1 00:00:01,540 --> 00:00:08,360 Análisis de Seguridad del Sistema de Votación por Internet de Estonia 2 00:00:09,370 --> 00:00:15,239 Gracias. En particular, gracias por estar aquí tan temprano a la mañana. 3 00:00:15,329 --> 00:00:20,369 Yo sé que, para el estándar del CCC, es el amanecer. 4 00:00:24,427 --> 00:00:27,722 Soy Alex Halderman, soy profesor de Ciencias de la Computación 5 00:00:27,722 --> 00:00:32,762 en la Universidad de Michigan en los EE.UU., y el trabajo sobre el que 6 00:00:32,762 --> 00:00:38,831 les voy a estar contando hoy es principalmente un trabajo colaborativo con otros. 7 00:00:38,831 --> 00:00:42,693 Tengo que agradecer, en particular, a mis estudiantes Drew Springall, 8 00:00:42,693 --> 00:00:46,774 Travis Finkenauer, Zakir Durumeric y nuestros colaboradores 9 00:00:46,774 --> 00:00:50,230 Jason Kitcat, Harri Hursti y Maggie MacAlpine. 10 00:00:50,230 --> 00:00:54,262 Este trabajo no sería posible sin ellos. De hecho, tres de mis estudiantes, 11 00:00:54,262 --> 00:00:56,753 que han trabajado en investigación de sistemas de voto electrónico (e-voting) conmigo, 12 00:00:56,753 --> 00:01:01,034 están aquí hoy: Eric Wustrow, Zakir Durumeric y Drew Springall. 13 00:01:01,034 --> 00:01:03,632 ¿Podrían ponerse de pie? 14 00:01:04,581 --> 00:01:07,932 Bien, aplausos para estos estudiantes. Realmente, ellos hicieron el trabajo. 15 00:01:13,507 --> 00:01:20,017 Bien. E-voting es algo que me ha interesado los últimos diez años. 16 00:01:20,017 --> 00:01:26,601 Y me ha interesado, particularmente, porque suena como algo que sería maravilloso, 17 00:01:26,601 --> 00:01:30,800 ser capaces de usar computadoras para contar votos de manera segura. 18 00:01:30,800 --> 00:01:35,732 Ser capaces de votar por Internet, con todas las ventajas que trae la tecnología. 19 00:01:35,732 --> 00:01:40,633 Quizás podamos reducir costos, quizás podamos incrementar la participación. 20 00:01:40,993 --> 00:01:46,494 Al mismo tiempo, el e-voting trae los desafíos más difíciles 21 00:01:46,494 --> 00:01:48,723 en el campo de seguridad informática. 22 00:01:48,723 --> 00:01:54,653 Lo veo como un ejemplo motivador, un problema motivador para avances 23 00:01:54,653 --> 00:01:59,441 de todo tipo: en criptografía, en construcción de sistemas y en usabilidad. 24 00:01:59,441 --> 00:02:02,323 E-voting es un problema de seguridad realmente difícil 25 00:02:02,323 --> 00:02:04,753 por sus requerimientos inusuales. 26 00:02:04,753 --> 00:02:07,616 Necesitamos dos cosas a la hora de asegurar sistemas de e-voting, 27 00:02:07,616 --> 00:02:09,383 por encima de todo. 28 00:02:09,383 --> 00:02:12,841 Una de ellas es integridad, y por integridad me refiero a 29 00:02:12,841 --> 00:02:16,522 que el resultado de la elección coincida con la intención del votante. 30 00:02:16,522 --> 00:02:19,511 Esta es una definición de integridad relativamente débil. 31 00:02:19,511 --> 00:02:22,682 Sólo digamos que el candidato correcto sea el que gane. 32 00:02:22,682 --> 00:02:26,743 Esto significa, por supuesto, los votos deben ser emitidos según la intención del votante, 33 00:02:26,743 --> 00:02:31,010 y el resultado de la elección debe ser contado según los votos fueron emitidos. 34 00:02:31,010 --> 00:02:32,742 Pero el segundo requerimiento, 35 00:02:32,742 --> 00:02:35,836 y el motivo por el que este es más complicado que otros problemas 36 00:02:35,836 --> 00:02:39,708 que solucionamos a diario, como sistemas bancarios en línea, 37 00:02:39,708 --> 00:02:44,838 compras en comercio electrónico, es que también tenemos el requerimiento 38 00:02:44,838 --> 00:02:48,696 del secreto del voto. ¿Correcto? El secreto del voto, que es uno de los 39 00:02:48,696 --> 00:02:53,651 avances tecnológicos más importantes, en la historia de la tecnología electoral. 40 00:02:53,651 --> 00:02:58,721 El secreto del voto, eso que te protege de ser coercionado para votar de cierta manera 41 00:02:58,721 --> 00:03:02,291 y nos protege a nosotros de que puedas vender tu voto. 42 00:03:02,601 --> 00:03:06,281 El secreto del voto es que nadie pueda saber cómo votaste 43 00:03:06,291 --> 00:03:09,726 aún si tú intentas demostrarle cómo votaste. 44 00:03:09,976 --> 00:03:13,317 Esto es por lo que queremos impedir que la gente sea coercionada 45 00:03:13,317 --> 00:03:15,352 e impedirles vender su voto. 46 00:03:15,352 --> 00:03:19,281 La razón por la que el e-voting es un problema difícil es principalmente 47 00:03:19,281 --> 00:03:24,511 porque estas dos propiedades, integridad y secreto del voto, están en tensión. 48 00:03:24,511 --> 00:03:28,828 Muchas defensas que normalmente podríamos tratar de usar 49 00:03:28,828 --> 00:03:31,267 para incrementar integridad, cosas como las que hacemos en 50 00:03:31,267 --> 00:03:34,370 comercio electrónico, darle a las personas un recibo 51 00:03:34,370 --> 00:03:40,062 o un extracto de cuenta. O hacer contabilidad, donde tenemos una gran tabla 52 00:03:40,062 --> 00:03:46,032 con ingresos y egresos de dinero totalizados y nos aseguramos que coincidan. 53 00:03:46,032 --> 00:03:50,493 Estas cosas son muy muy difíciles, o imposibles de implementar 54 00:03:50,493 --> 00:03:54,638 si queremos mantener el secreto del voto fuertemente al mismo tiempo que 55 00:03:54,638 --> 00:03:57,013 intentamos preservar la integridad. 56 00:03:57,013 --> 00:04:00,194 Por eso necesitamos mecanismos muy diferentes para lograr que 57 00:04:00,194 --> 00:04:03,443 los sistemas de e-voting aseguren estas propiedades críticas. 58 00:04:04,373 --> 00:04:06,991 Ahora bien, eso no ha impedido que personas construyan sistemas 59 00:04:06,991 --> 00:04:10,260 de voto electrónico y muchos países alrededor del mundo usan 60 00:04:10,260 --> 00:04:14,180 e-voting o están empezando a intentar elecciones por Internet. 61 00:04:14,180 --> 00:04:17,732 Y he sido muy afortunado, durante los últimos años 62 00:04:17,732 --> 00:04:22,651 de haber estado involucrado directamente en estudios de distintos sistemas. 63 00:04:22,651 --> 00:04:27,594 Por ejemplo, en 2007, fui parte de un equipo en Princeton que hizo 64 00:04:27,594 --> 00:04:31,687 el primer análisis práctico de seguridad por parte de un partido independiente 65 00:04:31,687 --> 00:04:34,024 de un sistema de e-voting utilizado en los EE.UU. 66 00:04:34,024 --> 00:04:39,315 Esta, la Diebold AccuVote-TS, fue la máquina de e-voting más utilizada 67 00:04:39,315 --> 00:04:41,255 en los EE.UU. por ese entonces. 68 00:04:41,905 --> 00:04:46,185 Los fabricantes fueron muy reservados acerca de la tecnología. 69 00:04:46,185 --> 00:04:49,829 Ellos le aseguraban a la gente que por supuesto eran perfectamente seguras 70 00:04:49,829 --> 00:04:53,689 pero cómo funcionaban era un secreto, no podías saberlo. 71 00:04:54,399 --> 00:04:57,996 Ahora, por supuesto, eso rara vez es un buen síntoma. 72 00:04:58,520 --> 00:05:03,196 Después de varios años de debates sin conocer los hechos, 73 00:05:03,196 --> 00:05:10,177 un delator nos dio una de estas máquinas a nuestro grupo de investigación de Princeton. 74 00:05:10,177 --> 00:05:14,409 Para algunas de estas historias, no puedes hacer el mapa, 75 00:05:14,409 --> 00:05:18,205 quiero decir, después de ver "Citizenfour" anoche 76 00:05:18,205 --> 00:05:20,206 esto se siente como algo salido de la película. 77 00:05:20,206 --> 00:05:25,197 Tuve que ir y recoger la máquina y recibirla de la fuente. 78 00:05:25,197 --> 00:05:28,470 Y es tan ridículo, tuve que manejar hasta la ciudad de Nueva York 79 00:05:28,470 --> 00:05:31,777 y estacionar mi auto en doble fila afuera de un hotel en Times Square 80 00:05:31,777 --> 00:05:34,909 entonces fui a un callejón detrás del hotel 81 00:05:34,909 --> 00:05:36,749 donde un hombre con un abrigo impermeable 82 00:05:36,749 --> 00:05:41,284 me dio un maletín negro que contenía la máquina de e-voting. 83 00:05:45,677 --> 00:05:49,675 En fin, pasamos un verano trabajando en secreto haciendo ingeniería inversa. 84 00:05:49,675 --> 00:05:53,032 No sé cuál es el gran secreto, es básicamente una PC 85 00:05:53,032 --> 00:05:55,497 dentro de una caja vistosa con una pantalla táctil 86 00:05:55,497 --> 00:05:58,200 y una tarjeta de memoria removible para cargar el diseño de la boleta 87 00:05:58,200 --> 00:05:59,757 y descargar los votos. 88 00:05:59,757 --> 00:06:03,646 En fin, vimos algunas cosas interesantes sobre su seguridad 89 00:06:03,646 --> 00:06:07,634 Resulta que era el kernel de un sistema operativo normal 90 00:06:07,634 --> 00:06:11,829 y una aplicación que leía y totalizaba los votos. 91 00:06:11,829 --> 00:06:15,606 Y haciendo algunas cosas divertidas con la tarjeta de memoria, 92 00:06:15,606 --> 00:06:20,338 podías reemplazar el software de e-voting, sin ninguna verificación criptográfica, 93 00:06:20,338 --> 00:06:22,787 con cualquier software que quisieras. 94 00:06:22,787 --> 00:06:27,964 Así que desarrollamos una aplicación llamada "the stuffer" que podías cargar 95 00:06:27,964 --> 00:06:32,131 en la máquina, te presentaba una linda interfaz gráfica en la pantalla 96 00:06:32,131 --> 00:06:34,880 que te permitía elegir a quién votar y con cuántos votos. 97 00:06:34,880 --> 00:06:37,942 Entonces procedía a cambiar todo registro de la votación 98 00:06:37,942 --> 00:06:42,056 porque esta máquina sólo mantenía los votos en su memoria electrónica. 99 00:06:42,056 --> 00:06:46,137 De esa forma, podías configurar una elección entre George Washington y 100 00:06:46,137 --> 00:06:49,938 Benedict Arnold, el famoso traidor de la Revolución Estadounidense, 101 00:06:49,938 --> 00:06:53,882 y cuando fuera que hiciéramos esta elección Benedict Arnold siempre ganaría 102 00:06:53,882 --> 00:06:56,083 porque habíamos manipulado la máquina. 103 00:06:56,083 --> 00:07:01,186 Esto es tan fácil de hacer que aún un montón de —en mi caso— 104 00:07:01,186 --> 00:07:05,293 ingenuos estudiantes de grado podían sacarlo en pocas semanas 105 00:07:05,293 --> 00:07:08,288 gracias a la informatización del voto. 106 00:07:08,288 --> 00:07:12,844 También descubrimos que gracias a la informatización de la tecnología 107 00:07:12,844 --> 00:07:16,444 podíamos crear un virus para máquinas de e-voting que se desparramara 108 00:07:16,444 --> 00:07:19,626 en esas tarjetas de memoria, de máquina a máquina, a máquina, 109 00:07:19,626 --> 00:07:22,103 en el curso de un ciclo normal de elección. 110 00:07:22,103 --> 00:07:24,690 Así que alguien que fuera dejado unos pocos minutos a solas, 111 00:07:24,690 --> 00:07:27,648 con una máquina de e-voting, podría cambiar el resultado 112 00:07:27,648 --> 00:07:30,138 de una elección en todo un estado. 113 00:07:30,138 --> 00:07:33,954 Ese es realmente el peligro del e-voting para mí. 114 00:07:33,954 --> 00:07:36,706 No es sólo que la manipulación es posible 115 00:07:36,706 --> 00:07:39,662 —la manipulación es posible también con boletas de papel— 116 00:07:39,662 --> 00:07:43,527 la manipulación, debido al poder de la informatización, 117 00:07:43,527 --> 00:07:46,935 puede ser a una escala mucho mayor con una conspiración muy pequeña 118 00:07:46,935 --> 00:07:49,766 y también muy difícil de detectar. 119 00:07:50,256 --> 00:07:53,509 Pero este no es el único estudio que mostró problemas en máquinas de e-voting. 120 00:07:53,509 --> 00:07:57,322 Fui parte de un estudio encargado por la Secretaria de Estado de California, 121 00:07:57,322 --> 00:08:02,438 Debra Bowen, también en 2007, que relevó cada tecnología de 122 00:08:02,438 --> 00:08:05,324 voto electrónico en uso en California. 123 00:08:05,324 --> 00:08:07,854 Y estudiamos máquinas de e-voting de tres fabricantes: 124 00:08:07,854 --> 00:08:10,038 Hart, Sequoia y Diebold. 125 00:08:10,038 --> 00:08:12,777 Créase o no, cada una de estas máquinas está basada 126 00:08:12,777 --> 00:08:17,431 en código fuente, en cientos de miles de líneas de código. 127 00:08:17,431 --> 00:08:20,513 Demasiado complicado para que sea posible que sean seguras. 128 00:08:20,513 --> 00:08:23,052 Así que no fue una sorpresa que todas estas máquinas 129 00:08:23,052 --> 00:08:25,648 fueran vulnerables a código "roba votos" 130 00:08:25,648 --> 00:08:28,313 y también a ataques que permitirían a los funcionarios de la elección 131 00:08:28,313 --> 00:08:32,039 violar el secreto del voto y averiguar a quién votó cada uno. 132 00:08:32,039 --> 00:08:35,486 Como resultado, todas estas máquinas fueron descertificadas y prohibidas 133 00:08:35,486 --> 00:08:37,981 para ser usadas en el Estado de California. 134 00:08:43,881 --> 00:08:47,728 Pero no es sólo un problema de los EE.UU., en Europa también 135 00:08:47,728 --> 00:08:49,898 la gente ha estado experimentado con e-voting, 136 00:08:49,898 --> 00:08:52,419 y uno de los estudios seminales en Europa fue 137 00:08:52,419 --> 00:08:55,339 conducido por mi amigo, Rop Gonggrijp, quien está sentado aquí, 138 00:08:55,339 --> 00:08:58,468 en la fila del frente. Ronda de aplausos para Rop. 139 00:09:01,476 --> 00:09:05,828 Así que Rop y sus colaboradores estudiaron la máquina Nedap ES3B 140 00:09:05,828 --> 00:09:09,328 que fue introducida en los Países Bajos. 