Su uso había generado expectativa debido a que daba la posibilidad de ejercer el voto desde cualquier lugar del país mediante una laptop, PC, tablet o celular; que podía servir para que policías, personal policial o militares -que por razones de trabajo no siempre pueden desplazarse a su lugar de votación- puedan ejercer su derecho a voto, previa identificación con DNI electrónico. Un total de 9 983 personas se habían registrado para participar en el piloto de voto digital no presencial.
Sin embargo, el fin de semana, el Pleno del Jurado Nacional de Elecciones (JNE) anunció que la plataforma para el voto digital (Solución Tecnológica de Voto Digital -STVD) que diseñó la Oficina Nacional de Procesos Electorales (ONPE) no cumplió los estándares requeridos por la Dirección de Fiscalización Electoral Digital del JNE encargada de validar, mediante una auditoría, a ese software. Consecuentemente, no será usado en las Elecciones generales 2026.
Pero, ¿Cuáles fueron las razones por la que el voto digital no presencial no pasó la prueba y quedó fuera de los comicios del 12 de abril?
En conferencia de prensa realizada el lunes, la Dirección de Fiscalización Electoral Digital del JNE explicó las razones tecnológicas, técnicas y temporales. Aquí les contamos:
CUESTIÓN DE TIEMPO, DESCALCE DE FECHAS
- La ONPE entregó el software el 15 de octubre, pero se trató de una versión preliminar. Entonces, la versión que revisaba el JNE no era la definitiva.
- De acuerdo a la línea de tiempo de la ONPE, el día 1 de abril es la fecha en la que este organismo da el visto bueno para que el software pase a producción. El JNE no puede emitir un informe cuando las elecciones son el 12 de abril. “Es decir, a 11 días de las elecciones generales”, comentó el presidente del JNE, Roberto Burneo Bermejo.
- Debido al sorteo de miembros de mesa convencionales, la ONPE, entre el 14 de diciembre y el 5 de enero, tenía que confirmar a los ciudadanos que habían optado o registrado para el voto digital si procedía o no. Entonces se debe entender también que al 5 de enero debían tener ya la última versión del software.
DEFICIENCIAS TECNOLÓGICAS
- La auditoría comprendió cinco aspectos: a) infraestructura tecnológica, b) seguridad digital y ciberseguridad; c) los componentes del sistema, las pruebas funcionales y técnicas y d) las certificaciones y, e) cumplimiento normativo.
- Infraestructura tecnológica: se encontraron deficiencias como: no contaban con la infraestructura, no estaba validada, no estaba operativa, faltaba los servidores. Al no contar con esa infraestructura el equipo no pudo validar la seguridad, la resiliencia, la continuidad operativa. ¿Qué hubiera pasado ante un desastre natural ese día? ¿Qué hubiera pasado con los votos?
- Seguridad digital y ciberseguridad: la ONPE todavía no había realizado el ethical hacking (simulación de ataques para identificar puntos débiles y proporcionar a las empresas información para corregirlos antes de que los actores maliciosos puedan hacerlo, protegiendo así los datos y la infraestructura). ¿Qué implica que no se haya contratado el ethical hacking? Que todavía no se sabía si la solución tecnológica del voto digital era seguro o no. Dado que iban a haber votos desde el extranjero, no se sabía si la solución tecnológica iba a garantizar que esos votos que vengan sean seguros.
- Componentes del sistema: el equipo auditor hizo unas pruebas SAST (Static Application Security Testing) donde pudo detectar puertas abiertas en el código fuente. Eso es, detectó vulnerabilidades. Entonces, eso no garantizaría el secreto del voto ante esas situaciones.
- Pruebas funcionales y técnicas: de acuerdo con el Reglamento de la Ley de voto digital, las personas con discapacidad tienen derecho a sufragar. Entonces, hay estándares internacionales como el WAF (web application firewall) que deben de cumplir todos los servicios públicos digitales. Ese sello de accesibilidad lo brinda la Secretaría de Gobierno y Transformación Digital (SGTD), pero lo brinda a un entorno productivo donde se garantiza que esa aplicación puede ser usada para personas con discapacidad. A la fecha de la auditoría, al revisar el código fuente de la solución tecnológica, no se halló ese sello de accesibilidad.
- Certificaciones: si bien la ONPE cuenta con la certificación ISO 27001 de seguridad de la información, esa certificación no está, actualmente, en los cuatro procesos del voto digital. Eso genera desconfianza digital. El Decreto de Urgencia N.° 007-2020 que aprueba el marco de confianza digital, establece que una de las obligaciones para que una solución tecnológica cumpla la confianza digital es que se haya implementado los procesos críticos de la ISO 27001 que es un estándar internacional.