Urna Redmocracia


Opinión sobre los resultados de #eVoting y cancillería en Colombia. #RumboALaMesa

La digitalización de procesos electorales puede representar un avance significativo en la participación ciudadana, pero también exige altos estándares de seguridad, organización, planeación y transparencia. Sin embargo, el reciente informe de avances publicado en la plataforma SECOP de eVoting y SIEC S.A.S. ante la cancillería sobre la Mesa Nacional de la Sociedad Civil para las Migraciones pone de manifiesto una serie de deficiencias técnicas y de gestión que amenazan la credibilidad de este esfuerzo. Este artículo analiza los problemas destacados en el informe y los errores frecuentes que los ciudadanos han encontrado durante el proceso junto a algunas observaciones encontradas por nosotros.

Problemas Técnicos Detectados en el Informe

  1. Uso del Correo Electrónico como Identificador Principal:
    • Aunque el correo electrónico facilita la usabilidad, no es un identificador seguro ni único. El informe evidencia problemas como la existencia de correos duplicados y correos inválidos dentro del censo electoral inicial, lo que compromete la confiabilidad del sistema.
  2. Base de Datos Incompleta y No Auditada:
    • De los aproximadamente 17,000 ciudadanos anunciados, solo 8,388 registros cumplen con los requisitos mínimos. No se realizó una auditoría exhaustiva durante el proceso de inscripción del censo, dejando abierta la posibilidad de errores o manipulaciones.
  3. Falta de Validación de Identidad:
    • El sistema no incluye mecanismos para validar que la fotografía del documento coincida con los datos ingresados con los de ciudadanos inscritos a ser delegados, dejando espacio para registros potencialmente fraudulentos.
  4. Problemas en la Carga de Datos:
    • Numerosos campos no obligatorios, como fechas de nacimiento con valores inválidos (ej. 0198, 1075), ensucian los datos y afectan las estadísticas de participación, este error comprometió por completo el proceso de registro y validación de identidad.
  5. Riesgo de Phishing y Suplantación de Identidad:

    • La validación a través de un PIN enviado al correo electrónico no es suficiente para garantizar la seguridad. Esto expone el sistema a ataques de phishing y otras formas de suplantación puestas en conocimiento por diferentes medios de comunicación y redes sociales.

    • Transcripción, abro comillas «Algunos de los errores más comunes:-Ponen 2024 en su inscripción en la Mesa, Están intentando votar con un correo diferente al de su inscripción, Envían el PIN al correo de la Mesa de Servicio o al correo de la Mesa (cancillería) o a un tercero, Envían el nombre de su candidat@ al correo de la Mesa.»
  6. Plan de Contingencia Insuficiente:
    • Aunque se propuso un plan para votación presencial en lugares como Venezuela, no se aborda de manera adecuada el problema de exclusión de votantes sin correos electrónicos válidos o sin acceso digital.
    • Se elaboro un plan de contingencia, para realizar votación presencial, en las zonas donde se evidencia que parte de los ciudadanos no dispone de un correo electrónico válido, requerido para el proceso de votación, particularmente el caso de Venezuela, este plan fue aprobado por la Cancillería. 🤦🏻‍♂

Errores Frecuentes Reportados por los Ciudadanos

Además de los problemas técnicos mencionados, los ciudadanos han reportado varios errores recurrentes durante el proceso, que evidencian falencias en la implementación:

  • Fechas Erróneas en el Registro: Algunos ciudadanos inscribieron «2024» como su fecha de nacimiento, lo que refleja una falta de validación obligatoria adecuada en los formularios por parte de los usuarios (error de cancillería).
  • Uso de Correos Electrónicos Incorrectos: Varios participantes intentaron votar usando un correo diferente al registrado, generando confusión y dificultando la identificación.
  • Errores en el envío del PIN: En lugar de recibir el PIN en sus correos personales y proceder a usarlo, algunos ciudadanos lo enviaron al correo oficial de la Mesa de ayuda tanto de eVoting como de cancillería, mostrando una falta de claridad en las instrucciones abriéndole las puertas a la suplantación de los votantes.
  • Envío de Candidaturas por Correo Electrónico: Algunos participantes enviaron el nombre de su candidat@ al correo de la Mesa en lugar de usar el sistema digital de votación, lo que refleja una falta de comprensión del proceso.