141 00:09:09,328 --> 00:09:13,628 Ellos descubrieron que cambiando fácilmente un chip EPROM, cosa 142 00:09:13,628 --> 00:09:17,927 que pudieron hacer en —creo que lo ellos demostraron en menos de un minuto— 143 00:09:17,927 --> 00:09:20,835 pudieron hacer que la máquina robara votos, 144 00:09:20,835 --> 00:09:23,855 que fuera deshonesta, incluso que jugara al ajedrez. 145 00:09:26,694 --> 00:09:31,578 Inspirado por Rop, el colega Ariel Feldman y yo 146 00:09:31,578 --> 00:09:34,421 tomamos una máquina, que aún está en uso en muchas partes 147 00:09:34,421 --> 00:09:38,745 de los EE.UU., y que unos pocos años más tarde fue convertida en una 148 00:09:38,745 --> 00:09:41,536 muy buena máquina de Pac-Man. 149 00:09:45,441 --> 00:09:47,889 Pero no sólo son los EE.UU. y Europa, 150 00:09:47,889 --> 00:09:50,367 India también usa máquinas de voto electrónico. 151 00:09:50,367 --> 00:09:52,793 Es una de las democracias más grandes del mundo, 152 00:09:52,793 --> 00:09:55,368 y el mayor usuario mundial de e-voting. 153 00:09:55,368 --> 00:09:58,796 Ellos tienen sus propios, hermosos y muy simples, 154 00:09:58,796 --> 00:10:01,499 sistemas embebidos de voto electrónico. 155 00:10:02,171 --> 00:10:06,121 Es una historia muy larga para contarla completa hoy, 156 00:10:06,121 --> 00:10:14,044 pero hace casi cuatros una fuente anónima, un delator, 157 00:10:14,044 --> 00:10:16,976 le dio una de estas máquinas secretas hechas por el Gobierno 158 00:10:16,976 --> 00:10:20,419 a este hombre, el del medio, Hari Prasad para estudiarla 159 00:10:20,419 --> 00:10:25,095 y él nos llamó a mi y a Rop, y fuimos a India y la investigamos. 160 00:10:25,095 --> 00:10:29,148 Como dije, es una larga historia, pero resumiendo termina 161 00:10:29,148 --> 00:10:32,451 con Hari en la cárcel por un tiempo. 162 00:10:32,451 --> 00:10:35,512 Rop y yo casi fuimos deportados del país 163 00:10:35,512 --> 00:10:38,509 y sólo recientemente, la Corte Suprema de India sentenció que 164 00:10:38,509 --> 00:10:42,663 había que introducir un respaldo en papel para que los votantes indios 165 00:10:42,663 --> 00:10:45,131 pudieran tener una seguridad razonable 166 00:10:45,131 --> 00:10:48,087 de que sus votos eran contados de forma segura. 167 00:10:55,871 --> 00:10:59,256 Pero la votación por Internet es aún más difícil 168 00:10:59,256 --> 00:11:04,966 que votar en una máquina aislada en un lugar de votación 169 00:11:04,966 --> 00:11:06,496 ¿Si? Porque en la votación por Internet 170 00:11:06,496 --> 00:11:09,507 tienes el problema de que el votante está usando su propia máquina 171 00:11:09,507 --> 00:11:11,602 fuera de un entorno protegido 172 00:11:11,602 --> 00:11:15,147 donde puede ser vulnerable de ser coercionado, de que se roben 173 00:11:15,147 --> 00:11:17,637 su nombre de usuario y contraseña, 174 00:11:17,637 --> 00:11:21,021 o de sitios impostores que declaren ser el sistema real de votación, 175 00:11:21,021 --> 00:11:26,181 de malware en sus máquinas, incluso de botnets que ya han infectado 176 00:11:26,181 --> 00:11:27,766 una gran cantidad de máquinas, 177 00:11:27,766 --> 00:11:30,980 comprometiendo el resultado de la elección. 178 00:11:31,090 --> 00:11:35,105 Y no es sólo eso. El servidor también tiene que ser capaz de resistir 179 00:11:35,105 --> 00:11:38,943 denegación de servicio. Recuerden que una elección tiene lugar en un periodo fijo 180 00:11:38,963 --> 00:11:41,524 así que no puedes decir "bueno, nuestro sistema está caído esta semana, 181 00:11:41,524 --> 00:11:45,186 así que pospondremos la votación por Internet hasta el próximo mes". 182 00:11:45,186 --> 00:11:46,836 Eso no va a funcionar. 183 00:11:46,836 --> 00:11:49,058 Tienes que preocuparte de ataques internos al servidor, 184 00:11:49,058 --> 00:11:52,636 intrusión remota, aún de ataques más avanzados, 185 00:11:52,636 --> 00:11:55,328 como amenazas patrocinadas por estados. 186 00:11:55,328 --> 00:11:59,544 ¿Cuántos países creen ustedes que pueden querer afectar el resultado 187 00:11:59,544 --> 00:12:02,198 de la elección nacional más importante del país? 188 00:12:02,198 --> 00:12:03,773 Probablemente hay una cantidad creciente 189 00:12:03,773 --> 00:12:07,429 de estados sofisticados con ese deseo y capacidad. 190 00:12:07,499 --> 00:12:09,922 Pero al mismo tiempo, los sistemas de votación por Internet 191 00:12:09,922 --> 00:12:11,545 son más difíciles de estudiar. 192 00:12:11,545 --> 00:12:14,275 No puedes simplemente confiar en alguien que 193 00:12:14,286 --> 00:12:16,986 te traiga una máquina en el medio de la noche 194 00:12:16,989 --> 00:12:19,039 cuando las cosas se ponen difíciles. 195 00:12:19,046 --> 00:12:22,433 Tampoco puedes hackear el servidor durante la elección. 196 00:12:22,433 --> 00:12:24,461 No puedes, éticamente, hacer eso. 197 00:12:24,461 --> 00:12:28,908 Porque como investigador, como alguien que intenta mejorar el estado 198 00:12:28,908 --> 00:12:31,048 de la tecnología democrática. 199 00:12:31,938 --> 00:12:35,758 Yo no puedo justificar nada que pueda arriesgarse a interferir 200 00:12:35,769 --> 00:12:39,392 con el desarrollo o el resultado de la elección. 201 00:12:39,862 --> 00:12:42,291 Así que tuvimos que buscar otras oportunidades para estudiar 202 00:12:42,291 --> 00:12:45,501 estas cosas de otra forma, y uno de los mejores ejemplos 203 00:12:45,501 --> 00:12:47,530 que pude encontrar hasta ahora 204 00:12:47,530 --> 00:12:52,144 ha sido un incidente en 2010, cuando Washington DC 205 00:12:52,144 --> 00:12:54,549 decidió introducir un sistema de votación por Internet. 206 00:12:54,549 --> 00:12:57,571 Consiguieron un importante subsidio del Gobierno para construir esto. 207 00:12:57,571 --> 00:13:01,903 Y fue para uso por parte de militares y votantes de ultramar 208 00:13:01,903 --> 00:13:04,333 enviando votos a distancia. 209 00:13:04,350 --> 00:13:05,906 Ellos hicieron muchas cosas bien: 210 00:13:05,906 --> 00:13:08,330 lo hicieron como sistema de código abierto, 211 00:13:08,330 --> 00:13:12,992 contrataron algunos desarrolladores web realmente experimentados. 212 00:13:12,992 --> 00:13:15,489 Incluso llamaron a investigadores de seguridad 213 00:13:15,489 --> 00:13:17,301 y nos preguntaron cómo deberían construir 214 00:13:17,301 --> 00:13:19,271 el nuevo sistema de votación por Internet. 215 00:13:19,271 --> 00:13:21,667 Y todos los investigadores dijeron: "¡No, no, los sistemas de votación 216 00:13:21,667 --> 00:13:24,496 por Internet son muy peligrosos! ¡No sabemos! ¡No lo hagan!" 217 00:13:24,496 --> 00:13:26,756 Pero el DC lo hizo de todas formas. 218 00:13:26,756 --> 00:13:31,198 Pero por compromiso, o tal vez para decirnos que 219 00:13:31,198 --> 00:13:33,541 "ponían su dinero donde ponían la boca", 220 00:13:33,541 --> 00:13:36,323 decidieron un ensayo público 221 00:13:36,373 --> 00:13:38,785 y dijeron: la semana antes de las elecciones 222 00:13:38,785 --> 00:13:42,141 vamos a tener una elección de prueba y cualquiera en el mundo 223 00:13:42,141 --> 00:13:44,096 que quiera, podrá intentar hackear el sistema 224 00:13:44,096 --> 00:13:47,356 y mostrarnos cuán vulnerable podría ser. 225 00:13:48,596 --> 00:13:51,978 Bueno, no todos los días eres invitado a hackear una computadora 226 00:13:51,978 --> 00:13:53,912 del gobierno sin ir a la cárcel, 227 00:13:53,912 --> 00:13:56,675 así que armé un equipo con mis estudiantes 228 00:13:56,675 --> 00:13:58,745 y decidimos participar. 229 00:13:58,923 --> 00:14:01,044 Así que, así es como se veía su sistema. 230 00:14:01,044 --> 00:14:03,321 Iniciabas sesión en una agradable interfaz web, 231 00:14:03,321 --> 00:14:06,180 descargabas la boleta, la llenabas en un lector PDF, 232 00:14:06,180 --> 00:14:08,344 la subías de nuevo y eso era todo. 233 00:14:08,344 --> 00:14:11,524 Gracias por votar, dile a tus amigos en Facebook y Twitter. 234 00:14:11,527 --> 00:14:13,997 Agradable y brillante. 235 00:14:20,510 --> 00:14:23,573 De todos modos, la semana anterior a las elecciones, 236 00:14:23,573 --> 00:14:28,633 Eric Wustrow, Scott Wolchok y yo nos reunimos en mi oficina 237 00:14:28,633 --> 00:14:32,154 nos quedamos una noche, hasta muy tarde, leyendo el código fuente 238 00:14:32,154 --> 00:14:35,324 que habían publicado en un repositorio GitHub para nosotros. 239 00:14:35,324 --> 00:14:37,612 Y leímos el código fuente del DC 240 00:14:37,612 --> 00:14:42,601 y fue, tal vez a las tres o cuatro de la mañana, 241 00:14:42,601 --> 00:14:44,633 que estábamos mirando en este procedimiento aquí. 242 00:14:44,633 --> 00:14:48,583 Esto es Ruby on Rails, que ninguno de nosotros había visto antes 243 00:14:48,585 --> 00:14:51,842 pero fuimos capaces de entender cómo funcionaba. 244 00:14:51,842 --> 00:14:54,766 Esta línea resaltada aquí: el sistema de e-voting 245 00:14:54,766 --> 00:14:59,349 está usando GPG para encriptar la boleta subida, 246 00:14:59,349 --> 00:15:03,550 con lo que permanecería secreta hasta que fuera tiempo de contar los votos, 247 00:15:03,550 --> 00:15:07,299 cuando sería movida a otra máquina y desencriptada con la clave privada 248 00:15:07,299 --> 00:15:09,451 almacenada allí. 249 00:15:09,451 --> 00:15:13,191 El problema resulta estar aquí. Ellos usan comillas dobles 250 00:15:13,208 --> 00:15:14,407 en vez de comillas simples. 251 00:15:14,407 --> 00:15:17,267 Eso fue suficiente para permitirnos hackear y robar todos los votos. 252 00:15:19,160 --> 00:15:22,326 El problema es que esto permite un ataque por inyección de script 253 00:15:22,326 --> 00:15:26,756 porque esta biblioteca particular que usaron, la versión que usaron, 254 00:15:26,756 --> 00:15:30,516 sólo arma la cadena de texto y usa una llamada al sistema para pasarlo a Bash, 255 00:15:30,516 --> 00:15:37,536 y fue bueno que sanitizaran el nombre del archivo, pero no sanitizaron la extensión. 256 00:15:37,536 --> 00:15:42,784 Así que si usabas una extensión que tuviera algunos comandos Bash, 257 00:15:42,784 --> 00:15:45,257 éstos serían ejecutados en el shell, 258 00:15:45,257 --> 00:15:49,077 con los permisos del usuario del proceso del servidor web 259 00:15:49,093 --> 00:15:53,744 que estaba aceptando boletas y llevando adelante la elección. 260 00:15:54,837 --> 00:15:58,851 Este fue el primer ejemplo que probamos y funcionó. 261 00:15:58,851 --> 00:16:01,181 De todas formas… 262 00:16:04,330 --> 00:16:06,737 También encontramos en la misma red 263 00:16:06,737 --> 00:16:09,084 algunos otros dispositivos interesantes, 264 00:16:09,084 --> 00:16:13,316 incluyendo una serie de webcams que no tenían usuario ni contraseña, 265 00:16:13,316 --> 00:16:14,992 que estaban en el data center. 266 00:16:14,992 --> 00:16:17,445 Así que aquí están las máquinas que estaban llevando a cabo la elección, 267 00:16:17,445 --> 00:16:19,747 aquí están los trabajadores, 268 00:16:19,747 --> 00:16:21,472 aquí está el guardia de seguridad 269 00:16:21,472 --> 00:16:25,712 que no sabe que estamos hackeando el servidor. 270 00:16:25,712 --> 00:16:29,583 Pero esto fue realmente útil, porque pudimos saber, 271 00:16:29,583 --> 00:16:35,394 monitoreando a estas personas, si sospechaban que algo andaba mal. 272 00:16:35,394 --> 00:16:40,120 De hecho, vimos un cambio en su comportamiento, 273 00:16:40,120 --> 00:16:43,312 en su postura, después que eventualmente, 274 00:16:43,312 --> 00:16:46,495 descubrieron que habíamos conseguido el control del sistema. 275 00:16:46,495 --> 00:16:49,548 No estaban muy felices. 276 00:16:58,026 --> 00:16:59,326 En fin… 277 00:16:59,536 --> 00:17:01,701 Me estoy adelantando un poco. 278 00:17:01,847 --> 00:17:04,574 Finalmente fue tiempo en DC de atacar el sistema, 279 00:17:04,574 --> 00:17:06,730 así que esperamos hasta las 5 en punto 280 00:17:06,730 --> 00:17:09,487 cuando supe, por los vídeos de vigilancia, 281 00:17:09,487 --> 00:17:12,513 que el personal normalmente se iba a sus casas por la noche. 282 00:17:13,282 --> 00:17:14,853 En ese momento, 283 00:17:14,853 --> 00:17:18,944 empezamos a usar la vulnerabilidad de inyección para ejecutar comandos remotos. 284 00:17:18,944 --> 00:17:25,039 De hecho, construimos una especie de "shell simulado" que 285 00:17:25,039 --> 00:17:30,084 haría las cosas correctas para compilar algo en una boleta, subir la boleta, 286 00:17:30,084 --> 00:17:34,452 ejecutar el comando, filtrarlo nuevamente poniendo algo en la carpeta pública 287 00:17:34,452 --> 00:17:36,935 del servidor, y básicamente, hacer que se viera como si 288 00:17:36,935 --> 00:17:38,744 tuviéramos una línea de comandos. 289 00:17:38,744 --> 00:17:41,875 En fin, desde ahí procedimos a atacar el sistema, 290 00:17:41,875 --> 00:17:44,709 jugando el rol de un verdadero atacante. 291 00:17:44,709 --> 00:17:47,664 Si eres un verdadero atacante, has ingresado al sistema de votación, 292 00:17:47,664 --> 00:17:50,016 ¿qué sería lo primero que harías? 293 00:17:50,572 --> 00:17:52,839 ¿Robar otros votos? 294 00:17:53,597 --> 00:17:56,204 ¡No! De hecho, lo primero que harías sería robar cualquier otra cosa 295 00:17:56,205 --> 00:17:57,891 a la que puedas echar mano 296 00:17:57,891 --> 00:18:02,188 que pudiera permitirte volver a entrar al sistema atacado. Estableces persistencia. 297 00:18:03,018 --> 00:18:06,078 La segunda cosa que hicimos fue robar otros votos. 