Enlace a la versión doblada al español
Además aquí está la transcripción completa, traducida y revisada para el Canal Cardano Castellano
Transcripción completa
Doblaje al español de “Secure Voting in US Elections”
Publicado en el canal de Youtube de Charles Hoskinson el 21 de Febrero 2025
Hola, este es Charles Hoskinson, transmitiendo en vivo desde la cálida y soleada Colorado, siempre cálida, siempre soleada, a veces Colorado. Hoy es 21 de febrero de 2025, y estoy haciendo un video para hablar sobre algo que me preguntan todo el tiempo muchas, muchas personas diferentes. Mucha gente ha venido a mí y me ha dicho: “Charles, ¿podemos usar blockchain para el sistema electoral estadounidense y hacerlo mucho más seguro?” Y la respuesta es… tal vez.
Así que, primero, quiero compartir con ustedes algo escrito por algunos académicos muy famosos. Es un artículo con el que no estoy de acuerdo, y de hecho creo que es un artículo profundamente injusto, pero a veces tienes que someterte a la crítica abierta. Los autores son muy conocidos. Neha Narula es parte de la Iniciativa de Moneda Digital del MIT, pero el nombre que todos reconocen es Ron Rivest, el “R” de RSA, ganador del Premio Turing.
Yendo de mal en peor: del voto por internet al voto basado en blockchain". En el artículo detallan muchos desafíos de los sistemas blockchain, y su conclusión es bastante contundente. Básicamente, dicen que las blockchains no aportan ninguna mejora a un sistema, que la tecnología blockchain no resuelve el problema fundamental de seguridad que sufren todos los sistemas de votación electrónica. Los sistemas de votación en línea basados en blockchain son más vulnerables a fallos graves que los sistemas basados en papel. Agregar nuevas tecnologías a los sistemas puede crear nuevos potenciales de ataque.
Por supuesto, recibieron financiamiento del MIT para realizar este estudio. Y yo no estoy de acuerdo con este artículo porque creo que no han sido justos con la realidad de hacia dónde se dirige el mundo. Se han intentado construir sistemas de votación basados en blockchain. De hecho, este es un ejemplo de uno llamado Voatz. Lo que hicieron fue crear un sistema híbrido, y creo que esta es la forma correcta de hacerlo. Permítanme mostrarles un poco sobre su tecnología.
Su enfoque combina encriptación de punta a punta, registro en papel, recibos digitales seguros, almacenamiento en blockchain, verificación biométrica, auditorías de riesgo y un sistema de seguridad de datos. En otras palabras, tienen una papeleta en papel combinada con datos en blockchain y un recibo de votación. Como pueden ver, para construir un sistema como este, hay una serie de componentes que deben funcionar juntos. Hablemos de eso.
Lo primero que se necesita es un sistema de identidad realmente bueno, votación blockchain o votación en general. Mucha gente me dice: “¿Por qué no creamos un sistema de votación en blockchain para algún estado, licitarías por ello?” Vinieron numerosos estados a mí hablaron de ello y la primera respuesta es no… a menos que también estemos hablando del sistema de identidad.
Típicamente, los estados nacionales identifican a las personas mediante un artefacto llamado “documentos de origen” (breeder documents). Estos pueden ser licencias de conducir, pasaportes, certificados de nacimiento, hay toda clase de diferentes cosas que podés hacer para identificar una persona. Típicamente son documentos emitidos por el gobierno y tienen alguna noción de resistencia a la falsificación, y alguna noción de habilidad de verificación. Así que tendrás una identificación y esa identificación tendrá tal vez un pequeño holograma en ella y una marca de agua y, ya sabes, tu foto en ella y ese tipo de cosas. La gente dice que la identificación de votante, bueno, la seguridad de todo tu sistema de votación depende primero de la seguridad de tu sistema de identidad. Estos no son terriblemente seguros, son inseguros, desafortunadamente. Hay muchas maneras de falsificarlos, muchas maneras de manipularlos, muchas maneras de alterarlos y ni siquiera hay un buen registro de auditoría en los sistemas gubernamentales existentes.
