Por primera vez en los ocho años que he estado escribiendo sobre él, Alex Halderman tiene algo positivo que decir sobre un sistema electoral. Por lo general, es una persona alegre, hasta que la conversación se convierte en ciberamenazas para la democracia, y luego se convierte en el tipo que hace tres años se sentó ante los Estados Unidos. El Comité Selecto de Inteligencia del Senado declaró sombríamente: «Sé que las máquinas de votación de Estados Unidos son vulnerables porque mis colegas y yo las hemos hackeado — repetidamente — como parte de una década de investigación que estudia la tecnología que opera las elecciones y aprende a fortalecerlas.»
Entonces, cuando le pregunto qué tan bien preparado está el estado oscilante de Michigan mientras nuestro calendario se precipita hacia una elección presidencial, en medio de una pandemia, que presenta a un titular que ya está declarando los resultados contaminados, me preparo para el tipo de evaluación del juicio final que es habitual del experto en seguridad informática estrella de la Universidad de Michigan.
Y luego el giro: «Hay muchas cosas positivas sucediendo en Michigan.»
¿Eh? Huh!
«Hasta ahora, el estado se ha resistido a la necesidad de permitir la votación remota por correo electrónico», dice Halderman, de 39 años, por teléfono desde la casa de sus padres en los suburbios de Pensilvania, donde él y su esposa están escondidos en medio de la pandemia. «Continúa ofreciendo boletas de papel y, a diferencia de los estados que han implementado dispositivos de marcado de boletas para cada votante, la gran mayoría de las boletas en Michigan se llenan a mano. Michigan agregó las solicitudes de boleta de votación ausente en línea y el registro de votantes, que requiere una práctica de seguridad cuidadosa para implementarla bien, pero a diferencia de la votación en línea, ahora es algo que tenemos razonablemente seguro.»
Además, es probable que Michigan lleve a cabo un tipo especial de revisión postelectoral conocida como auditoría de limitación de riesgos, o RLA, de la carrera presidencial de 2020 que está diseñada para detectar cualquier discrepancia importante entre las boletas de papel y el conteo automático que podría sugerir un fraude generalizado para cambiar el voto. Halderman y otros han estado presionando a los estados para que hagan esto durante años, y ahora, finalmente, Michigan es uno de los ocho estados con planes para alguna forma de RLAS, según la Conferencia Nacional de Legislaturas Estatales. Otros cuatro estados, incluido Ohio, han hecho que las RLAS sean opcionales.
Quizás no debería ser tan sorprendente que Halderman esté relativamente satisfecho – tiene lo que él llama «advertencias» a las que llegaremos — con la ubicación de Michigan en este momento. Después de todo, la Secretaria de Estado, Jocelyn Benson, lo nombró en marzo de 2019 copresidente de su Comisión de Seguridad Electoral, un panel de 18 personas que incluye a funcionarios electorales y otros científicos de la computación. El grupo debía emitir un informe a finales del verano; se retrasó desde principios de este año por la crisis del coronavirus, pero las recomendaciones principales incluyen el RLA, dice el portavoz de Benson, Jake Rollow.El secretario del condado de Ingham, Barb Byrum, miembro de la comisión, dice que las reuniones fueron una oportunidad para que los expertos en ciberseguridad como Halderman, que a menudo insultan a los medios sobre los problemas que observan, hablaran directamente con los funcionarios electorales que realmente tienen la responsabilidad de asegurar el voto. A menudo, dice, Halderman y otros como él llaman la atención del público sobre los fallos de seguridad basados en condiciones de laboratorio en las que tienen acceso ilimitado a máquinas de votación o tabuladores, pero ese acceso es bastante raro. Eso puede haber ayudado a Halderman a comprender mejor los riesgos, dice.
«Somos capaces de hablar entre nosotros, y muchos de los pensamientos preconcebidos sobre las elecciones y lo seguros o inseguros que éramos o seremos fueron desacreditados», dice. «En lugar de lanzar piedras, hablábamos entre nosotros. Ese es el primer paso para que nuestras elecciones sean más seguras.»
Motivado por el año 2000
En los círculos de ciencias de la computación, Halderman fue una estrella de rock mucho antes de ir al Capitolio para asustar a todos sobre la fragilidad de la democracia estadounidense. Como estudiante graduado de Princeton, él y su mentor, el profesor Ed Felten, demostraron lo fácil que era derrotar los intentos de Sony BMG de prevenir la piratería.
Poco después de eso, Felten atrajo al joven investigador prometedor a un proyecto que informaría gran parte de la carrera de Halderman: la seguridad del voto electrónico. Después de la debacle electoral del 2000 en Florida, con todos esos chads pendientes y confusión sobre la intención de los votantes en papeletas, el Congreso dio a los estados más de 3 3 mil millones para modernizar su maquinaria de votación. Esto llevó a un cambio a gran escala a la votación con pantalla táctil y tabulaciones computarizadas, sin embargo, pocos estados o proveedores de equipos darían acceso a investigadores independientes para evaluar la seguridad de esas máquinas. Así que, en 2006, Felten se puso en contacto con un miembro de las elecciones dispuesto a darle un modelo de uso común.
