Amid doubts and questioning, the vote from abroad via the internet begins — Entre dudas y cuestionamientos inició el voto del exterior por Internet

Jan 8, 2024

The Votante Initiative criticizes the lack of transparency and openness in providing the source code used and allowing greater participation in the audit of the technological solution. — Iniciativa Votante reprocha la falta de transparencia y de apertura en facilitar el código fuente utilizado y permitir mayor participación en la auditoría de la solución tecnológica.

Amid doubts and questioning about the security and reliability of the system by some organizations, the Supreme Electoral Tribunal (TSE) began on January 6th with remote voting from abroad via the internet, with an expected participation of 741,094 voters.

Hours before the start of voting, the Washington Office on Latin America (WOLA) expressed concern about the lack of transparency and clear rules in the process carried out by the Tribunal.

“On January 6, 2024, Salvadorans in the United States will begin voting under a system without clear regulations. In-person and remote electronic voting, as determined by the Electoral Tribunal (TSE), will occur without electoral supervision or direct observation,” says the publication on the X social media account (formerly Twitter).

According to the Special Law for the Exercise of Suffrage Abroad, which required the TSE to hire a third party for the implementation of the in-person and remote electronic voting system, there will be a one-month period for voting through the internet. This period started on Saturday and will end on February 4, 2024.

“WOLA is concerned about the lack of transparency in El Salvador’s electoral process abroad. We urge the TSE authorities to strictly adhere to the country’s legal framework and international standards to safeguard democratic principles,” added the Office.

In fact, Tribunal authorities admitted that there is no possibility of electoral observation of remote voting since it can be cast from a mobile device or a computer accessible to individuals on the electoral register who have their residence abroad listed on their DUI (Unique Identification Document), meaning they will not have to travel to a polling center to vote as will be the case with in-person electronic voting.

“There cannot be an observer because we cannot go around literally following people to observe how they vote. The legitimacy given to this internet voting system lies in the security and infrastructure of the system, the security provided by the technicians,” said Dora Esmeralda Martínez, the president magistrate of the TSE.

Main observed flaws

While the director for Central America at WOLA, Ana María Méndez, posted on her X account that “voting from abroad begins in a context of power concentration, institutional weakening, and the rule of law, unclear rules, and lack of transparency.”

The director has also previously pointed out the unconstitutionality of Nayib Bukele’s candidacy for reelection.

“When the Constitution is no longer respected, the result can be the end of democracy and the consolidation of a dictatorship. Beware, elections without controls are just a charade, as Nicaragua and Venezuela have taught us,” she expressed.

WOLA has also made allegations of human rights violations in the state of emergency. “In a context of serious human rights violations, deterioration of the rule of law, and challenges to the constitutional order, Salvadorans will elect a new President and Vice President, deputies of the Central American Parliament, and members of municipal councils,” WOLA adds in its publication.

Although it should be noted that voting from abroad will only apply to the elections for President, Vice President, and deputies of the Legislative Assembly.

TSE confident in the system

But the president of the TSE showed confidence. “The system has been tested, stress-tested, to see if it can withstand the platform it carries, and all of that is certified by the audit. That is like observation, for it to be understood, it is like the security it provides,” she explained.

The audit of the voting system and the electoral register is carried out by the company CGTS Corp, which also reviewed the equipment to be used, which was adapted at INDRA’s headquarters in Spain.

“The audit they conducted on each machine, on the system itself, passed the audit filter. In other words, there has already been an analysis by the company,” said the magistrate.

Martínez commented that the electronic voting system functions as a “digital ballot box” where votes cast through the web platform are deposited, which will be opened by those with the technical keys until the end of the voting day on February 4th, to proceed with the scrutiny by the Electoral Board for Voting from Abroad (JELVEX).

Revealing the source code

The Votante citizen initiative expressed its position on Friday regarding the lack of transparency in the process and how, despite repeated calls, the TSE refused to provide the source code of the technological solution for analysis by academia or communities of computer specialists.

“The issue is that if you adopt measures to mitigate those risks and establish a permanent program to evaluate the findings that people have regarding the code evaluation, if you are conducting recurring tests, if you have a framework to mitigate risks, releasing the source code should not be a problem,” said Carlos Palomo, from the organization TRACODA and a member of Votante.

