCS)
2. Reunión de veedores. Fui nombrado vocero de los veedores.
3. Definición de planes de trabajo y lapso de la veeduría. Bajar el informe #1 haciendo clic
aquí.
4. Comprobación de la legalidad del proceso, que debe ser ajustado a la Constitución y a las
leyes. Bajar informe #2 haciendo clic aquí.
5. Análisis del reglamento del Voto Electrónico en sintonía con la Constitución y el Código de
la Democracia. Bajar el informe #3 haciendo clic aquí.
6. Solicitud de información a fin de proseguir con la labor de veeduría. Bajar el informe #4
haciendo clic aquí.
7. Análisis de la seguridad de la Boleta Electoral Única. Bajar el informe #5 haciendo clic
aquí.
8. Reclamo por la no invitación a los simulacros de voto elrctrónico. Bajar el informe #6
haciendo clic aquí.
9. Análisis de la capacitación física y virtual. Bajar el informe #7 haciendo clic aquí.
10. Solicitud de información (planes de contingencia, capacitación, etc). Bajar el informe
#8 haciendo clic aquí.
11. Observación de la capacitación física y virtual. Bajar el informe #9 haciendo clic aquí.
12. Definición de nuevo cronograma. Bajar el informe #10 haciendo clic aquí.
13. Análisis del segundo simulacro. Bajar el informe #11 haciendo clic aquí.
Fue una fiesta, o por lo menos así me pareció. Puede ver las fotos haciendo clic aquí.
14. Análisis del instructivo para el día de elecciones. Bajar el informe #12 haciendo clic aquí.
15. Análisis de puntos faltantes antes de elecciones. Bajar el informe #13 haciendo clic aquí.
16. Todo llega a su final. Despedida antes de elecciones. Bajar el informe #14 haciendo clic
aquí.
17. PUNTO FINAL. La satisfacción del deber cumplido. Bajar informe final #15 haciendo clic
aquí.
Los comentarios relativos al tema, en este post no
son moderados.
Este comentario ha sido eliminado por un administrador del blog.
ResponderEliminarEstá muy interesante el análisis que haces acá. Te comento algunas impresiones adicionales mías, que espero te sean de utilidad.
ResponderEliminarCon respecto a que si la información mostrada corresponde a la del chip o a la de la memoria, creo que eso lo resuelve el sistema permitiendo que leas el chip en cualquier otra máquina del mismo recinto de votación, lo cual da un poco más de tranquilidad.
Hay sin embargo dos detalles con los que creo que se debe tener cuidado, uno de orden técnico y otro más asociado a procedimientos:
1. ¿Sería posible que un chip esté programado para decirme una cosa durante la verificación y otra distinta durante el escrutinio? Explico: Yo voto por la opción A, el chip guarda (voto emitido: A, voto registrado: B). Cuando verifico el chip (teniendo la máquina en modo "votación") me dice correctamente "Opción A". Sin embargo, al leerlo en modo "escrutinio" arroja "Opción B" y es ésta la que se suma. Entiendo que si la boleta tiene impresa la información puede mitigarse este riesgo, pero no deja de ser un detalle a tomar en cuenta.
2. Entiendo que la máquina permite (y es una de las bondades que ofrecen en el website del fabricante) que en caso de que un elector se equivoque y se de cuenta de ello al momento de imprimir o verificar la boleta, ésta se destruya y se le permita votar de nuevo. Esto no afectaría el escrutinio porque los datos no se guardan en el "disco duro" de la máquina hasta que se cierre el proceso de votación al final del día de la elección. Sin embargo esto me crea una duda, que tiene que ver con el mantenimiento de la cadena de custodia del voto: Qué ocurre si al final del día de votación, se abre la urna donde se resguardan los votos y se procede a "destruir" algunos que se quieran cambiar, y a emitir otros para sustituirlos (digamos que destruyo 10 votos por la Opción A, y emito 10 nuevos votos por la Opción B). Posteriormente paso a modo "escrutinio", y cuento los votos que quedan. La cantidad total de votos coincidirá con la cantidad total de electores, sin embargo, el resultado se verá alterado, sin que quede ninguna traza de ello. Hay alternativas para contrarrestar esto de manera efectiva?
Espero que mis comentarios hayan sido de utilidad. En mi blog tengo unos artículos acerca de las auditorías de código fuente, y cadena de custodia del voto, así como acerca de destrucción y sustitución/alteración de votos.
Saludos!
Hola Rui
EliminarComo te comenté, fue imposible abrir el blogger en Argentina, debido a que la clave de validación -por abrir el blog para edición en una localización diferente a la frecuente- me la enviaban a un teléfono de Ecuador.
Tus comentarios me son de extrema utilidad, sobre todo por tu experticia en sistemas de este tipo. En este asunto no siempre es fácil transmitir en solitario, porque las cosas que se plantean no siempre parecen creibles y hay que reiterarlo permanentemente.
El haber vivido en Salta el proceso a replicar en Azuay, me permite -justo en este momento (23/11 10.00 a.m.) estoy haciendo el informe de auditoría- proponer remedios en casos y reforzar lo bueno. Tus sugerencias las tomaré para el tema de custodia del voto, sobre todo, donde me parece hay que regorzar.
Sigo tu blog desde hace tiempo y me gustan los sistemas donde hasta "la abuelita pueda auditar", que es tu parecer.
Un abrazo Rui y apenas tenga el informe te lo enviaré a tu mail.
Buen camino
Bolívar
Leyendo El Articulo, como hace la observacion , como se podria garantizar que los chips sean completamente virgenes.. y almacenen unicamente los votos, ademas garantizar igual q el momento de insertarlas en las maquinas , La maquina al detectar este chip no lo escriba previamente??
ResponderEliminarGracias CXHsistem.
ResponderEliminar!Tremenda pregunta!
La incluiré en mi observancia como veedor social. Pero la gran duda que tengo es qué es lo que muestra la máquina cuando el sufragante la acerca al lector, ¿lo de la RAM, o lo del Chip? y al respecto haremos funcionalidad de caja negra.
Su observación alarga mi camino
Un abrazo y buen camino
Este comentario ha sido eliminado por un administrador del blog.
ResponderEliminarEste comentario ha sido eliminado por un administrador del blog.
ResponderEliminar