Así que los documentos de origen son notoriamente poco confiables, y en muchos casos, incluso documentos falsificados pueden ser creados por una entidad gubernamental, especialmente en el extranjero. Entonces, tu sistema de identidad es el primer componente que debe cambiar antes de siquiera comenzar a hablar de votación. Número uno: identidad. Tenemos estándares como el estándar DID y tenemos cosas como Anoncreds.
Déjame mostrarte esto rápidamente. Anoncreds en el sistema DID, provienen del W3C y estos son estándares abiertos. Aquí estoy, este es el estándar de identificador descentralizado DID V1 y es una forma de representar la identidad. Ha existido durante 10 años y la gente ha trabajado en ello. Anoncreds son una forma de representar la identidad donde puedes probar propiedades de alguien sin revelar la información subyacente. Por ejemplo, puedes probar que tienes 21 años o más sin revelar tu edad real, tu nombre ni ninguna otra información, solo que esta persona tiene esta propiedad. Súper, súper idea genial. Y el grupo de trabajo Anoncreds ha estado trabajando en esto desde 2017 y ahora está la segunda versión del estándar, y Hyperledger Identus en realidad admite esto.
Bien, entonces tenemos alguna noción de cómo hacer identidad segura. ¿Hemos terminado? No, ni siquiera cerca. Ese es solo el punto de entrada a todo esto. Primero necesitas una identidad segura. Y luego, en segundo lugar, necesitas un registro seguro. Entonces, las personas que se registran para votar, sea cual sea el proceso, ya sea en tiempo real o que tome algún tiempo, deben ser capaces de comprender el sistema de identidad de una manera en la que nadie sea falso.
La razón es que puedes tener un sistema de votación súper seguro que sea completamente infalsificable, lo que significa que los conteos son completamente precisos, que nadie puede manipular tu boleta y cambiar tu boleta o introducir boletas falsificadas, pero ¿qué pasa si estás registrando a personas fallecidas o qué pasa si estás registrando a personas falsas? Entonces, un sistema de identidad sólido es bastante bueno, pero también necesitas cosas como prueba de vida, por ejemplo. También necesitas cosas como prueba de ubicación, prueba de vida, de ubicación. ¿Por qué? Porque, digamos, estás registrado para votar en el estado de Colorado, pero en realidad vives en Wyoming o California o en otro lugar y simplemente nunca actualizaste tu registro de votante. Entonces, hay un componente temporal en este tipo de cosas.
Prueba de buen estado. ¿A qué me refiero con eso? Prueba de buen estado significa si eres un delincuente, si eres elegible para votar y si cumples con ciertos criterios. Hay criterios para votar que existen. Así que el registro seguro significa que hay un proceso donde están observando y nada malo puede colarse. Luego, para un sistema de votación seguro, necesitas una boleta segura y justa. Después de registrar a las personas, necesitas una boleta que no pueda ser falsificada y que no omita candidatos legítimos, idealmente. Entonces, necesitas esa propiedad. Por ejemplo, escucharás cosas sobre cómo ingresar en la boleta. Robert Kennedy tuvo ese problema, y luego está la idea de boletas falsas o cosas por el estilo, como boletas de papel que son introducidas en el sistema. Así que deben ser a prueba de falsificación, no pueden ser manipuladas, tener alguna asombrosa propiedad.
Finalmente, después de tener todo eso, la persona que vota, el votante registrado que ha sido autenticado, debe tener algún medio para votar. A algunas personas les gustan las boletas por correo, y vaya que las odio. Creo que en realidad son una de las formas menos seguras de votar. ¿Por qué? Porque no hay cadena de custodia aquí. Es la forma más fácil de vender tu voto. La razón es que otra persona puede estar sentada contigo en la mesa del café y esa persona puede pagarte dinero para que llenes la boleta en su nombre, la firmes, la envíes por correo y nadie jamás lo sabrá. Puedes vender tu voto súper, súper fácil.
