Por Luis Benítez
Cuando un organismo público como el Tribunal Superior de Justicia Electoral afirma que sus máquinas de votación son “inhaqueables”, lo primero que debería esperarse en una democracia es apertura total al escrutinio técnico. Si un sistema es realmente seguro, no debería temer la revisión independiente de universidades, especialistas en seguridad informática, organizaciones de la sociedad civil y comunidades técnicas. Sin embargo, en este caso no solo no se entrega una máquina completa para análisis profundo, sino que además se restringe el ingreso de dispositivos y herramientas a quienes supuestamente están auditando. Eso ya plantea una primera pregunta de fondo: ¿puede llamarse auditoría a un proceso donde el auditor no puede examinar libremente el objeto auditado?
(Acá es necesario recordar que pedimos por nota la entrega de una máquina con sus insumos para hacer las verificaciones correspondientes, nunca el TSJE contestó esa nota, y por comentarios que nos hicieron llegar tienen miedo de entregarnos una).
Tras analizar la documentación que fue compartida durante lo que se presentó como una “visita guiada” (más que una auditoría formal) surgen inconsistencias relevantes respecto al Pliego de Bases y Condiciones (PBC). A esto se suma otro elemento preocupante: el contrato firmado no ha sido puesto a disposición pública, ni siquiera aparece en el portal de la Dirección Nacional de Contrataciones Públicas. Sin acceso al contrato y a sus anexos, resulta imposible verificar si se introdujeron modificaciones que alteren las exigencias originales del pliego. La transparencia contractual es un requisito básico cuando se trata de infraestructura electoral.
Uno de los puntos centrales del PBC establece que el software de la máquina debe residir en un dispositivo USB externo, admitiendo únicamente memorias mínimas permanentes para firmware y prohibiendo otros dispositivos de almacenamiento. Sin embargo, al revisar las especificaciones técnicas del hardware presentado, se observa que el microcontrolador (MCU) incorpora memoria flash interna. En términos sencillos, esto significa que la máquina sí posee almacenamiento interno, aunque públicamente se haya afirmado que no lo tiene. La diferencia no es menor: si existe almacenamiento interno capaz de contener un sistema operativo completo, entonces parte crítica del funcionamiento de la máquina no reside exclusivamente en el USB, como exige el pliego.
La Máquina de Votación que el TSJE alquila tiene DISCO DURO INTERNO
Otro punto relevante tiene que ver con la propiedad y disponibilidad del código fuente. El PBC exige que el oferente declare bajo juramento que es propietario del código fuente y que lo ceda a la Justicia Electoral, incluyendo sus fuentes, para garantizar disponibilidad y derecho de uso durante la vigencia del contrato. Además, debe ponerlo a disposición para las pruebas técnicas que se requieran. No obstante, la empresa adjudicada reconoce que su sistema está basado en GNU/Linux y otros componentes como FreeRTOS. En el caso de Linux, este se distribuye bajo la Licencia Pública General de GNU (GPL), una licencia de software libre que obliga a entregar el código fuente, incluidas las modificaciones, a quien reciba el software. Es decir, no se trata de una opción voluntaria, sino de una obligación legal derivada de la propia licencia.
Aquí aparece una contradicción técnica y jurídica importante: no se puede reclamar propiedad exclusiva sobre un sistema basado en software bajo licencia GPL y, al mismo tiempo, negarse a entregar las fuentes completas a quienes tienen derecho a auditarlas. Si el sistema incorpora componentes GPL, la entrega del código fuente correspondiente no solo es una exigencia del pliego, sino también una obligación derivada de la licencia y del marco de propiedad intelectual aplicable.
El software utilizado por la máquina de votación esta bajo licencia GPL, es software libre, por lo que deben entregar copia de los fuentes inclusive las modificaciones.
El tercer aspecto crítico es el llamado “inicio seguro” o cadena de confianza. El PBC exige una cadena jerárquica auditable que impida la manipulación del software. En términos simples, esto significa que cada etapa del proceso (desde el código fuente original hasta la versión final cargada en la máquina) debe estar firmada digitalmente y poder verificarse paso a paso. La confianza debe construirse desde el origen del código, pasando por la compilación, la firma y la carga final en el dispositivo USB.
Sin embargo, si el MCU contiene internamente un sistema operativo almacenado en memoria flash y este se ejecuta antes de que el USB tome control, entonces existe una capa previa que no está siendo auditada públicamente. Los auditores no pueden verificar qué ocurre antes de que el sistema cargado en el USB entre en funcionamiento. En ese escenario, la cadena de confianza no comienza en el código fuente abierto y firmado progresivamente, sino en un componente cerrado cuyo contenido no ha sido plenamente puesto a disposición para escrutinio técnico independiente. Esto rompe el principio básico de trazabilidad que exige el propio pliego.
La máquina de votación que alquila el TSJE no tiene un booteo seguro standard, por lo que se rompe la cadena de confianza desde el origen.
Al contrastar lo entregado con los documentos públicos disponibles, se observa un patrón preocupante. Por un lado, existe un manual narrativo que afirma cumplir con el pliego, sosteniendo que no hay memoria permanente significativa y que el proveedor es propietario del software. Por otro lado, la documentación técnica de hardware revela la presencia de memoria flash interna en el microcontrolador, y la admisión del uso de Linux evidencia que parte sustancial del sistema está bajo licencias de software libre.
En consecuencia, estamos ante una situación donde lo declarado en términos generales no coincide plenamente con lo que surge del análisis técnico detallado. Reclamar propiedad exclusiva sobre un software que incorpora componentes bajo GPL y, simultáneamente, restringir el acceso al código fuente y limitar las posibilidades de auditoría independiente, no solo contradice el espíritu de transparencia electoral, sino que podría implicar un incumplimiento tanto del Pliego de Bases y Condiciones como de las obligaciones derivadas de las licencias de software utilizadas.
Conclusión: esta máquina de votación no es una simple impresora como afirmaron desde el TSJE, tiene hasta disco duro
En materia electoral, la confianza no se impone: se construye. Y se construye con apertura total, documentación completa, acceso al código fuente, posibilidad real de auditoría técnica independiente y coherencia entre lo que se declara y lo que efectivamente está implementado. Cuando existen inconsistencias técnicas, restricciones al escrutinio y falta de transparencia contractual, la discusión deja de ser meramente tecnológica y pasa a ser institucional. Porque en última instancia, lo que está en juego no es solo una máquina, sino la confianza pública en el proceso democrático.
El TSJE ya no es el custodio de la voluntad popular.
Fuente: El blog de Lucho Benítez
Foto de portada: TSJE