298 00:18:07,521 --> 00:18:10,027 Y los reemplazamos con nuestras propias boletas 299 00:18:10,033 --> 00:18:14,184 donde cada candidato era un robot malvado o inteligencia artificial 300 00:18:14,184 --> 00:18:15,610 de sci-fi o las películas. 301 00:18:15,610 --> 00:18:19,360 ¿A quién votarían las computadoras si ellas estuvieran al mando? 302 00:18:20,264 --> 00:18:23,515 En ese punto, arreglamos el sistema para reemplazar cualquier voto nuevo 303 00:18:23,515 --> 00:18:25,258 con votos de nuestra elección, 304 00:18:25,258 --> 00:18:31,230 agregamos una puerta trasera, que rompiera el secreto del voto de otros votantes 305 00:18:31,230 --> 00:18:34,345 y limpiamos los registros para ocultar los rastros. 306 00:18:34,810 --> 00:18:36,801 Sólo tuvimos un dilema más. 307 00:18:36,879 --> 00:18:39,837 Obtuvimos el control total del sistema, 308 00:18:39,837 --> 00:18:43,248 pero la verdadera elección sería dentro de una semana. 309 00:18:43,654 --> 00:18:48,036 Y queríamos que el DC supiera lo que pasó. 310 00:18:48,036 --> 00:18:50,215 Pero no quisimos sólo llamarlos por teléfono, 311 00:18:50,215 --> 00:18:53,092 porque pensamos que sería realmente interesante 312 00:18:53,092 --> 00:18:55,804 probar qué tan bien podrían los funcionarios electorales 313 00:18:55,804 --> 00:18:59,937 detectar y responder a un ataque durante una elección simulada. 314 00:18:59,937 --> 00:19:03,983 Y nunca hubo un buen ejemplo, un buen estudio 315 00:19:03,983 --> 00:19:06,257 acerca de cómo funcionaría. 316 00:19:06,257 --> 00:19:10,210 Así que en lugar de llamarlos, decidimos dejar, lo que se nos ocurrió 317 00:19:10,210 --> 00:19:12,541 como una no tan sutil "tarjeta de presentación". 318 00:19:12,758 --> 00:19:15,023 Lo que hicimos fue cambiar el código fuente 319 00:19:15,023 --> 00:19:17,029 de la página de agradecimientos al final, 320 00:19:17,029 --> 00:19:20,898 eso que dice "Dile a tus amigos en Facebook y Twitter que votaste", 321 00:19:20,898 --> 00:19:24,091 y agregamos algunas líneas, justo aquí. 322 00:19:24,091 --> 00:19:26,172 Esto sucedería tras unos segundos de demora 323 00:19:26,172 --> 00:19:28,225 haciendo en que la computadora de los votantes empezara a sonar 324 00:19:28,225 --> 00:19:32,703 la canción de fútbol de la Universidad de Michigan, "Saludo a los vencedores". 325 00:19:38,534 --> 00:19:42,839 Pasaron casi dos días antes que los funcionarios electorales lo notaran, 326 00:19:42,839 --> 00:19:44,912 y fue sólo cuando alguien llamó 327 00:19:44,912 --> 00:19:47,285 y les dijo "el sistema me parece bien, 328 00:19:47,285 --> 00:19:50,759 pero no me gusta la música del final, me distrae". 329 00:19:51,913 --> 00:19:53,839 Así que, en ese punto, creo que miraron a su alrededor 330 00:19:53,839 --> 00:19:57,091 y se dieron cuenta que eran todos fanáticos de un equipo rival de fútbol 331 00:19:57,091 --> 00:19:59,366 y tuvieron una terrible sensación de hundimiento. 332 00:19:59,366 --> 00:20:02,916 En fin, el DC terminó haciendo algo inteligente: 333 00:20:02,916 --> 00:20:07,292 no usaron el sistema de votación por Internet para recibir votos. 334 00:20:07,292 --> 00:20:10,295 En lugar de eso, para ayudar a votantes remotos 335 00:20:10,295 --> 00:20:14,589 a sufragar a tiempo, les permitían descargar la boleta, 336 00:20:14,589 --> 00:20:17,612 imprimirla y enviarla por correo. 337 00:20:18,172 --> 00:20:21,094 Haciendo eso, eliminaron la mayor parte del riesgo 338 00:20:21,094 --> 00:20:24,640 y cumplieron con los votantes que necesitaban tener sus votos a tiempo. 339 00:20:25,846 --> 00:20:30,961 Bien. Este es el mejor estudio que tenemos hasta ahora 340 00:20:33,854 --> 00:20:39,604 y nos trae al tema principal de hoy: Votación por Internet en Estonia. 341 00:20:39,946 --> 00:20:42,788 Estonia es un caso realmente interesante 342 00:20:42,788 --> 00:20:44,798 que he estado siguiendo por años. 343 00:20:44,798 --> 00:20:48,466 ¿Qué ha estado sucediendo con el sistema de votación por Internet de Estonia? 344 00:20:48,466 --> 00:20:52,379 Porque Estonia, más que cualquier otro país en el mundo, 345 00:20:52,379 --> 00:20:55,850 ha desplegado y utilizado votación por Internet. 346 00:20:56,468 --> 00:20:59,027 Para los que nos saben dónde está Estonia, 347 00:20:59,027 --> 00:21:01,730 incluyendo la mayoría de los estadounidenses en la audiencia, 348 00:21:01,730 --> 00:21:05,085 está justo aquí. Como pueden ver limita con Rusia, 349 00:21:05,085 --> 00:21:07,451 también es miembro de la Unión Europea, 350 00:21:07,451 --> 00:21:10,322 para ustedes, estadounidenses. También es miembro de la OTAN. 351 00:21:10,383 --> 00:21:14,095 Estonia es, de hecho, un país bastante desarrollado tecnológicamente. 352 00:21:14,095 --> 00:21:15,681 Son líderes en gobierno electrónico, 353 00:21:15,681 --> 00:21:17,762 están haciendo un montón de experimentos interesantes 354 00:21:17,762 --> 00:21:21,181 con formas de proveer servicios a la gente a través de Internet. 355 00:21:22,611 --> 00:21:27,384 En ese contexto, no resulta sorpresivo que un país como Estonia 356 00:21:28,080 --> 00:21:31,801 haya experimentado con la votación por Internet. 357 00:21:31,903 --> 00:21:36,295 Y en Estonia han hecho más que unas pocas pruebas. 358 00:21:36,295 --> 00:21:43,735 En la década pasada han conducido creo que 7 elecciones por Internet. 359 00:21:44,155 --> 00:21:47,623 Incluyendo la más reciente elección, en mayo de este año (2014) 360 00:21:47,623 --> 00:21:52,013 para el Parlamento Europeo, más del 30% de todos los votos fueron emitidos 361 00:21:52,013 --> 00:21:53,443 a través de Internet. 362 00:21:53,443 --> 00:21:57,103 Eso es increíble. No hay otro país ni por cerca 363 00:21:57,114 --> 00:22:03,447 que confíe tanto en Internet para votar en elecciones nacionales. 30 % y más. 364 00:22:04,490 --> 00:22:08,901 Aún así, si el sistema de Estonia es seguro, 365 00:22:09,836 --> 00:22:13,573 es una pregunta que no ha sido respondida adecuadamente. 366 00:22:14,369 --> 00:22:22,361 De hecho, no había —hasta que llegamos ahí—, un estudio internacional independiente 367 00:22:22,760 --> 00:22:27,926 que hubiera examinado en detalle la tecnología y sus implicaciones de seguridad. 368 00:22:28,271 --> 00:22:31,380 A causa de esto en muchos países, incluyendo el mío, 369 00:22:31,380 --> 00:22:34,834 había gente diciendo: "¡Guau Estonia, miren, ellos votan online! 370 00:22:34,834 --> 00:22:36,375 ¿por qué no podemos hacerlo nosotros? 371 00:22:36,375 --> 00:22:39,043 ¿No sería genial si pudiéramos votar por Internet?" 372 00:22:39,394 --> 00:22:42,475 Así que yo quiero saber, y mis estudiantes quieren saber 373 00:22:42,475 --> 00:22:44,118 y muchos de mis amigos: 374 00:22:44,118 --> 00:22:49,161 ¿Ha solucionado Estonia el problema de votar por Internet con seguridad? 375 00:22:49,830 --> 00:22:52,682 ¿Han definido su sistema de forma que responda 376 00:22:52,697 --> 00:22:56,311 al tipo de amenazas reales que los países importantes enfrentan 377 00:22:56,311 --> 00:22:58,343 mientras se llevan a cabo elecciones? 378 00:22:58,343 --> 00:23:03,790 ¿Y qué pueden aprender mi país, u otros países, del ejemplo de Estonia? 379 00:23:04,332 --> 00:23:08,682 Estuve buscando por muchos años una oportunidad para ir a Estonia, 380 00:23:08,682 --> 00:23:11,783 conocer la gente ahí, para estudiar el sistema 381 00:23:11,783 --> 00:23:14,392 y tratar de responder estas preguntas en el contexto 382 00:23:14,392 --> 00:23:16,543 de la investigación sobre e-voting. 383 00:23:18,581 --> 00:23:22,560 Finalmente tuve esta oportunidad en octubre del año pasado (2013), 384 00:23:22,560 --> 00:23:27,693 cuando fui invitado junto con un equipo de otros investigadores internacionales, 385 00:23:28,013 --> 00:23:30,396 por el Gobierno de la ciudad de Tallinn, 386 00:23:30,396 --> 00:23:33,794 para ir a Estonia para hablar de nuestra experiencia con e-voting, 387 00:23:34,068 --> 00:23:36,927 y para ser un observador en la elección nacional. 388 00:23:36,927 --> 00:23:43,385 Ver realmente el proceso del sistema de e-voting siendo administrado. 389 00:23:43,867 --> 00:23:47,414 Así que fuimos acreditados oficialmente como observadores de la elección. 390 00:23:48,081 --> 00:23:50,580 Nos dieron un tour por el data center, 391 00:23:50,580 --> 00:23:56,211 donde estaban alojados los servidores que llevaban la elección. 392 00:23:56,701 --> 00:23:59,287 Nos reunimos con varios desarrolladores del sistema 393 00:23:59,287 --> 00:24:03,000 y los entrevisté extensivamente, incluyendo gente como Tarvi Martens, 394 00:24:03,000 --> 00:24:09,786 el padre del sistema, quien dio una charla en el 25° C3 años atrás. 395 00:24:09,848 --> 00:24:14,573 Tarvi es uno de los desarrolladores líderes y este es su bebé. 396 00:24:14,781 --> 00:24:17,930 Así que fue un gran placer poder hablar frente a frente 397 00:24:17,930 --> 00:24:22,588 por largo tiempo, pasar el día con él, y aprender cómo funciona el sistema. 398 00:24:23,338 --> 00:24:25,213 También pudimos examinar el código fuente 399 00:24:25,213 --> 00:24:29,747 porque Estonia, el año pasado, liberó por primera vez, 400 00:24:29,747 --> 00:24:31,861 código fuente parcial del sistema de e-voting. 401 00:24:31,861 --> 00:24:36,961 Ellos liberaron código del servidor. El código del cliente todavía está cerrado. 402 00:24:36,961 --> 00:24:39,884 Te piden que instales un programa de código cerrado en tu computadora. 403 00:24:39,884 --> 00:24:45,030 Ellos dicen que es para impedir que alguien construya software deshonesto o algo así, 404 00:24:45,030 --> 00:24:47,562 o al menos hacer que sea más difícil. 405 00:24:48,084 --> 00:24:51,595 También pudimos revisar, y esto es algo realmente interesante que hicieron, 406 00:24:51,605 --> 00:24:55,097 pudimos revisar docenas de horas de vídeo 407 00:24:55,097 --> 00:24:57,673 del Correo de Estonia durante la elección, 408 00:24:57,673 --> 00:25:00,922 de ellos haciendo la configuración del servidor antes de las elecciones, 409 00:25:00,922 --> 00:25:03,539 haciendo la copia de seguridad diaria, en el data center. 410 00:25:03,539 --> 00:25:05,946 Fue realmente interesante que nos proveyeran esto. 411 00:25:05,946 --> 00:25:10,052 Y nos dieron la posibilidad de llenar un montón de huecos, los vacíos 412 00:25:10,052 --> 00:25:12,750 y cómo el sistema estaba siendo ejecutado realmente. 413 00:25:18,340 --> 00:25:20,029 Lo próximo que quiero mostrarles 414 00:25:20,029 --> 00:25:23,266 es cómo se veía el sistema desde la perspectiva del votante. 415 00:25:23,266 --> 00:25:25,542 Digamos que eres un votante en Estonia, 416 00:25:25,762 --> 00:25:28,117 y vas a emitir tu voto. 417 00:25:28,339 --> 00:25:30,270 Tienes cerca de una semana para hacerlo 418 00:25:30,270 --> 00:25:34,474 antes del día de la votación presencial. 419 00:25:35,175 --> 00:25:37,969 Inicias sesión en tu computadora, descargas la aplicación. 420 00:25:38,294 --> 00:25:41,748 Hay una sola cosa en este escenario que puede lucir inusual para otras personas. 421 00:25:41,748 --> 00:25:44,189 Es esto, ¿qué esto? 422 00:25:44,189 --> 00:25:46,973 Bueno, Estonia, una de las cosas realmente interesantes 423 00:25:46,973 --> 00:25:48,879 que hicieron con tecnología informática 424 00:25:48,879 --> 00:25:50,931 es que sus documentos nacionales de identificación 425 00:25:50,931 --> 00:25:52,685 son también tarjetas inteligentes. 426 00:25:52,685 --> 00:25:56,606 De hecho, todo ciudadano en el país, tiene uno de estos documentos 427 00:25:56,606 --> 00:26:00,751 que tienen un par de claves RSA embebidas en su chip. 428 00:26:01,238 --> 00:26:05,879 Y puedes usar ambas para autenticarte en un servidor web 429 00:26:05,879 --> 00:26:10,203 usando un cliente con autenticación HTTPS/TLS. 430 00:26:10,203 --> 00:26:13,314 Son de los pocos países en los que ha sido ampliamente adoptado. 431 00:26:13,734 --> 00:26:15,613 O para firmar documentos. 432 00:26:15,613 --> 00:26:17,668 Y tienen un formato de documento electrónico 433 00:26:17,668 --> 00:26:21,012 reconocido por el gobierno que acepta firmas de estas tarjetas 434 00:26:21,012 --> 00:26:23,336 con carácter jurídicamente vinculante. 435 00:26:24,066 --> 00:26:27,620 Así que muchos países han intentado hacer cosas como estas, 436 00:26:27,620 --> 00:26:32,420 pero Estonia es única. De hecho, esto es ampliamente utilizado. 437 00:26:32,420 --> 00:26:35,390 Muchas personas, una gran fracción de estonios, 438 00:26:35,390 --> 00:26:38,104 usa estas tarjetas para bancos online, 439 00:26:38,104 --> 00:26:40,351 las usan para llenar sus declaraciones de impuestos, 440 00:26:40,351 --> 00:26:44,982 las usan para acceder a servicios de salud online. 441 00:26:45,406 --> 00:26:47,527 Es ampliamente utilizado. 442 00:26:48,370 --> 00:26:51,632 Pienso que es fantástico que hayan sido capaces de desplegar 443 00:26:51,632 --> 00:26:54,309 una PKI nacional, y ver que la hayan adoptado. 444 00:26:54,309 --> 00:26:56,011 Así que realmente no sorprende 445 00:26:56,011 --> 00:26:58,605 que hayan basado el diseño completo del sistema de votación 446 00:26:58,605 --> 00:27:02,750 en las capacidades y funciones que proveen estas tarjetas. 