"EVALUACIÓN TÉCNICA DEL PROCESO ELECTORAL DEL RRP""EVALUACIÓN TÉCNICA DEL PROCESO ELECTORAL DEL RRP"EL VOTO ELECTRÓNICO EN VENEZUELA EVALUACIÓN TÉCNICA DE UN PROCESO ELECTORAL
CASO ESTUDIO: REFERENDO REVOCATORIO PRESIDENCIAL DEL 15 AGO 2004
Por Freddy Malpica (Ing. Mecánico, Ex-Rector USB) - Horacio Velasco (Ing. de Sistema, USB) - Isabelia Martín (Prof. Titular Física Matemática, USB)
Introducción
A fin de realizar el Referendo Revocatorio Presidencial (RRP) del año 2004, el CNE realizó, de manera unilateral, cambios radicales al sistema electoral venezolano. Se introdujo un sistema electrónico de votación con máquinas de votación y servidores de totalización, que nunca fueron certificados de acuerdo a los estándares internacionales ni tampoco auditados por organismos externos de reconocida experticia. En paralelo, el CNE abrió un proceso indiscriminado de inscripción de nuevos votantes en el Registro Electoral Permanente, que provocó un aumento del 20% de electores, la gran mayoría sin cumplir los requisitos exigidos por la Ley para tener el derecho del voto.
Adicionalmente, se introdujo un sistema de captura y comparación de huellas dactilares para supuestamente evitar que un elector pudiese votar más de una vez; como indicaron especialistas de las universidades nacionales desde un comienzo, este sistema no podía, en el corto tiempo de la votación, realizar el inmenso número de comparaciones de huellas que exige una jornada electoral de millones de votantes. Sin embargo, el uso de las capta-huellas permitió al gobierno un seguimiento en tiempo real del flujo de votantes.
A través del subsistema automatizado votó, de acuerdo al CNE, el 88,7% de los electores y el resto, es decir el 11,3% lo hizo manualmente a través de boletas electorales. En los centros de votación los electores estaban distribuidos en mesas y, a su vez, cada mesa estaba organizada en tomos ó cuadernos de votación. A cada tomo de un centro de votación automatizado le correspondía una máquina de votación.
Las compañías de telecomunicaciones que operan la red fija nacional y la de telefonía móvil, suministraron los servicios de conexión entre las máquinas y los servidores.
Al finalizar la votación en los distintos centros de votación del país el día 15 de Agosto del 2004, las máquinas de votación fueron conectadas a los servidores de totalización antes imprimir los resultados, de esa forma se contravinieron las normas electorales que indicaban lo contrario. La conexión previa de las máquinas abrió la posibilidad de que estas pudiesen ser intervenidas desde los servidores; es decir que las actas impresas no reflejasen los verdaderos resultados del evento electoral. El tiempo promedio de conexión de las máquinas fue de 70 segundos, tiempo más que suficiente para alterar los archivos de las máquinas de votación.
El acceso a los centros de totalización nunca fue permitido a representantes de la oposición, a observadores externos imparciales y ni siquiera a algunos de los Rectores Principales del CNE. Es importante recordar que las máquinas de votación y los servidores de totalización nunca fueron auditados por personas o instituciones externas e independientes.
Tampoco se realizó la auditoria selectiva al cierre de la jornada de votación (Auditoria en Caliente), que consistía en comparar los resultados indicados en el acta impresa por la máquina con el conteo manual de las papeletas introducidas por elector en las urnas correspondientes. Este procedimiento debía hacerse con un número previamente seleccionado de máquinas, elegidas al azar, con la finalidad de validar los resultados del evento.
Si bién la compañía de telecomunicaciones no reportó mayores problemas con las transmisiones, los datos sobre los volúmenes y flujos de información entre máquinas y servidores nunca fueron hechos públicos.
Un estudio de tiempo en movimiento reveló que era prácticamenete imposible que 8,6 MM de electores hubiesen sufragado el día del RR. Ese estudio indica para que tal cantidad de votantes hubiese existido, se requería que todas las 19.000 máquinas de votación hubiesen estado recibiendo electores de forma continua desde las 6 am hasta las 12 de la noche, es decir durante 18 horas, y que el tiempo promedio de votación empleado por los votantes fuese de 2min. 20seg. Cuestión que no sucedió y que arrojó sobradas dudas sobre el verdadero número de sufragantes. Estas dudas se hubiesen disipado si los cuadernos de votación, con la firma y huella de cada elector, se hubiesen hecho públicos. Sin embargo, el CNE se rehusó a ello.
Posterior al día del RRP, profesores, investigadores y expertos universitarios realizaron análisis estadísticos de los resultados publicados por el CNE. Dichos estudios concluyeron que los resultados del CNE mostraban irregularidades.
