Por Matías Nso, CEO y co-founder de Kuorum

Después de más de dos lustros trabajando en el sector del voto electrónico, cuando me preguntan si es seguro, mi espíritu (gallego de adopción) responde: “Depende”. Voto electrónico y ciberseguridad son conceptos muy amplios. ¿Estamos hablando de un ataque del servicio de inteligencia de una potencia militar dirigido contra el sistema de recuento electoral de un país enemigo? ¿O de un adolescente lanzando un DDoS contra la web de votaciones online de una junta de vecinos?

Las tecnologías de voto electrónico están preparadas hoy en día para soportar ambos ataques. Pero el tamaño de la amenaza es distinto y el impacto, en caso de que el ataque prospere, no va a ser el mismo. Por eso, el voto electrónico es un sector con numerosos proveedores; cada uno con una propuesta de valor distinta y, supuestamente, ajustada a las necesidades de sus clientes.

Soplaré y soplaré y tu bastión derribaré

Como en el cuento de los tres cerditos, los pulmones del lobo llegan hasta donde llegan. Y si tu casita es de ladrillo, tus hermanos y tú podéis estar tranquilos. Pero si la bruja del este lanza un huracán contra tu adosado, será mejor que pongas a buen recaudo los zapatos de rubíes porque los vas a necesitar.

Con esta metáfora intento explicarle a nuestros clientes las implicaciones de quedarse corto a la hora de elegir proveedor de voto electrónico. En los últimos cinco años han surgido numerosos servicios de voto telemático al mercado. Las grandes empresas que históricamente han liderado este espacio ofrecen tecnologías obsoletas y con escasa o nula usabilidad. Así que la oportunidad para las startups de irrumpir en la industria es tentadora, incluso habida cuenta de que se trata de un mercado muy pequeño y competido.

El problema está en que el modelo de startup que machaconamente nos venden los medios, el cine y algunos VCs no es compatible con el rigor que requiere el desarrollo de soluciones de voto electrónico seguras para el nivel de amenaza al que se enfrentan una gran mayoría de clientes. Como le ocurrió a Elizabeth Holmes con Theranos y su máquina para análisis de sangre instantáneos y completos con una sola gota de sangre, el fake until you make it aquí no funciona. Y si, como dijo Zuckerberg, te mueves rápido y rompes cosas, lo más probable es que acabes en la lista negra de más de un cliente.

Hasta aquí todo va bien…

Auditorías de seguridad como la ISO 27001 o el ENS deberían ser una salvaguarda para empresas y administración pública a la hora de elegir herramientas de voto online. Pero hay proveedores falsifican sus certificaciones y clientes que hacen la vista gorda porque el precio es inferior al de las soluciones seguras – la casita de paja requiere menos esfuerzo que la de ladrillo, claro.

En una de mis películas favoritas, La Haine, ilustran muy bien la tesitura en la que nos dejan estas malas prácticas. Al inicio de la película una voz en off cuenta la historia de un paracaidista que salta desde lo alto de un edificio pero en seguida se da cuenta de que el paracaídas no responde. Mientras va cayendo edificio abajo se dice a sí mismo: “hasta aquí todo va bien, hasta aquí todo va bien…”. La voz en off remata la historia: “Pero lo importante no es la caída sino el aterrizaje”.

Las aplicaciones de voto electrónico no pueden obviar la ciberseguridad. El prestigio de todo un sector está en juego. Hasta aquí todo ha ido bien. Pero, como dice la película de Mathieu Kassovitz, lo importante no es la caída, sino el aterrizaje.