447 00:27:03,873 --> 00:27:07,318 Así que, como un estonio que va a votar, la primera cosa que haces 448 00:27:07,318 --> 00:27:11,568 es ir a un sitio web oficial y descargar la aplicación cliente 449 00:27:11,568 --> 00:27:14,698 y está disponible para Windows, Mac y Linux. 450 00:27:15,085 --> 00:27:17,618 Entonces instalas el cliente en tu computadora, 451 00:27:17,622 --> 00:27:20,702 y procedes a interactuar con él usando tu tarjeta inteligente, 452 00:27:20,702 --> 00:27:23,915 tu documento nacional de identidad, para emitir tu voto. 453 00:27:23,915 --> 00:27:26,145 Así es como funciona: 454 00:27:26,265 --> 00:27:32,690 Lo primero que haces es correr la aplicación y esta te pide un pin de 4 dígitos. 455 00:27:33,190 --> 00:27:36,063 Este pin es requerido por la tarjeta inteligente, 456 00:27:36,063 --> 00:27:41,165 para poder activar las funciones de autenticación y firmado, 457 00:27:41,309 --> 00:27:43,664 y permitirte usar las claves. 458 00:27:43,834 --> 00:27:46,208 Después de eso, se conecta al servidor de la elección, 459 00:27:46,208 --> 00:27:48,726 se autentica usando el cliente con autenticación TLS, 460 00:27:48,726 --> 00:27:52,270 determina dónde vives y envía la boleta a la aplicación. 461 00:27:52,469 --> 00:27:56,218 Tu seleccionas por quién quieres votar, en la aplicación. 462 00:27:56,748 --> 00:28:00,201 Hay una nueva aplicación para cada elección, por cierto. 463 00:28:01,711 --> 00:28:04,297 En ese punto, cliqueas para emitir tu voto 464 00:28:04,297 --> 00:28:08,729 y el software de la elección realiza algún tipo de encripción. 465 00:28:08,861 --> 00:28:11,385 Así que aquí está lo que hace. Hace dos cosas: 466 00:28:11,478 --> 00:28:16,476 Primero, va a encriptar tu voto usando RSA 467 00:28:16,562 --> 00:28:22,831 y usando algún padding aleatorio que ha sido generado por el cliente. 468 00:28:23,407 --> 00:28:25,956 Entonces, toma esa boleta encriptada, 469 00:28:26,220 --> 00:28:31,763 y la firma digitalmente usando tu tarjeta nacional de identidad. 470 00:28:33,047 --> 00:28:37,350 Del segundo paso, donde firma digitalmente, resulta en una boleta firmada 471 00:28:37,350 --> 00:28:40,574 y la boleta firmada y encriptada va al servidor de la elección 472 00:28:40,574 --> 00:28:43,773 donde es almacenada hasta que sea tiempo de contar los votos. 473 00:28:43,773 --> 00:28:47,225 Así que ese es el proceso de votación, en pocas palabras. Muy simple. 474 00:28:48,496 --> 00:28:51,242 Luego, Estonia tiene una funcionalidad que ha sido 475 00:28:51,242 --> 00:28:53,472 introducida en los últimos años 476 00:28:53,472 --> 00:28:57,349 que te permite hacer algo que ellos llaman "verificación". 477 00:28:57,351 --> 00:29:00,321 Así que la última cosa que hace la aplicación cliente 478 00:29:00,321 --> 00:29:05,129 es mostrarte este código QR. Y el código QR contiene dos cosas: 479 00:29:05,129 --> 00:29:09,979 un identificador de boleta y los valores aleatorios que fueron usados 480 00:29:09,979 --> 00:29:13,559 como padding de la boleta antes de la encripción RSA. 481 00:29:14,951 --> 00:29:18,864 Usando estas cosas, puedes utilizar una aplicación para smartphones 482 00:29:18,864 --> 00:29:24,391 —y están disponibles para iOS y Android— para escanear el código QR, 483 00:29:24,391 --> 00:29:28,551 la aplicación luego consulta a los servidores de la elección, 484 00:29:28,551 --> 00:29:33,144 y los servidores retornan una boleta encriptada con las firmas removidas. 485 00:29:33,320 --> 00:29:38,764 Este es el servidor diciendo que esta fue la boleta que recibió de ti. 486 00:29:39,332 --> 00:29:42,984 OK. En ese punto, usando los valores aleatorios, 487 00:29:42,984 --> 00:29:45,716 que obtienen del código QR, el smartphone puede intentar, 488 00:29:45,716 --> 00:29:51,220 por fuerza bruta, conocer tu voto. Puede tratar cada opción posible, 489 00:29:51,220 --> 00:29:54,885 hasta conseguir una que resulte en la misma encripción. 490 00:29:55,242 --> 00:30:00,285 Si encuentra una que coincide, muestra el candidato resultante. 491 00:30:00,725 --> 00:30:04,051 Como medida de seguridad contra la coerción, 492 00:30:04,051 --> 00:30:07,867 este procedimiento de validación sólo puede ser realizado hasta 3 veces, 493 00:30:07,867 --> 00:30:10,283 y sólo puede ser realizado dentro de los 30 minutos siguientes 494 00:30:10,283 --> 00:30:14,063 a la emisión del voto. De otra forma, alguien que quisiera coercionarte 495 00:30:14,063 --> 00:30:17,493 podría decir: "muéstrame tu verificación". 496 00:30:17,901 --> 00:30:21,198 Como otra salvaguarda interesante contra la coerción, 497 00:30:21,198 --> 00:30:25,256 tienes la posibilidad de reemplazar tu voto, tantas veces como quieras, 498 00:30:25,256 --> 00:30:28,070 hasta la votación presencial. 499 00:30:28,070 --> 00:30:33,005 Así que haces el proceso nuevamente, y tu nuevo voto, reemplaza al anterior. 500 00:30:33,005 --> 00:30:36,185 Sólo cuenta el voto más reciente. 501 00:30:36,787 --> 00:30:40,717 Bien, ese es el proceso de verificación. Ahora, ¿cómo funciona el conteo? 502 00:30:41,022 --> 00:30:43,554 El conteo es interesante en el sistema estonio 503 00:30:43,554 --> 00:30:47,984 porque es, básicamente, tratar de hacer la analogía criptográfica 504 00:30:48,003 --> 00:30:54,123 de los sobres dobles de voto a distancia que son utilizados en muchos países. 505 00:30:54,312 --> 00:30:57,027 Básicamente, con el sobre doble de voto a distancia, 506 00:30:57,027 --> 00:31:00,982 tienes un sobre interno seguro que contiene tu boleta, 507 00:31:00,982 --> 00:31:06,052 y un sobre externo que contiene tu nombre y firma. 508 00:31:06,338 --> 00:31:10,568 Al momento de contar, quitan tu nombre y firma luego de verificar que 509 00:31:10,568 --> 00:31:13,388 has votado una sola vez y que tienes el derecho a votar. 510 00:31:13,388 --> 00:31:17,683 Luego separan el sobre interno, los mezclan, así no pueden 511 00:31:17,683 --> 00:31:21,623 correlacionarse con los nombres, los abren y cuentan los votos. 512 00:31:21,755 --> 00:31:24,639 Bueno, en el sistema estonio están haciendo algo similar. 513 00:31:24,639 --> 00:31:27,003 Los servidores de la elección almacenan los votos 514 00:31:27,003 --> 00:31:29,527 hasta que es tiempo de contar. 515 00:31:29,527 --> 00:31:34,007 Y luego toman esas boletas encriptadas y firmadas, 516 00:31:34,017 --> 00:31:39,267 remueven las firmas, y las graban en un DVD. 517 00:31:39,877 --> 00:31:44,087 Luego toman este DVD y lo usan para llevar las boletas encriptadas 518 00:31:44,087 --> 00:31:48,625 a una máquina físicamente separada y sin conectividad llamada "servidor de conteo". 519 00:31:48,625 --> 00:31:53,312 Y sólo el servidor de conteo tiene acceso a la clave privada 520 00:31:53,312 --> 00:31:55,703 que es usada para desencriptar las boletas. 521 00:31:55,703 --> 00:31:59,354 Así que encriptan todo el camino desde el cliente hasta el servidor de conteo. 522 00:31:59,354 --> 00:32:02,639 Y el servidor de conteo puede desencriptar y ver los votos, 523 00:32:02,899 --> 00:32:07,156 pero nunca ve las firmas que las identifican. 524 00:32:07,156 --> 00:32:11,276 Así que de esa manera intentan mantener el secreto del voto. 525 00:32:12,338 --> 00:32:14,649 El resultado producido por el servidor de conteo es, simplemente, 526 00:32:14,649 --> 00:32:16,669 el resultado de la elección. 527 00:32:16,738 --> 00:32:21,038 Suman los votos presenciales y se declara el ganador. 528 00:32:21,428 --> 00:32:23,222 Así que ese es el proceso estonio. 529 00:32:23,222 --> 00:32:26,722 Y fue realmente interesante entender cómo funciona. 530 00:32:26,722 --> 00:32:29,145 No hay descripciones publicadas en inglés 531 00:32:29,145 --> 00:32:33,456 que cubran todo el proceso, anteriores a nuestro estudio. 532 00:32:33,456 --> 00:32:36,965 Tuvimos que preguntarle a la gente y revisar el código fuente 533 00:32:36,965 --> 00:32:40,095 para tener una buena idea de lo que estaba sucediendo realmente. 534 00:32:40,958 --> 00:32:43,843 La próxima pregunta luego de entender cómo funciona el sistema es: 535 00:32:43,843 --> 00:32:46,393 ¿A qué amenazas se enfrenta? 536 00:32:47,592 --> 00:32:52,582 Ya hemos revisado algunos de los problemas de la votación por Internet. 537 00:32:52,582 --> 00:32:55,747 Ataques internos por parte de autoridades electorales deshonestas, 538 00:32:55,747 --> 00:32:58,737 coerción para con los votantes, malware en el cliente. 539 00:32:58,840 --> 00:33:02,100 ¿Pero quién más quiere atacar un sistema así? 540 00:33:02,216 --> 00:33:08,122 Bueno, Estonia nos trae un ejemplo particular a la mente. 541 00:33:08,122 --> 00:33:13,322 Porque, antes que nada, Estonia, muy notablemente fue alcanzada en 2007 542 00:33:13,322 --> 00:33:17,947 por algunos de los primeros ejemplos 543 00:33:17,947 --> 00:33:22,389 de lo que muchos observadores consideran como una ciber-guerra entre estados. 544 00:33:22,389 --> 00:33:25,800 Ellos sufrieron ataques de denegación de servicio a gran escala 545 00:33:25,800 --> 00:33:31,960 contra la infraestructura nacional, de grupos asociados con Moscú. 546 00:33:33,078 --> 00:33:41,642 En segundo lugar, el verano pasado Ucrania tuvo una elección post-revolución. 547 00:33:41,642 --> 00:33:45,790 Y durante esas elecciones, hubo ataques extendidos contra 548 00:33:45,790 --> 00:33:48,712 la infraestructura de la elección en sí misma. 549 00:33:48,712 --> 00:33:52,711 Ahora, esa elección no fue realizada online, 550 00:33:52,711 --> 00:33:56,225 pero el proceso de tabulación, el proceso que reunir 551 00:33:56,225 --> 00:33:58,559 todos los resultados a través del país 552 00:33:58,559 --> 00:34:01,766 se apoyaba en redes de computadoras para recibir votos 553 00:34:01,766 --> 00:34:04,776 y publicar los totales online. 554 00:34:05,230 --> 00:34:09,295 Se reportó que ese proceso fue atacado por grupos 555 00:34:09,295 --> 00:34:11,405 que se cree que están vinculados a Rusia también, 556 00:34:11,405 --> 00:34:13,868 quienes intentaron desacreditar la elección 557 00:34:13,868 --> 00:34:18,228 e incluso intentaron, según leí, difundir resultados incorrectos. 558 00:34:18,886 --> 00:34:21,784 Esto se hizo público el verano pasado. 559 00:34:21,784 --> 00:34:25,175 Esto me lleva a pensar que el modelo correcto de amenazas, 560 00:34:25,175 --> 00:34:27,745 para sistemas de votación por Internet, tiene que incluir 561 00:34:27,745 --> 00:34:29,873 atacantes sofisticados a nivel estatal, 562 00:34:29,873 --> 00:34:32,485 que pueden querer influenciar el resultado nacional. 563 00:34:32,485 --> 00:34:34,442 Y para un país como Estonia, 564 00:34:34,442 --> 00:34:38,132 ya saben, un miembro de la UE y la OTAN, que limita con Rusia, 565 00:34:38,132 --> 00:34:41,549 hay posiblemente muchos atacantes sofisticados a nivel estatal, 566 00:34:41,549 --> 00:34:45,279 que podrían querer inmiscuirse en sus futuras alineaciones. 567 00:34:46,985 --> 00:34:49,581 Así que, con ese modelo de amenazas en mente, 568 00:34:49,581 --> 00:34:53,045 evaluemos el diseño del sistema de Estonia. 569 00:34:53,045 --> 00:34:59,562 Y hay dos componentes del diseño de Estonia que —sólo revisando el diseño— 570 00:34:59,562 --> 00:35:03,075 pueden decir son componentes implícitamente de confianza. 571 00:35:03,075 --> 00:35:06,355 Y ya saben, en seguridad, cuando decimos que algo es "de confianza", 572 00:35:06,355 --> 00:35:10,425 básicamente queremos decir que si es hackeado, entonces estamos cagados. 573 00:35:11,155 --> 00:35:13,321 Así que eso queremos decir con "de confianza". 574 00:35:13,321 --> 00:35:16,311 Estos dos componentes son la aplicación cliente del votante, 575 00:35:16,311 --> 00:35:19,165 y el servidor de conteo. Y déjenme decirles por qué 576 00:35:19,165 --> 00:35:23,809 estos dos son puntos potenciales de vulnerabilidad, 577 00:35:23,809 --> 00:35:27,979 o puntos serios de vulnerabilidad en el diseño de Estonia. 578 00:35:28,132 --> 00:35:30,206 Empecemos con la aplicación cliente. 579 00:35:30,206 --> 00:35:32,918 La aplicación cliente del votante en Estonia 580 00:35:32,918 --> 00:35:36,398 podría ser potencialmente comprometida por malware del lado del cliente. 581 00:35:36,407 --> 00:35:39,617 Así que aquí hay un diseño simple de malware, algo que de hecho 582 00:35:39,617 --> 00:35:41,782 implementamos en el laboratorio. 583 00:35:41,782 --> 00:35:44,173 Para implementar estos ataques, por cierto, 584 00:35:44,173 --> 00:35:47,047 hemos reproducido el sistema completo de Estonia 585 00:35:47,047 --> 00:35:48,509 en nuestro laboratorio 586 00:35:48,509 --> 00:35:50,452 usando su código fuente del lado del servidor, 587 00:35:50,452 --> 00:35:54,255 sus procedimientos documentados, y haciendo ingeniería inversa en el cliente 588 00:35:54,255 --> 00:35:58,324 para hacer que hable con nuestro servidor y use nuestras claves en vez de las oficiales. 589 00:35:58,324 --> 00:36:01,189 Así que montamos una elección simulada completa en el laboratorio. 590 00:36:01,189 --> 00:36:03,657 Y tenemos imágenes de las máquinas virtuales en nuestro sitio web 591 00:36:03,657 --> 00:36:06,697 si alguien desea probar jugando con ellas en sus laboratorios. 