The initiative highlights the lack of public information on the results of tests, simulations, and contingency plans in case of cyber-attacks or software malfunctions. It urged the Tribunal to make technical computer test reports and audits public.

“Besides being opaque, it raises doubts. Regarding the risks that may arise from the poor implementation of the software, from errors that are not detected in the testing processes or malicious codes that may be introduced, it is possible to deduce the voting intention, which is one of the things that causes us the most concern,” Carlos Palomo, Votante member.

Other concerns relate to identity theft or alteration, as there is no document specifying the margin of error, and the anonymity of the vote is not ensured.

Access difficulties

To be able to vote, one of the steps is facial biometric recognition. Salvadoran historian Carlos Cañas Dinarte denounced on social media that after three attempts, he was unable to cast his vote and shared a screenshot of a message indicating that some “doubts” were detected in his facial verification, so his verification request requires “manual validation,” and he could try again in 24 hours.

The TSE posted images on social media of the biometric verification equipment at a facility in the Escalón neighborhood, where those individuals would be responsible for validating Salvadorans with a DUI and an address abroad.

Regarding the possible vulnerabilities for which the TSE would have prepared, Ignacio Villagrán, head of the TSE’s Information Services Unit, said during the opening of voting from abroad that they conducted “different security tests such as DoS attacks, which are the ones that most affect the main applications.”

Regarding DoS (Denial of Service) attacks, Palomo commented that they involve denial of service and that the minimum a system should have is protection against attacks where multiple requests are made to saturate the system.

“The point is how we verify that these measures have indeed been implemented and how we verify if these measures are successful if no one was allowed access to the source code, if no one was allowed to conduct independent audits,” he said.

Only one observer

Votante also criticized the delay of the TSE in hiring the implementing companies for the system, in this case, INDRA Soluciones, and the auditor CGTS Corporation, and that they were selected through emergency processes and without much competition.

Palomo commented that without greater participation from academia or organizations in the audit, “the risk of things going wrong increases because there is only one eye watching.” Votante’s call was to allow the participation of local universities in independent oversight.

“We would have had more eyes, and the more eyes, the more credibility to the process. Now we have a firm that, like the implementing company, was basically chosen in very opaque contracting processes and with little competition, which only increases doubts,” Carlos Palomo, Votante member.

Regarding the experience of the US company CGTS, according to its website, it has 15 years of experience and offers electoral solutions, identity solutions, software factory, and consulting services. However, there is little published information about the electoral processes in which it has participated.

According to the contract signed between the TSE and CGTS, eight aspects of electronic voting were included for auditing: access to information and source code; validation of compliance with the legal framework and special requirements for computer systems; traceability, information integrity, ensuring the sufficiency of computer security measures, validating the continuity plan and disaster recovery plan; logistical processes, and operational processes. It is also responsible for auditing the Electoral Register from Abroad.

In addition to CGTS, the TSE made an agreement with the Monterrey Institute of Technology, Mexico, to audit the system.

EDH: https://www.elsalvador.com/noticias/nacional/voto-en-el-exterior-elecciones-2024/1114921/2024/

Entre dudas y cuestionamientos inició el voto del exterior por Internet

Entre dudas y cuestionamientos sobre la seguridad y confiabilidad del sistema por parte de algunas organizaciones, el Tribunal Supremo Electoral (TSE) arrancó este 6 de enero con el voto desde el exterior en la modalidad remota por Internet, con la que se prevé participen 741,094 electores.

Horas antes de iniciar la votación, la Oficina en Washington para Asuntos de América Latina (WOLA en inglés) externó su preocupación por la falta de transparencia y de reglas claras en el proceso realizado por el Tribunal.

“El 6 de enero de 2024, los salvadoreños en Estados Unidos comenzarán a votar bajo un sistema sin regulaciones claras. El voto electrónico presencial y remoto, según lo determine el Tribunal Electoral (TSE), ocurrirá sin supervisión electoral ni observación directa”, dice la publicación en la cuenta en la red social X (antes Twitter).

