• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Democracia electrónica ¿a la vuelta de la esquina?

Democracia electrónica ¿a la vuelta de la esquina?

13 marzo, 2001 Por Hispasec Deja un comentario

Las votaciones a través de Internet vuelven a estar en el candelero y
en boca de políticos y periodistas tras la aprobación en el Senado de
la creación de una comisión de estudio del voto electrónico. Esta
iniciativa, impulsada por el senador popular guipuzcoano Gonzalo
Quiroga ante la tensión vivida por el electorado en pequeñas
localidades vascas, tiene como objetivo evaluar la viabilidad
tecnológica y social de la implantación de aplicaciones de voto por
Internet. Una vez más, se pretende así situar a España a la cabeza de
las iniciativas comunitarias en el ámbito de la nueva Sociedad de la
Información, como abanderada de la democracia electrónica.
Al margen de demagogias y oportunismos, todos los políticos y
analistas coinciden en señalar que la mayor preocupación que suscita
el voto electrónico es la seguridad. Los sistemas de votación a
través de Internet constituyen una de las aplicaciones más complejas
que se han propuesto hasta la fecha en el contexto de las nuevas
tecnologías. Sus retos, tanto desde un punto de vista técnico como
sociopolítico, son difíciles de solucionar y todavía ninguna empresa
ni gobierno ha encontrado la piedra filosofal que los resuelva de
manera completa y cerrada

En primer lugar, conviene recordar cuáles son los requisitos de
seguridad que deben exigirse a todo sistema de votación electrónica
para poder ser considerado viable:

– – Anonimato: no resultará posible vincular el contenido del voto con
quien lo emitió. Además, la aplicación no permitirá que los votantes
puedan demostrar cuál fue su voto, ya que así se elimina la
posibilidad de compra de votos o de extorsión, problema especialmente
puesto de relieve en la crisis política del País Vasco.

– – Corrección: la aplicación de votación electrónica no admitirá la
alteración de un voto que haya sido previamente validado ni permitirá
la inclusión fraudulenta de votos no autorizados.

– – Democracia: la aplicación sólo permitirá el voto a miembros
autorizados del electorado y, por supuesto, sólo se podrá votar una
vez.

– – Verificabilidad: los votantes podrán comprobar, de manera
independiente, que sus propios votos han sido realmente incluidos en
el recuento final. En caso de que no sea así, el votante podrá
demostrar el fraude sin necesidad de que se revele cuál era el
contenido de su voto. La verificabilidad universal permitiría que
cualquier votante verificase la integridad de todo el conjunto de
votos, no sólo del suyo propio.

Como puede intuirse, se trata de un conjunto de requisitos a menudo
contradictorios y de muy difícil cumplimiento. Empresas españolas
como Indra (www.indra.es) o Isoco (www.isoco.com) ofrecen soluciones
de voto electrónico, aunque de momento operativas solamente es
escenarios reducidos y controlados. Y es que los problemas de
seguridad, habida cuenta del estado actual de la tecnología, resultan
ahora mismo insalvables.

Pero supongamos que una empresa da con el sistema perfecto, que
garantiza los cuatro servicios de seguridad arriba mencionados. Por
desgracia, como bien saben los ingenieros, no es lo mismo considerar
una solución en un entorno controlado de laboratorio, donde los
ordenadores son seguros y los usuarios, expertos, que desplegar la
misma solución en un escenario real: los usuarios no están
familiarizados con la tecnología, se les puede engañar fácilmente,
sus ordenadores son inseguros, su acceso se puede comprometer, son
vulnerables a todo tipo de ataques, la red puede encontrarse bajo
ataque, los ordenadores centrales de voto pueden resultar
comprometidos, …

En primer lugar, la identificación de los usuarios constituye un
problema peliagudo, que se resolverá por medio de certificados
digitales cuyo uso, como bien señala el senador Quiroga, está
recogido en nuestra legislación, por lo que un sistema de este tipo
sería completamente válido y legal. Lo que no llega a señalar es que,
hoy por hoy, son perfectamente inseguros. Actualmente se almacenan en
el disco duro del usuario sin ni siquiera protección con contraseña.
Cualquiera con acceso físico al disco (y con Windows 9x, el sistema
operativo de la casi totalidad de usuarios domésticos, esto significa
literalmente «cualquiera») puede robar el certificado. Es más, dado
que estos usuarios domésticos desconocen y no se protegen ante los
riesgos de seguridad de una conexión a Internet, sucumben fácilmente
víctimas del ataque de hackers, caballos de Troya y, por qué no, de
otro miembro de la familia o del despacho. En definitiva, un
certificado digital, tal y como se gestiona, no ofrece ninguna
garantía de identificación del usuario. Se puede argumentar que las
tarjetas inteligentes resuelven el problema. Sí, pero, ¿cuántos
usuarios poseen un lector de tales tarjetas? ¿Cuántos años pasarán
antes de que una masa crítica del electorado los adquiera?

