Esta semana se ha dado publicidad a una iniciativa provocadora: la llamadaDemocracia 4.0. En breve: se trata de que todo ciudadano tenga acceso, por voto directo, electrónico y remoto, a una cuota uniforme y proporcional de decisión que pueda, potencialmente, alterar el resultado de cualquier votación realizada en sede parlamentaria. El punto de partida, el aumento de la capacidad del ciudadano para influir en política, es incuestionable. La idea, en su conjunto, está infestada de problemas que quienes compartimos inclinaciones tecnofílicas (dicho así parece una desviación sexual) tendemos a soslayar con tecnicismos y acentuados gestos manuales. Pero una crítica de esta idea y de otras que surgirán no solo es deseable, sino imprescindible. Precisamente porque la democracia no debe ser un juguete en manos de tecnócratas, aunque esos tecnócratas sean “de los míos”.
Reconozco que la primera impresión que tuve al visitar la web de Democracia 4.0 fue de pánico. ¿Voto electrónico “ya”? Me recordó al típico requisito de cliente con el que todos los que trabajamos en el sector de la informática nos hemos encontrado alguna vez —y también alguna vez a la semana. Algo fácil de decir, dificilísimo de hacer y con implicaciones profundas y poco exploradas para el conjunto del proyecto. Aquí el proyecto es nada menos que la expresión del poder ciudadano: es difícil tomarse a la ligera algo así, y sin embargo… La página de fundamentos legales de Democracia 4.0 es interesante, pero refuerza mi convicción de que la petición no surge de alguien con gran capacidad de análisis técnico. Las bases de derecho pueden ser incuestionables, pero aquí el diablo está en los detalles de implementación. ¿Cuáles? “Sin duda el voto electrónico tiene que ser más eficiente, más inclusivo y más barato que la alternativa, el referéndum constante”, pensarán, pensaréis, he pensado. Vamos a cuestionarlo someramente, suponiendo que estamos hablando de un voto electrónico muy particular, el voto electrónico remoto, que llamaré por sus siglas (VER). Su oponente será el voto tradicional (VT).
Reconozco que la primera impresión que tuve al visitar la web de Democracia 4.0 fue de pánico. ¿Voto electrónico “ya”? Me recordó al típico requisito de cliente con el que todos los que trabajamos en el sector de la informática nos hemos encontrado alguna vez —y también alguna vez a la semana. Algo fácil de decir, dificilísimo de hacer y con implicaciones profundas y poco exploradas para el conjunto del proyecto. Aquí el proyecto es nada menos que la expresión del poder ciudadano: es difícil tomarse a la ligera algo así, y sin embargo… La página de fundamentos legales de Democracia 4.0 es interesante, pero refuerza mi convicción de que la petición no surge de alguien con gran capacidad de análisis técnico. Las bases de derecho pueden ser incuestionables, pero aquí el diablo está en los detalles de implementación. ¿Cuáles? “Sin duda el voto electrónico tiene que ser más eficiente, más inclusivo y más barato que la alternativa, el referéndum constante”, pensarán, pensaréis, he pensado. Vamos a cuestionarlo someramente, suponiendo que estamos hablando de un voto electrónico muy particular, el voto electrónico remoto, que llamaré por sus siglas (VER). Su oponente será el voto tradicional (VT).
LA IDENTIFICACIÓN
En el VT, la identificación es clave a la hora de determinar si un votante potencial tiene derecho a votar, a la vez que se garantiza que no hay sobrevoto (vota más de una vez). El sistema implica una lista censal que verifica la mesa electoral contra un documento de identidad portado por el votante. Las listas censales están disponibles con antelación suficiente para su inspección, y aunque no exentas de errores, han mejorado mucho gracias a las tecnologías de la información. La verificación de la identidad supone que el documento utilizado es de difícil falsificación y fácil comprobación manual. Este requisito se cumple en la práctica, y confiamos en nuestros DNI igual que en un billete de 50 euros.