Estos antecedentes motivaron la realización del presente estudio basado en los reportes de los volúmenes de datos transmitidos y recibidos por cada máquina que fueron obtenidos para el 98% de las mismas. El análisis de estos datos de acuerdo a los patrones de transmisión correspondientes a la normativa electoral vigente para el RRP es el objeto principal de lo que se expone a continuación.
En una primera sección se dará una visión general del sistema electoral, luego se expondrán las condiciones establecidas sobre los distintos componentes del sistema electrónico. En la sección siguiente se presentarán las fuentes de información para este estudio, los hallazgos en el análisis que contemplan distintos tipos de anomalías, la correlación totalmente inesperada entre variables electorales y tecnológicas para terminar con conclusiones y recomendaciones.
Visión general del sistema electoral
Organización Político-Territorial y Electoral
Existen Juntas Electorales por cada división político-territorial del país: parroquiales, municipales, estatales y existe una Junta Electoral Nacional que dicta las normas electorales para todo la nación. Cada Junta organiza, supervisa el proceso electoral en su respectivo nivel de acuerdo a normas nacionales y al tipo de elección a producirse, emite los resultados de la elección y proclama a los candidatos ganadores.
En cada parroquia pueden existir uno o más centros de votación. Cada centro de votación puede tener una o más mesas de votación. Durante el RR, cada mesa, a su vez, podría estar conformada por uno o más tomos o cuadernos de votación que contenian la lista de los votantes.
ORGANIZACIÓN POLÍTICO TERRITORIAL
ORGANIZACIÓN ELECTORAL
El sistema electoral puede ser visto como la integración de tres subsistemas con funciones claramente definidas:
Registro electoral permanente (REP): mantiene actualizada la información básica sobre los electores y circunscripciones.
Subsistema preelectoral (postulaciones y cargos): mantiene un registro de los distintos eventos electorales, cargos de elección y candidatos postulados.
Subsistema de Votación-Escrutinio-Totalización: comprende los procedimientos manuales y automatizados, tanto en las mesas de votación como en las diversas juntas electorales (municipales, estatales y nacional):
• En mesas:
xxxxxxxxxx– votación
xxxxxxxxxx– escrutinio (conteo de votos)
xxxxxxxxxx– emisión de actas
• En juntas electorales:
xxxxxxxxxx– sumarización de actas (totalización)
xxxxxxxxxx– emisión de resultados.
En el diagrama 1 se indica la secuencia operativa del sistema electoral:
DIAGRAMA 1: ESQUEMA SECUENCIAL DEL SISTEMA ELECTORAL
VENEZOLANO
El REP funciona de manera continua para actualizar el registro de votantes, el subsistema pre-electoral se activa meses antes del evento de votación y produce todo el material requerido para la elección, finalmente el subsistema de votación-escrutiniototalización funciona el propio día de la votación.
El escrutinio del contenido de las máquinas se realiza electrónicamente y los resultados se envían al centro de totalización nacional a través de una red de transmisión de datos.
Topología de la red de transmisión de datos
El subsistema electrónico de votación-escrutinio-totalización esta basado sobre aplicaciones del tipo cliente-servidor operadas en una plataforma con 2 categorías de equipos de cómputo:
1. Máquinas de votación: terminales preparados especialmente para el ingreso de datos a través de una pantalla sensible al tacto (touch screen), cuya función es la automatización del acto del votación y del escrutinio, así como la transmisión de resultados a los servidores de totalización a través de redes de datos basadas en telefonía pública fija, telefonía celular o enlaces satelitales. Las máquinas de votación fueron suministradas por la empresa Smartmatic (modelo SAES 3000), las cuales constituyen una adaptación del terminal modelo MAEL 205, fabricado por la empresa Olivetti para uso exclusivo como terminal de venta de boletos de lotería.
2. Servidores de totalización: distribuidos en dos centros de procesamiento de datos, CNE1 y CNE2, cuya función es la recopilación de los resultados escrutados por cada máquina y la totalización correspondiente para la emisión de los resultados finales. El CNE1 debía actuar como centro principal y el otro como centro alterno para situaciones de contingencia.
La topología de la red de transmisión que conecta las máquinas de votación con los servidores de totalización, se presenta en el diagrama 2:
DIAGRAMA 2: TOPOLOGÍA DE LA RED DE TRANSMISIÓN DE DATOS
Las máquinas se comunican con la red telefónica a través de modems. Para el RRP hubo tres grandes categorías de máquinas:1) las que se comunicaron por la red fija, 2) por la red de telefonía celular y 3) por la red satelital. Los 4623 centros de votación atendidos el 15/08/04 se discriminan de la siguiente forma:
xxxxx4.069 centros atendidos por la red fija.
xxxxx377 centros vía celular.
xxxxx177 centros con tecnología satelital.
