COLUMNISTAS, MUNDONOTICIAS

Una pequeña agencia federal, con poco personal y dos laboratorios de pruebas privados, es la  responsable de la certificación de los sistemas de votación de Estados Unidos.

Valledupar, 23 de noviembre de 2020.- Las secuelas de las elecciones del 3 de noviembre han puesto de relieve la integridad de las máquinas de votación electrónica utilizadas en Estados Unidos. En respuesta, las autoridades han mostrado las certificaciones de las máquinas como una salvaguarda contra posibles problemas sistémicos con las máquinas de votación y su software.

Sin embargo, una mirada más profunda al proceso de certificación utilizado para las máquinas revela que la principal agencia de certificación de los Estados Unidos, la Comisión Federal de Asistencia Electoral (EAC), cuenta con un personal inesperadamente reducido y que uno de sus principales directivos es un ex ejecutivo de la empresa Dominion Voting Systems.

Además, parece que la mayor parte, si no todas, de las pruebas del equipo electoral las realizan solo dos empresas, Pro V&V y SLI Compliance.

Los sistemas de votación electrónica se han incorporado cada vez más al proceso electoral, lo que genera preocupaciones sobre su seguridad, confiabilidad y precisión en el proceso. Las agencias federales con poco personal parecen mantener vínculos demasiado estrechos con las empresas que se supone deben vigilar. Ello plantea preguntas adicionales sobre la minuciosidad e integridad del proceso de verificación.

La empresa Dominion Executive se une a la Comisión de Certificación

Sólo dos semanas después de ser nombrada Secretaria del Commonwealth de Pensilvania, Kathy Boockvar concluyó, en un informe (en pdf) del 17 de enero de 2019, que la máquina de votación “Democracy Suite 5.5A” de Dominion “puede ser utilizada de manera segura por los votantes en las elecciones” y certificó los sistemas de votación de Dominion en Pensilvania.

En representación de Dominion en ese proceso estuvo Jessica Bowers, directora de certificación de Dominion. Además de Pensilvania, Bowers parece haber sido responsable de la implementación de los sistemas Dominion en varios otros estados, incluidos California, Colorado, Nevada y Tennessee.

Sin embargo, después de disfrutar de una carrera de 10 años en Dominion, Jessica Bowers comenzó una nueva carrera en la Comisión de Asistencia Electoral EAC federal.

La EAC, que se describe a sí misma como “una comisión bipartidista independiente”, es responsable de adoptar las pautas del sistema de votación voluntario y proporciona la acreditación a los sistemas de votación de los fabricantes y a los laboratorios de prueba del sistema de votación.

En mayo de 2019, cuando la agencia se estaba preparando  para las elecciones de 2020, la EAC anunció la partida de Ryan Macias, quien se había desempeñado como director interino de pruebas y certificación de ese organismo.

El puesto de Macías era importante: era responsable de dirigir el programa de EAC que “trabaja con los principales proveedores de sistemas de votación del país para certificar y descertificar el hardware y software de esos sistemas de votación, y acredita laboratorios para equipos de prueba”, según el sitio web CyberScoop. Además, Macías había estado supervisando una “actualización importante de las pautas de seguridad del sistema de votación”.

El 9 de mayo de 2019, la EAC anunció que habían seleccionado a Jerome Lovato, quien había trabajado en la EAC desde septiembre de 2017, para reemplazar a Macías. La renuncia de Macías y el posterior nombramiento de Lovato plantearon algunas preocupaciones en el Congreso, como lo señalaron, en una carta enviada a la EAC, los senadores Amy Klobuchar (D-Minn.) Y Chris Coons (D-Del.).

“Tras la dimisión de Ryan Macias, los informes públicos indican que la EAC emplea ahora solo a una persona de tiempo completo dedicada a supervisar el proceso de certificación. Si bien entendemos que la Comisión puede estar trabajando para contratar personal adicional, nos preocupa el repentino nombramiento de Jerome Lovato para el cargo de Director de Pruebas y Certificación, especialmente cuando los informes indican que el Sr. Lovato estará trabajando de forma remota, más de mil millas de la sede de la EAC. A medida que los estados continúan actualizando sus equipos electorales y los proveedores desarrollan nuevas máquinas, es esencial que las Pruebas y Certificaciones en la EAC sean completamente operativas”, escribieron los senadores en su carta.

