6 Mayo 2022

El código malicioso que preocupa a los petristas y al Consejo Nacional Electoral

El CNE solicitó una auditoría internacional e independiente de los softwares electorales antes de las elecciones presidenciales.

Crédito: Colprensa

Un grupo de unas 100 personas le han solicitado a la Registraduría una auditoría de los 'softwares' de escrutinio, porque temen que contengan un fragmento de código, también conocido como disparador, al que se le puede programar una condición para que cumpla de manera autónoma. La condición puede ser, por ejemplo, que los votos de un candidato específico no superen el 50 por ciento.

Por: María Camila Hernández

“Desde hace más de cinco años, los partidos alternativos en Colombia tienen la sospecha de que los softwares de escrutinio de la Registraduría no funcionan de manera transparente”. Así lo asegura Harrinson Riascos Torres, coordinador del equipo técnico de los integrantes de la diáspora Colombia en Europa y de la Colombia Humana en Hamburgo, Alemania. Esa sospecha ha motivado que él y su equipo hayan enviado varios derechos de petición a lo largo de estos años a la Registraduría, solicitándole una auditoría de los programas informáticos de escrutinio.

El último de ellos fue radicado el pasado 13 de abril, firmado por un grupo de cerca de 100 personas que piden dos cosas concretas: una prueba de ingesta de datos controlada y la generación de las firmas digitales de los programas informáticos antes, durante y después del proceso de escrutinio.

El objetivo es revisar que no haya un código malicioso, llamado también disparador –o trigger, en inglés–. Ese disparador es un fragmento de código al que se le programa una condición; de acuerdo con esa condición, el disparador altera las bases de datos de manera autónoma. “La condición sería: en el momento en que el número de votos de Gustavo Petro (o de cualquier otro candidato) sea mayor al 50 por ciento del total de votos, réstele cierta cantidad de votos y distribúyalos a los otros candidatos, quítele cierta cantidad, que no se note mucho. Eso se puede hacer. Yo lo sé hacer”, afirma Riascos, ingeniero informático y magíster en economía.

Para encontrar ese código malicioso es necesario usar el código fuente, que es como el texto del software, es decir, las órdenes que se le dan al programa para que ejecute algo. Pero resulta que algunos de los programas utilizados por la Organización Electoral permanecen cerrados a las auditorías electorales, porque no son propios.

bolsas
Los partidos alternativos vienen solicitando esta revisión desde hace años, pero es la primera vez que no piden la revisión del código fuente. Crédito: Colprensa

Si el software pertenece a una empresa privada –advierte Riascos– esta búsqueda también se puede efectuar a través de la llamada “ingesta de datos controlada”. Esta consiste en la simulación de unas elecciones con escenarios y resultados conocidos de antemano. Se trata de una prueba de comportamiento que se le hace al software para ver si devuelve la información que se le ingresa tal cual entró, o si la devuelve alterada.

Con esta prueba, previa a las elecciones, es posible descartar que haya un disparador en programas. Con todo, esta prevención no sería suficiente, porque el software puede ser modificado después del test. Por eso, la diáspora petrista solicita también la generación de las firmas digitales, que son algo similar a las huellas de los humanos, pero que cambian a la menor modificación en el software. Si las firmas digitales que se generen el día de las elecciones (o en el momento de la ingesta de datos) y las de después del escrutinio son las mismas, significa que el software no ha sido modificado. De lo contrario, se comprobaría una alteración y, posiblemente, la presencia de un disparador.

Para Harrinson Riascos, estos argumentos técnicos son irrefutables. “Si la Registraduría no permite hacerles estas pruebas a los softwares de escrutinio, no hay la menor duda de que están viciados”. Si la respuesta al recurso es negativa, el grupo ya tiene lista una tutela para contraatacar.

La auditoría internacional

Dos semanas antes del último derecho de petición de la diáspora petrista, el Consejo Nacional Electoral ya había solicitado a la Registraduría una auditoría internacional independiente de todos los programas informáticos de escrutinio, con el objetivo de generar la mayor confianza posible en los comicios presidenciales del 29 de mayo.