592 00:36:07,452 --> 00:36:09,687 Imaginen que tienen la aplicación cliente del votante 593 00:36:09,687 --> 00:36:12,261 y son capaces de meter malware en ella. 594 00:36:12,261 --> 00:36:14,409 Ese malware podría, básicamente, 595 00:36:14,409 --> 00:36:17,439 espiar el proceso de elección en el cliente 596 00:36:17,439 --> 00:36:21,248 y robar el pin del votante, mientras lo escribe, 597 00:36:21,248 --> 00:36:23,428 durante la elección real. 598 00:36:23,429 --> 00:36:27,029 Entonces, luego, la próxima vez que el votante ponga 599 00:36:27,029 --> 00:36:30,589 su tarjeta de identificación, digamos para operar con el banco online, 600 00:36:30,589 --> 00:36:33,364 ese malware puede, invisiblemente en segundo plano, 601 00:36:33,364 --> 00:36:37,364 usar ese pin robado para emitir el voto de reemplazo. 602 00:36:37,615 --> 00:36:40,945 El votante nunca se entera, el voto es cambiado 603 00:36:41,404 --> 00:36:46,954 y el atacante es capaz de robar un voto con este procedimiento. 604 00:36:47,184 --> 00:36:49,023 Ahora, hay dos grandes preguntas aquí: 605 00:36:49,023 --> 00:36:53,163 ¿Cómo infectar la aplicación cliente y cómo vencer la aplicación de verificación? 606 00:36:54,031 --> 00:36:56,541 ¿Cómo infectar los clientes? Bueno, tuvimos que dejar esto 607 00:36:56,541 --> 00:37:00,991 un poco a la imaginación, porque no teníamos una 608 00:37:00,991 --> 00:37:05,851 botnet preexistente infectando miles de computadoras en Estonia para jugar con ella. 609 00:37:05,891 --> 00:37:08,871 Pero otra gente sí la tiene. 610 00:37:09,653 --> 00:37:12,223 Así que una forma… esa es una forma, que puedes imaginar fácilmente, 611 00:37:12,223 --> 00:37:13,970 de cambiar miles de votos. 612 00:37:13,970 --> 00:37:20,303 Otra forma sería, digamos eres la NSA, tienes tu montón de ataques 0-day, 613 00:37:20,303 --> 00:37:25,580 simplemente puedes atacar algún sitio web o aplicación popular usada en Estonia, 614 00:37:25,580 --> 00:37:28,309 y así infectar la aplicación cliente de las personas con el malware. 615 00:37:28,309 --> 00:37:31,058 Una tercera forma puede ser meter código malicioso 616 00:37:31,058 --> 00:37:33,476 dentro de la aplicación oficial de votación. 617 00:37:33,476 --> 00:37:37,015 La que sabemos es algo que todos los que votan online en Estonia 618 00:37:37,015 --> 00:37:39,795 instalan antes de la elección. 619 00:37:39,900 --> 00:37:43,080 De cualquier manera, hay varias formas en las que podrían infectar los clientes. 620 00:37:43,235 --> 00:37:45,616 Luego ¿cómo ganarle a la aplicación de verificación? 621 00:37:45,616 --> 00:37:49,077 Bueno, resulta que esto no es algo tan complicado. 622 00:37:49,077 --> 00:37:52,954 Gracias a sus esquemas de anti-coerción 623 00:37:52,954 --> 00:37:56,293 —recuerden la tensión entre integridad y secreto del voto. 624 00:37:56,633 --> 00:37:58,498 Gracias a los esquemas de anti-coerción, 625 00:37:58,498 --> 00:38:02,787 La aplicación de verificación puede ser solamente usada 626 00:38:02,787 --> 00:38:05,097 por 30 minutos luego de que la elección se ha realizado, 627 00:38:05,097 --> 00:38:06,724 luego de que el voto es emitido. 628 00:38:06,724 --> 00:38:09,254 Así que todo lo que tenemos que hacer es esperar. 629 00:38:09,884 --> 00:38:12,546 Si eso no funciona, si eso es muy sospechoso 630 00:38:12,546 --> 00:38:14,869 también podríamos intentar un ataque híbrido 631 00:38:14,869 --> 00:38:17,076 involucrando una aplicación de Android maliciosa 632 00:38:17,076 --> 00:38:19,985 y comprometiendo la aplicación cliente de los votantes. 633 00:38:19,985 --> 00:38:22,486 Gracias a la convergencia de estas plataformas 634 00:38:22,486 --> 00:38:25,039 ya no es tan difícil de creer 635 00:38:25,039 --> 00:38:29,009 que alguien podría, simultáneamente, y de manera correlativa, atacar ambas. 636 00:38:29,287 --> 00:38:32,587 De cualquier manera, hay varias formas de hacer estas dos cosas. 637 00:38:33,044 --> 00:38:36,137 Podemos continuar y mirar el lado del servidor también. 638 00:38:36,137 --> 00:38:39,657 Ahora, del lado del servidor, el "talón de Aquiles" del sistema 639 00:38:39,657 --> 00:38:41,080 es el servidor de conteo. 640 00:38:41,080 --> 00:38:45,889 Es la única cosa que manipula los votos desencriptados. 641 00:38:45,889 --> 00:38:49,086 Y nadie ve esos votos, sólo ven el resultado. 642 00:38:49,086 --> 00:38:52,170 Así que si el servidor de conteo miente… ¿si? 643 00:38:52,170 --> 00:38:54,988 Si el servidor de conteo miente, entonces simplemente puede 644 00:38:54,988 --> 00:38:58,398 arbitrariamente decir cuál es el resultado de la elección. 645 00:38:58,423 --> 00:39:00,275 Pero ellos trataron que el servidor de conteo 646 00:39:00,275 --> 00:39:01,639 fuera bastante difícil de manipular. 647 00:39:01,639 --> 00:39:04,153 Está sin conexión, es montado antes de la elección, 648 00:39:04,153 --> 00:39:06,872 está sellado, está en algún lugar seguro. 649 00:39:06,872 --> 00:39:09,652 Tenemos que imaginar que es bastante difícil. 650 00:39:09,652 --> 00:39:11,686 Así que, de alguna forma, necesitas una manera 651 00:39:11,686 --> 00:39:16,156 de alterar el comportamiento del código en esa máquina. 652 00:39:16,352 --> 00:39:21,003 Ahora, hemos experimentado y hasta construimos una toolchain para hacerlo 653 00:39:21,003 --> 00:39:26,433 y comprometer esa máquina, incluso con los procedimientos de seguridad que montaron. 654 00:39:26,964 --> 00:39:34,254 Nuestra toolchain se basa en la ideas de "Reflections on Trusting Trust" 655 00:39:34,254 --> 00:39:38,170 de Ken Thompson, que dice que aún si un sistema es seguro, 656 00:39:38,170 --> 00:39:41,092 necesitas otro sistema para construirlo. 657 00:39:41,092 --> 00:39:44,109 ¿Si? Y necesitas algún otro sistema para hacer aquel. 658 00:39:44,109 --> 00:39:46,036 Así que si sigues esa cadena, 659 00:39:46,036 --> 00:39:50,196 eventualmente llegarás a un lugar al que el atacante tiene acceso. 660 00:39:50,491 --> 00:39:54,030 Así que, en nuestra investigación, descubrimos que la forma 661 00:39:54,030 --> 00:39:56,637 en la que montaron esa máquina para el servidor de conteo, 662 00:39:56,637 --> 00:40:02,647 que corre, creo, una variante de Debian que es instalada desde un DVD, 663 00:40:02,657 --> 00:40:06,294 ese DVD es quemado en una máquina de desarrollo separada, 664 00:40:06,294 --> 00:40:08,750 que es montada antes de la elección, 665 00:40:08,750 --> 00:40:14,972 y de hecho, descarga una copia fresca de Debian de la web y quema el DVD. 666 00:40:14,972 --> 00:40:18,295 Así que, asumamos que podemos retroceder algunos… 667 00:40:18,295 --> 00:40:20,918 algunos niveles desde el servidor de conteo 668 00:40:20,918 --> 00:40:24,591 y comprometer ese servidor de desarrollo, que está conectado a Internet, que es 669 00:40:24,591 --> 00:40:28,733 montado antes de iniciar la grabación de vídeo al comienzo de la elección. 670 00:40:28,733 --> 00:40:31,482 Digamos que podemos meter algún malware ahí. 671 00:40:31,482 --> 00:40:34,607 Así que construimos una demostración en donde ese malware 672 00:40:34,607 --> 00:40:38,833 infecta el CD de instalación que es quemado, 673 00:40:39,133 --> 00:40:46,256 usa un rootkit para mentir acerca del hash SHA-1 de esa imagen ISO, 674 00:40:46,256 --> 00:40:50,840 porque ellos la verifican. Y entonces ese DVD comprometido 675 00:40:50,840 --> 00:40:55,330 procede a instalar algún código backdoor en el servidor de conteo cuando es montado. 676 00:40:55,946 --> 00:40:58,722 En ese punto, cambiar votos es realmente fácil. 677 00:40:58,812 --> 00:41:00,716 Todo lo que tenemos que hacer 678 00:41:00,716 --> 00:41:04,362 es interceptar algún código en el servidor de conteo, 679 00:41:04,362 --> 00:41:08,725 que usa un HSM conectado, para hacer la desencripción de cada voto 680 00:41:08,725 --> 00:41:12,325 y básicamente mira lo que vuelve del HSM 681 00:41:12,325 --> 00:41:14,511 y lo reemplaza con el voto que elijamos. 682 00:41:14,511 --> 00:41:17,199 De esta forma, toma aproximadamente el tiempo correcto, 683 00:41:17,199 --> 00:41:20,209 el HSM desencripta los votos reales, 684 00:41:20,209 --> 00:41:23,389 pero los resultados son fraudulentos. 685 00:41:23,757 --> 00:41:25,530 OK. Estos son dos ataques 686 00:41:25,530 --> 00:41:30,200 que se basan un poco en capacidades que no tenemos. 687 00:41:30,592 --> 00:41:34,250 Acceso a 0-day, o a una botnet, o acceso privilegiado. 688 00:41:34,250 --> 00:41:37,288 Todas cosas que los atacantes reales sí tienen. 689 00:41:37,288 --> 00:41:39,401 Pero aún puede ser posible 690 00:41:39,401 --> 00:41:42,210 que la seguridad operacional de Estonia sea tan buena 691 00:41:42,210 --> 00:41:46,510 que estos atacantes avanzados tendrían problemas comprometiendo las máquinas. 692 00:41:46,617 --> 00:41:50,032 Así que, ¿qué tan buena es su seguridad operacional? 693 00:41:50,032 --> 00:41:52,449 Esta fue una gran pregunta en nuestro trabajo, y es algo 694 00:41:52,449 --> 00:41:55,643 a lo que dedicamos bastante tiempo revisando los vídeos, 695 00:41:55,643 --> 00:41:58,242 haciendo las entrevistas para averiguarlo. 696 00:41:59,872 --> 00:42:01,811 El presidente de Estonia, este hombre, 697 00:42:01,811 --> 00:42:04,877 dice que su seguridad es mejor que la de Google. 698 00:42:05,537 --> 00:42:09,092 Este es el estándar que se han puesto a ellos mismos. 699 00:42:09,092 --> 00:42:11,964 Es bueno, es algo a lo que aspirar. 700 00:42:11,964 --> 00:42:14,037 Veamos qué tan buena es su seguridad, 701 00:42:14,037 --> 00:42:18,017 basados en los vídeos oficiales, que ellos publicaron durante la elección. 702 00:42:19,531 --> 00:42:22,273 Aquí está Tarvi Martens. 703 00:42:22,273 --> 00:42:28,233 Sobre su cabeza, está el SSID del Wi-Fi y contraseña para el terrorismo de la red. 704 00:42:34,857 --> 00:42:38,931 Aquí están montando algo del software y los servidores 705 00:42:38,931 --> 00:42:42,220 y la configuración para las máquinas reales. 706 00:42:42,460 --> 00:42:45,670 Hagamos zoom sobre la pizarra blanca aquí… 707 00:42:46,054 --> 00:42:48,446 Oh, ellos están usando algún shareware para Windows 708 00:42:48,446 --> 00:42:50,659 que están descargando por HTTP 709 00:42:50,659 --> 00:42:54,147 para escribir los archivos de configuración para los servidores. 710 00:42:54,147 --> 00:42:56,427 Esto no luce bien. 711 00:42:57,163 --> 00:43:01,283 Sigamos adelante. Aquí hay otra computadora en la que están probando 712 00:43:01,283 --> 00:43:03,912 el software cliente, en esta captura de aquí. 713 00:43:03,912 --> 00:43:05,047 Hagamos zoom… 714 00:43:05,047 --> 00:43:06,548 Pueden ver el escritorio bastante bien. 715 00:43:06,548 --> 00:43:10,888 Oh, esperen un minuto. ¿Qué son todos esos íconos en el escritorio? 716 00:43:11,354 --> 00:43:15,011 Aquí hay algún sitio de poker, un cliente de BitTorrent, 717 00:43:15,011 --> 00:43:17,911 creo que esto es música pirateada. 718 00:43:19,136 --> 00:43:22,896 Esto no es una máquina limpia y segura. 719 00:43:22,896 --> 00:43:25,978 Espero que no estén haciendo nada importante. 720 00:43:26,708 --> 00:43:32,295 Oh, aquí están firmando digitalmente el cliente oficial de votación 721 00:43:32,295 --> 00:43:37,562 que van a pedir que cada uno en el país descargue e instale en sus computadoras. 722 00:43:37,707 --> 00:43:40,770 ¡Dios mío! Esto es lo más peligroso posible, 723 00:43:40,770 --> 00:43:45,096 tener el binario real del cliente en una máquina potencialmente comprometida. 724 00:43:45,096 --> 00:43:47,190 Así que si alguien compromete esta máquina 725 00:43:47,190 --> 00:43:49,940 pueden meter el malware en el cliente oficial de votación 726 00:43:49,940 --> 00:43:53,142 y distribuirlo a todo votante estonio. 727 00:43:55,812 --> 00:43:59,793 Luego, en la misma máquina está el nombre de Tarvi. 728 00:43:59,793 --> 00:44:03,273 Creo que esta es la laptop personal de Tarvi. 729 00:44:05,010 --> 00:44:08,540 Aquí están configurando uno de los servidores. 730 00:44:08,540 --> 00:44:13,322 Están ingresando como "root". Puedes ver sus pulsaciones de teclas. 731 00:44:16,002 --> 00:44:19,374 Aquí hay alguien ingresando su PIN de su tarjeta nacional de identificación. 732 00:44:19,374 --> 00:44:22,598 Y aquí, en el data center —esto es realmente útil—, 733 00:44:22,598 --> 00:44:28,598 esta gran llave aquí, la llave grande es la que abre la puerta del data center. 734 00:44:30,757 --> 00:44:33,403 ¿Alguien tiene una impresora 3D? 735 00:44:34,913 --> 00:44:42,151 Esto no parecer ser el nivel de seguridad operacional que necesitaríamos 736 00:44:42,151 --> 00:44:44,527 para defendernos de atacantes de nivel estatal. 737 00:44:44,527 --> 00:44:46,184 Pero no quiero ser demasiado severo con ellos. 738 00:44:46,184 --> 00:44:49,441 Este es el nivel de seguridad operacional que es típico 739 00:44:49,441 --> 00:44:51,719 en un sistema de TI gubernamental. 740 00:44:51,719 --> 00:44:53,907 Pero esto no es sólo un sistema de TI gubernamental, 741 00:44:53,907 --> 00:44:57,108 esto está determinando cuál será el próximo liderazgo. 742 00:44:57,108 --> 00:45:00,448 Esto es un sistema de seguridad nacional crítico. 743 00:45:01,392 --> 00:45:04,176 Aquí hay algo más que pasó, tenían algunas cosas que andaban mal 744 00:45:04,176 --> 00:45:08,007 después de… en la elección, en la última elección, 745 00:45:08,007 --> 00:45:15,005 al final, cuando era hora de copiar los resultados oficiales del servidor de conteo 746 00:45:15,005 --> 00:45:17,625 la grabadora de DVD no funcionaba. 