Estas conexiones permitieron atender 19.268 máquinas y 268 computadoras de las juntas electorales.
La compañía suplidora del servicio de telecomunicaciones utilizó su red transmisión de datos para interconectar las máquinas de votación con los servidores de totalización y dispuso de servidores AAA para la autenticación, auditoría y contabilidad de los datos transmitidos. Al mismo tiempo, midió en el enrutador ( router) de entrada a los servidores de totalización el número de sesiones establecidas con las máquinas y el flujo de datos entrantes y salientes.
Condiciones establecidas para el funcionamiento de los diferentes componentes del sistema electrónico
Máquinas de votación
i. Todas las máquinas de votación deben ser idénticas:
Disponer del mismo hardware: sin dispositivos de comunicación inalámbrica internos.
Funcionar bajo el mismo sistema operativo: configurado de idéntica forma.
Ejecutar el mismo software de votación-escrutinio: a excepción de aquellos datos intrínsecamente vinculados a la identificación de la máquina como son: centro, mesa, tomo (cuaderno) al cual prestan servicios; así como el número de electores asignados.
ii. Las máquinas transmiten actas de escrutinio.
Las actas tienen la misma estructura, es decir contienen el mismo volumen de información, la cual es independiente de los valores de las variables electorales asociadas: centro, mesa, tomo,
ubicación geográfica, horario de votación, número de electores, número de votantes y resultado del evento.
iii. Las máquinas imprimen los resultados del escrutinio electrónico después de conectarse con el centro de totalización. Esta condición fue fijada días antes del RR en violación de las normas electorales, que indican que primero se debe imprimir el acta y luego transmitir los resultados.
iv. No se deben transmitir resultados antes de la hora de cierre del evento.
Servidores de totalización
i. Los centros de totalización eran idénticos en cuanto al número y tipo de servidores, su hardware, software operativo y software de administración electoral.
ii. Los servidores de totalización sólo debían transmitir datos de reconocimiento, volumen muy pequeño respecto al tamaño de las actas, cuando se establecía la sesión y para confirmar la recepción de la información proveniente de las máquinas.
NOTA: Se usaron dos conjuntos de servidores ( compuestos de cerca de 200 cada uno) localizados en dos centros distintos: uno en Plaza Caracas (sede central del CNE) y otro, aparentemente, en Ministerio Ciencia y Tecnología. Este último era un centro que entraría a trabajar en caso de falla del centro de totalización principal; pero no fue permitida su visita a observadores independientes.
Tráfico sobre la red de datos
i. La transmisión de resultados era en sí misma parte de un proceso automatizado y desatendido que obedece a los códigos fuente usados.
ii. Todo el tráfico debía ser dirigido hacia el centro de totalización principal salvo en caso de falla mayor que requiriese el uso del centro de cómputo de contingencia.
Comportamiento esperado del Sistema
• Ya que las máquinas son idénticas y transmiten actas de escrutinio los volúmenes de información a transmitir son similares; se espera la misma cantidad de bytes hacia el servidor de totalización.
• Ya que los servidores transmiten hacia las máquinas sólo información de autorización y reconocimiento, se espera que el número de bytes salientes de los servidores sea mucho menor que los que estos reciben de las máquinas.
• Siendo que la transmisión de resultados es un proceso automatizado y desatendido, la terminación de las sesiones de comunicación entre máquinas de votación y servidores de totalización debe ser una acción sistemática que no depende de ningún operador externo; luego, la forma de terminación de las sesiones debe ser igual para todas las máquinas.
NOTA: Para dar mayores garantías sobre la integridad de los datos almacenados en las máquinas, la transmisión de resultados debió realizarse previa impresión de actas y escrutinio público manual satisfactorio.
Fuentes de información usadas en el análisis
El presente estudio se basa en las siguientes fuentes de información:
Registros, “Log”, de las sesiones establecidas entre las máquinas de votación y los servidores del CNE a través de la red telefónica fija.
Registros, “Log”, de sesiones entre las máquinas de votación y los servidores del CNE a través de la red telefónica celular.
Resultados oficiales del referéndum del 15 de agosto de 2004, publicados por el CNE
Informe de cierre de proyecto sobre el proceso de referéndum revocatorio presidencial 15 de agosto, elaborado por el proveedor de telecomunicaciones.
1. Actas de escrutinio emitidas por las máquinas de votación del CNE los días 15 y
16 de agosto.
En el cuadro 1 se muestra una sección extraída del log (bitácora) de sesiones establecidas entre máquinas y servidores del CNE en la red fija (UNIRED) durante el RRP2004. En esta muestra parcial se presentan columnas significativas para este estudio.
