¿Es posible implantar un sistema de voto electrónico tan seguro como el de papel y lápiz?

Hay críticas constantes a las máquinas de votación, debido a la facilidad de manipular el resultado de una votación que se cuenta digitalmente. He oído la opinión de que todo procedimiento de votación implementado por ordenador, incluido el voto electrónico a través de Internet, es en principio más susceptible de manipulación que la votación tradicional con papel y lápiz.

¿Es esto cierto o existen conceptos de votación electrónica que tienen las propiedades deseadas de la votación en papel?

posible duplicado de ¿Qué desafíos quedan para la votación en línea? ; Creo que las respuestas disponibles allí serían similares, si no exactas.
Mi pregunta es mucho más específica que "¿Qué desafíos quedan para la votación en línea?".
Lo es, estoy de acuerdo. Sin embargo, no estoy seguro de que las respuestas sean muy diferentes.
Las respuestas deben ser diferentes ya que las máquinas de votación garantizan algunos detalles básicos que los sistemas de votación en línea no garantizan, como ejemplo, puede decir que cada votante en una máquina ha sido autenticado como elegible para votar, algo de lo que no puede estar seguro con un voto en línea. sistema de votación.
@KevinPeno: Creo que las respuestas serán diferentes porque "¿Qué desafíos quedan para la votación en línea?" se centra en lo que tenemos ahora, mientras que esta pregunta se centra en lo que es posible (además de la seguridad en lugar de otras cuestiones) y también en la votación electrónica, en lugar de solo en línea. Dado que hay 3 diferencias, creo que esto merece ser su propia pregunta
Por electrónico, ¿quiere decir en línea o las máquinas de votación electrónica cuentan como "votación electrónica" para usted?
@mikeazo Me refiero a todos los sistemas donde el voto se ingresa y registra a través de un programa de computadora. Creo que la mayoría de las máquinas de votación entran en esta categoría. Sin embargo, estoy más interesado en la posibilidad de votar en línea.

Respuestas (8)

Esto dependería de lo que considere "las propiedades deseadas de la votación en papel". Applied Cryptography enumera estos requisitos para elecciones seguras en línea:

  1. Solo los votantes registrados pueden votar
  2. Los votantes solo pueden votar una vez
  3. Nadie puede determinar el voto de un votante en particular.
  4. Nadie puede cambiar el voto de un votante después de que se haya enviado.
  5. Nadie puede duplicar la elección de otro votante (votar por la misma persona, incluso sin saber quién es)
  6. Los votantes pueden verificar que su voto fue contado correctamente

Votar electrónicamente en persona es esencialmente lo mismo que votar con boleta física, por lo que se cumplen la mayoría de las condiciones. El problema es la falta de un rastro en papel: no hay garantía de que la máquina realmente haya registrado el voto que le dijiste, independientemente de lo que diga en la pantalla (por otro lado, no hay garantía de que el trabajador electoral no encendió su boleta en llamas tan pronto como se dio la vuelta). No obstante, esto podría resolverse emitiendo a cada votante una identificación única y dándoles una interfaz web que asigne la identificación al voto, para que puedan verificar desde casa.

Votar en línea es mucho más complicado y pone en duda todos los requisitos. Presumiblemente, tiene alguna forma de emitir a cada votante registrado un nonce único, incluso si implica enviárselo por correo. Dado esto, existen esquemas criptográficos que brindan una forma de permitir que todos envíen sus votos a un tabulador centralizado (o incluso a un sistema descentralizado, aunque estos tienden a ser inviables y no son necesarios aquí de todos modos) que satisface todos estos requisitos. La forma más fácil de asegurar una votación secreta es anonimizar la distribución inicial nonce, aunque es difícil para los votantes saber con seguridad que esto se ha hecho (es decir, requiere un grado de confianza en la autoridad central)