El VER introduce un requisito nada trivial: poder asociar la plataforma técnica, sea cual sea, con su usuario. Es muy sencillo decir “vota desde tu teléfono”, “tu teléfono te identifica”. Pero tu teléfono no eres tú, por muy inteligente que sea. ¿Cómo garantizar que el teléfono vota en nombre de quien dice? El problema de la autenticación está muy estudiado y su complejidad se conoce bien, lo que no implica que se desprecie una y otra vez como “problema resuelto”. ¿Qué tasa de error de autenticación estamos dispuestos a admitir, considerando falsos negativos y positivos? Al menos la misma que la del VT, sería una respuesta racional. ¿Basta una autenticación de un factor, basada en contraseña? ¿Dos factores, con PIN y tarjeta de claves? ¿O tenemos que ir hasta el final con una autenticación de tres factores y verificación biométrica?
Dadas las tasas de fraude on-line lo más prudente sería explotar los tres pilares de la autenticación segura: “algo que sabes, algo que tienes, algo que eres”. Nada trivial de implementar, y con una operatividad peliaguda: los humanos no estamos hechos para recordar contraseñas aleatorias y cambiarlas cada cierto tiempo. Los elementos de identificación, sea un DNI o el propio teléfono, pueden robarse con facilidad. La verificación biométrica puede fallar y de hecho lo hace rutinariamente en instalaciones controladas: ¡cómo no lo hará en casa o en la calle, bajo condiciones mucho más azarosas!
LA PRESERVACIÓN DE LA INTENCIÓN DEL VOTO: EL DISEÑO DE LA INTERFAZ
El VT tiene una interfaz basada en objetos materiales de muy sencilla comprensión: papeleta, sobre, documento y urna. Un diseño incorrecto, sobre todo en lo que respecta a las papeletas, puede aumentar con facilidad el porcentaje de votos nulos o incluso alterar el resultado de una elección particularmente reñida. Sin embargo, se trata de un sistema de una complejidad manejable y suficientemente depurado que ofrece pocas sorpresas.
El VER introduce dos problemas respecto del VT: por un lado virtualiza el proceso y transforma por completo la cuestión del diseño de interacción del usuario con el acto de votar. Por otro, introduce una variabilidad enorme en las plataformas físicas que deben soportar los procesos de votación. El primer problema es equivalente al de diseñar una aplicación informática para el público más general posible —toda la ciudadanía, con su diversidad cultural (contacto previo con el “mundo digital”, diferencias de lenguaje), psicológica (capacidad de comprensión abstracta, capacidad de atención) y física (discapacidades de todo tipo). Estos límites requieren simplificar el sistema al máximo, lo que chocará con otros requisitos —la identificación segura, sin ir más lejos.
El segundo problema, por su parte, es rutinariamente ignorado por los proponentes de estas medidas. “Dad una blackberry a cada votante”. ¿Por qué una blackberry? ¿Eso no iría en contra del derecho de elección? “Una aplicación bajo Windows”. ¿Y si soy uno de esos applemaníacos, o algo peor? “Diseñemos, fabriquemos y distribuyamos una plataforma pública”. ¿Por dónde empezar? Propugnar la distribución universal de una plataforma física determinada con el objetivo explícito de favorecer la participación ciudadana es una medida de un coste astronómico y con consecuencias poco meditadas. Porque no importa que alguien hackee cada iPhone nuevo que sale en cinco minutos: a fin de cuentas solo afecta a un negocio privado. Pero nuestra “plataforma pública de voto” tiene que ser perfectamente invulnerable, en manos de cualquiera, para siempre —so pena de repetir la inversión cada pocos meses.
LA PRESERVACIÓN DE LA INTENCIÓN DEL VOTO: EL VOTO COACCIONADO
El VT, lamentablemente, puede ejercerse bajo coacción o en circunstancias similarmente dudosas. Autobuses de residencias de ancianos con el voto preparado “de casa”, familias en las que “se supervisa” el voto de cada miembro… Existen democracias en las que el voto ha de ser obligatoriamente secreto y las cabinas, esas desconocidas de los colegios electorales, cobran un merecido protagonismo. Algo así sería deseable aquí.