De acuerdo a la Ley Especial para el Ejercicio del Sufragio en el Extranjero, que obligó al TSE a contratar a un tercero para la implementación del sistema de voto electrónico presencial y remoto, se contará con un mes de plazo para la emisión del voto por medio de la modalidad de Internet. Dicho plazo inició este sábado y concluirá el 4 de febrero de 2024.

“WOLA está preocupada por la falta de transparencia en el proceso electoral de El Salvador en el exterior. Urgimos a las autoridades del TSE a adherirse rigurosamente al marco legal del país y a estándares internacionales para salvaguardar los principios democráticos”, agregó la Oficina.

De hecho, autoridades del Tribunal admitieron que no existe la posibilidad de que haya observación electoral del voto remoto, ya que este puede emitirse desde un dispositivo móvil o una computadora a la que tengan acceso las personas del registro electoral que tengan en su DUI su residencia en el extranjero, es decir, que no tendrán que desplazarse hacia un centro de votación para poder votar como sí ocurrirá con el voto electrónico presencial.

“No puede haber un observador, porque no podemos andar siguiendo, así lo digo literalmente, siguiendo a las personas para ir a observar que votó. Y la legitimidad que se le da a este sistema del voto por Internet es la seguridad, la infraestructura que lleva el sistema, la seguridad que le han dado los técnicos”, dijo la magistrada presidente del TSE, Dora Esmeralda Martínez.

Principales fallas observadas

Mientras la directora para Centroamérica en WOLA, Ana María Méndez, publicó en su cuenta de X que “inicia el voto en el exterior en un contexto de concentración del poder, debilitamiento institucional y del estado de derecho, reglas poco claras y falta de transparencia”.

La directora también ha señalado anteriormente la inconstitucionalidad de la candidatura a la reelección de Nayib Bukele.

“Cuando la Constitución ya no se respeta, el resultado puede ser el fin de la democracia y la consolidación de una dictadura. Cuidado, que las elecciones sin controles son solo pantomima, ya nos lo enseñó Nicaragua y Venezuela”, expresó.

WOLA también ha hecho señalamientos por denuncias de violaciones a derechos humanos en el régimen de excepción. “En un contexto de graves violaciones a los derechos humanos, deterioro del estado de derecho y desafíos al orden constitucional, los salvadoreños elegirán nuevo Presidente y Vicepresidente, diputados del Parlamento Centroamericano y miembros de los concejos municipales”, agrega WOLA en su publicación.

Aunque cabe aclarar que el voto desde el exterior solo aplicará para las elecciones de Presidencia y Vicepresidencia y de diputaciones de la Asamblea Legislativa.

TSE seguro de sistema

Pero la presidenta del TSE se mostró segura. “Se ha puesto a prueba el sistema, a prueba del estrés, para ver si resiste la plataforma que se lleva y todo eso está certificado por la auditoría. Esa es como la observación, para que se comprenda, es como la seguridad que lleva”, explicó.

La auditoría del sistema de votación y del registro electoral está a cargo de la empresa CGTS Corp, la cual también habría revisado los equipos a utilizar que se adecuado en la sede de INDRA en España.

“La auditoría que ellos hicieron a cada máquina, al sistema en sí, eso pasó el filtro de la auditoría. O sea, ya hay un análisis de la empresa”, aseguró la magistrada.

Martínez comentó que el sistema de votación electrónica funciona como una “urna digital” donde se depositan los votos emitidos por medio de la plataforma web, la cual se abrirá por quienes tienen las las llaves técnicas hasta finalizar la jornada de votación del 4 de febrero para proceder al escrutinio por parte de la Junta Electoral del Voto en el Extranjero (JELVEX).

Revelar código fuente

La iniciativa ciudadana Votante brindó el viernes su postura sobre la falta de transparencia en el proceso y que, a pesar de los reiterados llamados, el TSE se negó a brindar el código fuente de la solución tecnológica para facilitar el análisis de la academia o comunidades de especialistas informáticos.

“La cuestión es que si uno adopta las medidas para mitigar esos riesgos y establece un programa permanente para estar evaluando los hallazgos que tenga la gente respecto de la evaluación del código, si está realizando pruebas recurrentes, si tiene todo un marco para mitigar riesgos liberar el código fuente no debería suponer ningún problema”, señaló Carlos Palomo, de la organización TRACODA y miembro de Votante.