Esto creó una escena que recuerda a una novela de espías, con Halderman, entonces de 25 años, reunido en un callejón con un hombre en una gabardina que le entregó un maletín de cuero grande que contenía la máquina de votación de contrabando. Unos meses más tarde, el equipo publicó un video en línea, que muestra la máquina siendo hackeada en una elección simulada en la que Benedict Arnold gana la presidencia a pesar de que los votantes eligieron claramente a George Washington.
Ese tipo de travesuras descaradas se convirtió en una característica distintiva de los esfuerzos de Halderman para alertar al público de las inseguridades tecnológicas. En 2010, en particular, el Distrito de Columbia planeaba permitir que los residentes votaran a través de Internet en las elecciones municipales. La votación en línea es, para Halderman, una idea particularmente terrible y contra la que ha trabajado al exponer fallas de seguridad en los sistemas utilizados en Australia, Estonia y Noruega.
Para demostrar y probar el sistema del distrito al público, la ciudad celebró una elección simulada unas semanas antes del Día de las Elecciones. Halderman, entonces en su segundo año en U-M, vio esto como «una oportunidad fantástica para probar ataques en un sistema en vivo, pero no en una elección real.»Su equipo irrumpió fácilmente, alterando votos sin ser detectado. De hecho, la única razón por la que alguien se dio cuenta de la brecha fue la música en la página de «gracias por votar»: Sus estudiantes habían configurado el sistema para reproducir «Los Vencedores».»DC los funcionarios abandonó la votación en línea idea y nunca regresó.
Este junio, Halderman volvió a hacerlo mientras Delaware intentaba permitir que los votantes descargaran papeletas, las marcaran electrónicamente y luego las enviaran por correo electrónico para las primarias del 7 de julio en el estado. El software de marcado de boletas, que se utiliza ampliamente para ayudar a las personas con discapacidades físicas a llenar sus boletas en casa, puede ser manipulado por software para cambiar los votos a medida que las boletas se transmiten a través de Internet a su destino. Por lo general, el votante evita ese problema imprimiendo la boleta y enviándola por correo, pero Delaware quería que la gente se saltara ese paso.
Después de que Halderman escribiera un artículo el 7 de junio describiendo las vulnerabilidades del sistema, Delaware hizo una pausa en la opción de correo electrónico. «Mi equipo y yo hicimos el análisis de seguridad y, básicamente, no hay magia en ello», dice Halderman. «Es solo otro portal en línea para cargar o enviar archivos PDF. Eso significa que no hay manera de que los funcionarios electorales, el votante o la compañía que crea el sistema se aseguren de que la boleta que los votantes rellenaron sea la misma que la que reciben y cuentan los funcionarios electorales.»
Halderman está especialmente satisfecho con el énfasis en las papeletas en Michigan y las renovadas preocupaciones sobre cómo se manejan. En 2016, dirigió a un gran grupo de científicos informáticos que instaron a la demócrata Hillary Clinton, que se negó, y luego a la candidata del Partido Verde, Jill Stein, a exigir recuentos de los votos emitidos en varios estados para garantizar que los resultados reportados, victorias estrechas para Donald Trump, fueran precisos. Eso llevó a semanas de drama que sangraron el pasado Día de Acción de Gracias e incluyó un recuento completo en Wisconsin y uno parcial en Michigan antes de que los tribunales estatales lo detuvieran.
En Michigan, los recuentos en muchos precintos de Detroit eran imposibles porque los trabajadores electorales no habían almacenado las boletas de papel y el tabulador contaba correctamente. Desde entonces, dice Rollow, la Legislatura ha proporcionado fondos equivalentes a jurisdicciones que buscan reemplazar tabuladores más antiguos y vulnerables, y la oficina de Benson ha hecho hincapié en la capacitación sobre cómo manejar los materiales electorales después del día de las elecciones.
Además, el RLA esperado es un gran problema. Una auditoría de limitación de riesgos es un proceso mediante el cual se selecciona un cierto número de papeletas al azar para una verificación manual. Si los resultados están dentro de un pequeño margen de error de los resultados reportados por el conteo de máquinas, los estadísticos determinan que el conteo de máquinas es preciso y no hay evidencia de fraude generalizado. Si los resultados están fuera de control, más papeletas se cuentan a mano al azar hasta que los resultados coincidan con el resultado de la máquina o hasta que todas las papeletas se cuenten a mano. Una auditoría de este tipo es más barata y rápida que ir directamente a un recuento completo.