Otra cosa es que las boletas pueden ser interceptadas y la gente puede enviarlas. Y la gente dice, bueno, tenemos verificación de firma. Sí, pero eso no es tan bueno porque las firmas en los documentos de origen rara vez son muy útiles y, además, se procesan demasiadas como para que en la práctica eso sea muy efectivo. Así que no es un mecanismo muy bueno. ¿Qué pasa con votar con tu teléfono móvil? Bueno, todavía puedes vender tu voto. Nos gustan las boletas por correo, supongo que no nos importa eso. La verificación de firma puede ser reemplazada por biometría. Así que, si tu sistema de identidad tiene una huella biométrica durante el proceso de registro, al menos sabemos que en realidad fue Bob y no Alice quien votó. Pero tu teléfono puede ser hackeado. Esa es la afirmación del artículo que escribió Ron Rivest con los otros autores. Yo diría que eso es una preocupación menor con entornos de ejecución confiables. Ahora cada teléfono tiene uno y hay software inhackeable que puedes poner en ellos que es bastante bueno. Pero aun así, es un poco problemático porque el sistema es completamente digital.
Bien, entonces, ¿qué pasa si creamos un sistema híbrido? Y esta no es una idea nueva, de hecho, es una idea muy, muy antigua. Introduciré dos cosas, una que hicieron los griegos y otra de la Edad Media que solían hacer. En la época griega, tenían esto llamado ostracon. Era generalmente un pedazo de cerámica que se rompía de un jarrón de barro y se llamaba así a los fragmentos o incluso a pequeñas piezas de piedra, y escribían algo en ellos. De hecho, el término “ostracizar” proviene de esto, porque lo que hacían era usar este método de votación, escribir el nombre de una persona, y si tenías más de 6,000 fragmentos, la persona era exiliada por 10 años. Y a veces incluso usaban esto para limpiarse después de ir al baño con el nombre de la persona, así que debía ser alguien con quien realmente estaban enojados.
Es casi infalsificable porque puedes saber que es una pieza legítima ya que puedes volver a armar la vasija. En general, tienen este concepto llamado varas de conteo y tienen este concepto de vara de conteo dividida. Es realmente ingenioso. La vara de conteo dividida se convirtió en una técnica prevalente en la Europa medieval, una época caracterizada por la escasez de monedas y el analfabetismo generalizado, para documentar intercambios bilaterales en deudas. Típicamente hechas de madera de avellana cuadrada, la vara era inscrita con una serie de muescas antes de ser dividida a lo largo. Cada parte en la transacción retenía una mitad de la vara marcada, ambas piezas llevando registros idénticos. Con los años, este método se perfeccionó hasta el punto de volverse prácticamente invulnerable a la manipulación.
Una de estas mejoras fue hacer que las dos mitades de la vara tuvieran diferentes longitudes. La parte más larga se llamaba “stock” ¿Te preguntas de dónde viene la palabra “stocks”? Esta parte se entregaba al tenedor del stock, quien había adelantado dinero u otros bienes al receptor. La parte más corta de la vara se llamaba foil y se entregaba a la parte que había recibido fondos o bienes.
Utilizando esta técnica, cada una de las partes tenía un registro identificable de la transacción. Las irregularidades naturales en la superficie de las varas, donde habían sido divididas, significaban que solo las dos mitades originales podían encajar perfectamente entre sí, verificando que eran mitades coincidentes de la misma transacción. Si una de las partes intentaba cambiar unilateralmente el valor de su mitad de la vara añadiendo más muescas, la ausencia de estas muescas sería evidente en la vara de la otra parte. La vara de conteo dividida era aceptada como prueba legal en los tribunales medievales, y el Código Napoleónico todavía hace referencia a la vara de conteo en el artículo 1333.
Junto con el “danu” en Suiza, la vara de conteo se siguió utilizando en el siglo XX en economías rurales. ¿Qué te parece? Es bastante impresionante cuando lo piensas. ¿Por qué es relevante esto? Bueno, se puede crear un concepto de vara de conteo para votación usando blockchain y papeletas en papel. La idea básica es que, asumiendo que tienes un sistema de identidad seguro, un sistema de registro seguro y la capacidad de generar papel infalsificable y blockchain infalsificable, entonces puedes construir un sistema electoral donde una persona tenga dos opciones. Puede votar con su teléfono usando una aplicación especial que se ejecuta en el entorno de ejecución seguro de ese teléfono, registrado con un DID, que es su ID nacional. Cuando lo hace, el registro va a un registro blockchain y también genera un recibo en papel. Ese recibo en papel puede tratarse como una vara de conteo. Básicamente, es un pedazo de papel que está vinculado a ese registro en la blockchain y a alguna propiedad del entorno de ejecución seguro del teléfono en persona. Está enlazado a tu DID más el hardware y esto básicamente significa que esta vara de conteo, este componente, este componente, solo estas cosas pueden coincidir juntas, solo este registro puede coincidir junto. Todos deben unirse para probar el registro.