El VER, sin embargo, tiene consecuencias muy serias en sentido contrario. Al separar el acto de votar del hecho físico de acudir a un colegio electoral, la única posibilidad de garantizar el voto secreto desaparece. Obviar este problema es, en la práctica, retirar el derecho al voto libre a un porcentaje de la población que vive en condiciones de dependencia, física o económica. Los argumentos del tipo “estas cosas ya no pasan” no son válidos: el sistema democrático tiene que garantizar la participación de todos los ciudadanos en cualquier circunstancia en la que estos puedan hallarse, ahora o en el futuro. Si facilitamos inadvertidamente el voto coaccionado ¿quién nos asegura que no aumentará su incidencia?
LA ANONIMIZACIÓN
El VT es un sistema muy interesante en el que, por su propio diseño, se hace muy difícil ligar el contenido del voto (que no el hecho en sí) con el votante. Esto debe ser todo lo cercano a imposible de lo que seamos capaces, y lo cierto es que hoy por hoy la libertad de voto a posteriori es un hecho —suponiendo que no hay coacción previa y que el contenido de los sobres no está controlado más que por el propio votante.
El VER introduce una serie adicional de complicaciones en este campo. Por el requisito de identificación, el sistema está obligado a verificar la identidad del votante más allá de cualquier duda razonable… para “olvidarla” un instante después, al registrar el voto. Los aspectos de seguridad lógica relacionados con este “olvido” son muy profundos, y pasan sin duda por el uso de sistemas de encriptación “suficientemente seguros” junto a métodos avanzados de aleatorización en el registro. Cualquier persona con los conocimientos básicos de algoritmos numéricos sabrá que la generación de números aleatorios no es trivial —de hecho, salvo que entren en juego fuentes físicas de aleatoriedad como muestras radiactivas y contadores Geiger, en ingeniería de la computación se habla siempre de “números pseudoaleatorios”, lo que da una idea vaga de la dificultad que esconde un concepto aparentemente sencillo.
Los requisitos de encriptación del voto y aleatorización del emisor son, además, contrapuestos en caso de que optemos por un sistema PKI. La dificultad matemática que supone factorizar grandes números primos los hace muy seguros, pero ¡también identifican unívocamente al emisor del mensaje! El voto tendría que ser desencriptado para ser contabilizado, pero el conocimiento de su origen tendría que ser suprimido en los propios servidores que realicen el escrutinio y no en el terminal. El votante tendrá que dejar de confiar en lo que ve —que su voto, dentro de un sobre que oculta su contenido, entra en una urna donde se mezcla con todos los demás haciendo casi imposible su trazabilidad— y pasar a confiar en una promesa hecha por el Estado y mantenida por el gobierno de turno. ¿Es suficiente? ¿Es aceptable?
Todo esto obvia el previsible problema de los ataques lógicos contra la anonimización del voto. El uso de técnicas de “canal lateral” permitiría correlar, con bastante seguridad, el contenido del voto con la identidad del votante con acceso a las fuentes de datos apropiadas y sin tener que desencriptar el voto. ¿Tenemos suficiente imaginación como para protegernos? Para centrar ideas, recordemos un ejemplo de ataque de revelación de secretos por canal lateral: en Facebook se puede “adivinar” la orientación sexual con un grado de certidumbre muy elevado tan sólo teniendo acceso a la red de contactos de un usuario. No es necesario que rellenéis el indiscreto formulario que nos ofrece la compañía de Zuckerberg: ya lo hacen otros.
LA VERIFICABILIDAD PÚBLICA
No hace falta acudir a expertos escasos para auditar un sistema de VT. El voto tradicional tiene la ventaja de ser fácilmente comprensible gracias a los artefactos físicos involucrados, y “recontar el voto” es un proceso rutinario que sólo requiere conocer las bases matemáticas más elementales —y bastante paciencia.