"no hay garantía de que el trabajador electoral no haya prendido fuego a su boleta tan pronto como se dio la vuelta" Sí, la hay; insertó una boleta de papel en una urna sellada.
Sin embargo, esto no cumpliría con el requisito de privacidad. A me obliga a votar por el candidato Y y sabe que lo hice porque estaba mirando por encima de mi hombro mientras emitía mi voto. Recuerdo haber escuchado que un país (¿Eritrea?) permitió la votación en línea y permitió que las personas votaran tantas veces como quisieran, contando solo el último voto. Así que podía votar en casa con mi autoritario padre mirando por encima del hombro, y luego podía ir a la biblioteca y votar de nuevo, esta vez expresando mi verdadera preferencia.
"no hay garantía de que el trabajador electoral no haya prendido fuego a su boleta tan pronto como se dio la vuelta" al menos aquí, los trabajadores electorales son voluntarios y reclutados de todos los partidos y estilos de vida, nunca hay un solo trabajador electoral. Casi todo el mundo puede contar los votos en papel, es fácil que varias personas se comprueben entre sí.
"no hay garantía de que el trabajador electoral no haya prendido fuego a su boleta tan pronto como se dio la vuelta" Supongo que hay una cantidad conocida de ballets en el lugar antes de que abran las urnas, se cuenta la cantidad de votantes y sabemos cómo muchos ballets se utilizan y quedan cuando cierran las urnas. Además, hay una serie de trabajadores de diversos orígenes que se vigilan entre sí.
@Andy: no solo eso, sino que también puedes quedarte y ver que nadie prende fuego a ninguna boleta hasta que se anuncie el conteo final (y compara eso con el informe del periódico de los números oficiales de tu distrito electoral).
Por lo general, el uso de las urnas incluye la disposición de que cualquier ciudadano puede observar el conteo de las boletas una vez que llega el momento de contar el voto.
Re "[verificar que mi voto se contó correctamente] podría resolverse emitiendo a cada votante una identificación única y dándoles una interfaz web que asigne la identificación al voto, para que puedan verificar desde casa" : Eso en realidad no probaría exactamente nada con con respecto al resultado real informado, ¿lo haría? El sistema felizmente podría informar el voto correcto pero ignorarlo en secreto en el resultado. A menos que una proporción significativa de los votantes se comunique directamente y cuente sus votos de forma independiente, exponiendo una desviación, eso sería imposible de detectar.
Pensándolo bien, la palabra "cadena de bloques" aparece en mi cabeza: un registro anonimizado disponible públicamente de todos los votos que permite extraer el resultado más verificar si un voto determinado está contenido, disponible solo para el votante específico...

Vi una charla TED muy interesante sobre este tema. Mediante criptografía, es posible dar a los votantes un código para que verifiquen si su voto fue contado correctamente, pero sin que el gobierno sepa lo que votaste.

La mayoría de la gente asume que para verificar su voto, el gobierno tendría que tener una base de datos que enumere lo que votó todo el mundo, en lugar de simplemente llevar una cuenta. Sin embargo, lo que puede hacer en su lugar es almacenar una versión cifrada de su voto (E). Después de votar, el votante recibe un código que es necesario para descifrar E. También es posible diseñar el sistema para que el votante no solo pueda ver lo que votó, sino probarlo. es decir. el sistema hace imposible crear un código falso que muestre el voto de otra persona para incriminar al gobierno por fraude electoral

¿Puedes dar más detalles sobre el video? Parece interesante, pero las respuestas que solo vinculan a otros sitios tienden a eliminarse
@MichaelMrozek: agregué algunos detalles más, pero no voy a entrar en los detalles técnicos de cómo implementaría dicho sistema
Yo también vi ese video, pero hay un pequeño error al poder probar por quién votaste. Hace que sea trivialmente fácil vender sus votos. Sin poder probar el voto, la persona que intenta comprarlo no tendría más remedio que confiar en que obtuvo el valor de su dinero.
@JohnFx ¡Precisamente! ¡Esto es un error, no una característica!

Características deseadas

Creo que uno necesita ver cuáles son las características que uno quiere para una elección en general, y ver cómo los diferentes sistemas las enfrentan.

Una elección debe proporcionar:

  • transparencia : todo el proceso de votación y conteo debe ser verificable por cualquier ciudadano.
  • voto independiente : todos los ciudadanos pueden votar según sus opiniones, sin presiones externas.
  • seguridad : todos y cada uno solo pueden votar 0 o 1 vez, y su voto no puede ser alterado por otra persona.
  • universalidad : el proceso de votación es libre y abierto a todos, independientemente de su edad, condición social, sexo, etnia, etc.

Estoy más familiarizado con los votos de Europa occidental, por lo que los ejemplos y la ilustración representarán más lo que sucede allí.

La universalidad es en principio la más fácil de cumplir. No cobra tarifa y proporciona el mismo acceso/elección de accesos a todos los ciudadanos. Hay casos especiales que serán tratados más adelante.

