En la segunda de una serie de dos partes: cómo unas pocas empresas privadas que tienen poca supervisión y mantienen la información en secreto dirigen elecciones estadounidenses
El congresista de Maryland Jamie Raskin es un recién llegado a la causa de reformar las máquinas de recuento de votos de Estados Unidos, bienvenidas a través del bautismo por fuego. En 2015, el principal proveedor del sistema electoral de Maryland fue comprado por una empresa matriz con vínculos con un oligarca ruso. Los funcionarios electorales del estado no supieron de la compra hasta julio de 2018, cuando el FBI les notificó el posible conflicto.
El FBI investigó y no encontró ninguna evidencia de manipulación o intercambio de datos de los votantes. Pero el incidente fue una gigantesca bandera roja en cuanto a las posibles vulnerabilidades de la democracia estadounidense, especialmente porque muchos estados han subcontratado el recuento de votos al sector privado. Después de todo, la compra se produjo mientras los agentes rusos organizaban múltiples campañas de desinformación y ciberseguridad para interferir con las elecciones generales de Estados Unidos de 2016.
«Decir que no tienen ninguna evidencia de ninguna mala conducta no es decir que no haya pasado nada malo», dijo Raskin. «Es simplemente para decir que no tenemos la evidencia de ello».
El hecho es que la democracia en los Estados Unidos es ahora en gran medida un asunto secreto y privado que se lleva a cabo fuera del ojo público con poca supervisión. Las corporaciones que dirigen todos los aspectos de las elecciones estadounidenses, desde el registro de votantes hasta la emisión y el recuento de votos por máquina, están sujetas a una regulación estatal y federal limitada.
Las empresas son de propiedad privada y tienen una estrecha responsabilidad, lo que dificulta la obtención de información sobre la propiedad y la estabilidad financiera. El código fuente del software y el diseño de hardware de sus sistemas se mantienen como secretos comerciales y, por lo tanto, son difíciles de estudiar o investigar.
El mercado para los vendedores electorales es pequeño y la «base de clientes» se limita principalmente a América del Norte y se centra en los Estados Unidos, lo que significa que la competencia es feroz. El resultado es una pequeña red de empresas que tienen casi monopolios en los servicios electorales, como la construcción de máquinas de votación. En todo el espectro, los vendedores privados tienen una larga historia de errores que afectaron a las elecciones, de obstruir a los políticos y al público de buscar información, de corrupción, sospecha de influencia extranjera, falsas declaraciones de seguridad y deshonestidad empresarial.
Pero estas empresas son las guardianas de la democracia estadounidense.
Un rincón del mundo de la seguridad informática ha estado dando la alarma desde que se adoptaron las máquinas de votación después del desastre de las tarjetas perforadas del recuento electoral de 2000 en Florida. Ahora los legisladores, los funcionarios electorales y los expertos en seguridad nacional se están uniendo al clamor después de que los agentes rusos investigaran los sistemas de votación en los 50 estados e infringieran con éxito los sistemas de registro de votantes de Arizona e Illinois en 2016.
Tanto el informe de Robert Mueller como una acusación anterior de 12 agentes rusos confirmaron que los rusos también atacaron a proveedores privados que proporcionaban software electoral. Los rusos violaron con éxito al menos una empresa, su nombre redactado en los informes, «e instalaron malware en la red de la empresa», según el informe de Mueller.
Las agencias de inteligencia esperan que los ciberataques de Rusia, China y otras naciones contra la democracia de Estados Unidos continúen en 2020.
Cuando Raskin se enteró de que casi no hay leyes federales que rijan o regulen a las empresas del sector privado involucradas en la infraestructura electoral de los Estados Unidos, presentó apresuradamente un proyecto de ley que evitaría que los estados se contrataran con empresas propiedad o influenciadas por ciudadanos no estadounidenses. Planea reintroducir una versión actualizada del proyecto de ley en esta sesión legislativa, dijo a The Guardian. Si bien tiene una buena probabilidad de aprobar la Cámara de Representantes controlada por los demócratas, requeriría el apoyo republicano en el Senado para convertirse en ley.