La iniciativa destaca la falta de información pública sobre los resultados de las pruebas, de simulacros y los planes de contingencia en caso de ataques informáticos o defectos de funcionamiento del software. E instó al Tribunal a hacer públicos los informes de pruebas técnicas informáticas y de auditoría.

“Aparte de que es opaco, genera dudas. En cuanto a los riesgos que se pueden dar o tener producto de la mala implementación del software, producto de errores que no se advierten en los procesos de prueba o códigos maliciosos que puedan introducirse, se puede procurar o se podría deducir el sentido del voto, que es una de las cosas que más preocupaciones nos causa” — Carlos Palomo, miembro de Votante

Otros temores tienen que ver con la suplantación o alteración de identidad, al no tener un documento que especifique los márgenes de error, y no se asegure la anonimidad del voto.

Dificultades de acceso

Para poder votar, uno de los pasos es el reconocimiento biométrico facial. El historiador salvadoreño Carlos Cañas Dinarte denunció en redes sociales que después de tres intentos le fue imposible ejercer su voto y compartió una captura de pantalla de un mensaje que indica que se detectaron algunas “dudas” en su verificación facial; por lo que su solicitud de verificación requiere de una “validación manual” y podría intentar acceder nuevamente en 24 horas.

El TSE publicó en redes sociales imágenes del equipo de verificación biométrica en unas instalaciones en la colonia Escalón, donde esas personas son las que se encargarían de validar a los salvadoreños con DUI y dirección en el extranjero.

Sobre las posibles vulneraciones para las que se habría preparado el TSE, Ignacio Villagrán, jefe de la Unidad de Servicios Informáticos del TSE, dijo durante el acto de apertura del voto desde el exterior que realizaron “diferentes pruebas de seguridad como ataques de DoS, que son los que más afectan a los principales aplicativos”.

En el caso de los DoS (Denial of Service), Palomo comentó que se tratan de denegación de servicio y que lo mínimo que debe tener un sistema es protección para ataques donde se hacen múltiples peticiones para saturar el sistema.

“El punto es cómo comprobamos que efectivamente se han implementado y cómo comprobamos si son exitosas esas medidas si no se le permitió a nadie el acceso al código fuente, si no se le permitió a nadie realizar auditorías independientes”, señaló.

Un solo observador

Votante también criticó el retraso del TSE en la contratación de las empresas implementadora del sistema, en este caso INDRA Soluciones, y la auditora CGTS Corporation, y que se hicieron en procesos de emergencia y sin mayor competencia.

Palomo comentó que al no tener mayor participación de la academia o de organizaciones en la auditoría “incrementa el riesgo de que las cosas puedan salir mal porque solo hay un ojo viendo”. El llamado de Votante era de permitir la participación de universidades locales en la veeduría independiente.

“Hubiéramos tenido más ojos y entre más ojos, más credibilidad al proceso. Ahora tenemos una firma, que al igual que la empresa implementadora, básicamente, se escogieron en procesos bien opacos de contratación y con poca competencia, lo que hace es incrementar más las dudas” — Carlos Palomo, miembro de Votante

Sobre la experiencia de la expresa estadounidense CGTS, según su sitio web tiene 15 años de experiencia y ofrece soluciones electorales, soluciones de identidad, fábrica de software y servicios de consultoría; sin embargo, hay poca información publicada sobre los procesos electorales en los que ha participado.

De acuerdo al contrato firmado entre el TSE y dicha sociedad, se incluyeron ochos aspectos a auditar del voto electrónico: acceso a la información y al código fuente; validar el cumplimiento del marco jurídico y los requisitos especiales en materia de sistemas informáticos; la trazabilidad, la integridad de la información, garantizar la suficiencia de las medidas de seguridad informática, validar el plan de continuidad y plan de recuperación ante desastres; los procesos logísticos y los procesos operativos. También tiene a su cargo la auditoría del Registro Electoral del Exterior.

Además de la empresa CGTS, el TSE hizo un convenio con el Instituto Tecnológico de Monterrey, México, para auditar el sistema.

EDH: https://www.elsalvador.com/noticias/nacional/voto-en-el-exterior-elecciones-2024/1114921/2024/