Se avecinan semanas de intensa actividad en las que se elegir\u00e1n nuevos representantes p\u00fablicos a nivel local, nacional o incluso europeo. Representantes que se encargar\u00e1n de conformar gobiernos y gestionar nuestro futuro en los pr\u00f3ximos cuatro a\u00f1os. A nivel nacional pr\u00e1cticamente en dos semanas nos enfrentaremos a elecciones al Congreso de los Diputados y del Senado, y apenas un mes despu\u00e9s se producir\u00e1n las elecciones auton\u00f3micas, municipales y europeas.<\/p>\n
El gobierno espa\u00f1ol, y con \u00e9l la Junta Electoral Central, debe prepararse para velar por la transparencia, seguridad y confiabilidad de todos estos procesos. Sin embargo, y teniendo en cuenta la influencia que la tecnolog\u00eda tiene en los preparativos, la pregunta que nos planteamos es \u00bfc\u00f3mo un gobierno hace para proteger, desde un punto de vista tecnol\u00f3gico, un proceso electoral?<\/p>\n
Quiz\u00e1s, antes de continuar, deber\u00edamos pensar en cu\u00e1les son los elementos clave en todo este escenario. Y antes de ello, incluso, en cuales son las motivaciones que llevan a intentar alterar los resultados. Algunos estudios han puesto de manifiesto que existen cinco razones que, individualmente o combinadas entre s\u00ed, \u201cjustifican\u201d el intento de vulnerar un proceso electoral<\/a>: (1) la alteraci\u00f3n de los resultados; (2) la deslegitimaci\u00f3n del proceso democr\u00e1tico; (3) el descr\u00e9dito de las instituciones y los pol\u00edticos; (4) la intimidaci\u00f3n de gobiernos frente a relaciones internacionales; y (5) el debilitamiento de la credibilidad internacional.<\/p>\n El papel de la ciberseguridad en los procesos electorales es clave<\/em><\/strong> \u2014si no cr\u00edtico\u2014 porque afecta a muchos elementos de la cadena de votaci\u00f3n<\/a> incluyendo a los propios votantes, los dispositivos electr\u00f3nicos utilizados para el voto \u2014donde los haya\u2014, los registros de potenciales electores, el listado de candidatos, los recuentos, las transmisiones de los datos a las juntas electorales centrales, la publicaci\u00f3n de los resultados, etc. A ello debemos enfrentar los modelos de amenazas que existen en estos procesos y que pueden ir desde la explotaci\u00f3n de vulnerabilidades de los sistemas inform\u00e1ticos, a los ataques de phishing, la denegaci\u00f3n de servicios \u2014por ejemplo, en la publicaci\u00f3n de resultados\u2014 o incluso las fake news<\/em> \u2014como elemento previo a la propia votaci\u00f3n y que tiene como objetivo influir en el votante o en los pol\u00edticos.<\/p>\n Con estas premisas, no resultar\u00eda dif\u00edcil concluir que se trata de razones \u201cconvincentes\u201d que encuentran su \u201ctal\u00f3n de Aquiles\u201d en dos elementos estrat\u00e9gicos que deben ser protegidos: las<\/em><\/strong> personas y los datos<\/strong><\/em>. Las primeras porque resulta prioritario afianzar la libertad<\/strong> de decisi\u00f3n<\/strong><\/em> de los electores. Los segundos porque debe garantizarse la integridad y confiabilidad<\/strong><\/em> en el sistema.<\/p>\n Las campa\u00f1as de desinformaci\u00f3n o fake news<\/em> son uno de los elementos que m\u00e1s han sido utilizadas para influir en la decisi\u00f3n de los votantes. Las sospechas de entidades gubernamentales o empresariales externas \u2014o incluso internas\u2014 por dirigir la opini\u00f3n de los ciudadanos hacia intereses espurios han sido \u00faltimamente, y por desgracia, una t\u00f3nica habitual. Granjas de usuarios ficticios distribuyendo noticias y opiniones manipuladas, o sencillamente falsas, han proliferado entre las redes sociales que se han visto desbordadas por las cr\u00edticas y las peticiones de control desde los organismos p\u00fablicos. Y es que, visto desde la perspectiva del atacante, no resulta una mala estrategia tratar de influir sobre la decisi\u00f3n del votante si con ello se consigue no tener que hackear las infraestructuras que velan por los datos del proceso.<\/p>\n As\u00ed pues, t\u00e9cnicas como la desinformaci\u00f3n<\/em><\/strong> se han convertido en herramientas tecnol\u00f3gicas habitualmente empleadas por aquellos que tratan de influir en el resultado electoral. Y entre ellos incluimos el uso de informaci\u00f3n personal para enfocar el mensaje pol\u00edtico o incluso la censura de debates pol\u00edticos en redes sociales.<\/p>\n Hace pocos meses, la Comisi\u00f3n Europea ha obligado a redes sociales como Facebook, Twitter o Google a implantar c\u00f3digos de buenas pr\u00e1cticas en materia de desinformaci\u00f3n sin embargo los resultados a\u00fan est\u00e1n por demostrarse. No existen herramientas para automatizar el reconocimiento de noticias falsas que por otra parte s\u00ed tienen automatismos para propagarse de forma masiva. Se trata, a d\u00eda de hoy, de una lucha desigual.