A un día de las elecciones presidenciales, Pilar Sáenz explica por qué es problemático que el registrador Alexander Vega Rocha haya implementado tecnología nueva en estas elecciones. Sáenz es coordinadora de proyectos de la Fundación Karisma, una de las organizaciones veedoras que ha trabajado con la MOE para observar este proceso tan importante para la democracia. Sáenz lleva más de cuatro años indagando sobre la seguridad digital en las elecciones y en esta entrevista con El Espectador detalló, punto por punto, lo grave de utilizar innovaciones tecnológicas en votaciones tan grandes sin haberlas probado primero y sin que la ciudadanía pueda conocer a profundidad los datos que arrojan las auditorías.
¿Qué preocupación tienen en Karisma con la elección presidencial?
Nuestra preocupación principal es la misma que compartimos con otras organizaciones, y es poder tener confianza en el sistema electoral. La preocupación real es poder confiar en que el proceso brinda garantías para que los resultados del domingo reflejen la votación de la gente. En este momento esa confianza que se tenía en la Registraduría como institución garante está resquebrajada.
¿Cómo ha visto la evolución de esas dudas sobre el proceso electoral, desde el 13 de marzo hasta la primera vuelta?
Nuestra preocupación viene de muchísimo más atrás. Nosotras empezamos a acompañar a la MOE hace más de cuatro años, con el objetivo de revisar cómo debía hacerse una auditoría a la tecnología que se utiliza para el sistema electoral. Hemos hecho observación técnica: por ejemplo, desde el año hemos revisado la contratación. Hicimos una alerta muy temprana, en diciembre de 2021, de la contratación de Indra, y explicamos en ese momento por qué ese contrato era problemático.
Para las legislativas nos preocupó que el registrador, a pesar de todas las recomendaciones de que no aplicara tecnología nueva en el proceso electoral, lo hizo. Eso le empezó a salir mal y tuvimos problemas con el registro de votantes y con las personas que estaban intentando cambiar su lugar de votación. El registrador Vega habilitó un sistema para que esto se hiciera vía web con verificación biométrica, usando el celular y este sistema falló garrafalmente, entonces según las cifras de la misma Registraduría, más de 300 mil personas se quedaron sin poder cambiar su lugar de votación y, por ende, sin poder ejercer su derecho al voto muy posiblemente. Eso pasó por meterse a incorporar una tecnología que no estaba probada, en un sistema que no estaba probado en estas elecciones.
¿Además del componente de biometría, cuáles fueron las otras novedades tecnológicas que implementó la Registraduría?
Una es la biometría que es algo que ni siquiera está en el ordenamiento jurídico. La verificación biométrica facial es algo que hasta ahora se está implementando en el país. Además, internacionalmente, la identificación biométrica es compleja porque este componente se sigue desarrollando, hay muchos falsos positivos de identificaciones que no concuerdan, y es particularmente problemático con personas racializadas, indígenas, porque los tipos biométricos se desarrolló en el norte. El caso es que esa tecnología y las aplicaciones de la Registraduría para implementarla fallaron y todavía nos deben explicaciones de eso.
La siguiente novedad es el algoritmo con el cual se hizo la selección de los jurados de votación. Este año, ese algoritmo lo cambiaron para las elecciones legislativas, del 13 de marzo, y lo volvieron a cambiar para las presidenciales de este domingo. Entonces, los criterios que aplica el software han cambiado sin que haya mucha claridad del porqué estas modificaciones, si efectivamente fueron presiones de Uribe y el Centro Democrático para que sacaran a los docentes y entraran estudiantes, que eso fue parte de lo que se rumoró o por qué pasó. Lo cierto fue que el algoritmo cambió y que los jurados en las legislativas jugaron un papel cuestionado porque efectivamente muchos no se prepararon, la capacitación no funcionó plenamente, fue apresurada. Ese algoritmo no lo conocíamos, no había plena certeza de cómo funciona este sistema, y hay quejas de partidos que no pudieron pasar su información en él.
Incluir otra empresa en el proceso del escrutinio fue el otro gran cambio que implicó implementar tecnología nueva. Lo que hicieron fue separar el escrutinio nacional del base, que es el que ocurre a nivel zonal, auxiliar, municipal, departamental. Desde el escrutinio departamental es donde rompieron el sistema. Hasta las últimas elecciones se usaba el mismo software (de Disproel) para transferir los datos del departamental al nacional. Ahora, el escrutinio nacional se hace bajo el software de Indra.