Cuadro 1: Imagen parcial del log de sesiones establecidas en la red fija
La primera columna del cuadro anterior indica la fecha y hora del establecimiento de las sesiones, la segunda y tercera representan la cantidad de octetos (un octeto es equivalente a un byte) intercambiados entre las máquinas y los servidores, en ambas direcciones. La cuarta columna muestra cual extremo cerró la sesión : cuando lo hizo la máquina se reporta “user request”, si fue el servidor se indica “host request”. “Lost carrier” denota que el fin de la sesión fue por pérdida de portadora, ya sea por falla de red o errores en las conexiones.
La columna ‘user name’ es la identificación de la máquina (dirección electrónica).En el caso de que comience con el nombre de un Estado, indica que la máquina era una PC de una junta electoral municipal, correspondiente al municipio cuyo número sigue a continuación. Las PC procesaban actas manuales. Cuando el “user name” comienza con una secuencia de varios dígitos se refiere a una máquina votación. Los primeros cinco dígitos identifican el centro de votación, el segundo número la mesa, el tercero el tomo y el cuarto es un dígito de control. Los atributos 90 y 91 identifican, respectivamente, el servidor AAA que hizo la autorización de esa sesión y la
localización del servidor con el que se comunicó la máquina.
Este log de transmisiones usa las definiciones de variables RADIUS estándares, que usan las compañías proveedoras de servicios de telecomunicaciones para llevar la contabilidad en el uso de las redes.
NOTA: este log presentó en la columna de los atributos 90 y 91 casi la mitad de los campos en blanco, esto se puede deber a que las versiones del RADIUS utilizados por los dos servidores AAA (de contabilidad), eran distintas o por que fueron eliminadas por alguna razón no revelada.
Hallazgos de telecomunicaciones
La investigación se ha centrado en los registros de sesiones establecidas por las máquinas de votación y los resultados electorales. Se detectan las siguientes anomalías:
xxxxx1. Horarios de transmisión: Tráfico previo al cierre del evento.
xxxxx2. Heterogeneidad del tráfico en la red en cuanto a:
xxxxxxxxxxa. Volúmenes de datos y cantidad de paquetes
xxxxxxxxxxb. Tipo de terminación de llamadas.
3. Existencia de una correlación entre variables tecnológicas y electorales no esperada.
Horarios de transmisión
En el gráfico 1 se muestran el número de sesiones establecidas entre máquinas y servidores en intervalos de una hora. Las juntas electorales comenzaron a transmitir resultados de las votaciones manuales desde las 7:30 am y las máquinas de votación desde las 4:30 pm.
El cierre inicial del evento se fijó para el 15AGO2004 a las 16:00; luego fue postergado para las 20:00 y finalmente para las 00:00 del 16AGO2004.Esto permitió que los administradores de los servidores de totalización tuviesen suficiente información sobre los resultados parciales de la votación antes de la hora de cierre, cuestión violatoria de las normas electorales.
NOTA: la cantidad de votos recibidos por el CNE entre las 8 pm y 00:00 fuede alrededor de un millón de votos.
Gráfico 1: N de sesiones establecidas en la red telefónica fija durante el RRP 2004
Heterogeneidad en volúmenes de datos, número de paquetes y terminación de sesiones.
Para facilitar la interpretación del gráfico 3, que muestra los volúmenes de datos transmitidos y recibidos por todas y cada una de las máquinas del país que usaron la red fija, se mostrará un ejemplo del comportamiento de máquinas de votación que pertenecen a un solo municipio ( ver gráfico 2).
EJEMPLO DE GRÁFICA CON TRÁFICO DE BYTES
Gráfico 2: Volumen de datos entrantes y salientes de máquinas de votación pertenecientes a varios centros de votación de Baruta En gráfico 2 se colocaron en el eje horizontal los códigos que identifican a 41 máquinas correspondientes a 6 centros de votación del municipio Baruta y en el eje vertical el número de bytes transmitidos, en ambas direcciones (desde las máquinas a los
servidores de totalización y viceversa), por cada una de estas máquinas. A cada máquina le corresponden dos puntos, uno, el amarillo, indica la cantidad de bytes usados en la transmisión en un sentido ( Output Octets) y el otro punto,verde, los bytes de transmisión en el sentido contrario (Input Octets). Este gráfico debería ser similar para todos los municipios del país si todas las máquinas transmiten actas como indica la norma electoral.
En la gráfica 3 a continuación, esta misma gráfica se extiende para representar el comportamiento de las 14.426 máquinas de votación de todo el país que se conectaron por la red fija.