Impacto en la Participación y la Confianza

Estos problemas no solo afectan la seguridad del sistema, sino también la confianza de los ciudadanos en el proceso electoral. Cuando los votantes encuentran barreras o confusión, la percepción de legitimidad del proceso se deteriora. Además, la discrepancia entre el número anunciado de votantes y los registros efectivos genera dudas sobre la transparencia de la organización.

El informe pone en evidencia múltiples problemas técnicos en el censo electoral inicial. Entre los más destacados se encuentran la existencia de registros duplicados con números de documento y correos electrónicos, así como documentos sin formatos estandarizados. Estas inconsistencias, sumadas a fechas de nacimiento absurdas como “0198” o “1075” y correos electrónicos inválidos, reflejan una falta de validación adecuada durante la recopilación de datos. Además, campos no obligatorios dificultan la obtención de estadísticas precisas, mientras que la falta de validación cruzada entre la fotografía del documento y los datos registrados genera un riesgo significativo de fraude y contaminación de la base de datos.

A pesar de estos problemas, el sistema logró cargar 8,388 registros considerados válidos, pero esta cifra es considerablemente inferior a los 17,000 ciudadanos anunciados. Este déficit plantea preguntas sobre la representatividad del electorado y la fiabilidad del proceso. Sin auditorías completas y controles rigurosos para mitigar estas deficiencias, los riesgos para la legitimidad del proceso electoral persisten, afectando tanto la transparencia como la confianza de los votantes. Estas fallas subrayan la necesidad de implementar estándares más estrictos y herramientas de validación automatizada.

2 de las tres llaves abrieron la URNA

El sistema de apertura de urnas digitales con tres llaves criptográficas suele basarse en un esquema de criptografía de clave compartida (como el umbral de Shamir o sistemas similares). En estos sistemas, la seguridad está diseñada para que un conjunto mínimo de llaves (o partes de ellas) sea necesario para desbloquear la urna. Aquí está una explicación técnica de cómo fue posible abrir la urna con solo dos de las tres llaves prometidas:

1. Configuración del Esquema de Llaves:

  • En un esquema de umbral criptográfico (e.g., (t, n)-threshold), se definen:
    • n: El número total de llaves generadas.
    • t: El número mínimo de llaves necesarias para abrir la urna.
  • Si el sistema fue configurado como un esquema (2, 3), significa que aunque existan tres llaves, solo se requieren dos para completar el proceso de apertura. Esto es común en implementaciones que buscan equilibrio entre seguridad y disponibilidad.

2. Posibles Motivos para Usar Solo 2 Llaves:

  • Configuración Previa del Umbral: Es posible que, por diseño o configuración inicial, el umbral se estableciera en 2 en lugar de 3. Esto podría ser una decisión técnica para garantizar la apertura en caso de pérdida o indisponibilidad de una llave.
  • Uso de una Llave Maestra (Backup): Algunos sistemas tienen una llave maestra que puede sustituir una de las llaves faltantes en un esquema reducido.
  • Manipulación o Error: Podría haber habido un error de configuración donde, en lugar de requerir las tres llaves, el sistema aceptó dos debido a un fallo en la implementación del esquema.
  • Compromiso de Seguridad: En el peor de los casos, alguien podría haber modificado el sistema para reducir el umbral y facilitar el acceso con menos llaves, lo que sería un incumplimiento grave de seguridad.