“Dado el tiempo que puede llevar el proceso de certificación, nos preocupa que la EAC no pueda certificar las máquinas que los estados pretenden utilizar como parte de sus esfuerzos de modernización antes de las elecciones de 2020”.

La preocupación de que la EAC tenga solo “un miembro del personal de tiempo completo dedicado a supervisar el proceso de certificación” parece comprensible, dada la importancia potencial de esa tarea. Los senadores preguntaron a la EAC qué medidas tomarían para apuntalar al personal antes de las elecciones de 2020.

Esa pregunta fue respondida el 21 de mayo de 2019, con el anuncio de que la EAC estaba agregando dos personas a su programa de certificación de votaciones: Jessica Bowers, recientemente directora de certificación de Dominion y veterana de 10 años en la firma, y ​​Paul Aumayr, un ex funcionario electoral de Maryland.

Un artículo que describe las nuevas contrataciones señaló: “No estaba claro de inmediato cómo el EAC podría mitigar los posibles conflictos de intereses que pudieran surgir con la contratación de Bowers, la ex directora de certificación de Dominion Voting Systems, en el programa EAC”.

El sitio web de la EAC describe a Jessica Bowers como administradora de “proyectos de certificación y prueba del sistema de votación, así como ayudanta del desarrollo de nuevas Pautas para el Sistema de Votación Voluntaria”, pero no revela ninguna mención directa de su papel en Dominion Voting Systems.

“Antes de unirse a la EAC, ella fue directora de certificación de un fabricante de sistemas de votación y ha trabajado en la industria electoral en el desarrollo y certificación de software desde 2008”, afirma el sitio web.

Bajo los miembros del personal de EAC, Bowers figura como CIO / CISO interino, mientras que Aumayr figura como especialista senior en tecnología electoral. A pesar del importante papel que juega la EAC en la integridad de las elecciones solo enumeran un total de 23 miembros del personal, cinco ejecutivos (de los cuales Lovato es uno) y cuatro comisionados. La EAC tiene una junta de asesores compuesta por 37 personas.

Tanto Bowers como Aumayr parecen haber comenzado a funcionar el 9 de julio de 2019 con una actualización del blog Aumayr de listas de pruebas y certificación de EAC como el proyecto director de Dominion Voting Systems’ “Democracy Suite 5.5B” y Clear Ballot’s “ClearVote 2.0” mientras Bowers aparece como la directora del proyecto Election Systems & Software (ES&S) “EVS 6.1.0.0” y de Unisyn Voting Solutions “OpenElect 2.1.”.

Las cuatro empresas son miembros del Consejo de Coordinación del Sector de CISA, uno de los dos consejos que emitieron una declaración conjunta reciente, el 12 de noviembre, sobre la elección, afirmando que fue “la más segura en la historia de Estados Unidos”.

Sólo 2 probadores certificados de equipos electorales

En el sitio web de la EAC, se enumeran siete laboratorios de prueba de sistemas de votación (VSTL). Sin embargo, solo dos de estos laboratorios de pruebas, Pro V&V y SLI Compliance, aparecen en la página como acreditados, ya que los otros aparecen con su acreditación vencida.

Desde principios de 2017, estas dos empresas son los únicos laboratorios de pruebas que han proporcionado la certificación del sistema de votación, según una lista de certificaciones de la EAC.

Para una de las dos empresas utilizadas, Pro V&V, la EAC no proporciona públicamente el certificado de acreditación en su sitio web, sino que enlaza a una página con esta advertencia: “página no se pudo encontrar”.

El último certificado que aparece para Pro V&V en la descripción general del perfil de la empresa en el sitio web de EAC tiene una fecha de emisión del 24 de febrero de 2015 y está vigente hasta el 24 de febrero de 2017. No está claro si la acreditación de la empresa realmente ha expirado o si la falla se encuentra en el sitio web de la EAC.

