auditabilidad.tex

Cuando se habla de auditabilidad se habla de las posibilidades de realizar análisis sobre cómo funciona un sistema y cómo se llegó a un cierto resultado. Hablando de sistemas de votación esto puede querer decir la capacidad de analizar el software y el hardware que realiza la elección para saber cómo funciona, si es seguro o qué problemas puede tener; o puede referirse a auditar los resultados de una elección, saber cómo se llegó a un cierto resultado y tener alguna verificación de que ese resultado es coherente con la realidad.

\subsection{Auditoría del resultado con comprobantes en papel}

Este tipo de auditorías son encargadas por las autoridades, ya sea el tribunal encargado de las elecciones, o un juez si hubiera un resultado disputado, y consisten en contabilizar los comprobantes de los votos en papel para compararlos con los registrados electrónicamente\cite{postElection}. El resultado válido finalmente, si ambos no coincidieran, es el resultante del voto manual. Del tipo de tecnología que requiere esta clase de auditorías se va a hablar mejor en la próxima sección.

\subsection{Auditorías de seguridad realizadas por profesionales}

Esta clase de auditorías puede ser encargada por las autoridades encargadas de la elección o puede ser realizada de forma independiente por expertos que hayan conseguido acceso a una máquina de votación o al software pertinente. El objetivo principal de estas auditorías suele ser encontrar agujeros de seguridad que permitan la modificación de los resultados de la elección por un usuario malicioso. Por supuesto, quién realiza la auditoría puede tener intereses políticos que lo induzcan a presentar un resultado más o menos favorable a las autoridades del momento, pero en este trabajo vamos a evaluar el foco técnico de los análisis.

\subsubsection{Verificación de cambios en el software instalado}

Uno de los focos de la auditoría es que el software no pueda ser, o no haya sido, modificado durante la elección. Es posible verificar que el software sea el mismo antes y después de la votación haciendo comparaciones justo antes y justo después de la elección. De esta forma podría ser detectable algún tipo de interferencia en el software: código o ejecutables modificados, archivos agregados a la máquina que no estaban allí, o que no se previera que estuvieran allí. Las comparaciones entre la memoria pre elección y post elección se pueden hacer comparando imágenes (dumps) bit a bit (por ejemplo con un software llamado GEMS) o comparando archivos, timestamps y buscando contenido malicioso conocido o comportamiento sospechoso.

Hay ciertas máquinas usadas en parte de Estados Unidos que son de lectura automática de boletas en papel. Estas máquinas son comunes a varios estados, pero para ajustarlas a las particularidades legales de cada uno, aceptan una memoria externa con un programa exclusivo de cada estado. La Universidad de Connecticut ha realizado, y sugiere la realización, de este tipo de auditorías para las memorias externas. Se supone que éstas son el equivalente a una urna en forma electrónica \cite{preElection}, ya que contienen el código exclusivo, los datos de los candidatos y partidos, el esquema de votación y la contabilización de los votos.
En estas auditorías, el equipo hizo comparaciones de imagen bit a bit con el firmware de las máquinas de lectura de las boletas, y luego análisis más detallado sobre las memorias, pre y post elección. Para ver que no hubiera datos modificados que no debieran estarlo (como los datos de los candidatos), que los contadores estuvieran en 0 antes y en números razonables después, y que el estado final fuese consistente.

\subsubsection{Revisiones pre elección}

Un sistema de elección que ya está en uso, igual debe ser auditado previo a cada elección. Así como en la sección anterior se discutía el hacer un análisis bit a bit del software comparando si es el mismo entre el principio y el final de la elección para prevenir que alguien haya intervenido durante el día, también se debe tener en cuenta la posibilidad de que alguien lo hubiera intervenido previo a abrir la elección. Se debe conocer cuál es el software que debe tener una máquina, y se debe verificar antes de abrir la elección que efectivamente sea ese\cite{holanda}.
El momento de la verificación es sensible, ya que a partir de ahí cualquier persona con acceso a las máquinas podría interferirlas sin ser visto, pero esto está más relacionado con la custodia de las máquinas y fue discutido con anterioridad. Si la máquina tiene algún puerto abierto, se hace más difícil controlar que no pueda ser accedida, pero se puede intentar asegurar los componentes físicos con sellos tamper-proof, y entrenando a los custodios y autoridades de mesa para descubrir alteraciones al hardware.

\subsubsection{Auditorías de evaluación del sistema}

Previo a usar cualquier sistema por primera vez para una elección, se debería auditar por un profesional que juzgue si el sistema cumple con su objetivo, es seguro y a prueba de intentos maliciosos de ataque. “Debería” no porque haya necesariamente algún parámetro legal, si no porque el acto eleccionario se basa en la confianza de los votantes para con el sistema. Es fundamental para la legitimidad del gobernante que asuma como ganador de esas elecciones que los votantes confíen en la transparencia de la elección.

Este tipo de auditoría puede ser realizada por iniciativa de las autoridades a cargo de la elección\cite{righetti}, por iniciative de un organismo independiente que solicite la información necesaria y acceso a las máquinas\cite{holanda}\cite{itba} o por iniciativa de algún particular que tenga acceso como pueda al sistema en cuestión\cite{votar}.
Los principales destinatarios del informe resultante de una auditoría son el organismo gubernamental encargado de la reglamentación e implementación de las elecciones, y el fabricante de las máquinas utilizadas y/o su software. Este informe contendrá al menos una explicación de todos los análisis realizados sobre el sistema, los resultados de cada uno, y una profundización sobre aquellos puntos donde se hayan encontrado problemas. Probablemente finalizando con una lista de sugerencias sobre cómo atacar los problemas encontrados y algún tipo de valoración sobre si la máquina es suficientemente segura como para ser utilizada en elecciones o no.

Para que una auditoría pueda ser completa, los organismos a cargo deben proveer todo el material involucrado y hacerse presentes para contestar las dudas que pudieran ocurrir. Estos materiales probablemente incluyan: hardware, software ejecutable (en su última versión), código fuente de ese software, documentación, boletas de papel, impresoras, identificación (llaves, tarjetas, pines). De faltar algún componente importante del sistema, la validez de la auditoría podría verse comprometida, como fue el caso de la auditoría encargada por la Defensoría del Pueblo al ITBA donde el equipo a cargo fue notificado de que el software que se auditó no era la última versión y que sufriría cambios antes de la elección\cite{itba}.

Al momento de las elecciones será decisión de las autoridades escuchar las auditorías o no. En el caso argentino, las auditorías progresivas realizadas por la FCEN fueron tenidas en cuenta para realizar modificaciones en el software de las máquinas, pero no así la auditoría independiente que recomendaba no usar el voto electrónico. En Países Bajos, máquinas de la empresa Nedap fueron utilizadas durante algunos años hasta que un grupo autodenominado “We do not trust voting computers” (“No confiamos en las máquinas de votación”) logró romper la seguridad de la máquina de forma muy sencilla y salió a hacer campaña en los medios de comunicación. Eventualmente, en 2007, se prohibió el voto electrónico en todo el país\cite{holanda}.