¿Por qué es tan inquietante que se hayan implementado tantas variables tecnológicas nuevas en estas elecciones?
Porque cuando se mete tecnología en un sistema tan complejo como el electoral, que además necesita tener alta confianza, se deben hacer todas las pruebas habidas y por haber. Las tecnologías, en general, funcionan como una caja negra, es decir, varios de sus procesos permanecen ocultos ante los ojos de los usuarios. Para entender si alguna tecnología en efecto está haciendo lo que le fue programado, se necesita de alguien especializado que se siente y revise y verifique el sistema.
¿Por eso es que hay tanto revuelo alrededor de la auditoría independiente que no fue?
Sí. Una auditoría es, precisamente, tener a un agente externo que haga esa revisión técnica, independiente, y que dé tranquilidad. Sin eso, se puede meter toda la tecnología a un sistema y puedo vender que algo funciona mucho mejor con esa implementación, pero podría resultar que no.
El problema de introducir tecnología de una forma tan rápida es que si no se dan los tiempos necesarios para que esa tecnología sea probada por expertos para que dé tranquilidad sobre su forma de funcionamiento, si además no se provee información sobre cuáles fueron las razones para cambiar el algoritmo de los jurados de votación, o cómo está funcionando el sistema de identificación biométrica y dónde van a quedar esos datos, si tu no das esas garantías, los sistemas tecnológicos implementados se están utilizando como cajas negras y no brindan confianza.
¿Cuál fue la respuesta de la Registraduría ante estas preguntas?
Que les pasáramos las preguntas oficialmente vía derechos de petición para que fueran contestadas en un mes. Quiero aclarar que el proceso no ha sido espantosamente malo. Hemos tenido acceso a varias cosas del software de Indra, pues por primera vez en la historia del país nos dejaron conocer parte del código fuente mientras estaba en construcción. Eso es un cambio. Pero una cosa es que te sienten y te expliquen el proceso en una presentación, y otra muy distinta es que uno realmente pueda tener acceso al sistema y cacharrearlo para conocer si realmente funciona o no. En conclusión, ha habido un poco más de acceso, pero resulta insuficiente frente a todas las novedades tecnológicas que se están implementando.
¿Qué nos sigue sosteniendo la confianza en la Registraduría y por ende en las elecciones?
Que todavía hay trazabilidad en el papel. Como todo queda en físico, cuando hayan reclamaciones, el Consejo Nacional Electoral podrá ver los papeles y empezará a revisar si se hicieron las cosas bien, o no, y cómo quedarán los resultados finales cuando termine el escrutinio. La confianza la sostienen los registros en papel físico. Acá pueden pasar mil cosas mal con la tecnología, pero tenemos esos registros. Como ejemplo, puede que nos demoremos tres años, como le pasó al Mira en 2014: el partido tardó varios meses en reconstruir sus votos para reclamar las curules que no les habían dado, y en 2018, por medio de una demanda ante el Consejo de Estado, les devolvieron los tres asientos que les pertenecían en esa legislatura en el Congreso. Ese fue un antecedente importante.
¿En estas elecciones, el registrador le quitó dientes a las auditorías por medio de la contratación?
La Registraduría contrató el año pasado a la firma Macgregor para auditar el software de Disproel. Esa contratación se pactó por unos 11 mil millones de pesos. Ese acuerdo se hizo antes de que se hiciera el contrato de Indra, pero una semana antes de las elecciones legislativas, realizaron un otrosí para indicarle a Macgregor que también revisara el software de Indra. Esto tiene un impacto porque en el contrato de Indra había quedado estipulado que una institución educativa debía acompañar la auditoría independiente, pero no hubo ninguna universidad que se le midiera a hacerlo. El registrador había hablado de que lo haría la Universidad Nacional, pero esta salió a desmentir esa información. Después Vega dijo que era con la Universidad Nacional a Distancia (UNAD), pero eso es bien diferente. Finalmente dijo que se cayó la auditoría independiente. Después nos enteramos que Indra se haría una auditoría interna con otra empresa que es de Indra. Es decir, esta compañía se auditó a sí misma, cosa que no suple una revisión externa.
