Salta: trampas de un sistema dudoso en el voto electrónico
Javier Smaldone es el autor del video que circula con la prueba de lo que fue el intento infructuoso por lograr auditar el código fuente de la boleta única electrónica en Salta, utilizada en las elecciones PASO del 6 de Octubre.
Programador y experto de estos temas, Smaldone comentó públicamente: Increíble: Así se hizo la «auditoría» del código fuente del sistema de #BoletaÚnicaElectrónica que se usará en las elecciones de Gobernador en Salta. Les mostraron pedacitos de código en una pantalla. ¿Se dan cuenta de cómo les toman el pelo a los votantes? #NOalVotoElectrónico»
Uno de los expertos y detractor acérrimo de este sistema eleccionario es Diego Saravia, ingeniero en sistemas y creador del Proyecto Ututo, quien a la prensa, comentó “Me negaron calcular el hash del DVD en mi máquina, no se podía saber si el programa en la máquina de ellos era correcto”. De la misma forma agregó “les pedí que me muestren el código fuente de varios binarios en el DVD, y no los tenían”. Con estas referencias, Saravia solicitó que la audiencia se declare nula y varios de los presentes la calificaron como bochornosa.
El contexto político con un intenso cronograma electoral, pues la ciudadanía de Salta en este 2019 debió concurrir 4 veces a las urnas, dos instancias nacionales con voto papel y dos provinciales con el sistema electrónico, bajo sospecha. En este sentido, se intentó que la legislatura local resolviera el impedimento de continuar con el voto electrónica, hasta tanto no fueran aclarados los asuntos en relación al código fuente, el tráfico de información electoral que iría a dar a una empresa norteamericana y la fragilidad en cuanto a conteos y demás aspectos, pero esto tampoco prosperó pues el oficialismo, se encargó en aplazar el tratamiento del tema posterior a la última etapa electoral del próximo 10 de noviembre, momento en el que los salteños deberán elegir su gobernador, legisladores, intendentes y concejales para los próximos años, con la metodología de la Boleta única Electrónica y el dudoso proceder de Magic Software Argentina; una muy parecida rareza electoral como el servicio de Smart Matic.
El caso del propio Smaldone
Profesional en lo inherente a la Seguridad Informática, Javier Smaldone tiene su propia batalla. Recientemente, la Justicia Federal de la República Argentina ordenó el allanamiento de su domicilio a pedido de la Policía Federal Argentina, fuerza que depende de la Ministra de Seguridad, Patricia Bullrich. Así lo exponen un conjunto de organizaciones que defienden al experto y advierten sobre la persecución existente.
Según declaraciones públicas de Smaldone: “En las 24 páginas donde el juez justifica autorizar a la Policía Federal Argentina a allanar 11 domicilios, estas son las únicas menciones a mi persona. Por esto me cayeron a las 6 am, secuestraron mis herramientas e información, y ahora quieren hurgar en mis computadoras.
1) En la causa por el «hackeo» de 2017 me presenté COMO TESTIGO, aportando información a la causa.
2) El juez reconoce que no publiqué las filtraciones sino que publiqué INFORMACIÓN SOBRE las filtraciones.
3) Y ni siquiera dice que fui el primero, sino «DE LOS PRIMEROS».
Pero en la Argentina de hoy con eso alcanza para violar tu derecho a la intimidad y a la propiedad, para llevarte esposado y tomarte 15 veces las huellas dactilares, para hurgar en tus computadoras y tu celular. Y todavía le dicen JUSTICIA» fustigó.
La causa judicial en la que se amparó el allanamiento es la investigación por la filtración de datos de las fuerzas de seguridad en agosto de este año, relacionada por la policía con la filtración ocurrida en 2017. Según se supo públicamente, en este último caso los datos habrían sido obtenidos haciendo uso de la técnica conocida como “phishing”. Este método habría consistido en la creación de una cuenta falsa a nombre de la Superintendencia de Bienestar de la Policía Federal Argentina por la que los perpetradores habrían logrado acceder a los datos de usuario y contraseña de la víctima. Posteriormente se habría utilizado esta información para acceder a la base datos donde se conservaba información sensible de las fuerzas de seguridad para luego publicarla en redes sociales. Este caso recibió el nombre de “La Gorra Leaks 2”.
Datos de la causa judicial
Según el expediente de la causa, al no obtener las fuerzas de seguridad datos concretos sobre quien o quienes habían accedido ilícitamente a sus bases de datos, comenzaron a observar “fuentes abiertas y redes sociales” para detectar usuarios que hubieran replicado la difusión de esta información.