Está bien, imaginemos que los certificados se almacenan y gestionan
de forma segura y responsable en una tarjeta inteligente resistente a
manipulaciones por usuarios domésticos concienciados y educados en
las nuevas tecnologías de la información. Se habría resuelto, al
menos a primera vista, el problema de los ataques en el extremo del
cliente. ¿Y los ataques al sistema central de voto? ¡Qué botín tan
apetitoso! Y no sólo para hackers quinceañeros aburridos de jugar a
la PlayStation. Estamos hablando de agencias de inteligencia de
gobiernos rivales, de organizaciones criminales y grupos terroristas,
de ataques que contarían con los recursos humanos y económicos como
para disfrutar de unas posibilidades de éxito respetables. Ataques de
denegación de servicio, para impedir el voto; ataques que modifiquen
los votos; o simplemente ataques que hagan dudar de si se corrompió o
no el proceso electoral. ¿Cómo se reaccionaría? ¿Pulsando el botón de
reset y anunciando al electorado que, bueno, ejem, ha habido un
problemilla y vamos todos a votar otra vez el próximo domingo? ¿Y si
pasa una segunda vez? ¿Y una tercera? Evidentemente, se terminaría
abandonando este sistema en favor de la urna y papeletas de toda la
vida.

Otro tema interesante es el de la movilidad, es decir, la
multiplicidad de puntos y medios de acceso para votar. ¿Hasta qué
extremo puede uno fiarse de un ordenador desconocido cuyo software no
controla? Se habla de terminales instalados en los colegios
electorales para dar soporte a los usuarios que carecen de ordenador
en su vivienda. ¿Cómo sé que cuando introduzco mi tarjeta con mi
certificado en su interior el ordenador usa mi firma digital para
firmar la papeleta virtual y no la de algún otro? ¿Cómo sé que vota
al candidato que he elegido? ¿Quién me asegura que no se esconde un
caballo de Troya en el software? Solamente un hardware seguro puede
proporcionar ese nivel de garantía, nunca un ordenador de propósito
general. Un nuevo y apetitoso punto de ataque. ¿Y qué me cuentan del
acceso móvil, vía WAP, UMTS o lo que sea? Las redes inalámbricas no
se están caracterizando precisamente por su seguridad.

Por no hablar de la brecha entre la población conectada y la no
conectada, los ilustrados y los analfabetos digitales. ¿Quedarán de
lado los ciudadanos marginados en la incipiente Sociedad de la
Información? ¿Se va a tachar de un plumazo al 90% del electorado?
Según Quiroga, «el voto por Internet no sólo sería útil para la
situación actual del País Vasco. También facilitaría el voto de los
españoles en el extranjero, el de los enfermos, personas mayores y el
de personas con discapacidades». Claro, como que mi abuela es una
gurú de Internet y cuando viajo al extranjero encuentro ordenadores
seguros para el voto.

Ante todos los desafíos que la democracia electrónica plantea, nos
encontramos con que ni la sociedad ni la tecnología en su estado
actual están preparados para afrontar el reto. A corto plazo, el voto
electrónico resulta inviable. Sin embargo, a medida que las
soluciones de PKI, aún en gestación, vayan madurando y se vaya
acortando el abismo social que separa las capas digitalizadas de la
sociedad de las aún desconectadas, seremos testigos de experiencias
piloto que conducirán de forma gradual y escalonada a la
regularización y legitimación del voto electrónico por Internet. El
sueño de Pericles se verá cumplido.

Gonzalo Álvarez Marañón
criptonomicon@iec.csic.es

Más información:

Criptonomicon:
http://www.iec.csic.es/criptonomicon/

El Mundo:
http://www.el-mundo.es/navegante/2001/03/07/esociedad/983955601.html

IDG:
http://www.idg.es/comunicaciones/mainart.asp?id=14530

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: General

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Técnica permite modificar ficheros PDF con firma digital
  • Evasión de CloudTrail en AWS a través de API no documentada

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR