Accede a la publicación original de este hilo en Twitter.
1/33 El lunes en @estoescambio@PaoHerreraC escribió sobre la manipulación de resultados electorales en 2014 y dejó preguntas al registrador sobre el software de escrutinio para este año. Compartimos sus preocupaciones y ampliamos con precisiones técnicas. Hilo largo.
2/33 Como ella bien dice la madeja arranca con la demanda del @PartiroMIRA en 2014, sigue con la sentencia del @consejodeestado de 2018 que reconoce problemas del software de escrutinio y termina con los cambios que @Registraduria hizo para 2022. Las preguntas siguen abiertas.
3/33 Dejamos la sentencia disponible en este enlace: https://bit.ly/3HJCSPT Es un documento extenso de 362 páginas y demora un poco en cargar pero será la base para esta larga historia. Ahora que tenemos el documento empecemos.
4/33 La demanda del @PartidoMIRA pidió la nulidad de las elecciones para el Senado de la República del período 2014-2018 y solicitó un nuevo escrutinio, que se cancelaran las credenciales de quienes resultaran afectados y se otorgaran las que correspondan.
5/33 @PartidoMIRA señaló las diferencias injustificadas entre los formularios que llenan los jurados de votación (E14) y los que llenan las comisiones escrutadoras (E24). Esto modificaba el Acta de consolidación de resultados. Es decir, los votos y el escrutinio no coincidían.
6/33 @PartidoMIRA afirmó que el software de escrutinios sufrió manipulación por posibles alteraciones en el código fuente, interceptación de información, intrusión remota no autorizada, intervención o manipulación del sistema por personas autorizadas en horarios no establecidos.
7/33 En su momento el @CNE_Colombia respondió con el informe del CTI “no es posible establecer si el sistema impedía manipulación externa”, la @Registraduria dijo algo parecido.
8/33 Por su parte la sala del @consejodeestado dijo que si bien no era posible determinar la manipulación los logs del sistema si permiten determinar hallazgos que sirven de evidencia de sabotaje.
9/33 con base en esto logran determinar que si hubo sabotaje y que este afectó 3630 registros correspondientes a 1412 mesas.
10/33 – @consejodeestado concluyó que hubo fraude, ordenó que la Organización Electoral debe contar con toda la infraestructura propia, completa y necesaria para resguardar la información de la actividad electoral y reconstruir lo sucedido de manera veraz, ágil y fidedigna.
Aclaración: En el paso 10 del hilo nos dejamos llevar de la narrativa y cometimos un error, donde dice “concluyó que había fraude” debería ser “concluyó que se presentó violencia o sabotaje contra los sistemas de votación”
11/33 Además 4 sugerencias puntuales: 1 adquirir software de escrutinio para que sea del Estado y tenga completa trazabilidad. 2 mantener ordenadores actualizados y copias de respaldo, 3 resguardar logs del sistema operativo, bases de datos y software. 4 evitar que esto se repita
12/33 Pasemos de 2018, de la sentencia, a finales de 2021 cuando @Registraduria toma acciones para cumplir el fallo adquiriendo el software para la Organización Electoral. Como lo comentamos antes se contrató a @IndraenColombia el software de escrutinio nacional.
13/33 El de @IndraenColombia, para el escrutinio nacional, no es el único contrato de software. La Unión Temporal DISPROEL provee software para todo lo demás del proceso electoral, desde inscripción de cédulas y candidatos hasta escrutinio de niveles inferiores.
14/33 Aunque escrutar es contar en regiones y consolidar en lo nacional y la sentencia pide trazabilidad desde la mesa hasta la declaratoria. @Registraduria adquiere con @IndraenColombia sólo el escrutinio nacional -responsabilidad del @CNE_Colombia-, lo demás queda con DISPROEL.
15/33. De este cambio también queda otra preocupación, ni la @Registraduría ni el @CNE_COLOMBIA controlan el software que ahora será de su propiedad (el de Indra). Si acaso están aprendiendo a usarlo, es decir, contar los votos sigue en manos de privados. Te invitamos a leer El bloqueo a la Registraduría que no fue, pero casi.
16/33 @PaoHerreraC reclama lo que desde hace años pedimos: derecho a controlar las elecciones comprobando que nuestro voto se cuenta por quien lo damos y que se hace con garantía del secreto. Cuando hay tecnología esto es: auditorías técnicas y observaciones en tiempo real.
17/33 Hablemos de las auditorías. Por fin, luego de años de pedir verdaderas auditorías, no solo ejercicios de observación en tiempo real, el plan de @indraencolombia incluye una serie de pruebas internas y el acompañamiento de una institución de educación superior.
18/33 No canten victoria, mientras para DISPROEL hay auditoría externa (que ganó la empresa JAHV McGregor), en @Indraencolombia es interna. Un aplauso por buenas prácticas pero esto no reemplaza la auditoría externa.