3. Técnicamente, Cómo Funciona el Desbloqueo con 2 Llaves:

  • En un esquema como Shamir’s Secret Sharing:
    • La clave principal está dividida en tres fragmentos, y solo se necesitan dos para reconstruirla.
    • Si se presentan dos de las tres llaves, el sistema usa interpolación (como Lagrange Polynomials) para calcular la clave completa y abrir la urna.
  • Si el sistema estuvo configurado para un umbral más bajo (2 en lugar de 3), entonces basta con dos partes para completar el proceso.

4. Impacto en la Seguridad:

  • Reducir el número de llaves necesarias disminuye la seguridad. Con solo dos llaves necesarias, se aumenta el riesgo de que un atacante con acceso a esas dos llaves pueda abrir la urna sin autorización.

Posibles Conclusiones:

  • Falló la Configuración de Seguridad: La configuración del umbral podría haberse establecido incorrectamente en un nivel más bajo.
  • Decisión Operativa: Podría haber sido una decisión de último momento debido a la indisponibilidad de una de las llaves.
  • Incidente de Seguridad: En un escenario más grave, esto podría ser un indicio de una vulnerabilidad o manipulación del sistema.

Es necesario investigar por qué se permitió la apertura con solo dos llaves en un sistema que garantizaba tres. Si esto no fue intencional ni comunicado previamente, podría ser un incumplimiento de las garantías de seguridad prometidas.

Crítica sobre los Resultados

Según la información compartida durante la transmisión de resultados el 18 de diciembre de 2024 en redes sociales, el censo de votación fue de 16,236 ciudadanos, pero solo 4,017 votos fueron depositados. Esto representa una participación de aproximadamente el 24.8%, lo cual es alarmantemente bajo considerando la importancia del proceso. La disparidad entre el censo inicial reportado (17,000 ciudadanos) y el número actualizado de 16,236 también pone en duda la consistencia de los datos y la confiabilidad del sistema. Además, el porcentaje de participación refleja la posible desmotivación o barreras enfrentadas por los votantes, acentuadas por los problemas técnicos y organizativos previamente mencionados.

Conclusión General.

El caso de eVoting y SIEC S.A.S. pone en evidencia los retos y riesgos asociados con la digitalización de procesos electorales. Si bien la tecnología puede mejorar la participación y eficiencia, también requiere un enfoque riguroso en la seguridad y la gestión. Resolver los problemas aquí expuestos es esencial para garantizar la legitimidad y el éxito de futuros procesos electorales digitales.

Retos técnicos:

  1. Identidad Digital
  2. Dispersión de la llave privada en manos de los votantes y no en manos pocas personas
  3. La información personal está protegida tanto por la ley Colombiana como por diversa legislación a nivel mundial el divulgarla, publicarla, cederla, venderla, de forma directa o indirecta, ponerla a disposición de terceros, total o parcialmente, incluso con terceros es un riesgo muy difícil de asumir si se va a usar como medio de contacto el email.
  4. PLANEACIÓN
  5. No solicitar para ingresar a la urna (Primer nombre, Segundo Nombre, Primer Apellido, Segundo Apellido, Email…etc), Una democracia no necesita saber quien es usted. Solo necesita evitar que vote dos veces.

Descargue aquí el primer informe de cumplimiento radicado por SIEC a Cancillería

Artículos Relacionados:

  1. #Evoting: Empresa chilena interviene políticamente en asuntos de Colombia
  2. Críticas a la metodología de Cancillería – Evoting para la Selección de Representantes en la Mesa Nacional de la Sociedad Civil para las Migraciones
  3. Opinión: ¿Por qué razón consideramos que el proceso de eleción de la MNSCM no es legítimo? #RumboALaMesa
  4. ¿Es Legal la Contratación Directa con SIEC S.E.M. S.A.S. por parte de la Cancillería?.
  5. El Caso SIEC S.A.S. y eVoting: Subcontratación No Autorizada y Posibles Irregularidades

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Comments (

)