Informe de Informática Forense del Laboratorio Forense Orta Poleo ),
(*)
A efectos de analizar la situación que plantea un sector de la población no favorecido por los resultados electrónicos electorales, consideramos un deber ciudadano hacer las siguientes observaciones y sugerencias que debe considerar también el Consejo Nacional Electoral para futuros eventos.
Falta de control.
El sistema implementado protegía el secreto del voto, pero su activación, control y procesos de totalización en los equipos servidores, dependían de factores humanos. Las fases finales del proceso de escrutinio siempre fueron un misterio ya que no se permitió la auditoria antes o después del envío de datos. Lo que vieron los observadores internacionales fue la totalización de las actas en todo caso sus encuestas a la salida de la votación, que no tienen validez o soporte según lo ha sostenido el mismo CNE. Dominio del Hombre sobre la Máquina. El control no era de la máquina sobre el humano sino del humano sobre las máquinas. Una hipótesis de fraude es que previamente a la entrada del público o de haberse acabado las colas, pudieron haberse utilizado los votos de los abstencionistas sin que la computadora hubiera podido controlar el uso de quienes no fueron a sufragar y por los cuales uno o varios dedos hubieran podido generar votos por el SI o por el NO adicionalmente. Las únicas pruebas que pudieran corroborar esta hipótesis reposarían en los cuadernos de votación por lo que las pruebas sobre esta modalidad de fraude sería Grafotécnica y Dactiloscópica más un control sobre la velocidad de votación en las bases de datos de las máquinas.
De la Imperfección del Sistema de Control Electrónico
Según el artículo 11 de las Normas de Totalización y Proclamación de Resultados de fecha 11 de agosto, las actas de escrutinio automatizadas, no debían contener el serial físico ni el serial electrónico de la máquina que la había producido. Al separar el acta física de la máquina que la imprimió se hace prácticamente imposible hacer la auditoria electrónica de los votos escrutados. Un proceso diseñado para que no pueda ser auditado es un proceso que no es confiable. Tampoco se ordenó la inclusión del serial físico y/o electrónico de las llamadas Pen Drive o memoria removible.
En un escrito de solicitud fechado 7 de Julio, es decir con más de 30 días de antelación al Referéndum, solicitamos formalmente al CNE. se incluyeran estos datos de seriales en el proceso de registro y control y otros controles electrónicos haciéndose caso omiso a nuestra petición.
El reglamento dispone que la data transmitida se cotejará posteriormente con el contenido de las memorias extraíbles. Si no hay una certeza de que las memorias que estaban en las máquinas son las que se llevan al CNE para corroborar los datos pues tampoco habrá garantía de la integridad de la data para verificación del proceso de transmisión.
De las Supuestas Auditorias Previas
Los actores políticos y el CNE se han llenado la boca con la calificación palabra Auditoria Informática la cual es fácil de pronunciar, pero que incluye una gran cantidad de pasos, que por razones de lógica y tiempo no se pueden haber cumplido exhaustivamente y por ello es que ahora se deberán realizar las fases completas de estudio técnico en las investigaciones administrativas y penales que pueden comenzar con ocasión de los resultados anunciados.
Una auditoria informática verdadera consta de los siguientes pasos: 1.-Planeación que incluye un examen y evaluación de la información dada por los programadores las cuales jamás estuvieron en poder del público ni de los mismos actores políticos; 2.-Pruebas que incluyen la supervisión en la programación la cual nunca hubo porque nos vendieron un programa terminado sin las revisiones internas y externas del sistema.
Un auditor debe participar en la fase de diseño, en la de operación y en la fase posterior por lo que pedimos que no se le siga mintiendo al país respecto a que las auditorias previas se habían cumplido. Lo que se hizo con algunas máquinas fue presenciar el funcionamiento durante la operación por lo que no se podía tener certeza de los procesos internos de la máquina.
Utilidad de las Caza huellas
Se nos dijo públicamente que las caza huellas trabajarían mejor que la película de Matrix y que inmediatamente bloquearían cualquier intento de voto doble. Los que conocemos de tecnología sabemos que solo la transmisión de datos toma tiempo y que los datos generados por cada captura de huellas incrementaría la base de datos de huellas a razón de cuarenta mil nuevas huellas por minuto aproximadamente haciendo difícil las proyecciones del CNE.