<\/p>\n Por otro lado, est\u00e1n los datos. Recientemente hemos visto como el Senado aprobaba una nueva Ley de Protecci\u00f3n de Datos Personales<\/em><\/strong> que permit\u00eda a los partidos pol\u00edticos rastrear datos y opiniones en redes sin el consentimiento de la persona afectada para hacer perfiles ideol\u00f3gicos y personalizar la propaganda que les llega. Se trata esta de una \u201cventana a un campo\u201d poco explorado y que puede llevar a pr\u00e1cticas cuanto menos dudosas como las detectadas en Cambridge Analytica<\/em> que dise\u00f1\u00f3 campa\u00f1as en las elecciones presidenciales norteamericanas a trav\u00e9s de algoritmos avanzados de inteligencia artificial para dirigir el voto de los ciudadanos.<\/p>\n Pero los votantes no son los \u00fanicos afectados. Tambi\u00e9n los candidatos son objetivos deseados dentro del proceso de subversi\u00f3n de unas elecciones<\/em><\/strong>. Hace apenas unos meses le\u00edamos como las autoridades alemanas informaban del hackeo de informaci\u00f3n personal de m\u00e1s de mil pol\u00edticos de su parlamento, desde el presidente de la rep\u00fablica, pasando por la canciller y continuando por los l\u00edderes de la oposici\u00f3n. El incidente puso de manifiesto lo sencillo que podr\u00eda ser acceder a un sistema y producir un da\u00f1o significativo a la imagen de los candidatos, aparte de su uso para influir en los electores durante una campa\u00f1a electoral. Y es que las instituciones y los partidos pol\u00edticos son algunos de los eslabones d\u00e9biles de esta cadena \u2014y aqu\u00ed no excluimos las luchas internas y muestras de integridad de unos y otros a trav\u00e9s de demostraciones de que sus servicios telem\u00e1ticos est\u00e1n debidamente protegidos.<\/p>\n Pero volvamos a los datos. Desde hace algunos a\u00f1os, numerosos procesos electorales se han visto amenazados<\/em><\/strong> \u2014cuando no afectados\u2014 por incidentes de ciberseguridad. Por ejemplo, en 2014, durante las elecciones en Polonia, se produjo un ciberataque<\/a> que oblig\u00f3 al chequeo manual de las votaciones para hacer el recuento electoral. M\u00e1s recientemente, en 2015, durante las \u00faltimas elecciones europeas, se produjo un ataque de DDoS que mantuvo inactivo el servicio web de las autoridades b\u00falgaras<\/a> durante varias horas. En 2017, durante la campa\u00f1a a las elecciones presidenciales de Francia<\/a>, se produjo un ciberataque a la infraestructura del candidato, y actual presidente, Emmanuel Macron. Ese mismo a\u00f1o, el servicio electoral de la Rep\u00fablica Checa<\/a> se vio afectado por un ataque de denegaci\u00f3n de servicio. Y as\u00ed con un largo etc\u00e9tera. La realidad es que all\u00ed donde un elemento tecnol\u00f3gico tiene un rol asignado dentro del proceso electoral, es posible encontrar un potencial punto de riesgo de ciberataque.<\/p>\n Sin embargo, no todos los pa\u00edses se ven afectados de igual manera, ni todos afrontan esta problem\u00e1tica de forma id\u00e9ntica. Algunos pa\u00edses utilizan el voto electr\u00f3nico de forma masiva a trav\u00e9s de urnas electr\u00f3nicas donde el voto se deposita a trav\u00e9s de papeletas marcadas en papel con l\u00e1pices de colores que son le\u00eddas con tecnolog\u00edas como OCR; otros pa\u00edses permiten la votaci\u00f3n de forma completamente online utilizando identidades digitales; y una gran mayor\u00eda, como en Espa\u00f1a, establece un procedimiento con papeletas en papel y recuentos netamente manuales. De cualquier forma, cuanto m\u00e1s digitalizado est\u00e9 el proceso mayor ser\u00e1 lo que se conoce como la \u201csuperficie de ataque\u201d.<\/p>\n Algunos organismos como la IFES<\/a> (International Foundation for Electoral Systems<\/em>) vienen trabajando en c\u00f3mo proteger los procesos electorales desde el punto de vista de los posibles ciberataques. De facto ha definido una metodolog\u00eda, conocida como HEAT<\/a>, que marca las pautas a seguir a la hora plantear medidas contra las posibles amenazas. Tambi\u00e9n la Comisi\u00f3n Europea ha elaborado un compendio de las experiencias recogidas por diferentes pa\u00edses en cuanto a las medidas pr\u00e1cticas que la organizaci\u00f3n de un proceso electoral debe tener en cuenta y que afectan a los datos de electores y candidatos, las herramientas utilizadas para recoger los votos, los procedimientos utilizados para enviar, procesar y contar los votos, los sistemas utilizados para publicitar los resultados, as\u00ed como otros servicios de apoyo al proceso. Todos ellos forman parte de un estudio realizado por un grupo de cooperaci\u00f3n europeo que bajo la directiva NIS permite compartir e intercambiar experiencias entre los Estados miembros.<\/p>\nLa cadena del voto<\/h3>\n
Fake news o desinformaci\u00f3n<\/h3>\n
Ataques a candidatos y servicios electorales<\/h3>\n
Medidas y recomendaciones<\/h3>\n