Gráfica 3: Volumen de datos entrantes y salientes para máquinas de votación en aproximadamente 14000 centros de votación a nivel nacional En la gráfica 3 están representadas todas las máquinas de votación que usaron la red fija ordenadas en forma creciente con respecto al volumen de bytes salientes. Cada máquina esta representada por dos puntos: uno verde ( Input octects) y uno amarillo (output octects). Esta gráfica demuestra que las máquinas de votación no se comportaron de forma homogénea, como era de esperarse. Se distinguen claramente dos grupos de máquinas de votación. A la izquierda del gráfico aparecen las máquinas de votación que intercambiaron un menor volumen de datos con el servidor de totalización( grupo B) . A la derecha del gráfico aparecen las máquinas de votación con mayor volumen de datos intercambiados con el servidor de totalización( grupo A). Las máquinas del grupo B, las denominaremos de bajo tráfico y las del grupo A, de alto tráfico.
Este comportamiento heterogéneo indica que los dos grupos de máquinas: A y B, usaron diferentes programas de transmisión a la hora de conectarse al servidor.
Heterogeneidad en el número de l paquetes transmitidos.
La transmisión de datos utilizada en la red de telecomunicaciones del sistema electoral evaluado, responde al modelo de transmisión por paquetes, es decir, los mensajes transmitidos se subdividen en paquetes de igual o diferente tamaño (cantidad de bytes) con el fin de optimizar velocidad e incrementar la confiabilidad de la transmisión.
La cantidad y tamaño de los paquetes requeridos para la transmisión de un mensaje quedan determinados por tres variables: protocolo empleado, características del medio de transmisión y el tamaño mismo de los mensajes a intercambiar entre las aplicaciones. Estas condiciones eran similares para las máquinas votación y los servidores de totalización.
La Gráfica No. 4 muestra el número de paquetes intercambiados por las máquinas de votación que se conectaron a la red fija. Los puntos amarillos corresponden a los paquetes transmitidos en una dirección (output packets) y los verdes a los enviados en el sentido contrario (input packets). En esta gráfica se observa un comportamiento heterogéneo en cuanto al número de paquetes intercambiados entre el servidor de totalización y las máquinas votación.La heterogeneidad se corresponde con los mismos grupos de máquinas identificados previamente como de alto tráfico (A) y bajo tráfico (B). La inspección de esta gráfica revela que el tráfico del grupo B presenta una proporción aproximada de 10:1 entre los paquetes entrantes y salientes con una varianza muy alta; mientras que las máquinas del grupo A presentan una proporción prácticamente 1:1, entre paquetes entrantes y salientes con una varianza casi nula. Es decir, las máquinas del grupo A mantuvieron una comunicación interactiva (simétrica) con los servidores, mientras que las del grupo B fue de más paquetes en una dirección que en la otra (comunicación asimétrica). Nuevamente, considerando la premisa de que se empleó el mismo software en todas las máquinas de votación, lo observado en la transmisión por paquetes es inconsistente con la homogeneidad esperada.
Gráfica 4: Número de paquetes de entrada y salida de las máquinas de votación
Heterogeneidad en la forma de cierre de la sesión.
En la gráfica 5 se presentan las máquinas según la terminación de la sesión. La mayoría de la máquinas de bajo tráfico, más a la izquierda, cerraron ellas mismas la sesión ( user request); en cambio para las máquinas de alto tráfico, a la derecha, la sesiones fueron cerradas por el servidor( host request) o por pérdida de portadora ( lost carrier). Este comportamiento heterogéneo demuestra una vez más que las máquinas fueron operadas discrecionalmente ejecutando distintos programas en la transmisión.
Es de notar que el alto porcentaje de cierre de sesión por ‘pérdida de portadora’ o ‘lost carrier’ de 32%, no es compatible con la alta eficiencia que en operaciones normales ha demostrado la compañía que suplió el servicio de telecomunicaciones. Luego, esto puede deberse a un procedimiento sistemático utilizado por los administradores del sistema(CNE).
Gráfico 5: Volumen de datos transmitidos versus la forma de terminación de sesiones.
En el ráfico 6 muestra la relación entre el número de paquetes transmitidos y la forma de cierre de la sesión. Las máquinas más a la izquierda, de bajo tráfico, que realizaron una comunicación asimétrica, cerraron ellas mismas las sesiones; en cambio las sesiones de las máquinas de alto tráfico, que se comunicaron en forma interactiva (simétrica), fueron cerradas por el servidor o por pérdida de portadora. Esto ratifica administración discrecional de las máquinas de votación por el CNE.