Eso no es probable. El líder republicano del Senado, Mitch McConnell, ha sido antagónico a los proyectos de ley de reforma electoral, al igual que todo el partido republicano. La narrativa del partido es que los demócratas están tratando de utilizar al gobierno federal para hacerse cargo de las elecciones estatales y locales; el ángulo político es que reconocer vulnerabilidades o defectos en el sistema electoral podría plantear dudas sobre la legitimidad de la victoria del partido, y de Donald Trump, en 2016.
El proyecto de ley de Raskin podría afectar al menos a dos de las mayores empresas electorales. Dominion Voting Systems, que es el segundo mayor proveedor de máquinas de votación de los EE. UU., tiene su sede tanto en los EE. UU. como en Canadá. Scytl, que proporciona informes de la noche electoral y otras herramientas de gestión electoral en línea, tiene su sede en España. ByteGrid, el contratista electoral de Maryland, ya no es propiedad de la empresa matriz rusa.
Los activistas dicen, sin embargo, que la propiedad extranjera de un proveedor electoral no es el único problema de seguridad potencial. No importa quién las posea, las máquinas de votación son más vulnerables a las malas acciones internas que cualquier otro sector de la industria electoral, y ningún sector tiene una historia documentada más larga de propiedad con sede en Estados Unidos con claros vínculos partidistas.
En 2003, por ejemplo, cuando las máquinas de votación se estaban extendiendo rápidamente por todo el país con la ayuda de fondos federales, el CEO de una de las empresas más grandes y una de las principales recaudaciones de fondos para el entonces presidente George W Bush dijo que estaba «comprometido a ayudar a Ohio a entregar sus votos electorales al presidente».
Debido a esa declaración y a una letanía de otros escándalos, como dejar desprotegido un servidor orientado a Internet y revelar el código fuente de sus máquinas o instalar parches de software no aprobados en sus máquinas justo antes de una elección, esa empresa, Diebold, vendió la parte de la máquina electoral de su empresa en 2009.
En el esfuerzo por una mayor transparencia, los informáticos y los académicos han estado comprando máquinas de votación y hackeándolas. El ejemplo más famoso surgió de la conferencia de piratería informática de 2017, donde los informáticos publicaron un informe que describe cómo hackearon un conjunto de máquinas de votación y la mala programación informática que encontraron. Como resultado, Virginia descertificó sus máquinas de votación y pasó a las papeletas de papel.
Las empresas de máquinas de votación han estado tratando activamente de evitar este tipo de escrutinio. Han enviado amenazas de litigio a académicos que investigan sus máquinas. También han bloqueado los litigios que buscan registros de las máquinas cuando hubo errores en el recuento de votos y han mentido a los periodistas y a los funcionarios electos sobre el hecho de que se podía acceder a algunas máquinas de forma remota.
El senador de Oregón Ron Wyden, en un discurso en una conferencia de seguridad electoral en Washington DC, dijo que el lobby de la máquina de votación «literalmente piensa que están justo por encima de la ley, no son responsables ante nadie, [y] han sido capaces de conectar el sistema político en ciertas partes del país como hemos visto en Georgia».
Wyden se refería al hecho de que Brian Kemp, que ahora es el gobernador de Georgia después de supervisar su propia elección mientras era secretario de estado, nombró a un cabildero de ES&S como su subjefe de gabinete. Mientras tanto, el estado está en proceso de comprar más de 150 millones de dólares en nuevas máquinas de votación.
«Mi opinión es que el mantenimiento de nuestros derechos constitucionales no debe depender de la ética incompleta de estas corporaciones bien conectadas que bloquean el Congreso, mienten a los funcionarios públicos y han estafado repetidamente a los contribuyentes», dijo Wyden.
Mientras tanto, la débil orientación estatal o federal deja a muchas empresas de ciberseguridad haciendo lo que quieran, según Joshua M Franklin, presidente y cofundador de Outstack Technologies, una empresa de ciberseguridad que ayuda a proteger la infraestructura de campaña y elecciones.