En este contexto, surge del expediente que Javier Smaldone es señalado como uno de los “posibles responsables” de los hechos a pesar de no haber sido imputado, y haber declarado previamente como testigo aportando información valiosa a la Justicia. Los indicios presentados por la policía en este sentido llaman la atención de la comunidad y del público por su arbitrariedad y debilidad. En primer lugar, convierten en presunto sospechoso a Smaldone por el mero hecho de tener conocimientos especializados en seguridad informática y, en segundo lugar, sospechan de su participación en este acto por las publicaciones que realizó en redes sociales y sus opiniones respecto del caso. El juez de la causa consideró suficientes estos indicios para autorizar el acceso a información sensible de Smaldone, incluyendo el requerimiento de su geolocalización a proveedores de telefonía móvil, la intervención de sus comunicaciones privadas, la instalación de cámaras de vigilancia en los alrededores de su domicilio, la solicitud de seguimiento de sus movimientos a partir de informes sobre el uso de su tarjeta de transporte público, el allanamiento de su domicilio, el secuestro de sus dispositivos personales y herramientas de trabajo y su demora por 6 horas para la presunta investigación de antecedentes de los que carece.
De los indicios señalados, sin embargo, no se desprende ningún hecho o circunstancias sólidas que revistan carácter suficiente para constituir una sospecha fundada que autorice las graves medidas emprendidas. La Corte Suprema de Justicia Argentina ya afirmó que la intervención y el acceso a datos relativos a la comunicación deben cumplir con un análisis suficiente de necesidad y proporcionalidad de la restricción del derecho del investigado. Asimismo el Código Procesal Penal Federal establece la razonabilidad como parte del examen que debe hacer el juez cuando autorice medidas de comprobación directas como el allanamiento (art. 144).
Tanto el estándar legal para acceder a los datos, como la necesidad y proporcionalidad de las medidas, son requisitos establecidos en estándares internacionales de derechos humanos. Así lo explican los “Principios Internacionales sobre la Aplicación de los Derechos Humanos a la Vigilancia de las Comunicaciones”, producto de una consulta global con grupos de la sociedad civil, la industria y expertos en la materia. Esos principios establecen que toda medida que implique una privación de un derecho fundamental sólo puede estar justificada cuando es prescrita por la ley, es necesaria para lograr un objetivo legítimo, y es proporcional al objetivo perseguido.
Perseguir al conocimiento y la investigación
Lamentablemente, este no es el primer caso de investigación penal sin fundamentos suficientes contra investigadores de seguridad informática en Argentina. En 2016 Joaquín Sorianello fue sobreseído por la justicia luego de haber sido allanado y procesado por haber alertado sobre las vulnerabilidades en el software de la Boleta Única Electrónica. De forma similar, Iván Barrera Oro fue allanado en 2016 acusado de “producción y tráfico de pornografía infantil” coincidentemente luego de haber demostrado la posibilidad de cargar hasta 20 votos por boleta entre otras deficiencias. En 2017 fue sobreseído.
Este accionar de la justicia se encuentra en oposición a su obligación de garantizar el debido proceso, proteger los derechos individuales garantizados por la Constitución Nacional (entre ellos la libertad de expresión y la privacidad) y tratados internacionales, y a fundamentar debidamente sus decisiones cuando las medidas a adoptar impliquen una limitación a esos derechos.
El trabajo de los investigadores en seguridad informática está protegido por el derecho a la libertad de expresión. Esto surge de la interpretación amplia de la jurisprudencia y la doctrina del artículo 13 de la Convención Americana de Derechos Humanos. Es un comportamiento usual para los investigadores monitorear, comentar y criticar información relacionadas a su expertise técnico en las redes sociales o en medios periodísticos. Por eso, en el caso de Javier Smaldone, su opinión técnica y crítica no debería ser vista como sospechosa, sino como una demostración de sus conocimientos técnicos y su pasión por la seguridad de los sistemas informáticos. Más aún, y específicamente en relación al caso de Smaldone, la libertad de expresión abarca el derecho a impartir información, es decir, a publicar y alertar sobre la existencia de vulnerabilidades en sistemas informáticos, con el objetivo de concientizar para su solución. Existe también aquí un interés social en conocer sobre fallas en sistemas esenciales para el ejercicio y la protección de los derechos de los ciudadanos.
«Inteligencia» el extraño modo de hacer «Justicia»
Contrariamente a lo que sucedió en este caso, la justicia debería tener la responsabilidad de controlar lo actuado por las fuerzas de seguridad en todo proceso de investigación criminal y garantizar la protección de los derechos fundamentales. Ello implica desechar solicitudes temerarias, rechazar los avances sobre la vida privada de las personas sin sospechas debidamente fundadas y evitar la utilización del sistema penal como respuesta al trabajo de los investigadores en seguridad informática.
Por lo antedicho, rechazamos toda persecución a investigadores informáticos y respetuosamente instamos a que se respete el ejercicio a la libertad de expresión que su actividad implica. En ese sentido, solicitamos a la justicia que revise lo actuado por las fuerzas de seguridad en el caso de Javier Smaldone y restituya sus elementos de trabajo sin avanzar en la vulneración de sus derechos fundamentales.
Así lo hacen saber las organizaciones civiles como Acces Now, Asociación Software Libre de Ecuador, CELS Argentina, Cooperativa Tierra Común en México, Datos Protegidos de Chile, Derechos Digitales -latinoamérica- la Electronic Frontier Foundation de EEUU, entre otras.