Desde 2011, la Registraduría ha contratado el uso de dos programas de computador (que son propiedad de los contratistas) para hacer el escrutinio de los resultados electorales. A pesar de los estándares internacionales de uso de tecnologías en elecciones, el sistema no está pensado para ser controlado, ni cuenta con adecuados procesos de manejo de la información electoral. Esto quedó claro el 8 de febrero con la decisión del Consejo de Estado que da cuenta de irregularidades durante las elecciones de 2014 y que resultaron al menos en la pérdida de tres curules para el partido MIRA.
Además de un problema con marcadores, que no eran de secado rápido y causaron un número desproporcionado de votos inválidos, el MIRA también denunció manipulación del software a horas indebidas y accesos no autorizados para modificar resultados. Durante el proceso, peritos informáticos de la Fiscalía no pudieron establecer si hubo sabotaje, pues no contaban con el escenario original tanto del aplicativo como de los dispositivos utilizados en las mesas denunciadas por el MIRA. Inclusive, los contratistas aseguraron que, por mandato del contrato, eliminaron los archivos originales tres meses después de las elecciones. Sin embargo, con la poca información que se contaba, los peritos encontraron anormalidades como desactivación del acceso con huella para insertar resultados, archivos sin usuario de soporte, carencia de copias de respaldo y entradas para corregir resultados. Con esto, el Consejo de Estado determinó que hubo sabotaje en 3.630 registros de 1.412 mesas y que no se cumplió con la ruta de actividades pactadas por la Registraduría previo a los comicios.
El alto tribunal deja claro que esta experiencia obliga a tratar al sistema informático de administración electoral con los mismos parámetros legales de cualquier documentación electoral. Esto, como mínimo, supone que se adquiera el software de escrutinio “desde y para el Estado”, con completa trazabilidad de actividades y con personal idóneo dentro del Estado para el soporte técnico especializado. También incluye la implementación de medidas para mantener los equipos actualizados y con copias de seguridad. Por último, señala que se deben resguardar los archivos Log tanto del sistema operativo de los equipos donde funcione el software de escrutinio, como los de la base de datos y los del software mismo.
Empecemos diciendo que el Consejo de Estado da en un clavo: las elecciones en Colombia son privadas —las manejan las mismas empresas hace tiempo— y no se caracterizan por su transparencia. Esto a pesar de que los estándares internacionales y las discusiones en este terreno son insistentes en que el control del software debe estar en manos del Estado y que la transparencia debe implementarse al extremo para evitar el efecto de caja negra (que previene la trazabilidad del proceso, en este caso incluso después del incidente de la sentencia). En Colombia se subcontrata todo y, como lo advierte el Consejo de Estado, no se tiene control alguno sobre el proceso, menos sobre el código fuente, el historial, ni sobre el personal.
Afortunadamente, aún no se ha cumplido la orden legal que prevé que implementemos el voto electrónico. Todavía tenemos un sistema híbrido donde buena parte del procedimiento es manual y, por tanto, la trazabilidad total no depende del software. Sin embargo, el caso del MIRA demuestra que el escrutinio final es digital y que, además de lo visto por el Consejo de Estado, no existen o no funcionan los controles necesarios para seguir las votaciones y determinar los fallos.
Un sistema de transparencia y control que ayudaría a evitar el problema es contar con una auditoría independiente al sistema. Aunque el artículo 45 de la Ley 1475 de 2011 permite que los partidos políticos y las misiones de observación electoral (en este caso, la MOE), realicen una auditoría, después de siete años de que exista esta disposición todavía no se realizan ejercicios con las características técnicas de una auditoría, ni tampoco la Registraduría ha facilitado que esto se haga debidamente. Hasta ahora el ejercicio consiste en entregar el código fuente a la Procuraduría para su custodia y la contratación de una auditoría externa cuyo resultado no es público.
El fallo debería obligar a la Registraduría a pensar en cambios sustanciales a su sistema. Pero lo sucedido al MIRA hará que, en las elecciones que se avecinan, los partidos y la MOE exijan aplicar el artículo 45 y obligará a la Registraduría a buscar mecanismos para combatir el efecto caja negra del software de escrutinio que usará. Karisma (donde trabajo), junto con la MOE, ha estado analizando cómo pueden la MOE y los partidos usar el artículo 45 dentro de las condiciones actuales, para empezar a abrir esa caja negra. Esta auditoría fortalecería la confianza en torno a los procesos electorales del país.