Gráfico 6: Relación entre paquetes intercambiados y forma de cierre de la sesión
Resumen de los comportamientos hallados en el tráfico de datos
Los comportamientos heterogéneos permiten clasificar las máquinas en dos grandes grupos: el grupo A de alto tráfico, con altos volúmenes de datos intercambiados, con comunicación interactiva (simétrica) y cuyas sesiones fueron terminadas por los servidores de totalización o por pérdida de portadora; y el grupo B, de bajo tráfico, con menores volúmenes de datos intercambiados, comunicación asimétrica y terminación de llamada por ellas mismas. En la tabla 1 se incluyen las transmisiones vía celular y las transmisiones de los dos grupos: A, de alto tráfico y B, bajo tráfico, que se conectaron a través de la red fija.
El análisis de los registros, log de transmisiones, correspondientes a las máquinas que se comunicaron vía telefonía celular, demuestra que estas máquinas se comportaron de manera similar al grupo A, de alto tráfico. Las sesiones que usaron la conexión satelital no se tomaron en cuenta en este estudio por no disponer de los registros correspondientes; sin embargo, su influencia es insignificante para las conclusiones alcanzadas, ya que el número de estas máquinas representó solo un 5% del total.
*: incluye m áquinas con transmisión celular
**: incluye un 0,5% de m áquinas de alto tr áfico
Tabla 1: Clasificación del tráfico según volumen de datos
De la tabla 1 se concluye;
El estudio incluyó el 95% de las máquinas de votación, el 96% de los centros de votación automatizados y el 98% de los votantes en centros automatizados. Las máquinas del grupo A, alto tráfico y las que se comunicaron vía celular, representan aproximadamente el 60% de los votos automatizados de acuerdo al CNE.
Las máquinas del grupo B corresponden aproximadamente al 40% de los votos publicados por el CNE para votos automatizados. NOTA: Aunque el porcentaje de las máquinas que se comunicó vía celular fue del 16%, ninguna de ellas apareció en la muestra escogida para realizar la auditoría en frío solicitada y avalada por la OEA y el Centro Carter.
Cuando se ubican geográficamente los distintos tipos de máquinas según el tráfico se observa la distribución homogénea por municipios. El mapa de Venezuela siguiente, dividido por municipios, muestra la distribución de máquinas con distintos tipos de transmisiones. Solo un municipio en el Estado Carabobo mostró unas parroquias con transmisiones de Alto tráfico y otras con Bajo tráfico. El resto de los municipios mostró un comportamiento homogéneo. Es de hacer notar que no hay correspondencia entre las regiones geográficas que atienden las centrales telefónicas regionales y las circunscripciones electorales de municipios y parroquias.
CUADRO 2: DISTRIBUCIÓN DEL TRÁFICO DE DATOS POR MUNICIPIOS
Los municipios en anaranjado incluyen transmisiones de alto tráfico en red fija y/o celulares, los que se encuentran en anaranjado rayado se refieren a transmisiones mixtas que incluyen menos de 50% de bajo tráfico. En los municipios en azul las transmisiones fueron mayoritariamente de bajo tráfico en la red fija con porcentajes pequeños de transmisiones celulares.
Correlación entre variables tecnológicas vs. electorales
Para aclarar el punto de la correlación de variables tecnológicas y electorales, es necesario explicar qué significa la transmisión de actas de escrutinio. En anexo se consideran ejemplos hipotéticos de almacenamiento de datos en memoria y transmisión de los mismos para máquinas ubicadas en seis centros de votación diferentes, mostrando el comportamiento de dos modelos de transmisión distinto para el caso de transmision de actas (resultados totales de escrutinio) y transmisión de votos individuales. Es necesario leer el anexo para interpretar correctamente los gráficos que se muestran a continuación.
En las gráficas 7 y 8 se contrastan variables tecnológicas (cantidad de bytes en la transmisión de datos entrantes según log de transmisiones) con variables electorales (cantidad de votos reportados en cada máquina según resultados oficiales del CNE). Cada punto representa una máquina de votación, su proyección en el eje horizontal indica el número total de votos que reportó esa máquina y su proyección sobre el eje vertical indica la cantidad de bytes empleados en la transmisión de resultados.
El patrón de dependencia de cantidad de bytes con los votos reportados en todo el grupo de Alto Tráfico y Celulares, y en menor grado en el grupo de Bajo tráfico, indica que NO se transmitían actas únicamente. Los patrones lineales con pendientes muy definidas (47 bytes por voto) están relacionados con transmisión de votos individuales con altos volúmenes de tráfico como muestran las escalas en el eje vertical. Como no se conoce el programa usado por las máquinas para el almacenamiento de votos, tampoco se conoce el de transmisión, no se puede asegurar que todos o un número determinado de los votos fueron transmitidos.
Es de notar que en centros de votación de Alto Tráfico, se encontraba que una o dos máquinas de una misma mesa con tres máquinas podían usar hasta 10.000 bytes más para transmitir información similar. En el gráfico del grupo (A) las rectas paralelas más largas y más visibles tienen la misma pendiente, las máquinas en la recta superior se diferencian en 10.000 bytes de las máquinas en la recta inferior pero ambas pueden pertenecer a la misma mesa del mismo centro de votación.