A pesar de ser responsable de las pruebas y de los datos utilizados en la certificación de sistemas de votación completos, incluido el del recientemente certificado “Democracy Suite (D-Suite) 5.5-C Voting System (Pro V&V Test Report, 16 de junio)” de Dominion, al mismo tiempo que proporciona Pruebas de sistemas en todo el país, Pro V&V tiene sólo una oficina en la lista, ubicada en una suite de negocios, que está respaldada por un sitio web sorprendentemente crudo y escaso.

La descripción del sitio web de las instalaciones de Pro V&V omite la parte “Suite” de su dirección mientras afirma que sus “diseños de oficina y laboratorio permiten un amplio espacio para equipos de prueba, software y hardware utilizados en el proceso de prueba”. Su sitio también afirma que tienen la opción de expandirse a un espacio adicional dentro del mismo complejo.

Pro V&V, como Dominion Voting y Smartmatic, es miembro del Consejo de Coordinación del Sector de CISA, el mismo consejo que emitió recientemente la declaración conjunta sobre las elecciones presidenciales de 2020. El otro laboratorio de pruebas principal, SLI Compliance, también es miembro del mismo consejo.

En respuesta a las recientes acusaciones de posibles problemas con la integridad de las máquinas de votación de Dominion utilizadas en las elecciones del 3 de noviembre, Pro V&V ha sido citado repetidamente como autoridad para negar esas acusaciones, incluido el recuento de votos en Georgia.

El caso de Georgia

En julio de 2019, a pesar de los desafíos legales existentes, Georgia compró un sistema electoral de  106 millones de dólares de Dominion. En una demanda originada en 2017, los críticos sostuvieron que el nuevo sistema estaba sujeto a muchas de las mismas vulnerabilidades de seguridad que el que estaba reemplazando.

El problema llegó a un punto crítico más recientemente después de que surgieran acusaciones creíbles de problemas con las máquinas de votación.

Las declaraciones juradas, presentadas como parte de una moción de emergencia el 17 de noviembre, detallan las acusaciones de los observadores electorales sobre un posible fraude electoral. Entre otras cosas, los trabajadores electorales relataron casos similares de votos prístinos que tenían características similares: “Todos estaban a favor de Biden y tenían la misma burbuja negra perfecta”.

Sin embargo, ese mismo día, el secretario de Estado de Georgia, Brad Raffensperger, emitió un comunicado anunciando la finalización de la auditoría de las máquinas de votación del estado, que afirmaba que “Pro V&V no encontró evidencia de que las máquinas hayan sido manipuladas”.

La declaración fue ampliamente citada por los medios y por otros como evidencia de que las afirmaciones de problemas con las máquinas de votación en Georgia no tenían fundamento.

Sin embargo, un examen más detenido de la declaración indica que lo único que hizo Pro V&V fue extraer “el software o firmware de los componentes para verificar que el único software o firmware de los componentes estuviera certificado para su uso por la oficina del Secretario de Estado”.

El titular del comunicado parece haber sido más importante que el alcance de las funciones reales realizadas por Pro V&V.

En una declaración jurada del 24 de agosto, Harri Hursti, un reconocido experto en seguridad del voto electrónico, proporcionó una descripción de primera mano de los problemas que observó con los nuevos sistemas de votación de Georgia durante las elecciones primarias estatales del 9 de junio y las elecciones de segunda vuelta del 11 de agosto.

Hursti le habló a la corte acerca de una serie de problemas, incluido el hecho de que “la configuración del escáner y el software de tabulación que emplean para determinar qué votos contar en las boletas de papel marcadas a mano probablemente provoquen que los votos claramente intencionados no se cuenten”.

Hursti también dijo que “el sistema de votación se está operando en el condado de Fulton de una manera que aumenta el riesgo de seguridad a un nivel extremo”, y que “los votantes no están revisando sus boletas impresas BMD [Dispositivos para marcar las boletas], lo que causa que la BMD genere los resultados no sean auditables debido a la pista de auditoría no confiable”.

Por otra parte, durante las pruebas preelectorales de los sistemas de votación de Dominion en Georgia a fines de septiembre, los funcionarios electorales descubrieron un problema con la presentación de los concursantes para el Senado de los EE. UU. Y encontraron que, en ciertas circunstancias, no todos los nombres de los candidatos cabían en una sola pantalla.