747 00:45:17,625 --> 00:45:20,744 Así que miraron alrededor, "¿cómo vamos a hacer esto?" 748 00:45:20,744 --> 00:45:25,129 "Tenemos que copiarlos y traerlos a otro sistema 749 00:45:25,129 --> 00:45:27,493 para firmarlos digitalmente y publicarlos" 750 00:45:27,493 --> 00:45:31,393 Así que Tarvi Martens sacó el pen drive de su bolsillo 751 00:45:31,393 --> 00:45:34,130 y lo puso en ese servidor de conteo 752 00:45:34,130 --> 00:45:37,265 —la única que cosa que sabe cuáles fueron los votos reales— 753 00:45:37,265 --> 00:45:41,319 y lo conectó a su laptop con Windows, y firmó los votos y los publicó. 754 00:45:41,319 --> 00:45:43,882 Así que aquí está lo que apareció en su laptop con Windows 755 00:45:43,882 --> 00:45:46,240 cuando conectó el pen drive. 756 00:45:46,240 --> 00:45:48,206 Ustedes pueden ver lo que había, 757 00:45:48,206 --> 00:45:51,796 tenía una charla que él dio sobre votación por Internet. 758 00:45:51,796 --> 00:45:55,933 Este no es un pen drive limpio. Así que otro camino potencial 759 00:45:55,933 --> 00:45:58,782 para meter malware en el servidor de conteo. 760 00:45:59,892 --> 00:46:03,290 Esta fue nuestra evaluación, que el sistema de Estonia 761 00:46:03,290 --> 00:46:05,533 tenía serias vulnerabilidades potenciales 762 00:46:05,533 --> 00:46:08,203 especialmente contra adversarios de nivel estatal. 763 00:46:08,203 --> 00:46:15,343 Y no había forma de que la seguridad operacional que tenían fuera a resistirlo. 764 00:46:15,343 --> 00:46:16,976 Y estábamos en una situación difícil, 765 00:46:16,976 --> 00:46:20,628 porque habíamos estado en Estonia en octubre pasado 766 00:46:20,628 --> 00:46:23,658 y les dijimos a las autoridades electorales, básicamente, 767 00:46:23,658 --> 00:46:24,885 que teníamos esas preocupaciones. 768 00:46:24,885 --> 00:46:28,342 Entonces fuimos y las confirmamos en el laboratorio. 769 00:46:28,862 --> 00:46:33,695 Estonia tenía otra elección cerca, en mayo de 2014. 770 00:46:33,695 --> 00:46:36,505 Sabíamos esta información, ¿qué haríamos con ella? 771 00:46:36,505 --> 00:46:39,988 Sabíamos que las autoridades electorales estaban convencidas de que el sistema 772 00:46:39,988 --> 00:46:41,572 simplemente, estaba bien. 773 00:46:41,572 --> 00:46:46,242 Así que decidimos hacer pública la información, y desafortunadamente 774 00:46:46,242 --> 00:46:49,977 —porque todos tenemos un montón de otros proyectos en curso— 775 00:46:49,981 --> 00:46:54,483 fue llevado más cerca de las elecciones de lo que me resultaba cómodo. 776 00:46:54,483 --> 00:46:59,076 Y fuimos a Estonia unos 10 días antes de la siguiente elección 777 00:46:59,076 --> 00:47:02,656 a decirle al público lo que habíamos descubierto. 778 00:47:03,149 --> 00:47:07,390 Así que volamos, fuimos a ver a Tallinn, hermosa ciudad. 779 00:47:07,460 --> 00:47:10,053 Establecimos un campamento base de hackers, 780 00:47:10,053 --> 00:47:16,565 en un amplio y lindo lugar de Airbnb, con el equipo completo. 781 00:47:16,565 --> 00:47:18,970 Y procedimos a llamar a una conferencia de prensa 782 00:47:18,970 --> 00:47:20,859 y anunciar nuestros hallazgos. 783 00:47:20,859 --> 00:47:24,086 Montamos un sitio web, que lo resumía, como lo tengo ahora, 784 00:47:24,086 --> 00:47:30,084 para que la gente común pueda entender y publicamos un reporte técnico detallado 785 00:47:30,084 --> 00:47:33,674 que luego fue publicado en la conferencia ACM CCS. 786 00:47:34,578 --> 00:47:37,416 Así que la reacción, y entender la reacción, 787 00:47:37,416 --> 00:47:41,398 requiere entender sólo dos cosas acerca de la política en Estonia. 788 00:47:41,518 --> 00:47:44,205 Una, que hay dos grandes partidos políticos: 789 00:47:44,205 --> 00:47:47,921 El Partido de la Reforma Estonio y el Partido del Centro de Estonia. 790 00:47:47,921 --> 00:47:52,360 El Partido de la Reforma, que está actualmente en el gobierno nacional, 791 00:47:52,360 --> 00:47:54,993 ama al sistema de e-voting, es su perrito mascota, 792 00:47:54,993 --> 00:47:57,686 es una de las fuentes de orgullo nacional. 793 00:47:57,686 --> 00:47:59,719 Quieren comercializarlo al resto de Europa 794 00:47:59,719 --> 00:48:03,117 y mostrar cuán sobresaliente y moderna es Estonia. 795 00:48:03,117 --> 00:48:04,962 El Partido del Centro de Estonia 796 00:48:04,962 --> 00:48:08,629 —que estaba previamente a cargo del gobierno nacional— 797 00:48:08,629 --> 00:48:10,398 es actualmente el partido minoritario, 798 00:48:10,398 --> 00:48:12,540 pero ellos controlan la ciudad de Tallinn, 799 00:48:12,540 --> 00:48:15,529 que es, básicamente, la ciudad-estado dentro del país. 800 00:48:16,109 --> 00:48:18,328 Ellos odian el sistema de e-voting. 801 00:48:18,328 --> 00:48:21,118 Posiblemente porque siguen perdiendo elecciones. 802 00:48:21,583 --> 00:48:22,903 El partido que está fuera del poder 803 00:48:22,903 --> 00:48:26,243 siempre odia, o está dispuesto a criticar la tecnología 804 00:48:26,243 --> 00:48:28,731 y los partidos en el poder nunca lo están. 805 00:48:29,240 --> 00:48:32,496 El Partido del Centro ha criticado el sistema por un largo tiempo 806 00:48:32,496 --> 00:48:34,940 y el Partido de la Reforma, lo ama. 807 00:48:35,380 --> 00:48:37,988 Desafortunadamente, cada medio de comunicación en Estonia 808 00:48:37,988 --> 00:48:41,983 parece estar cercanamente afiliado con uno u otro partido. 809 00:48:41,983 --> 00:48:45,665 Así que todos cubrieron los resultados potenciales, 810 00:48:45,665 --> 00:48:47,922 los ataques potenciales que descubrimos. 811 00:48:47,922 --> 00:48:49,683 Pero los cubrieron ya sea diciendo 812 00:48:49,683 --> 00:48:52,213 que esto probaba que las elecciones eran fraudulentas, 813 00:48:52,213 --> 00:48:55,206 o que había gente atacando el sistema de e-voting 814 00:48:55,206 --> 00:48:58,629 porque estaban trabajando para el partido rival. 815 00:48:59,019 --> 00:49:00,905 Así que nosotros aterrizamos en el medio de todo esto. 816 00:49:00,905 --> 00:49:05,285 Y fue bastante increíble, pero no tan divertido. 817 00:49:06,260 --> 00:49:08,981 Así que fue noticia principal por una semana 818 00:49:08,981 --> 00:49:11,098 y estuvo al inicio de cada noticiero nocturno. 819 00:49:11,098 --> 00:49:14,888 Volé a casa en avión, con gente, en las filas cercanas, 820 00:49:14,888 --> 00:49:17,253 leyendo diarios con historias acerca de esto. 821 00:49:17,253 --> 00:49:20,101 Fue la experiencia más rara. 822 00:49:20,101 --> 00:49:22,526 También nos reunimos con las autoridades electorales 823 00:49:22,526 --> 00:49:25,089 en una reunión muy formal con ellos y sus abogados. 824 00:49:25,089 --> 00:49:27,222 Y Tarvi Martens nos agradeció mucho 825 00:49:27,222 --> 00:49:31,921 y nos dijo que ellos habían tomado nota de todo estoy y que no había problemas. 826 00:49:34,656 --> 00:49:36,806 También bebimos unos tragos 827 00:49:36,806 --> 00:49:40,668 con la gente de seguridad que trabajaba para la elección. 828 00:49:40,668 --> 00:49:44,113 Quienes estaban muy convencidos de que todo estaba bien, 829 00:49:44,113 --> 00:49:47,693 porque la gente correcta seguía ganando. 830 00:49:49,089 --> 00:49:54,355 Bueno, les pregunté qué pasaría si por algún error horrible 831 00:49:54,355 --> 00:49:56,332 ganaba la gente incorrecta, 832 00:49:56,332 --> 00:50:00,492 los despedía a todos ellos y seguía corriendo el sistema tal como está. 833 00:50:00,671 --> 00:50:05,891 Con expresión algo triste dijeron que eso sería muy malo. 834 00:50:08,083 --> 00:50:11,518 Más tarde, Harri Hursti, un miembro de nuestro equipo, 835 00:50:11,518 --> 00:50:14,869 que es un finlandés muy corpulento, 836 00:50:14,869 --> 00:50:17,710 y conocido como un prodigioso bebedor, 837 00:50:17,710 --> 00:50:21,327 salió a beber con este agradable compañero ruso, 838 00:50:21,327 --> 00:50:25,226 que es el jefe de la seguridad del equipo de operaciones electorales. 839 00:50:26,203 --> 00:50:31,603 Durante la cena —me dijeron— cada uno consumió dos botellas de vodka. 840 00:50:32,210 --> 00:50:36,602 Después de lo cual, ninguna verdad puede ocultarse. 841 00:50:37,552 --> 00:50:41,106 Harri cuenta que, al final de esa noche, 842 00:50:41,106 --> 00:50:45,895 él le había sacado la contraseña de root al jefe de seguridad. 843 00:50:47,264 --> 00:50:50,084 Y aquí está, de regreso. 844 00:50:55,518 --> 00:50:58,193 Una última cosa, para terminar. 845 00:50:58,193 --> 00:51:01,740 El Primer Ministro de Estonia fue a la TV 846 00:51:01,740 --> 00:51:03,796 y dijo que nos había buscado en Facebook 847 00:51:03,796 --> 00:51:06,769 y que trabajábamos para su oponente para desacreditar el sistema, 848 00:51:06,769 --> 00:51:08,542 porque aparentemente Jason Kitkat, 849 00:51:08,542 --> 00:51:11,112 tenía como amigo a alguien de la oficina del alcalde. 850 00:51:11,112 --> 00:51:14,325 También tenía como amigo al Ministro de Finanzas del Primer Ministro 851 00:51:14,325 --> 00:51:17,337 y tenía una solicitud pendiente de amistad del Primer Ministro, 852 00:51:17,337 --> 00:51:20,792 pero aparentemente nunca lo aceptó. 853 00:51:21,502 --> 00:51:24,033 Finalmente, tenemos algo muy interesante. 854 00:51:24,033 --> 00:51:28,333 Nunca antes había sido atacado en TV por un ministro de la OTAN, 855 00:51:28,354 --> 00:51:30,623 especialmente por quienes fueran mis amigos. 856 00:51:30,853 --> 00:51:34,887 Finalmente, tuvimos algunas respuestas oficiales interesantes, online, 857 00:51:34,887 --> 00:51:37,624 de las autoridades electorales de Estonia. 858 00:51:37,974 --> 00:51:41,443 Dijeron que la aplicación de verificación detecta los malos comportamientos. 859 00:51:41,443 --> 00:51:45,014 Sí, correcto, hemos hablado acerca de la aplicación de verificación. 860 00:51:45,014 --> 00:51:47,800 También dijeron: ¿por qué robar votos cuando podrías robar dinero? 861 00:51:47,800 --> 00:51:52,850 Si pudieras hacer todo esto… Bueno, realmente no compro eso tampoco. 862 00:51:53,457 --> 00:51:57,926 Pero la cosa más sorprendente fue que el CERT de Estonia 863 00:51:57,926 --> 00:52:01,476 puso un post en un blog, que pueden encontrar online, también en inglés. 864 00:52:02,531 --> 00:52:06,521 El título del post es "E-voting es (demasiado) seguro". 865 00:52:08,180 --> 00:52:12,670 "La gente a la que le importa la higiene de su computadora no tiene virus", dicen. 866 00:52:13,031 --> 00:52:17,521 "En la práctica, los riesgos informáticos fueron eliminados" en el sistema de e-voting 867 00:52:17,627 --> 00:52:21,629 "Ellos (mi equipo) están aquí no por ser expertos informáticos sino 868 00:52:21,629 --> 00:52:25,729 por su mensaje políticamente apropiado pero técnicamente incompetente". 869 00:52:27,830 --> 00:52:30,086 No creo que vayamos a tener mucha suerte 870 00:52:30,086 --> 00:52:36,786 convenciendo a Estonia para que cambie su sistema de votación. 871 00:52:36,989 --> 00:52:40,985 Sin embargo, podemos extraer algunas lecciones para otros países. 872 00:52:40,985 --> 00:52:43,595 El sistema de e-voting es, de hecho, inseguro 873 00:52:43,595 --> 00:52:47,956 contra la clase de amenazas nacionales, actores a nivel de Estados, 874 00:52:47,956 --> 00:52:50,011 que podrían potencialmente, tener como objetivo 875 00:52:50,011 --> 00:52:53,451 a países modernos conduciendo elecciones a nivel nacional con e-voting. 876 00:52:54,100 --> 00:52:57,337 Es un asunto de seguridad nacional, no un problema de TI. 877 00:52:57,337 --> 00:53:00,370 Y si todavía piensan implementar un sistema como este 878 00:53:00,370 --> 00:53:05,020 necesitan tener un modelo de amenazas y un nivel de defensa totalmente distintos. 879 00:53:05,448 --> 00:53:11,121 La política, desafortunadamente como vimos, puede ocultar problemas técnicos importantes 880 00:53:11,121 --> 00:53:15,140 Y si su país está considerando adoptar tales sistemas, 881 00:53:15,140 --> 00:53:17,164 por favor, preocúpense por ello. 882 00:53:17,164 --> 00:53:20,137 Nuestra recomendación es que Estonia debería discontinuar 883 00:53:20,137 --> 00:53:21,292 su sistema de votación por Internet 884 00:53:21,292 --> 00:53:23,972 hasta que tenga mejoras de seguridad fundamentales. 885 00:53:24,288 --> 00:53:32,218 Pero espero… No tengo mucha esperanza con ellos. 886 00:53:32,444 --> 00:53:37,074 Pero, sólo para concluir, esto es lo que vi como problema fundamental 887 00:53:37,074 --> 00:53:38,674 con la votación por Internet. 888 00:53:38,674 --> 00:53:44,532 Que queremos sistemas de votación a los que ustedes, o yo, o nuestros amigos, 889 00:53:44,532 --> 00:53:49,942 o Tarvi Martens, o Vladimir Putin, o la NSA no puedan hackear 890 00:53:49,942 --> 00:53:52,972 y cambiar el resultado de la elección. Es tan simple como eso. 891 00:53:52,972 --> 00:53:55,442 ¡Queremos democracia! 892 00:54:04,118 --> 00:54:09,118 Fraudes importantes tienen que ser al menos tan difíciles como son con papel. 