Voto automatizado está bien pero IFES hace advertencias
La auditoría realizada al sistema de votación automatizado que se utilizará en las elecciones municipales del 16 de este mes no identificó ninguna deficiencia importante en su funcionamiento. No obstante se ofrecieron una serie de recomendaciones que mejorarían la transparencia y la auditabilidad del sistema para los comicios de mayo.
Según el informe completo ofrecido ayer a la Junta Central Electoral (JCE) por el equipo de evaluación de la Fundación Internacional para Sistemas Electorales (IFES), se determinó que la arquitectura y el diseño general del sistema son de alta calidad y están bien ejecutados.
“No se identificaron defectos, errores o deficiencias en la funcionalidad del sistema de votación automatizado ni la aplicación móvil que se utilizará en las mesas de votación manuales”, sostiene.
Sin embargo, IFES advierte a la JCE que este sistema de votación no almacena la información necesaria para recuperar el voto de un elector en específico.
Al analizar el anonimato del elector, “el equipo de evaluación analizó tanto el dispositivo de votación local como los datos enviados al centro de datos para tratar de determinar si un elector podría estar vinculado directamente a una boleta electoral específica. El análisis del dispositivo de votación local indicó que ningún registro contenía sello alguno de fecha, hora o datos votados. Debido a limitaciones de tiempo, el equipo de evaluación no pudo acceder a la base de datos localmente por las dificultades que presentaba la seguridad del sistema. El equipo de evaluación se enfocó en los datos enviados al centro de datos desde los dispositivos locales”.
Auditoría
También recomienda recopilar la información en un solo registro de auditoría para el sistema de votación implementado, que sea legible por humanos, lo cual mejoraría la transparencia del sistema.
“El equipo de evaluación evaluó la auditabilidad del sistema de votación automatizado. Esto se define como la capacidad del sistema para registrar suficiente información a fin de proporcionar un cierto nivel de confianza que permita que personal ajeno a la JCE pueda recrear todo el proceso de votación. La información podría utilizarse para revisar los resultados y procesos del día de las elecciones en una auditoría posterior a las elecciones a fin de garantizar que todos los sistemas y procesos se hayan seguido y hayan sido correctos”.
“La auditoría posterior a las elecciones debe utilizar todas las áreas enumeradas anteriormente para crear una línea de tiempo de todos los eventos, verificar los resultados e identificar cualquier área de mejora o inquietud.
Asegura que se debe determinar una cantidad de tiempo antes de cada elección, en que se detiene el desarrollo o los cambios en el sistema de votación. “La cantidad de tiempo antes de una elección debe ser suficiente para permitir que terceros independientes revisen el código fuente”, dice.
El código fuente
El equipo de evaluación analizó el código fuente del sistema de votación automatizado y debido a las limitaciones de tiempo no pudo realizar una revisión completa de su funcionalidad porque el sistema de votación contiene más de 250,000 líneas de código.
Sin embargo recomendó que es necesario fortalecer la cadena de custodia para el código fuente. “Seleccionar un agente de custodia para guardar los artefactos del sistema de votación. Se recomienda que la JCE investigue y seleccione un agente de custodia para guardar el código fuente final, el ejecutable, la base de datos y el valor hash que lo acompaña. “El agente de custodia puede ser el Banco Central, otra agencia gubernamental o un agente de custodia de software”, expresa.
Ayer el presidente de la JCE, Julio César Castaños Guzmán, aseguró que esos equipos se guardarán en una entidad bancaria.
A largo plazo IFES recomendó crear un solo registro de auditoría, desarrollar una práctica formal para identificar defectos en el software, automatizar el registro del secretario, que garantice en tioempo real que no se realicen cambios después de la transmisión y establecer un proceso formal de desarrollo de software.
Fecha.
La evaluación del sistema de votación para las elecciones de este mes se realizó del 20 al 20 de enero pasado.
Apoyo.
La evaluación se realizó a solicitud de la JCE, con el apoyo financiero de la Agencia de los Estados Unidos para el Desarrollo Internacional (USAID).
Detalles.
Contiene la funcionabilidad, anonimato del elector, auditabilidad, seguridad, análisis del código fuente y la intención del elector.