El VER no tiene esa ventaja. Saber si un sistema que implemente la votación electrónica remota es o no fiable y si está capacitado para reflejar la voluntad popular con suficiente precisión introduce varios requisitos adicionales. En primer lugar, todo su código fuente debe estar obligatoriamente disponible para su inspección por cualquier ciudadano —otra cuestión es qué ciudadanos estarán capacitados para realizar una comprobación así, lo que introduce interesantes condiciones sobre detalles tan aparentemente nimios como la documentación, la existencia de juegos de pruebas unitarias, el estilo de codificación, los lenguajes aceptables…
No nos detengamos aquí. ¿Cómo se garantiza que el código que estamos inspeccionando es, realmente, el que se ejecuta en cada plataforma capaz de VER? Es perentorio mantener una ligazón entre el código fuente y los objetos ejecutables: los sistemas empleados habitualmente utilizan algoritmos de hash: funciones matemáticas que pueden crear firmas únicas (en la práctica) para grandes secuencias de datos. Además, la verificación deberá ser externa a la propia plataforma: no es de recibo que sea el propio sistema el que “se autoverifique”.
LA VERIFICABILIDAD PRIVADA
Es excelente que el sistema sea auditable en su conjunto, pero es también crucial que cada uno de nosotros pueda asegurar que, hasta donde ha podido, el voto va a contar para algo. La credibilidad de la democracia depende de cada uno de nosotros, introduciendo papeletas en sobres y llevándolas hasta las urnas, donde tras un control ciudadano supervisado por representantes de las diferentes opciones en litigio, nuestro voto se introduce en una urna transparente y precintada. El VT es la base de una confianza que vamos a poner a prueba hasta su límite con el nuevo sistema.
El VER no permite, irónicamente, “ver” nada. El votante tiene que confiar en que, después de identificarse de un modo más o menos laborioso, ese botón que pulsa en la pantalla de su tablet (por centrarnos en una plataforma posible) se va a ver reflejado en una cuota de decisión. No necesito hacerme el elitista: ya hemos visto que la verificación de un sistema de votación electrónica remota necesitará de personal muy especializado, escaso y caro. El votante medio y casi todos sus compañeros quedan lejos de poder siquiera empezar a comprobar nada. Bastará un fraude, un fallo o un simple rumor para desmontar la base psicológica de la democracia: la creencia en que “sirve para algo”.
Existen sistemas que permiten plasmar el voto físicamente, mediante recibos que quedan en poder de los propios votantes. La existencia de estos recibos permite, supuestamente, paliar el problema de la falta de control ciudadano sobre el proceso de votación electrónica. Sin embargo, estos recibos vienen con su propio conjunto de problemas. Para empezar, contienen una información muy sensible: quién eres y qué has votado. Su sola existencia en formato digital introduce riesgos que muchas plataformas de voto electrónico presencial (en Estados Unidos, sobre todo) intentan soslayar emitiendo resguardos en papel con dos partes, una anónima para el posible recuento público y otra personal para comprobación del interesado. Naturalmente, destruyendo (¿sí?) la traza digital de la operación después.
Problema resuelto. ¿O no? Resulta que esos recibos están prohibidos por varios estados de los EE.UU. porque facilitan la compra-venta de votos y el voto coaccionado verificable. ¡Quién lo hubiera dicho!
LA IGUALDAD DE OPORTUNIDADES DE ACCESO
En el VT, el acceso a la votación está condicionado tan solo por requisitos legales de ciudadanía. Tradicionalmente han existido dificultades a la hora de garantizar el voto no asistido de discapacitados visuales, pero eso es algo que una inversión modesta puede corregir (todavía hoy es imposible solicitar el voto en estas condiciones para unas elecciones municipales).
El VER complica la accesibilidad hasta límites insospechados. Si confiamos en el parque instalado de dispositivos con conectividad a Internet estaremos asumiendo una variabilidad de interfaces propia de las peores pesadillas de un administrador de sistemas. Los costes del helpdesk asociado al voto remoto (y la necesidad de que éste sea totalmente aséptico y garantice la inviolabilidad de la opción de cada votante) generarían un negocio ciertamente jugoso para muchas empresas si asumimos el mantra neoliberal de “privatizar para ser eficiente”. ¿Qué hacer con los ciudadanos que no puedan o quieran disponer de una de esas plataformas, por motivos económicos o no? Se dice, con razón, que en la actualidad no valen lo mismo todos los votos —tiene más valor un voto rural que uno urbano debido a circunstancias históricas. Un futuro con sistemas de VER no corregiría esta situación; antes bien, introduciría tensiones diferentes. Unas plataformas funcionarán, inevitablemente, mejor que otras. Los que no dispongan de acceso a la red tendrán que esforzarse más para ejercer sus derechos que los que sí lo tengan. Las previsibles subvenciones para mejorar el acceso de los colectivos más desfavorecidos tendrán efectos poco equitativos. Inevitablemente, un conjunto de empresas privadas quedarían, por fiat administrativo, en posiciones dominantes en mercados distintos del de los dispositivos de voto. Sólo podríamos paliar esto distribuyendo entre la población máquinas estrictamente capaces de canalizar votos, y nada más: algo que, a día de hoy, no existe. Algo y con consecuencias ya esbozadas unos párrafos más arriba cuando hablaba del diseño de la interfaz de voto.
Más allá de circunstancias que afectaran a diferentes colectivos, nos encontraríamos con que para poder votar, parte de la población estaría pagando de forma directa a un proveedor de comunicaciones (por el transporte de datos) y otro de bienes de consumo (por el teléfono, el PC u otro aparato). Otra parte de los votantes tendría que ser subvencionada. Una infraestructura pública de comunicaciones sería un paso a dar en la dirección correcta para implantar un sistema de voto electrónico realmente popular —del pueblo, quiero decir, por contraposición a un oligopolio de tres o cuatro empresas en supuesta competencia. Sin embargo, todas las acciones del Estado, aquí y en casi cualquier otro lugar del mundo, van inevitablemente en sentido opuesto: privatización. ¿Imagináis una democracia en la que la existencia y gestión de colegios electorales dependiera de la iniciativa privada?
LA REPERCUSIÓN PSICOLÓGICA
Ya hemos hablado de la carga adicional de confianza que tendría que soportar el común de los votantes. Esta confianza debería ser compensada, necesariamente, con un aumento paralelo de la credibilidad de las instituciones: algo que no se observa de modo natural en nuestros tiempos. Pero también hay que considerar la previsible repercusión de una trivialización del voto sobre el comportamiento de los electores. Sin embargo, yo no soy la persona apropiada para realizar este análisis: lo dejo en el aire para que otros más duchos en psicología y sociología lo recojan a partir de aquí. ¿Qué sucederá? ¿Se convertirá el voto en una actividad guiada por élites de opinión ad hoc, típicas de Internet? Como dice mi amigo Paco Arnau (@ciudadfutura):
Es imaginarme una “democracia cibernética 4.0″ y veo a opinólogos profesionales de Menéame aprobando y rechazando leyes #sudoresFríos [aquí]
No quisiera aparecer ante vosotros, después de 3000 palabras de discurso, como un ludita furibundo incapaz de ver los beneficios que el progreso tecnológico nos ha traído y nos traerá. Precisamente yo no. Creo firmemente que la democracia tiene que ser perfeccionada, que la capacidad de decisión individual tiene que aumentar y que las tecnologías de la información y las comunicaciones tendrán mucho que decir en la implementación de este ideal de mejora. Pero no actuemos irreflexivamente: abogados e ingenieros tenemos todavía que recorrer juntos un camino muy largo, con más voluntad y menos voluntarismo, hasta alcanzar ese futuro mejor para todos que quiero creer que nos aguarda.
Visto en brucknerite.net
No hay comentarios :
Publicar un comentario