Gráfica 7: Variables tecnológicas (volumen de datos entrantes) versus variables electorales (votos)
En la gráfica 8 se muestran gráficos con las transmisiones de datos en sentido contrario al anterior. El patrón de dependencia de cantidad de bytes con los votos reportados en todo el grupo de Alto Tráfico y Celulares indica un comportamiento altamente anómalo, pues no se espera que los servidores comunicaran a las máquinas información relacionada con votos. Los patrones lineales con pendientes no nulas están relacionados con altos volúmenes de tráfico como muestran las escalas en el eje vertical del grupo Alto Tráfico y Celulares. Igualmente en el Alto Tráfico y en Celulares las pendientes de los haces de puntos son aproximadamente iguales entre un byte y byte y medio por voto.
El patrón del Bajo tráfico en este caso NO muestra relación alguna con votos, el volumen de bytes también es muy bajo comparado con los otros grupos. Este patrón de comportamiento ES el esperado en todos los casos para todas las máquinas y en cualquier sentido de la comunicación.
Gráfica 8: Variables tecnológicas (volumen de datos salientes) versus variables electorales (votos)
Tráfico excesivo desde los servidores hacia las máquinas.
El gráfico que sigue se tomó en tiempo real en el enrutador de entrada a la red interna del CNE, se encuentra en todas las versiones del documento de cierre de contrato entre CANTV y CNE. Según el documento esta gráfica fue tomada desde la región WAN (desde la ‘puerta frontal’ del CNE) y muestra una curva azul de tráfico saliente (Out) en unidades de kilobits por segundo (un byte consta de ocho bits) mucho mayor que el tráfico entrante.
Este gráfico lo produce el programa MRTG (de uso libre) en los enrutadores de redes de datos para monitorear varias variables asociadas con transmisión de datos. La configuración estándar de este programa usa la convención de curva azul para el tráfico de salida y el verde para la entrada.
CONCLUSIONES
Se pudo observar tráfico inusual en la red previo al cierre del evento. Transmisión bidireccional simétrica de datos en volúmenes no esperados.
Se infiere que existe más de una versión del sistema de votación-escrutinio instalada en las máquinas y/o que el proceso es administrado con discrecionalidad; esto se manifiesta con la presencia de patrones de transmisión de datos distintos para distintas regiones geográficas del país.
En las máquinas con Alto Tráfico y máquinas con transmisión de datos vía Celular se detecta una evidente relación proporcional entre variables tecnológicas y electorales (bytes vs. número de votos), que no se corresponde con el modelo esperado de transmisión de actas.
XXXXXXXXXX27.5% de las máquinas con Bajo Tráfico tampoco se corresponden con el modelo de transmisión de actas esperado.
70% de las máquinas no se comportan de acuerdo a los patrones esperados según la normativa electoral.
Recomendaciones
Condiciones Preelectorales Generales
1. Depuración del Registro Electoral Permanente.
2. Representación balanceada de partidos y observadores imparciales en todas las instancias del proceso de votación, especialmente en las instancias de totalización, traslado y almacenamiento del material electoral
3. Obtención y validación oportuna de credenciales para miembros de mesas electorales (seleccionados por sorteo). Las listas deben ser publicadas con treinta (30) días de anticipación.
4. Todas las normas deben ser publicadas con 30 días de anticipación. Las mismas deberán ser colocadas en carteles a la entrada de cada centro y de cada mesa de votación el día de la elección.
5. Participación del Plan República debe limitarse a custodia de los centros y preservación del orden público. Militares no deben participar activamente como miembros de mesa.
Condiciones Preelectorales Tecnológicas
1. Todos los equipos y sistemas deben estar certificados por autoridades reconocidas e independientes
2. Debe realizarse la auditoría completa e imparcial, previa y posterior de todos los componentes del sistema (software y hardware).
3. Los códigos fuente de las máquinas de votación y el software de totalización deben ser públicos.
4. Eliminación de cuadernos en blanco. No debe existir votantes “flotantes”. Impedir el uso de cuadernos electrónicos.
5. Suspender el uso de máquinas capta huellas; para impedir cualquier conexión entre estas y
los sistemas de votación-escrutiniototalización que podrían además violar el secreto del voto.
Condiciones Electorales Tecnológicas
1. Las actas automatizadas deben ser impresas y validadas con el escrutinio público manual de todos los comprobantes de votación originales.
2. Sólo cuando sea validada el acta automatizada se autorizará su transmisión electrónica.
3. Las actas automatizadas no válidas deberán ser anuladas y sustituidas por un acta manual que deberá remitirse en forma física a la junta electoral correspondiente.