La solicitud de la auditoría, aprobada en la Sala Plena del CNE del primero de abril, planteó una revisión basada en tres aspectos principales: seguridad de la información, procesos y sistemas informáticos, incluida la revisión del código fuente en el escrutinio nacional. Aunque en principio el CNE había solicitado una auditoría forense para todos los programas informáticos que fueron utilizados el pasado 13 de marzo, dado el poco tiempo que queda antes del 29, la prioridad será la revisión de los que tienen que ver con la selección de jurados, el cargue de testigos electorales de los partidos, el preconteo y el escrutinio.

Según el magistrado del CNE Luis Guillermo Pérez, la revisión permitirá identificar los errores de los softwares y corregirlos sobre el ejercicio mismo de la auditoría. Pero, además, servirá para prevenir cualquier fraude; por ejemplo, el de los “disparadores” que dejen de registrar votos por determinado candidato. “Eso es algo que a nosotros nos preocupa en particular y que la auditoría podría identificar y prevenir”, señala.

La auditoría evitaría, como se lo señaló el CNE al registrador nacional Alexánder Vega, que la Registraduría juegue un doble rol: como entidad encargada de la implementación de los sistemas y, al mismo tiempo, como encargada de supervisarse a sí misma.

Se refiere a la auditoría que contrató la Registraduría el año pasado con JAHV McGregor SAS, que debía implementar una herramienta tecnológica para que los partidos pudieran hacer seguimiento y auditoría en tiempo real a los datos de los escrutinios. Pero la auditoría no se completó antes de las elecciones del 13 de marzo.

Para profundizar

Según Alejandra Barrios, directora de la Misión de Observación Electoral (MOE), lo que queda demostrado con la solicitud del CNE es que este tribunal no ha podido acceder a las auditorías que ha realizado JAH McGregor, ni conoce los hallazgos ni las soluciones que se han adoptado. De ahí la necesidad de una auditoría independiente y cuyos resultados sean públicos. Barrios califica esta situación de “lamentable” y recuerda que la Registraduría contrató esta auditoría el año pasado por 10.800 millones de pesos, y que en marzo de este año se le hizo una adición presupuestal de 3.000 millones para la auditoría, tanto de los contratos de Indra como de Disproel.

Por el momento, el presupuesto para la auditoría que solicita el CNE, de 3.000 millones de pesos, ya fue aprobado por el Ministerio de Hacienda. Aunque es la Registraduría la que realiza la contratación, el CNE debe escoger entre tres empresas propuestas la más idónea para llevar a cabo la revisión. Estas fueron contactadas a través de Capel, un programa del Instituto Interamericano de Derechos Humanos que presta asesoría técnica electoral en América Latina.

Las peticiones de Equipo por Colombia

Luego de la reunión de la Comisión Nacional de Seguimiento Electoral que se realizó el pasado 20 de abril, el equipo de la campaña de Federico Gutiérrez también le presentó al registrador nacional una solicitud de información y medidas de transparencia de cara a las elecciones presidenciales, pero enfocadas más hacia aspectos de capacitación, organización el día de elecciones y acceso a información en tiempo real.

conteo
A pocas semanas de la primera vuelta presidencial, aún quedan muchas dudas sobre la transparencia y eficacia de los sistemas electorales. Crédito: Colprensa

Estas se dividen en la etapa preelectoral, la electoral (logística) y poselectoral. En la primera, solicitan claridad sobre la conformación de las bases de datos que servirán para seleccionar los jurados y una capacitación suficiente tanto para ellos como para los delegados del registrador municipal o distrital en los puestos de votación. También piden una revisión del censo electoral y la realización de pruebas que garanticen el funcionamiento de la plataforma que se vaya a utilizar para la acreditación de testigos electorales.

Para la etapa electoral, solicitan que la Registraduría establezca con claridad el procedimiento que se usará para la entrega de las actas de escrutinio a los testigos electorales. Para la etapa poselectoral hacen especial énfasis en que los simulacros del preconteo utilicen formularios de prueba E-14 con información que simule la realidad, es decir, con letra poco legible o tachones y enmendaduras, para que, en caso de que haya problemas de interpretación en la digitalización, la Registraduría tome medidas y dé instrucciones precisas a los jurados de votación.