19/33 De pruebas internas no hay obligación de publicar hallazgos. A semanas de la elección, poco sabemos. Por ejemplo, preguntamos a @UNALOficial sobre el acompañamiento que @Registraduria dijo harían a Indra pero respondieron no tener acuerdo. https://bit.ly/3rRG077
20/33 Si la preocupación por posibles manipulaciones en el software de escrutinios es una constante en el mundo, que en Colombia haya sucedido en 2014 la materializa sin importar el tamaño del fraude y sin embargo la ruta hacia la transparencia y el control sigue llena de obstáculos.
1/33 A una legítima preocupación de @PaoHerreraC, con algunas imprecisiones técnicas pero con preguntas que compartimos, @Indraencolombia le respondió: cumplimos estándares de seguridad, se tendrá disponibilidad, trazabilidad, seguridad, etcétera. Es decir: Créanos, tengan fe.
22/33 El escrutinio no es un acto de fe. La Organización Electoral debe garantizar la integridad y secreto de cada voto. Con tecnología no basta poner computadores en una sala y el letrero de “sala de auditoría” para que los expertos de partidos vean el código un rato y ya.
23/33 Aunque hay mejoras, en 2022 siguen pidiéndonos creer a ojo cerrado en que los contratistas lo hacen bien y son a prueba de fallos. ¡Qué despropósito! Repitamos: NO HAY SEGURIDAD AL 100% y por eso no debe escatimarse en controles, revisiones, ajustes y cooperación.
24/33 @Registraduría dice ¡Claro que hay auditoría! se hará en tiempo real, por partidos políticos y observadores nacionales e internacionales. Y sí, está la sala y algo sirve para el control y ha mejorado, pero no es lo que dice ser. Observar de lejitos un ratico no es auditar.
25/33 La confusión entre auditoría y observación electoral de la tecnología nace en la propia @Registraduria que no solo la llama así, además pide a partidos y observaciones que acrediten auditores de sistemas con todos los galones, pero no les permite usarlos, solo observan.
26/33 A estas personas no les entregan código, este año por fin lo podrán ver un rato pero no tienen acceso a interfaces de desarrollo para ver cómo está construido y qué pasa por debajo (cómo se comunican los sistemas, cuáles son las medidas de seguridad, qué registros quedan).
27/33 Estas “auditorías” permiten ver y reportar problemas de funcionalidad pero no afirmar que se cumplen estándares o si realmente hay integridad, confidencialidad, disponibilidad. La observación no reemplaza una auditoría, en un día no se hace lo que toma 6 o más meses.
28/33 Pensar que estas “auditorías”, realmente observaciones expertas, tienen esa capacidad es como creer que una cámara de seguridad es infalible para mostrarnos lo que sucede (el fallo de seguridad) a kilómetros de distancia. Verán si pasa un carro y bueno, eso también importa.
29/33 No es que no debe hacerse o no es necesaria, la observación electoral de la tecnología es importante para ver lo que pasa el día clave y en el escrutinio, pero no reemplaza la auditoría para este tipo de sistemas que sucede mucho antes del día de elecciones. Son diferentes.
30/33 Todavía falta contarles que se congela el software días antes de las elecciones, sin supervisión final, sin mirada externa y después de ajustes producto del simulacro general que sucede apenas una semana antes de elecciones, así no hay auditoría o control que garantice nada.
31/33 @PaoHerreraC tiene razón el registrador debe garantizar que el software que adquirió pasa las pruebas, que incluya controles externos, que haya tiempo suficiente para confiar en su utilización. Para 2022 esto ya no fue.
32/33 La ausencia de controles independientes, sólidos, públicos no le sirven a nadie, por ahora alimentan la desconfianza y las teorías conspirativas de todo el espectro ideológico.
33/33 Una vez más “ @Registraduria tiene que dar garantías, y esto se extiende a la tecnología que use. De lo contrario, se alimentan la desconfianza y las teorías de conspiración, y termina dándose un tiro en el pie”. Te invitamos a leer El bloqueo a la Registraduría que no fue, pero casi.
Si por algún motivo esta entrada no es accesible para tí, por favor escríbenos a comunicaciones@karisma.org.co y haremos los ajustes que estén a nuestro alcance para que puedas acceder al contenido.
Indícanos el título del contenido en el asunto del correo, por ejemplo: Sin saber qué pasó con el registro de cédulas, estamos sin censo electoral ¡No más improvisación!
Es fundamental poner el tema en la agenda y nutrir la conversación. ¿Trabajas en un medio de comunicación? Escríbenos a comunicaciones@karisma.org.co.
Relacionados
María Camila Galvis Gomez
María Camila es coordinadora de proyectos de la Fundación Karisma. Es abogada de la Universidad Externado de Colombia, experta en gestión y regulación en telecomunicaciones, competencia y usuarios. Ha trabajado por más de 10 años en la implementación de proyectos con amplio contenido legal y técnico en el sector de las TIC, apasionada por el...Michael Ruiz
Facilitador de Talleres K+Lab