El hecho de que hayan votado aproximadamente nueve millones de personas y solo seis millones se hayan digitalizado significa un fracaso del sistema, por cuanto todavía sin tomar en cuenta a los abstencionistas más de tres millones de personas todavía podrían hacer fraude en futuras oportunidades si el sistema no trabaja en tiempo real. Cabe mencionar que este sistema no fue revisado ni auditado y menos certificado legalmente, ni fue objeto de pruebas bajo total presión. Presumimos que este sistema no trabajo la comparación en línea, por cuanto en muchos casos en menos de veinte segundos muchos pudieron pasar este filtro a las nueve de la noche, siendo este el mismo tiempo en el que se le tomaron las huellas al Rector Jorge Rodriguez según declaró, siendo imposible que trabajara igual de rápido cuando habían en la base de datos por lo menos 9 millones de huellas.
Los Secretos de Smartmatic
A los efectos de tratar de hacer una auditoria o de establecer si es posible una auditoria, SMARMATIC debe dar una explicación a los técnicos de los actores políticos y a la ciudadanía en general, el significado y utilidad de los códigos y números que aparecían en las papeletas impresas. Deberán explicar si en estos números se encontraba el serial de la máquina y/o el serial de las memorias extraíbles y su claves de generación.
Deberán explicar si los códigos impresos se guardaban en la base de datos de cada máquina, siendo esto fundamental para establecer la relación y autenticidad de las papeletas impresas que se encuentren en una caja, para saber si fueron producidas efectivamente por la máquina relacionada. No serviría de nada hacer un conteo del en las cajas contra el acta, sino se verifica que esos votos vinieron de las máquinas asignadas a esa mesa. Si esto no es así se rompería lo que en Criminalistica se llama la cadena de custodia de la evidencia lo que hace perder la validez de cualquier prueba.
Experticias Necesarias para las Auditorias.
Se deberá hacer experticia sobre el código fuente de muchas máquinas a los efectos de establecer la utilidad y fiabilidad de la programación. Deberá estudiarse la posibilidad de que el programa se haya auto modificado después del proceso de votación, con nuevas pruebas de funcionamiento.
Deberá realizarse pruebas forenses sobre la fecha de creación y posible modificación de la data durante y después del proceso de envío.
Por lo antes expuesto una auditoria de papelitos como único elemento debe quedar descartada tomándole la palabra al Director Jorge Rodríguez quien sostuvo que se permitirían todas las auditorias pero por una sola vez, lo cual es absurdo debido a que la auditoria conlleva la revisión total de los diversos procedimientos conjunta o alternativamente.
Una investigación Informática Forense es necesaria aparte de las pruebas de funcionamiento a posteriori que se puedan volver a hacer en las máquinas de contingencia prevista para sustituir a las que fallaron.
Se deberá establecer la integridad y autenticidad de la data que se encuentre en las máquinas utilizadas con las que pudiese hacer un rastreo sobre la identidad del programa probado con el programa que funcionó en las máquinas.
Deberá solicitarse a SMARMATIC exponga los códigos de las versiones de programa que ha desarrollado para este proceso referendario como parte del auditoria. El CNE debe explicar los términos de la contratación por cuanto alguna vez se dijo que formaba parte de la negociación el traspaso del código fuente siendo importante para aspectos legales de la auditoria legal.
Las auditorias no pueden comenzar antes de los resultados definitivos A los efectos de evitar ajustes debe esperarse por parte de la población la totalización definitiva para ver la consistencia de los datos. Lo más importante el futuro
Con miras a los nuevos procesos de votación regionales y a los de elección presidencial que vienen debe realizarse todos estos procesos y mejorarse desde el punto de vista de la auditoria a los efectos de cumplir con la Ley de Mensajes de Datos y Firmas Digitales que establece la certificación de los proveedores de servicios de certificación de datos electrónicos.
Estamos a la disposición del CNE y los actores políticos para elaborar un manual de procedimiento de auditoria informática previo y posterior a efectos de evitar que a la población no le queden dudas de la utilidad y fiabilidad de los procedimientos electrónicos de votación.
Del Registro de Electores:
La base de datos de electores ha sido por acción o por omisión alterada y modificada lo cual puede constituir uno o varios delitos informáticos continuados previstos en la ley especial sobre esta materia , por lo que los cambios de centros de votación y registro deben ser investigados y castigados sus culpables. Este sistema debe ser sometido también a controles de auditoria de ahora en adelante a efectos de evitar los fraudes por esta vía.
),
(*) Raymond Orta Martínez: Abogado, Técnico Superior en Ciencias Policiales, mención Investigación, Grafotécnica y Dactiloscopia, Especialista en Tecnologías Gerenciales, Perito en Evidencia Digital. Presidente del Instituto Venezolano de Ciencias Forenses. www.experticias.com info@experticias.com