La transparencia significa que se debe verificar que no se haya votado de antemano, o que nadie vote más de una vez. En lápiz y papel, esto se hace con papeletas transparentes, que al principio están vacías (y pueden ser vistas por los primeros votantes), y bajo la supervisión de una o dos personas (que generalmente representan a diferentes partidos políticos). La transparencia también implica que el proceso de votación sea público. Cada ciudadano puede venir y ver que la votación se hace correctamente. Sin contar cada voto dos veces para un partido. Esto también es supervisado por diferentes partidos políticos, lo que (debería) garantizar un proceso justo.

La independencia y la seguridad son difíciles de conseguir. Porque la seguridad implica la identificación del votante, y la independencia, su anonimato. En papel y lápiz, esto se hace con un proceso de dos pasos. La persona se verifica una vez, pero el sobre cerrado asegura que el contenido del voto sea anónimo. Y cuantos más votantes, más anónimo se vuelve el voto, ya que al final resulta imposible atribuir cada sobre a cada votante.

Y una característica interesante de lápiz y papel es que el resultado puede ser cuestionado y los votos contados nuevamente. Ralentiza todo, pero rara vez se cuestiona.

Caso para proceso electrónico

Consideraría tres sistemas y vería qué deberían proporcionar para cumplir con los requisitos anteriores.

  • votación en línea,
  • Voto electrónico presencial con DNI (EA),
  • Voto electrónico con DNI manual (EM).

En esta sección, consideraría solo la implementación "pura" de esos, y no una mezcla.

Aparte de los casos especiales que se discutirán más adelante, la universalidad de estos es bastante fácil de implementar. Las máquinas electrónicas están en el lugar, al igual que la boleta de papel. En línea, se limita a "todos los que tenían conexión a Internet", a menos que se puedan organizar algunos puntos de Internet dedicados (gratuitos) para los demás.

En los casos en línea y EA, la identificación de los votantes se realiza con una identificación única que se le otorga a cada votante. No está claro cómo se puede garantizar que el votante no proporcione su voto a otra persona (posiblemente a cambio de dinero). Pero exactamente de la misma manera, pueden votar ellos mismos según el dinero recibido de antemano. No hay nada en los sistemas actuales que prevenga este tipo de fraude, excepto los riesgos que implica. Que sería lo mismo tanto para Online como para EA.

En EM, la identificación se realiza de forma muy parecida a la actual. Este "tan bueno como se pone", ya que está separado del proceso de votación. Un chip o una limitación de tiempo pueden impedir que alguien vote más de una vez.

El voto independiente no es fácil. Para el EM, al ser independiente de la identificación, funciona de forma sencilla. Todavía puedes obligar a la gente a votar por tu candidato, con presión fuera del lugar de votación, sin cortinas ni nada que te aísle, etc. Pero esos problemas ya existen hoy. Entonces, si no mejora en eso, no empeora.

Online y EM son más difíciles: la identificación y el voto no están realmente separados. Esto se puede lograr con algunos algoritmos criptográficos, que encapsulan y cifran el voto en un sistema de identificación. Eso se discutió en otra respuesta (posiblemente en la pregunta relacionada).

El cifrado encapsulado también es una forma de proporcionar cierto nivel de seguridad en la alteración del voto. Esto es particularmente crítico en el sistema en línea, para evitar ataques MitM. Suponiendo que las máquinas EA/EM sean confiables.

Esto lleva a, en mi humilde opinión, el principal problema con cualquier forma de sistema electrónico: la transparencia. ¿Cómo asegurarse de que no se agreguen/eliminen votos? ¿Cómo puede el votante asegurarse de que su voto fue realmente contado y no modificado? Etc.

No hay ningún medio para que un ciudadano normal controle el puntaje de la votación: desea que esté protegido para evitar alteraciones. Además, no desea que los primeros votantes influyan en los votantes posteriores, por lo que no puede publicar los resultados en tiempo real. De todos modos, puede considerar que pierde transparencia en comparación con el voto estándar de papel y bolígrafo. Lo mejor es tener gente independiente controlando que los conteos sean correctos. Los ciudadanos comunes confían en su juicio.

El código de código abierto publicado ofrecería alguna forma de transparencia que, si no tiene la misma universalidad en la transparencia, ofrece a todas las personas con educación en TI que verifiquen. Pero en los casos de EA/EM, no puede asegurarse de que el código publicado sea el que se está implementando.