Desde 2011, la Registraduría ha contratado el uso de dos programas de computador (que son propiedad de los contratistas) para hacer el escrutinio de los resultados electorales. A pesar de los estándares internacionales de uso de tecnologías en elecciones, el sistema no está pensado para ser controlado, ni cuenta con adecuados procesos de manejo de la información electoral. Esto quedó claro el 8 de febrero con la decisión del Consejo de Estado que da cuenta de irregularidades durante las elecciones de 2014 y que resultaron al menos en la pérdida de tres curules para el partido MIRA.
Además de un problema con marcadores, que no eran de secado rápido y causaron un número desproporcionado de votos inválidos, el MIRA también denunció manipulación del software a horas indebidas y accesos no autorizados para modificar resultados. Durante el proceso, peritos informáticos de la Fiscalía no pudieron establecer si hubo sabotaje, pues no contaban con el escenario original tanto del aplicativo como de los dispositivos utilizados en las mesas denunciadas por el MIRA. Inclusive, los contratistas aseguraron que, por mandato del contrato, eliminaron los archivos originales tres meses después de las elecciones. Sin embargo, con la poca información que se contaba, los peritos encontraron anormalidades como desactivación del acceso con huella para insertar resultados, archivos sin usuario de soporte, carencia de copias de respaldo y entradas para corregir resultados. Con esto, el Consejo de Estado determinó que hubo sabotaje en 3.630 registros de 1.412 mesas y que no se cumplió con la ruta de actividades pactadas por la Registraduría previo a los comicios.
El alto tribunal deja claro que esta experiencia obliga a tratar al sistema informático de administración electoral con los mismos parámetros legales de cualquier documentación electoral. Esto, como mínimo, supone que se adquiera el software de escrutinio “desde y para el Estado”, con completa trazabilidad de actividades y con personal idóneo dentro del Estado para el soporte técnico especializado. También incluye la implementación de medidas para mantener los equipos actualizados y con copias de seguridad. Por último, señala que se deben resguardar los archivos Log tanto del sistema operativo de los equipos donde funcione el software de escrutinio, como los de la base de datos y los del software mismo.
Empecemos diciendo que el Consejo de Estado da en un clavo: las elecciones en Colombia son privadas —las manejan las mismas empresas hace tiempo— y no se caracterizan por su transparencia. Esto a pesar de que los estándares internacionales y las discusiones en este terreno son insistentes en que el control del software debe estar en manos del Estado y que la transparencia debe implementarse al extremo para evitar el efecto de caja negra (que previene la trazabilidad del proceso, en este caso incluso después del incidente de la sentencia). En Colombia se subcontrata todo y, como lo advierte el Consejo de Estado, no se tiene control alguno sobre el proceso, menos sobre el código fuente, el historial, ni sobre el personal.
Afortunadamente, aún no se ha cumplido la orden legal que prevé que implementemos el voto electrónico. Todavía tenemos un sistema híbrido donde buena parte del procedimiento es manual y, por tanto, la trazabilidad total no depende del software. Sin embargo, el caso del MIRA demuestra que el escrutinio final es digital y que, además de lo visto por el Consejo de Estado, no existen o no funcionan los controles necesarios para seguir las votaciones y determinar los fallos.
Un sistema de transparencia y control que ayudaría a evitar el problema es contar con una auditoría independiente al sistema. Aunque el artículo 45 de la Ley 1475 de 2011 permite que los partidos políticos y las misiones de observación electoral (en este caso, la MOE), realicen una auditoría, después de siete años de que exista esta disposición todavía no se realizan ejercicios con las características técnicas de una auditoría, ni tampoco la Registraduría ha facilitado que esto se haga debidamente. Hasta ahora el ejercicio consiste en entregar el código fuente a la Procuraduría para su custodia y la contratación de una auditoría externa cuyo resultado no es público.
El fallo debería obligar a la Registraduría a pensar en cambios sustanciales a su sistema. Pero lo sucedido al MIRA hará que, en las elecciones que se avecinan, los partidos y la MOE exijan aplicar el artículo 45 y obligará a la Registraduría a buscar mecanismos para combatir el efecto caja negra del software de escrutinio que usará. Karisma (donde trabajo), junto con la MOE, ha estado analizando cómo pueden la MOE y los partidos usar el artículo 45 dentro de las condiciones actuales, para empezar a abrir esa caja negra. Esta auditoría fortalecería la confianza en torno a los procesos electorales del país.