Escuela de Computación advirtió sobre riesgos en sistema para elección de rector de UCR

La Escuela de Ciencias de la Computación e Informática de la Universidad de Costa Rica (ECCI-UCR) advirtió sobre la vulnerabilidad en el sistema de votación en línea de la Rectoría de esa misma casa de enseñanza.

Uno de los riesgos sobre los que giraron al menos dos alertas, es el de potenciales suplantaciones de identidad.

Precisamente, Teletica.com reveló el 2 de octubre el caso de un docente de la Facultad de Odontología, quien denunció ante el Tribunal Electoral Universitario (TEU) que no pudo votar en la segunda ronda, porque alguien más lo hizo por él.

El documento está bajo análisis de admisibilidad desde el 30 de setiembre, confirmó el órgano a este medio. Pese a lo anterior, la elección Carlos Araya como rector para el periodo 2025-2028 se declaró en firme desde el 24 de ese mes.

"Severas vulnerabilidades"

Dos días antes de la primera ronda, el 3 de setiembre, la directora de la Escuela de Computación e Informática, Gabriela Barrantes, la subdirectora Kryscia Ramírez y seis profesores más, suscribieron el oficio ECCI-482-2024, en el que informaron sobre "severas vulnerabilidades" que hallaron en la plataforma e-voting durante un simulacro llevado a cabo el 30 de agosto.

La carta en cuestión no había trascendido públicamente hasta este lunes, pero su contenido ya había sido mencionado por Barrantes en una actividad, a la que dio cobertura el sitio de noticias CRHoy.com el 5 de ese mes.

"Como profesionales en arquitectura y seguridad de sistemas tecnológicos y docentes interesados(as) en la integridad del proceso electoral, hemos encontrado y documentado una serie de vulnerabilidades que impiden garantizar nuestro pleno derecho al sufragio, tanto en aspectos relacionados con protección de datos personales, los cuales se encuentran protegidos  constitucionalmente y mediante la legislación nacional sobre la protección de datos (Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales) como en materia electoral también protegida a nivel Constitucional y del Código Electoral nacional", menciona el documento en poder de Teletica.com.

Dentro de los riesgos identificados por este grupo de profesionales, destacan los numerosos escenarios que impedían que una persona votara correctamente, la relativa facilidad para identificar la voluntad de quienes sufragaron, la potencial saturación por la emisión de intentos de votos a nombre de una persona atacada, las faltas graves en aspectos de usabilidad, así como la ausencia de una firma en el padrón electoral.

Resalta, además, un "pobre mecanismo de identificación", debido a la "fácil generación de correos de primera fase por cualquier persona", la posibilidad de depositar votos ajenos o la posibilidad de confusión del votante legítimo. De igual manera, se subraya la imposibilidad de verificar si el voto a depositar es del votante o no.

"Debilidades"



Antes del oficio antes citado, surgió el oficio ECCI-368-2024, el 23 de julio. El mismo fue únicamente firmado por la directora de la Escuela de Computación e Informático, Gabriela Barrantes, aunque se hace a título de los "profesores" de esa rama.

El documento es mucho más directo y desde su primer párrafo menciona que las elecciones no se debían realizar por el sistema de votaciones electrónicas, debido a preocupaciones relacionadas con la posibilidad de suplantación de identidad, de coerción y venta de sufragios, imposibilidad de reclamos y la dependencia de una "caja negra" que no se puede auditar.

"Dicho objetivo (el de autenticación) se puede violentar fácilmente, y sin mayores recursos tecnológicos, en el sistema propuesto para las elecciones de Rectoría, por cuanto el control de la cuenta de correo institucional es todo lo que se requiere para suplantar la identidad del votante. En nuestra experiencia no es raro, que las personas se 'presten' contraseñas, y otras formas de compartir cuentas que hacen imposible saber si quien votó fue el votante designado o no. Quien obtiene el token, tiene acceso a votar, tenga o no derecho. Esto permite de forma relativamente fácil suplantar la identidad de algunos votantes", se puntualiza en el oficio al que tuvo acceso este medio.

Desde el 2 de octubre, Teletica.com solicitó una posición al Tribunal Electoral Universitario en relación con las manifestaciones públicas de Barrantes e informes por ella mencionados.

Al día siguiente, el órgano señaló que tales inquietudes habían sido evacuadas "por escrito" previo a la primera ronda de las elecciones, sin que se plantearan posteriores observaciones o réplicas. Se solicitó una copia de las respuestas dadas, pero, al cierre de esta publicación, las mismas no se habían recibido.