Para un programa correcto, el error de conteo debe reducirse en gran medida en comparación con la votación con papel y bolígrafo. Pero no puedes cuestionar la salida sin reorganizar la elección (al menos localmente).

Casos especiales

Hay algunos casos que deben tenerse en cuenta en todos los sistemas y no estoy seguro de cuáles son las mejores soluciones para todos ellos.

  • Las personas de edad. Las personas muy mayores no pueden moverse para votar. El uso de dispositivos electrónicos e Internet parece estar fuera de discusión también. Con el aumento de la edad de la población en la mayoría de los países occidentales, este será un problema cada vez mayor.
  • Gente enferma. Algunas personas pueden estar enfermas y obligadas a quedarse en casa el día de las elecciones. Debe considerar alguna forma de forma remota de votar.
  • Viajes. Por negocios o por placer, cada vez más personas viajan, incluso los fines de semana. ¿Cómo pueden votar?
  • Viviendo en el extranjero. Este es un caso extremo de viajes. No se puede esperar que la gente vuele de Siberia a Alabama para votar. ¿Cómo pueden votar, sin viajar distancias demasiado largas?

Soy consciente de tres elementos para tratar con ellos. Posibilidad de transferir el voto. Alguien puede votar por ti, y como eliges quién, puedes confiar en esa persona. Correo. Se vota por correo y se organizan votaciones especiales para recoger esos correos. Representación en el extranjero. Es posible votar en los consulados . Sin embargo, esto funciona bien cuando se va a un país con una gran cantidad de conciudadanos, ya que esperaría tener consulados no muy lejos de su lugar. Pero nuevamente, en medio de Siberia, podría ser complicado.

Conclusión

Como suele ser el caso, no existe una solución perfecta. Los votos electrónicos suelen fallar por completo cuando se trata de transparencia. Mejoran el problema (honesto) con el conteo y podrían mejorar la velocidad de la votación. Internet/el voto en línea puede resolver algunos casos especiales. Pero, en general, no mejoran el sistema existente en cuanto a las funciones requeridas y, a menudo, se reducen.

Un punto que se pasa por alto en estas respuestas es la relativa seguridad de la votación con lápiz y papel. Reconozco que debido a que la votación electrónica es una desviación de la forma tradicional y aceptada de votar hoy en día, se considera inherentemente más susceptible que la votación electrónica. Sin embargo, si el estándar es un sistema que, en principio , es objetivamente tan seguro como la votación con lápiz y papel, la votación electrónica en persona con respaldo en papel es igual de segura por las razones que @MichaelMrozek expone en su respuesta.

Sin embargo, el estándar debería ser mejorar la seguridad de la votación con lápiz y papel, no simplemente igualar las mismas deficiencias que ya tiene.

El voto electrónico presencial con respaldo en papel tiene la ventaja de que el conteo de los votos es más rápido y confiable.
@gerrit estuvo de acuerdo. Pero la conveniencia no equivale a la seguridad, que es el objetivo de esta pregunta.

La votación con lápiz y papel no es segura en absoluto y es mucho más propensa a la manipulación que la votación electrónica.

Sus principales ventajas son que todo el mundo es capaz de realizar comprobaciones básicas para la manipulación y que las manipulaciones no escalan. El daño que se le puede hacer a una sola boleta, a una sola urna, a un solo juzgado, etc. requiere un número creciente de cómplices sin excepción, con números y esfuerzos en proporción a los votos manipulados.

Eso hace que la manipulación del voto en papel sea ineficiente. Ocurre con bastante frecuencia que los recuentos de votos son comunes, a veces con discrepancias notables que sugieren un sesgo sistemático con las percepciones de algunos contadores individuales. Pero en general, las correcciones rara vez cambian las reglas del juego.

El voto electrónico, por el contrario, puede falsificar mucho a través de un solo vector de ataque exitoso.

Un hipnotizador podría votar cien veces en cada urna.