No hay normas técnicas ni mejores prácticas del gobierno federal de los Estados Unidos sobre la seguridad de los sistemas de registro de votantes», dijo Franklin. “Una o dos páginas [de directrices] no lo cortan. Del mismo modo, nos faltan las especificaciones técnicas de seguridad que deben cumplir los informes de la noche de las elecciones o los sistemas de distribución de papeletas en blanco».
Al igual que los vendedores de máquinas de votación, las empresas que proporcionan servicios de registro de votantes y presentación de informes de la noche de las elecciones tienen su propio historial con fallos de seguridad y declaraciones falsas. Se sabe muy poco sobre los contratos y las relaciones entre los estados y proveedores como PCC y Scytl que proporcionan registro de votantes u otros servicios electorales en línea.
Cuando se descubrió tres días antes de los exámenes de mitad de período de 2018 que la mala ciberseguridad dejaba al sistema de registro de votantes de Georgia vulnerable a ser alterado, no estaba claro si el estado o la empresa eran responsables de los fracasos. Los expertos en seguridad informática probaron los sistemas de otros dos estados también catalogados como clientes por PCC. Uno de los problemas de codificación también existía en Carolina del Norte y Washington, aunque la forma en que los estados estructuraron sus sitios web silenció el peligro potencial al que se enfrentaba en Georgia.
La junta electoral del estado de Carolina del Norte dice que nunca contrató con el PCC. En su lugar, firmó un contrato con Quest Information Systems, que fue comprada por la empresa matriz de PCC, GCR, Inc., y luego se retiró a PCC aparentemente sin notificar a varios clientes. Además, esos servicios no equivalían a funcionar en el sistema de registro de votantes, como afirmaba el sitio web de PCC, y Carolina del Norte ya no es un cliente en ninguna de las dos empresas. El aparente error en el sitio de información de votantes de Carolina del Norte, que nunca representó una amenaza para los registros de votantes del estado o la integridad de las elecciones, principalmente porque el estado no realiza el registro de votantes en línea, se ha corregido desde entonces.
Es difícil obtener información sobre los estados con los que PCC contrata, con los mejores datos aparentemente en el propio sitio web de PCC. PCC afirma que su tecnología es responsable del registro de casi el 25 % de los votantes estadounidenses.
Como suele ocurrir cuando las empresas proporcionan sus propios datos de la industria con poca supervisión, no está claro qué tan verdadera es su información. The Guardian descubrió que al menos otros dos clientes que cotizan en bolsa, Indiana y Nueva Jersey, nunca han contratado directamente con PCC o no lo han hecho en una década. Nueva Jersey ya no aparece como cliente para los servicios de registro de votantes.
La transparencia y la confianza en todas las etapas de los sistemas electorales son importantes porque afectan a lo bien que los votantes confían en que el sistema es justo, dicen los activistas.
Pero el sector privado dominante lo hace difícil. Las empresas no solo están en gran medida libres de solicitudes de registros públicos, sino que a menudo se les pide que investiguen o se vigilen a sí mismas, según la experta en derecho electoral Candice Hoke.
«Es inaudito, por ejemplo en un banco, que si tienen anomalías o un posible hackeo que necesitan investigar, se supone que deben llamar al licenciante de software o a la compañía de software y hacer que examinen su propio software y decidan si su software fue hackeado o defectuoso de alguna manera», dijo Hoke. “Absolutamente absurdo. Y, sin embargo, lo permitimos en nuestras elecciones».
A menudo, los condados simplemente no tienen la experiencia o la financiación para realizar investigaciones, y actualmente hay poca infraestructura estatal o federal para resolver este problema. Los votantes, los grupos de derechos civiles y los activistas han llevado a los tribunales, pero las normas legales dicen que los demandantes necesitan una cierta cantidad de pruebas para presentar una demanda, dijo Hoke. Sin embargo, no pueden obtener esa información, en poder de los vendedores electorales privados, sin que un juez permita su descubrimiento durante esa demanda.
Ya sea a través de los tribunales o de la legislación, Hoke tiene claro lo que se necesita.
«Necesitamos auditorías independientes y evaluaciones forenses y otros tipos de evaluaciones de TI que no estén controladas por los proveedores», dijo Hoke.
QAnons España 