Michigan llevó a cabo su primera RLA a nivel estatal, la más grande de los Estados Unidos, como un experimento después de las primarias presidenciales del 10 de marzo. Los funcionarios estatales tiraron dados para decidir cuáles 669 papeletas de 277 jurisdicciones serían muestreadas al azar y encontraron que los resultados «reflejaban los resultados electorales oficiales del estado dentro de 1 punto porcentual para los candidatos principales en cada primaria, lo que sugiere que si se hubiera realizado una auditoría real, el resultado de la elección probablemente se habría confirmado», anunció un comunicado de prensa. «Un RLA para las elecciones presidenciales de noviembre sería una importante fuente adicional de legitimidad e integridad», dice Halderman.
Quedan muchos riesgos
Esto no quiere decir que Halderman no esté preocupado por Michigan. Un incidente revelador en junio de 2019 es una razón importante.
La asociación de propietarios de mi casa en el condado de Washtenaw celebró su reunión de miembros en la sala de reuniones del Municipio Superior donde, sorprendentemente, los tabuladores de boletas electorales del municipio se sentaron desprotegidos en la parte trasera de la habitación. Sintiendo un gran riesgo de seguridad, envié un correo electrónico a Halderman, y 15 minutos después, él y sus estudiantes de posgrado vinieron a tomar fotos. Nadie tocó las máquinas, pero Halderman dice que un atacante fácilmente podría haber infectado uno de los tabuladores con un virus indetectable que cambia el voto. Es más, cuando esos tabuladores se conectaron para transferir los recuentos de votos al condado, si hubieran sido hackeados, un virus podría haber entrado en el sistema de todo el condado y luego en el sistema estatal, dice.
«Se supone que este equipo debe almacenarse de forma segura entre elecciones, y si no lo es, sería mucho más fácil para un atacante tener ese tipo de acceso físico para manipular la programación dentro de la máquina», dice Halderman. «Por supuesto, no lo hicimos, pero si los estudiantes que traje conmigo y yo fuéramos atacantes criminales, podríamos haber reprogramado esas máquinas para que hicieran trampa en carreras posteriores. Sería muy, muy difícil para los funcionarios electorales decir que eso había sucedido.»
Nadie de Superior Township devolvió llamadas para comentarios.
El incidente también refleja por qué Halderman no está del todo a gusto con la votación de Michigan. El sistema electoral del estado está tan descentralizado que la defensa de primera línea de la democracia se deja en manos de los empleados municipales, que a menudo carecen de la imaginación para comprender cómo un enfoque desleal en su oficina podría socavar la confianza de toda una nación. A menudo hay una «gran desconexión entre la comprensión de los funcionarios electorales de que las elecciones enfrentan riesgos de ciberseguridad y sus propias evaluaciones de la seguridad de sus propias jurisdicciones locales», dice Halderman.
Halderman se complace de que la seguridad electoral finalmente se esté tomando más en serio, aunque él y otros están preocupados por las repetidas y falsas afirmaciones del presidente Trump de que las papeletas de voto por correo «son muy peligrosas para este país debido a los tramposos. Mientras que Halderman señala que «una gran fracción de todos los casos documentados de fraude electoral que son procesados en los Estados Unidos tienen que ver con boletas de votación en ausencia», dice que eso se debe a que esos ataques son excepcionalmente fáciles de detectar y frustrar.
Rollow está de acuerdo: «No se trata solo de tener acceso al correo de alguien y todo eso, sino de tener acceso a su firma; tienes que ser capaz de copiarlo correctamente. El riesgo que alguien estaría tomando para hacer esto y la dificultad que tendría que entretenerse para hacerlo a cualquier escala para hacer cualquier diferencia en una elección grande, realmente no funciona. Es por eso que se intenta con tan poca frecuencia.»
El mayor problema del voto por correo, coinciden Halderman y Byrum, es que es posible que los funcionarios electorales no estén preparados para manejar el aumento masivo de papeletas de voto ausente que se espera este año. Byrum y otros han estado pidiendo a la Legislatura de Michigan que permita a los secretarios del condado procesar las boletas, es decir, sacarlas de sus sobres, hacer coincidir las firmas y prepararlas para los tabuladores, antes del día de las Elecciones.
«Si la Legislatura no actúa, tal vez no sea una noche tardía, sino una mañana tardía y tal vez una tarde después», dice Byrum. «Las semillas de la duda se pueden sembrar fácilmente cuanto más tardan los resultados en salir.»
Eso es exactamente por lo que Halderman ha pasado una carrera preocupándose. Aunque cree que los michiganders pueden confiar en que sus votos electorales irán al candidato presidencial correcto, también le preocupa.
«Nuestros sistemas electorales todavía, en general, no están diseñados para producir evidencia que la gente pueda analizar para ganar confianza en los resultados», dice. «Es probable que sea una lucha bastante ruidosa por la confianza del público en noviembre.»