Un ejemplo empírico es Estonia. En este país de Europa del Este, el gobierno introdujo el voto electrónico (i-voting) en 2005, y ahora es el estándar común para las elecciones. También debatieron los problemas de seguridad durante bastante tiempo y, como se muestra aquí en E-Estonia.com , parece ser bastante seguro (la seguridad al 100 % no es posible y ningún sistema de votación puede ser completamente seguro) y también observan un reciente comentario sobre el sistema de votación de Estonia en Forbes.com Encuentro la siguiente declaración en el texto de forbes sobre la seguridad del voto bastante convincente:

"[...] [U]na de las preocupaciones más comunes con respecto a la votación por Internet es la posibilidad de que el voto de uno pueda cambiar debido a un virus en su computadora o a medida que su boleta transita por Internet en su camino a los servidores del gobierno central. Para abordar esto, el sistema de votación de Estonia agrega un giro novedoso: la capacidad de usar su teléfono móvil para conectarse por separado a los servidores electorales a través de un conjunto diferente de herramientas y servicios para ver cómo se registró su voto y verificar que sea correcto. su voto usando su computadora de escritorio, puede sacar su teléfono inteligente y verificar los resultados que realmente recibieron los servidores electorales centrales. Los resultados están encriptados para que ningún funcionario del gobierno pueda ver cómo votó individualmente, solo usted puede ver su voto individual. elecciones,incluso cuando se agregan a los totales nacionales".

Entonces, esto no es perfecto, pero parece tener algunos méritos que deberían ser considerados de cerca en futuras ideas sobre sistemas electorales y de votación.

Se puede obtener un estudio de ciencia política de 2009 sobre esto aquí (advertencia, muro de pago)

¡Bienvenido a Politics.SE! He incluido el tercer enlace de su comentario directamente en la respuesta, por lo que puede eliminar el comentario ahora. Considere también agregar algunos conceptos/ideas cruciales de los artículos vinculados directamente a su respuesta, ya que los enlaces son vulnerables a la "rotura del enlace".

Creo que estás haciendo la pregunta equivocada.

¿Es posible implementar un sistema de votación electrónica que la mayoría de los votantes crea que es tan seguro como la votación con lápiz y papel?

Es una mejor pregunta.

Un sistema de votación tiene que ser justo y parecer justo , de lo contrario, los partidarios del perdedor no aceptarán el resultado. Nadie ha ideado todavía un sistema de votación electrónica que el 99% de las personas pueda entender cómo funciona con suficientes detalles para saber personalmente que es seguro.

Este hilo trata sobre las máquinas de votación (DRE y opscans) ubicadas en los lugares de votación. Un sistema seguro de votación por Internet no tendría lugares de votación. Las largas filas y el tiempo que se pierde en conducir y encontrar estacionamiento alrededor de los lugares de votación es un problema más importante que la comparación de seguridad. Sin embargo, no ha habido condenas en los EE. UU. de ningún votante por cometer fraude en las máquinas de votación. Solo hay historias sensacionalistas que se usan para atraer a la gente a los sitios web y para vender libros y periódicos. Todos los casos de fraude electoral en la historia de los Estados Unidos involucran papel. Es obvio cuál es más seguro. Vea mi comentario en ¿Qué desafíos quedan para la votación en línea? para obtener más información sobre la votación por Internet.

"Solo hay historias sensacionalistas que se usan para atraer a la gente a los sitios web y para vender libros y periódicos". ¿Tiene evidencia para respaldar eso?
También ha habido muchos ejemplos de personas que votaron ilegalmente en las elecciones, ya sea porque no eran elegibles o porque votaron dos veces o más.
Usuario 1873: no "muchos", sino unos pocos, y esto no es relevante para el uso de DRE para el fraude. Brad Blog es un sitio web profesional que fomenta el miedo y no tiene hechos
Usuario 1873: no "muchos", sino unos pocos, y esto no es relevante para el uso de DRE (o máquinas de votación) para el fraude. Steve: Brad Blog es un sitio web profesional que fomenta el miedo y que no tiene datos sobre los DRE manipulados para producir resultados fraudulentos. La votación verificada es otra. Libro - Gumble's Steal this Vote - igual.
@WilliamJKelleherPhD: No discuto que hay sitios web y libros que intentan alejar a la gente de la idea de los sistemas de votación electrónica. Lo que sí discuto es el uso de la palabra "solo" en esa oración, lo que hace que parezca que cualquiera que critique el voto electrónico es un alarmista. Es posible que desee editar su respuesta para aclarar eso y también expandirla para abordar directamente los problemas de la pregunta original relacionados con la seguridad y el fraude.
¿Es posible implantar un sistema de voto electrónico tan seguro como el de papel y lápiz?
RespuestasAquíPolítica de privacidad1y, 0v