Los abogados de Dominion calificaron el problema de “problema muy menor” que se soluciona fácilmente con cambios en el software. Los abogados de “Votantes Activistas por la Integridad”, que ya estaban involucrados en juicios sobre el nuevo sistema Dominion de Georgia, expresaron su preocupación por “la gravedad del problema y la seguridad de una solución de última hora”.

Dominion envió la corrección de software a Pro V&V para su evaluación. En particular, Pro V&V acababa de proporcionar pruebas de certificación para Democracy Suite 5.5-C de Dominion el 20 de abril y el 16 de junio, lo que llevó a la certificación EAC del 9 de julio, pero no detectó el problema del software en ese momento.

El 1 de octubre, se llevó a cabo una audiencia judicial de Zoom y se creó una transcripción de esa audiencia. Durante la audiencia, un Dr. Coomer, de Dominion, se unió a la reunión de Zoom. Aunque no proporcionó el nombre de pila, parece que se trata del Dr. Eric Coomer, director de estrategia de producto y seguridad de Dominion Voting Systems.

Coomer le dijo al tribunal que creía que el cambio de software “era minimalista”, pero declaró que Dominion no tomó esa decisión, sino que “envió ese cambio a un laboratorio acreditado, en este caso, Pro V&V. Analizan el cambio. Miran el código. Y determinan si es de minimis (sic) o no”.

Más tarde, durante la audiencia, le preguntaron a Coomer si sabía quién de Pro V&V estaba realizando las pruebas de software. Coomer dijo que no lo sabía y señaló: “No conozco la lista de empleados de Pro V&V”.

Esta declaración de Coomer parece un tanto extraña dado que sólo tres empleados de Pro V & V —Jack Cobb, Michael Walker y Wendy Owens— han sido localizados en documentos revisados. Fueron Owens y Walker quienes realizaron las pruebas del 26 de noviembre de 2019 para la certificación de Dominion Voting Systems Democracy Suite 5.5-A y fueron esas mismas dos personas quienes realizaron las pruebas del 13 de abril y 16 de junio de Dominion’s Democracy Suite 5.5-C. Además, Pro V&V y Dominion son miembros del mismo consejo CISA.

De hecho, el 2 de octubre, una carta de Wendy Owens de Pro V&V confirmó “que esta versión del software ICX corrigió el problema con la visualización de concursos de dos columnas”. La carta concluía con una recomendación de Pro V&V de que el cambio de software a los sistemas de Dominion se “considere de minimis” (sic).

El 3 de octubre,  el Dr. J. Alex Halderman dijo en una declaración que él refutaba los procedimientos de las pruebas de Pro V&V, señalando que “el informe deja en claro que Pro V&V realizó sólo pruebas superficiales de ese nuevo software. La empresa no intentó verificar de forma independiente la causa del problema de visualización de la boleta, ni verificó adecuadamente que los cambios sean una solución eficaz. Pro V&V tampoco parece haber hecho ningún esfuerzo para probar si los cambios crean nuevos problemas que afectan la confiabilidad, precisión o seguridad del sistema BMD”.

El 11 de octubre, la jueza Amy Totenberg emitió un fallo (en pdf) sobre ese caso, señalando que “A pesar de los profundos problemas planteados por los demandantes, el Tribunal no puede esquivar el campo legal y desencadenar potencialmente una interrupción importante del proceso primario estatal legalmente establecido.”

Aunque Totenberg  permitió con su dictamen que el sistema Dominion sea utilizado en las elecciones del 3 de noviembre, expresó preocupaciones reales y afirmó que los “riesgos no son hipotéticos ni remotos”.

También señaló que Cobb, el director de Pro V&V, “indicó claramente que, en realidad, no afirma tener conocimientos especializados ni experiencia en ingeniería de ciberseguridad y que él mismo no realizó ningún análisis de riesgo de seguridad del sistema BMD [Ballot Marking Device]”.

Sin embargo, “los demandados estatales se basaron en el testimonio del Dr. Coomer para abordar, en base a su experiencia profesional, algunos de los problemas importantes de ciberseguridad planteados por los demandantes”.