893 00:54:09,118 --> 00:54:12,098 Y ninguna tecnología, hasta ahora, puede asegurar eso. 894 00:54:12,098 --> 00:54:14,938 Por este motivo, mi opinión, aún sabiendo que no conozco 895 00:54:14,938 --> 00:54:17,278 todas las líneas de investigaciones prometedoras, 896 00:54:17,278 --> 00:54:20,728 es que pasarán décadas, si es que alguna vez, 897 00:54:20,745 --> 00:54:22,755 la votación por Internet pueda ser lo suficientemente segura 898 00:54:22,755 --> 00:54:24,925 para su uso en elecciones nacionales importantes. 899 00:54:24,925 --> 00:54:29,395 Y no sin avances fundamentales en seguridad informática. Muchas gracias. 900 00:54:45,976 --> 00:54:47,666 —Muchas gracias, profesor, 901 00:54:47,666 --> 00:54:51,956 por esta muy aterradora y muy entretenida charla. 902 00:54:52,933 --> 00:54:54,503 Estamos un poco pasados de tiempo 903 00:54:54,503 --> 00:54:56,743 pero afortunadamente tenemos un descanso 904 00:54:56,743 --> 00:54:59,253 en sala 1, después de esta charla, 905 00:54:59,253 --> 00:55:01,703 así que si hay algunas preguntas 906 00:55:01,703 --> 00:55:05,773 por favor hagan cola detrás de uno de los ocho micrófonos. 907 00:55:06,574 --> 00:55:08,324 Sí, número 4, por favor. 908 00:55:08,324 --> 00:55:12,650 —Gracias por la charla. Usted exploró 909 00:55:12,650 --> 00:55:17,350 cómo cambiar, atacar el servidor de conteo, 910 00:55:17,350 --> 00:55:23,358 pero ¿ha analizado si puede hacer esto 911 00:55:23,358 --> 00:55:27,288 si puede atacar este otro servidor? 912 00:55:27,288 --> 00:55:31,749 Porque las firmas son removidas, si recuerdo correctamente, 913 00:55:31,749 --> 00:55:36,223 así que el otro servidor, simplemente, podría 914 00:55:36,223 --> 00:55:40,783 grabar votos arbitrariamente encriptados en el DVD, ¿no es eso correcto? 915 00:55:40,783 --> 00:55:43,943 —Sí, de hecho eso es otra vulnerabilidad, 916 00:55:43,943 --> 00:55:46,223 nos concentramos sólo en el servidor de conteo 917 00:55:46,223 --> 00:55:50,643 porque eso fue, quizás, lo que consideramos que era 918 00:55:50,643 --> 00:55:52,623 la versión más interesante de este ataque 919 00:55:52,623 --> 00:55:55,573 pero hay otros lugares en los que podrías, potencialmente, 920 00:55:55,573 --> 00:55:56,963 estar tentado de hacerlo también. 921 00:55:56,963 --> 00:55:59,513 Creo que tendríamos más evidencia forense. 922 00:55:59,525 --> 00:56:04,445 También sabemos, en términos de servidores frontend, 923 00:56:04,445 --> 00:56:08,595 sabemos que los servidores utilizados en 2013 924 00:56:08,595 --> 00:56:13,075 eran vulnerables a Heartbleed, por supuesto, descubierto meses más tarde. 925 00:56:13,076 --> 00:56:16,736 Sospecho que eran vulnerables a Shellshock también. 926 00:56:17,939 --> 00:56:21,602 Es realmente un problema si implementas un sistema como este 927 00:56:21,602 --> 00:56:24,022 no importa lo cuidadoso que seas. 928 00:56:27,436 --> 00:56:29,876 —Pregunta desde el número 3, por favor. 929 00:56:31,876 --> 00:56:36,476 —Mi pregunta es si hubo algún testeo del servidor de conteo. 930 00:56:36,476 --> 00:56:38,366 Podría imaginar, por ejemplo, 931 00:56:38,366 --> 00:56:42,433 que simplemente podrías producir una gran pila 932 00:56:42,433 --> 00:56:45,353 de DVDs grabados, en los que conoces los votos, 933 00:56:45,353 --> 00:56:49,523 y correrlos en el sistema, quizás el día de la elección, 934 00:56:49,523 --> 00:56:53,668 es decir: aquí hay 10 DVDs de muestra aquí están los votos reales 935 00:56:53,668 --> 00:56:58,528 y lo hacemos en orden aleatorio, y correrlos varias veces, 936 00:56:58,528 --> 00:57:02,524 y ver si todos los DVDs de prueba 937 00:57:02,524 --> 00:57:07,374 están bien, en cualquier orden, el voto también estará bien. 938 00:57:07,604 --> 00:57:11,264 —Sí, ellos no tienen procedimientos como ese. 939 00:57:11,264 --> 00:57:13,574 Pienso que están agregando tales cosas. 940 00:57:13,574 --> 00:57:15,504 Pero eso involucra algunas sutilezas. 941 00:57:15,504 --> 00:57:19,124 Si montas algo así, debes asegurarte de que no hay forma de que el malware 942 00:57:19,124 --> 00:57:23,984 pueda detectar cuándo es una auditoría o cuando se está contando un voto real. 943 00:57:24,666 --> 00:57:28,616 Por decir, canales laterales o "secret knots", 944 00:57:28,616 --> 00:57:31,686 podrías plantar alguna señal en los archivo de prueba 945 00:57:31,686 --> 00:57:34,786 que podría causar que sean contados correctamente. 946 00:57:34,786 --> 00:57:38,506 Así que tienes que ser muy muy cuidadoso cuando diseñas tales sistemas. 947 00:57:39,052 --> 00:57:42,032 Mi preocupación no es tanto que 948 00:57:43,092 --> 00:57:45,442 ninguno de estos problemas pueda ser corregido, 949 00:57:45,442 --> 00:57:49,242 sino que corregirlos a todos perfectamente, resulte en 950 00:57:49,242 --> 00:57:53,022 un sistema demasiado complejo de dirigir y administrar. 951 00:57:53,022 --> 00:57:55,942 Es que vaya a resultar en un sistema "Rube Goldberg". 952 00:57:55,942 --> 00:57:57,982 Pienso que es por eso que el sistema es como es 953 00:57:57,982 --> 00:57:59,737 porque ellos tenían que tomar decisiones de compromiso 954 00:57:59,737 --> 00:58:02,247 para construir un sistema que fuera lo suficientemente barato 955 00:58:02,247 --> 00:58:03,927 y lo suficientemente fácil de ejecutar. 956 00:58:04,118 --> 00:58:08,408 Y sí, podemos pensar en algunas mejoras para cada componente 957 00:58:08,408 --> 00:58:12,688 pero tapar todos los huecos suena extremadamente difícil, al menos para mí. 958 00:58:14,058 --> 00:58:16,008 —Pregunta desde número 4, por favor. 959 00:58:17,009 --> 00:58:20,369 —Muchas gracias por su charla, fue realmente inspiradora. 960 00:58:21,129 --> 00:58:25,069 Quería preguntar qué piensa sobre la pregunta 961 00:58:25,069 --> 00:58:27,759 de si tales sistemas podrían alguna vez evolucionar 962 00:58:27,759 --> 00:58:31,039 para ser lo suficientemente seguros, ya que veo 963 00:58:31,039 --> 00:58:34,519 los desarrollos que suceden en seguridad 964 00:58:34,519 --> 00:58:40,159 siempre disparados por hackers. 965 00:58:41,360 --> 00:58:43,230 No solamente, pero cómo 966 00:58:43,230 --> 00:58:46,540 los huecos en seguridad se van tapando según son detectados 967 00:58:46,540 --> 00:58:48,730 es como una carrera entre los dos 968 00:58:48,730 --> 00:58:52,000 que hacen que los sistemas evolucionen, 969 00:58:52,000 --> 00:58:55,080 me pregunto si podrán alguna vez… —Es una gran pregunta, 970 00:58:55,080 --> 00:58:58,300 y hay un área de investigación prometedora en esto. 971 00:58:58,300 --> 00:59:01,750 Algo llamado "Verificabilidad por el votante de extremo a extremo". 972 00:59:01,750 --> 00:59:05,300 Está basado en criptografía avanzada. 973 00:59:05,300 --> 00:59:06,920 La idea aquí es, básicamente, 974 00:59:06,920 --> 00:59:10,790 que quieres un sistema que asegure que tu voto es emitido como pretendes, 975 00:59:10,790 --> 00:59:12,700 que es contado como se emite, 976 00:59:12,700 --> 00:59:14,480 que todos los votos son contados como se emiten 977 00:59:14,480 --> 00:59:17,180 y que cada votante pueda confirmar esto. 978 00:59:17,180 --> 00:59:18,460 Una forma de lograr esto 979 00:59:18,460 --> 00:59:22,690 es publicando el nombre de cada uno y cómo votaron en un diario, ¿si? 980 00:59:23,134 --> 00:59:26,654 Pero por supuesto, no queremos eso. No es voto secreto. 981 00:59:26,654 --> 00:59:29,724 Pero usando algunas versiones más avanzadas de criptografía 982 00:59:29,724 --> 00:59:31,434 podemos obtener eso también. 983 00:59:31,434 --> 00:59:35,204 Créase o no, es realmente poco intuitivo que puedas tener todas esas propiedades. 984 00:59:36,006 --> 00:59:38,416 Hay tales sistemas en desarrollo 985 00:59:38,416 --> 00:59:42,376 y si están interesados en intentar hackearlos y hacerlos mejores, 986 00:59:42,376 --> 00:59:45,326 mirar en estos sistemas es un gran lugar para empezar. 987 00:59:45,326 --> 00:59:47,066 Pero no están preparados para el "prime time", 988 00:59:47,066 --> 00:59:49,686 hay un montón de preguntas acerca de la usabilidad, 989 00:59:49,686 --> 00:59:51,676 acerca de la seguridad de los protocolos, 990 00:59:51,676 --> 00:59:53,606 acerca de la complejidad de la implementación, 991 00:59:53,606 --> 00:59:57,726 acerca de si podrían correr de forma apropiada a escala nacional. 992 00:59:58,467 --> 01:00:01,417 Así que hay esperanza, hay esperanza viniendo de la investigación, 993 01:00:01,417 --> 01:00:03,847 pero aún pienso que estamos, al menos a una década de distancia, 994 01:00:03,847 --> 01:00:07,087 y eso si todo va bien, antes de que estén listos para el "prime time". 995 01:00:07,087 --> 01:00:10,007 Aunque es una gran pregunta. —¿Puedo hacer otra pregunta corta? 996 01:00:10,007 --> 01:00:16,067 ¿Cómo piensa que los usuarios finales serán capaces de confiar en estos sistemas 997 01:00:16,067 --> 01:00:19,527 si no son desarrolladores como los que estamos aquí? 998 01:00:19,540 --> 01:00:23,610 No tienen medios para verificar que no está habiendo fraude. 999 01:00:23,610 --> 01:00:25,650 —Realmente, esa es una pregunta abierta, 1000 01:00:25,650 --> 01:00:28,650 quiero decir, sólo pensando en el contexto estadounidense, 1001 01:00:28,650 --> 01:00:34,740 no sé cómo reaccionarán los votantes cuando su gurú de radio favorito 1002 01:00:34,740 --> 01:00:40,750 salga al aire y diga el voto fue… la elección es un fraude 1003 01:00:40,750 --> 01:00:43,020 y algún nerd criptógrafo vaya y diga: 1004 01:00:43,020 --> 01:00:46,726 "No, puedo probarlo porque esta propiedad y esta, ya sabes, 1005 01:00:46,726 --> 01:00:48,976 esta mix net muestra que esto y aquello". 1006 01:00:48,976 --> 01:00:51,736 Sabes, creo que no sabemos cómo solucionar ese problema aún. 1007 01:00:51,736 --> 01:00:55,166 Y obtener confianza, —y confianza racional— 1008 01:00:55,166 --> 01:00:58,566 es uno de los grandes desafíos en cualquier tecnología electoral. 1009 01:00:58,566 --> 01:01:00,506 —Muchas gracias. —Gracias a ti. 1010 01:01:00,506 --> 01:01:02,376 —Número 1 tiene una pregunta. 1011 01:01:02,497 --> 01:01:05,411 —Si esas tarjetas inteligentes firman las transcripciones 1012 01:01:05,411 --> 01:01:08,861 y documentos bajo demanda, ¿se puede confiar en que 1013 01:01:08,861 --> 01:01:13,261 ningún handshake TLS o documento pueda pasar como una boleta encriptada? 1014 01:01:14,388 --> 01:01:18,378 —Hay claves separadas para autenticación y firma. 1015 01:01:21,519 --> 01:01:24,979 Espero que ellos hayan pensado en ese ataque. 1016 01:01:24,979 --> 01:01:29,529 Pero es una pregunta interesante, Adam. No es algo que hayamos mirado. 1017 01:01:29,529 --> 01:01:31,359 De hecho, dijimos que la seguridad 1018 01:01:31,359 --> 01:01:37,909 de esta PKI estaba fuera del alcance de nuestro estudio. 1019 01:01:38,265 --> 01:01:41,725 Pero Tarvi Martens es también el padre de la PKI nacional. 1020 01:01:41,725 --> 01:01:47,515 Así que podrías preguntarle sobre la seguridad de implementación y operaciones. 1021 01:01:47,755 --> 01:01:51,445 —Parece que puede no estar enteramente abierto a la pregunta. Pero gracias. 1022 01:01:52,976 --> 01:01:55,006 —Número 5 tiene una pregunta. 1023 01:01:55,010 --> 01:02:01,280 —Es como que, aún si hubo avances significativos en criptografía y… 1024 01:02:02,210 --> 01:02:06,890 ¿cómo un ciudadano confiaría en el sistema, 1025 01:02:06,890 --> 01:02:10,840 si esa persona no es un criptógrafo y no puede probarlo? Y la otra cosa es, 1026 01:02:11,410 --> 01:02:13,790 de niño te dicen que estamos en democracia, pero cuando creces 1027 01:02:13,790 --> 01:02:16,950 te das cuenta de que hay un montón de resultados sesgados, 1028 01:02:16,950 --> 01:02:20,010 y algunos votos cuentan más que otros y así sucesivamente. 1029 01:02:20,010 --> 01:02:23,910 Tienes que ser un cientista político para entender cómo se cuentan los votos, 1030 01:02:23,910 --> 01:02:27,430 y tienes que ser un criptógrafo para entender que el conteo es preciso. 1031 01:02:28,076 --> 01:02:32,316 ¿Hay alguna persona que tenga todo ese conocimiento y… 1032 01:02:32,646 --> 01:02:38,666 —Lo sé, lo sé. Son preguntas muy difíciles y no tengo las respuestas. 1033 01:02:39,366 --> 01:02:41,886 Puedo decir que mi creencia, 1034 01:02:41,886 --> 01:02:44,886 lo que personalmente pienso que debería ser el caso 1035 01:02:44,886 --> 01:02:48,896 es que los votantes deberían ser capaces de confiar en el resultado de la elección 1036 01:02:48,896 --> 01:02:51,776 sin tener que confiar en las autoridades electorales 1037 01:02:51,776 --> 01:02:54,386 o en cualquier casta especializada de gente. 1038 01:02:54,386 --> 01:02:57,776 Incluyendo los nerds, los criptógrafos, los cientistas políticos. 1039 01:02:57,776 --> 01:03:04,016 Debería ser posible. Tiene que ser posible para alguien 1040 01:03:04,016 --> 01:03:07,856 ir con sus amigos, con su grupo, con su club, con su partido 1041 01:03:07,856 --> 01:03:11,525 y observar el proceso electoral y establecer una confianza racional. 1042 01:03:11,525 --> 01:03:14,955 Debería ser diseñado así. Sé que eso es un problema. 1043 01:03:15,575 --> 01:03:18,835 De hecho, hay muchas maneras en las que podemos tratar de usar la tecnología 1044 01:03:18,835 --> 01:03:21,495 para dar a la gente formas de incrementar la confianza 1045 01:03:21,495 --> 01:03:27,665 incluyendo medios electrónicos para auditar elecciones con boletas de papel. 