¿Cuáles son los grandes problemas de estas auditorías internas?
Que la información que resulte de ellas sirven solo a los ojos de sus dueños. En el caso de Indra, solo esa compañía tendrá acceso a los datos que arroje su auditoría interna. En el caso de Macgregor, sus resultados los verá solamente la Registraduría porque el contrato con esta empresa tiene una clausula de confidencialidad enorme. Ese hecho no permite que se genere confianza hacia el exterior porque nosotros como veedores u observadores, y los partidos, no podemos conocerla. El CNE tiene que pedirla por derechos de petición. Eso está mal. Lo más grave es que siempre se dijo que era necesaria una auditoría técnica e independiente. Fue un punto clave en la discusión del Código Electoral en el Congreso. Mientras no haya dicha auditoría no podemos asegurar nada más.
La Procuraduría, los órganos electorales y el Gobierno en sí mismo también pusieron trabas que hicieron imposible contratar la auditoría independiente. ¿Qué nos dicen esas actuaciones?
Nuestra tesis es que la Registraduría y el CNE no tienen capacidad técnica para meterle el diente a los temas de tecnología del proceso electoral. Eso es grave porque significa que toda la posibilidad de entender el sistema, desarrollarlo, generarlo, controlarlo y hacerle seguimiento, recae en terceros. Eso no está bien. Se desligan de esa responsabilidad porque la contratan.
De alguna forma, el planteamiento que hacía el CNE al solicitar una auditoría independiente, lo entendimos como su necesidad de ganar capacidad para entender el sistema. Esto estaba muy bien porque saber dónde hacer clic no equivale a realmente saber cómo funciona una herramienta y eso es lo que se requiere para que, si hay un problema, lo puedan detectar. Todo esto para decir que con las dilaciones dieron a interpretar que pareciera que la Registraduría no hubiera querido esa apertura.
¿Y el Gobierno?
Hay un desconocimiento -que es usual en la gente- sobre la tecnología y la contratación pública. Para ellos era difícil entender por qué eran necesarias dos auditorías, si ya había una contratada, pues las razones no solo son técnicas sino también políticas. Por eso es necesario explicarles a los funcionarios todo lo que hemos hablado en esta entrevista.
Hay además una responsabilidad de la Registraduría de retrasar la auditoría externa. Es verdad que el CNE la pidió hace dos meses, pero realmente la pulla de que esta existiera viene de hace un año en la discusión en el Congreso y, a pesar de eso, la Registraduría se quedó quieta.
¿Es posible o no cometer fraude mediante algoritmos maliciosos que se adentren en los softwares de escrutinio?
La respuesta es horrible: sí. Una persona que sepa de seguridad digital sabe que nada es ciento por ciento seguro. Ni Google ni Facebook que tienen miles de dólares para ello. Lo que hay que hacer es reducir la posibilidad de que eso pase. Reducir riesgos ante posibles escenarios.
¿Cuál es nuestro escenario en este momento?
Se deben aislar los sistemas de internet para que quien ingrese lo haga con credenciales y así no pueda entrar cualquiera. La seguridad depende del tipo de sistema. Los softwares electorales en nuestras elecciones están blindados lo suficiente para que, en caso de que haya problemas se puedan revisar y verificar. No es el mejor mecanismo, pero es el que hay y funciona. Además, después del caso del Mira, los computadores guardan una copia forense para que puedan ser estudiados los datos en caso de que haya dudas sobre alguna comisión escrutadora. Esto sirve para tratar de reconstruir qué fue lo que pasó. Este último mecanismo ya está implementado, pero nunca se ha utilizado porque no hemos llegado a ese punto.
Se pudo usar en el caso del Mira, pero en ese momento la copia forense no estaba implementada. Lo que tiempo después demostró el caso del Mira es que sí hubo una alteración en los resultados en 1600 mesas de votación y que el problema en ellas ocurrió por una manipulación del software. Este episodio desencadenó en el nuevo escenario en el que estamos de que la Registraduría tenga su software propio justamente para poder revisar los datos y así tener mayores controles y la capacidad de reconstruir lo ocurrido en una elección.
>Lea más sobre las elecciones de 2022 y otras noticias del mundo político