¿Por qué abrir todas las cajas?
La selección de una muestra estadística presupone la homogeneidad en el comportamiento del sistema. En este caso existen tres (3) condiciones que afectan la homogeneidad: o Sistema no certificado.
XXXXXo Equipos son susceptibles de falla.
XXXXXo El sistema puede ser intervenido remotamente
XXXXXo Los artículos 172 y 220 de la LOSPP lo requieren igualmente.
Artículo 172º “…El acta registrará el número de votos válidos para cada candidato y partido participante y el de los votos nulos de la elección correspondiente, igualmente deberán indicarse el número de boletas depositadas y de votantes en cada elección…” LOSPP
Artículo 220º “Serán nulas las Actas de Escrutinio en los siguientes casos:
Cuando en dicha Acta, existan diferencias entre el número de votantes según conste en el cuaderno de votación, el número de boletas consignadas y el número de votos asignados en las Actas, incluyendo válidos y nulos, o entre las informaciones contenidas en el Acta de cierre de proceso y el Acta de Escrutinios; …”
Condiciones postelectorales Tecnológicas
1. Los cuadernos de votación manuales serán documentados públicos que pueden ser revisados a petición de parte interesada.
2. Los registros de transmisión de datos serán documentos públicos para demostrar el comportamiento de la red de totalización y garantizar que sólo exista comunicación asimétrica entre máquinas de votación y centros de totalización del CNE.
3. Los registros de eventos en los servidores de totalización también deben ser documentos públicos para garantizar el funcionamiento óptimo de los programas totalizadores.
Herramientas usadas en el análisis:
En este estudio se usaron los programas Excel y Jump In versión 4.0.4 de la Asociación Estadística Americana con sus herramientas gráficas.
Anexo
Modelos de transmisión de actas y transmisión de votos individuales
En este ejemplo hipotético se tienen resultados electorales para seis máquinas distintas en seis centros de votación distintos con variables electorales diversas que se identifican en la primera fila.
Cuadro 3: Ejemplo de varios resultados en centros de votación hipotéticos Almacenamiento de votos en la memoria de cada máquina En la memoria de cada máquina se almacena una secuencia de votos con sus respectivos seriales identificadores. El ejemplo hipotético indica la posible cantidad de memoria (en bytes) consumida por cada voto individual, en este caso serían 10 bytes por voto. Un byte es la unidad de información que ocupa un símbolo cualquiera, es decir, un número, una letra, un signo de puntuación o un espacio en blanco.
Cuadro 4: Ejemplo de almacenamiento de votos en la memoria de cada máquina
Almacenamiento del acta con resultados totales en la memoria de cada máquina. De la misma manera se almacena en la memoria de cada máquina el acta de escrutinio de votos depositados en la máquina, es decir los resultados totales de cada máquina.
El acta incluye código del centro, mesa, tomo, Nº de electores asignados a la máquina, Nº de votantes que depositaron votos, votos ‘sí’ sumados en la máquina, votos ‘no’ sumados, votos nulos. En este ejercicio se calcula un hipotético número de bytes que usaría cada acta para almacenarse en memoria. Note que el Nºde bytes del acta NO depende de ninguna variable electoral como votos ‘si’, votos ‘no’ o número toal de votantes. En este ejemplo el acta de escrutinio en cada máquina consumiría 50 bytes.
Cuadro 5: Ejemplo de almacenamiento de actas en la memoria de máquinas.
Si la información de las actas es lo transmitido para la totalización remota en los servidores centrales, la cantidad de bytes transmitidos debe ser similar para cada máquina e independiente de cualquier variable electoral, en este ejemplo se usó el número de votantes en cada máquina. En una gráfica de bytes transmitidos vs número de votantes por máquina, el patrón esperado es el de una linea de puntos horizontal.
Los diferentes puntos azules en la gráfica del Cuadro 6 representan diferentes máquinas transmitiendo actas con la misma estructura y el mismo ‘peso’ en bytes.
Cuadro 6: Gráfica de transmisión de actas
Por otra parte si la información que se transmite desde cada máquina son votos individuales, entonces los diferentes puntos azules en la gráfica estarán sobre una linea inclinada cuya pendiente estará dada por la cantidad de bytes que ocupa un voto individual ; el número de bytes transmitido por cada máquina es un múltiplo del número de bytes que corresponde a un voto. Cada máquina con distinto número de votantes transmitirá datos con un número distinto de bytes. Este comportamiento en la transmisión no se justifica pues el escrutinio lo debe hacer la máquina localmente, no debe enviar los votos para ser sumados remotamente con un programa distinto al de la máquina.
Cuadro 7: Gráfica de transmisión de votos individuales