1046 01:03:27,665 --> 01:03:31,295 Ha habido una significativa cantidad de investigación en eso, 1047 01:03:31,295 --> 01:03:35,605 que te permitiría, sin criptografía avanzada, 1048 01:03:35,605 --> 01:03:38,985 sólo con alguna estadística básica, obtener confianza adicional 1049 01:03:38,985 --> 01:03:40,835 de que el resultado de la elección fue correcto. 1050 01:03:40,835 --> 01:03:43,355 Así que hay cosas que podemos hacer con tecnología. 1051 01:03:43,355 --> 01:03:45,725 Pero no tengo todas las respuestas. 1052 01:03:45,725 --> 01:03:47,215 —Número 2, por favor. 1053 01:03:47,845 --> 01:03:54,125 —Me gustaría preguntar si está familiarizado con el workflow de Bitcoin. 1054 01:03:54,503 --> 01:04:01,103 ¿Considera que mecanismos de encripción y desencripción como estos 1055 01:04:01,103 --> 01:04:04,133 pueden funcionar en elecciones electrónicas? 1056 01:04:04,828 --> 01:04:07,548 —Algunas personas han hablado de construir esquemas de votación 1057 01:04:07,548 --> 01:04:13,298 basados en algunas variantes del protocolo Bitcoin. 1058 01:04:13,298 --> 01:04:16,948 Pienso que es una idea interesante. 1059 01:04:16,948 --> 01:04:20,586 No sé si queremos confiar el resultado de una elección nacional 1060 01:04:20,586 --> 01:04:24,186 incluso al ecosistema Bitcoin porque podría ser que digan 1061 01:04:24,186 --> 01:04:26,316 que el resultado de la elección de un presidente de los EE.UU. 1062 01:04:26,316 --> 01:04:30,256 vale más que la economía de Bitcoin. No sé si eso es verdad o no aún. 1063 01:04:30,256 --> 01:04:32,876 Pero es algo para pensarlo. 1064 01:04:32,876 --> 01:04:36,526 De cualquier manera, pienso que la idea de un libro mayor distribuido 1065 01:04:36,526 --> 01:04:39,906 como el que se usa en Bitcoin es potencialmente una idea muy interesante 1066 01:04:39,906 --> 01:04:43,756 para futuros esquemas de votación. Pero, nuevamente, parece algo lejano 1067 01:04:43,756 --> 01:04:46,536 comparado a donde está el estado del arte hoy. 1068 01:04:49,566 --> 01:04:51,746 —Una más, número 2 por favor. 1069 01:04:53,085 --> 01:04:59,305 —Bueno, ha encontrado varios problemas diferentes con el sistema de votación. 1070 01:04:59,305 --> 01:05:04,735 ¿Podría evaluar qué proporción podría ser fácilmente corregida 1071 01:05:04,735 --> 01:05:09,685 y cuáles son inherentes al sistema en sí 1072 01:05:09,685 --> 01:05:14,285 y necesitan una re-ingeniería mayor completa? 1073 01:05:14,294 --> 01:05:17,334 —Bueno, la cuestión inherente a todos estos sistemas 1074 01:05:17,334 --> 01:05:20,914 es que confían en la operación correcta y segura 1075 01:05:20,914 --> 01:05:23,734 de cierto código que está corriendo en una máquina 1076 01:05:23,734 --> 01:05:25,954 donde la gente no puede ver los votos. 1077 01:05:25,954 --> 01:05:28,764 Tú no puedes verificar los votos con tus ojos, con tus manos. 1078 01:05:28,764 --> 01:05:32,244 Porque tienen que ser procesados en secreto por una computadora. 1079 01:05:32,244 --> 01:05:37,401 Y esa clase de propiedad de caja negra nos lleva directo a la preposición 1080 01:05:37,401 --> 01:05:40,451 de que si la computadora es comprometida de algún modo, 1081 01:05:40,451 --> 01:05:43,771 digamos a través de ataques supply-chain o ingresando malware, 1082 01:05:43,771 --> 01:05:47,281 o uno de estos ataques del estilo de "Reflections on Trusting Trust", 1083 01:05:47,281 --> 01:05:49,761 entonces eso puede llevar a comprometer los resultados de la elección. 1084 01:05:49,761 --> 01:05:51,081 Y eso es algo difícil de arreglar. 1085 01:05:51,081 --> 01:05:55,291 Es lo que el cifrado de verificabilidad por el votante de extremo a extremo 1086 01:05:55,291 --> 01:05:57,581 eventualmente intentará corregir. 1087 01:05:58,151 --> 01:06:01,331 Las pequeñas cosas, los fallos, el shell-injection, sí, por supuesto 1088 01:06:01,331 --> 01:06:04,421 esos son problemas fáciles de arreglar, pero, en la realidad 1089 01:06:04,421 --> 01:06:07,911 cuando estás operando una elección y hay una gran vulnerabilidad 1090 01:06:07,911 --> 01:06:10,121 en uno de los paquetes en los que se basan tus cosas, 1091 01:06:10,121 --> 01:06:13,451 que fue emparchado la noche anterior y no tienes tiempo de repetir pruebas 1092 01:06:13,451 --> 01:06:15,221 y reauditar todo el código, 1093 01:06:15,221 --> 01:06:19,211 estás ante la opción de, ya sea entregar algo que no fue probado 1094 01:06:19,211 --> 01:06:22,681 o entregar algo que tiene vulnerabilidades conocidas. 1095 01:06:22,966 --> 01:06:26,026 Así que no sé cómo, en nuestro mundo de seguridad basada 1096 01:06:26,026 --> 01:06:29,726 en liberación de parches podemos tratar con problemas como este. 1097 01:06:29,726 --> 01:06:33,366 Pienso que es algo donde realmente necesitamos avances fundamentales 1098 01:06:33,366 --> 01:06:35,876 en la forma en la que nos manejamos nosotros mismos 1099 01:06:35,876 --> 01:06:39,876 con la seguridad informática, antes de que podamos tener una buena solución a eso. 1100 01:06:41,153 --> 01:06:44,233 —Así que, sobre todo, lo que está diciendo 1101 01:06:44,233 --> 01:06:49,563 es que no hay esperanza de que pudiera haber tales sistemas 1102 01:06:49,563 --> 01:06:55,533 y que el lápiz y papel todavía prevalecen 1103 01:06:55,545 --> 01:07:00,505 de acuerdo a las propiedades que nos preocupan en una elección. 1104 01:07:00,505 --> 01:07:02,925 —El papel y el lápiz tienen una propiedad muy buena: 1105 01:07:02,925 --> 01:07:06,715 que tú, como votante, puedes decir cómo ha sido registrado tu voto 1106 01:07:06,715 --> 01:07:09,495 y que otra gente puede observar el proceso de escrutinio. 1107 01:07:09,495 --> 01:07:14,105 Ahora, tenemos cientos de años de experiencia con fraude boletas de papel. 1108 01:07:14,105 --> 01:07:17,245 Así que no estoy diciendo que no haya nada que la tecnología pueda hacer 1109 01:07:17,245 --> 01:07:19,745 para mejorar eso. Podemos hacer cosas. 1110 01:07:19,745 --> 01:07:24,805 Pero pienso que la manera más prometedora de mejorar las elecciones con papel 1111 01:07:24,815 --> 01:07:29,077 no empiezan tirando el papel. Empiezan con el papel, agregando luego 1112 01:07:29,077 --> 01:07:34,437 alguna otra tecnología que sea capaz de seguir, de registrar, 1113 01:07:34,437 --> 01:07:37,097 de ayudar a auditar ese registro en papel 1114 01:07:37,097 --> 01:07:41,097 para asegurarnos de que podemos confiar en el resultado. 1115 01:07:42,611 --> 01:07:44,291 —Gracias. 1116 01:07:44,751 --> 01:07:49,951 —Quizás dos o tres preguntas más… Número 6 por favor. 1117 01:07:51,543 --> 01:07:54,333 —¿Usted cree que es posible diseñar un sistema que 1118 01:07:54,333 --> 01:07:59,483 pueda garantizar ambos, la integridad del voto y el anonimato del voto? 1119 01:07:59,483 --> 01:08:04,303 Porque creo que esas dos cosas no van completamente juntas. 1120 01:08:04,553 --> 01:08:06,833 —Ciertamente, están en tensión. 1121 01:08:06,833 --> 01:08:11,523 Estos criptosistemas verificables de extremo a extremo intentan hacer eso. 1122 01:08:12,073 --> 01:08:15,793 Pero, como dije, tienen otros problemas con usabilidad, con la implementación 1123 01:08:15,793 --> 01:08:19,053 que no han sido resueltos. Ese es ciertamente el objetivo, 1124 01:08:19,053 --> 01:08:21,292 pero eso lo hace un problema difícil. 1125 01:08:21,292 --> 01:08:26,752 Y creo que eso es lo que a todos nos gustaría ser capaces de construir. 1126 01:08:27,412 --> 01:08:30,721 No sabemos cómo hacer eso a gran escala en la práctica todavía. 1127 01:08:30,721 --> 01:08:32,301 Estamos trabajando en eso. 1128 01:08:32,301 --> 01:08:36,372 Pero no hay garantía de que seamos capaces alguna vez de resolver 1129 01:08:36,372 --> 01:08:38,462 esos problemas de manera adecuada. 1130 01:08:38,551 --> 01:08:41,112 Quiero rápidamente mostrar como una auto-promoción 1131 01:08:41,112 --> 01:08:43,801 las charlas de mis estudiantes y charlas de mis colegas 1132 01:08:43,801 --> 01:08:45,782 sobre otros trabajos que estamos haciendo, que por cierto, 1133 01:08:45,782 --> 01:08:48,992 puede que ustedes también disfruten, escuchando cómo estamos usando 1134 01:08:48,992 --> 01:08:52,992 nuestra herramienta de escaneo zmap, que construimos para estudiar Heartbleed, 1135 01:08:52,992 --> 01:08:55,752 cómo compramos un escáner TSA para desnudar en eBay y encontramos 1136 01:08:55,752 --> 01:08:58,572 todos esos ataques contra él, y cómo hemos estado desarrollando 1137 01:08:58,572 --> 01:09:02,492 con la EFF y Mozilla una autoridad de certificación gratuita 1138 01:09:02,492 --> 01:09:05,892 que será nuestro intento de hacer que se encripte toda la web, 1139 01:09:05,892 --> 01:09:08,952 así que, auto-promoción. Gracias por quedarse. 1140 01:09:15,417 --> 01:09:17,067 —Número 1 por favor. 1141 01:09:17,627 --> 01:09:20,527 —Gracias por la charla, pero también por compartir su investigación 1142 01:09:20,527 --> 01:09:24,546 en formato de curso gratuito online en Coursera, 1143 01:09:24,546 --> 01:09:27,198 "Asegurando la Democracia Digital". 1144 01:09:27,198 --> 01:09:31,218 Así que, sé que usted no quiere alardear, yo lo estoy haciendo por usted. 1145 01:09:31,218 --> 01:09:35,158 Ahora, para hacer finalmente una pregunta, ¿habrá una siguiente edición? 1146 01:09:35,158 --> 01:09:39,417 —Bueno, muchas gracias. Sí, la habrá. Si están interesados en aprender más, 1147 01:09:39,417 --> 01:09:43,738 tengo un curso gratuito online de 5 semanas 1148 01:09:43,738 --> 01:09:48,308 sobre tecnología de voto digital disponible en Coursera. 1149 01:09:48,988 --> 01:09:54,708 Es gratuito, volverá a empezar pronto. De hecho, estoy en el proceso de 1150 01:09:54,713 --> 01:09:59,663 liberarlo esencialmente en forma de libro de texto online. 1151 01:09:59,663 --> 01:10:03,093 Donde pueden ir y ver las vídeo clases a su propio ritmo. 1152 01:10:03,093 --> 01:10:08,243 Si quisieran ver la versión de 10 clases de esta charla 1153 01:10:08,243 --> 01:10:14,613 pueden encontrarla en Coursera o encontrar un enlace a ella en mi página. 1154 01:10:15,125 --> 01:10:17,775 Muchísimas gracias por mencionarlo. 1155 01:10:18,608 --> 01:10:20,418 Gracias a todos. 1156 01:10:23,456 --> 01:10:26,356 —Antes de que vayamos a la última pregunta de número 4, 1157 01:10:26,356 --> 01:10:28,736 quisiera recordarles que si se van, 1158 01:10:28,736 --> 01:10:31,156 por favor, se lleven los desechos con ustedes 1159 01:10:31,156 --> 01:10:37,276 y que pueden venir y consultar al disertante después de la charla. 1160 01:10:37,691 --> 01:10:39,351 Por favor, número cuatro. 1161 01:10:39,351 --> 01:10:41,321 —Mi entendimiento sobre elecciones democráticas 1162 01:10:41,321 --> 01:10:44,141 es que deben ser libres y privadas. 1163 01:10:44,141 --> 01:10:49,968 Así que, aún si todos los problemas que usted mencionó fueran resueltos, 1164 01:10:49,968 --> 01:10:59,178 ¿no quedaría aún el problema de que votar en casa no asegura esos principios? 1165 01:10:59,966 --> 01:11:05,396 Imagine que algún miembro de la familia fuerza a los otros miembros a votar 1166 01:11:05,396 --> 01:11:11,796 lo que él desea… porque ellos no pueden votar en sus propias cabinas. 1167 01:11:12,156 --> 01:11:15,526 —Estoy completamente de acuerdo contigo en que es un problema muy difícil, 1168 01:11:15,526 --> 01:11:19,496 asegurar al votante un entorno seguro y libre de coerción 1169 01:11:19,496 --> 01:11:23,216 cuando votan remotamente por Internet. 1170 01:11:23,216 --> 01:11:28,356 Sí, pueden fácilmente imaginar un cónyuge o un empleador coercionando a alguien 1171 01:11:28,356 --> 01:11:30,214 para votar de cierta forma. 1172 01:11:30,214 --> 01:11:33,904 Un enfoque estonio a eso es interesante esta idea de que ellos permiten 1173 01:11:33,904 --> 01:11:38,644 a la persona emitir un voto de reemplazo. Esto hace a la coerción más difícil, 1174 01:11:38,644 --> 01:11:42,944 pero no la descarta. Quien coerciona puede tomar 1175 01:11:42,944 --> 01:11:45,974 la tarjeta nacional de identificación hasta que la elección haya terminado 1176 01:11:45,974 --> 01:11:48,234 para impedir que emitan el voto de reemplazo. 1177 01:11:48,234 --> 01:11:51,394 Ellos podrían esperar hasta el último minuto y entonces forzarlos 1178 01:11:51,394 --> 01:11:54,984 justo antes de que la votación cierre a emitir el voto de reemplazo. 1179 01:11:55,414 --> 01:11:58,274 Yo creo que este es uno de los problemas difíciles 1180 01:11:58,274 --> 01:12:04,274 y es una de las concesiones que se hacen a nuestros principios democráticos 1181 01:12:04,274 --> 01:12:08,644 cuando decidimos que la votación por Internet es el camino que queremos seguir. 1182 01:12:09,458 --> 01:12:15,638 Tal vez haya enfoques tecnológicos que puedan tratar de mejorar eso, 1183 01:12:16,393 --> 01:12:18,523 pero no estoy muy confiado en que los haya. 1184 01:12:18,523 --> 01:12:22,943 Creo que es un problema abierto donde la respuesta probablemente 1185 01:12:22,943 --> 01:12:27,198 sea que la coerción es parte de lo que obtienes a cambio 1186 01:12:27,198 --> 01:12:30,438 de la potencial ventaja de votar online. 1187 01:12:30,625 --> 01:12:31,905 —Gracias. 1188 01:12:33,950 --> 01:12:38,500 —Muchas gracias. Un aplauso por favor. 1189 01:12:38,755 --> 01:12:41,698 —Gracias. Gracias. 1190 01:12:41,698 --> 01:12:58,000 subtitles created by c3subtitles.de Join, and help us!