La ventaja aquí es que, si alguien manipula algo, como por ejemplo si logran hackear la blockchain y de alguna manera cambiar los registros, los recibos en papel aquí no coincidirán con el registro en la blockchain. Y si alguien intenta manipular el entorno del teléfono o cualquier otro aspecto, existen formas de diseñar este sistema para detectar el problema.
Por ejemplo, si el sistema se ejecuta en un entorno de ejecución seguro. Lo bonito es que cuando auditás la elección puedes contar las papeletas en papel y compararlas con los votos en la blockchain, estos son diferentes índices, pero deberían coincidir, al igual que en un sistema UTXO, donde las entradas coinciden con las salidas. Si quieres ser aún más riguroso, puedes incluso crear dos papeletas en papel y hacer que estén físicamente vinculadas entre sí, de manera que una esté conectada a la otra por el diseño del papel. Se podría enviar por correo ese recibo a la persona que votó con su teléfono. Si quieres hacerlo en la otra dirección, pueden votar en una máquina de votación o en una cabina de votación, y cuando votan, eso crea un registro en la blockchain que pueden verificar en su teléfono a través del sistema de registro.
Esto se llama un sistema digital híbrido. Sin embargo, solo es tan bueno como la capacidad de autenticar a Bob. Debes tener un sistema de identificación fuerte para Bob, muy fuerte. Si no puedes autenticarlo, no es bueno. Este es un sistema distribuido. La blockchain vive en la nube, las papeletas en papel se guardarían en diferentes lugares y habría dos conjuntos independientes de contadores. Los contadores de la blockchain. Los contadores del sistema de papel basado en la vara de conteo.
A medida que cuentan, incluso podrían enviar los recibos de vuelta a las personas. Entonces, si quieres crear un sistema de doble papeleta para elecciones de alta prioridad, puedes hacerlo. También se pueden crear dos sistemas de conteo independientes, donde los teléfonos pueden conservar los registros en su entorno de ejecución seguro local durante un tiempo determinado y luego sumarlos. También tendrías un registro en la blockchain, por lo que incluso puedes hacer un sistema de triple conteo si lo deseas.
Aquí está lo realmente genial: Bob también puede consultar la blockchain y, como resultado, verificar que su voto fue contado y verificar la integridad del sistema en su totalidad, tiene responsabilidad inclusiva, porque la aplicación sabe cuántos votantes registrados hay. Entonces, puedes verificar y decir: “Si hubo 1,000 personas registradas y votaron 1,000 o menos, todo parece estar bien”, podés chequear tu voto. Con Anoncreds podés verificar tu voto, probar propiedades de cómo votó sin revelar tu nombre subyacente por ejemplo, para fines de registro de votantes, supongamos que un partido importante dice que para registrarse como republicano se debe haber votado republicanos en las últimas tres elecciones, o sólo los que votaron republicanos en las últimas tres elecciones,se puede probar esto sin revelar el nombre de la persona. Se pueden hacer toda clase de cosas geniales.
Entonces votar con el teléfono es inevitable. Ocurrirá. Y los teléfonos son súper súper seguros cuando se habla de entornos de ejecución seguros como Samsung Knox y otros y mejorarán todo el tiempo. Creo que hay todo tipo de esquemas criptográficos que se pueden superponer con MPC u otras cosas si no confías completamente en ellos. Tenemos el primitivo de identidad, tenemos el concepto de un recibo en papel y también tenemos la capacidad de blockchain. Así que la respuesta es sí, creo que se puede construir un sistema seguro. Cablear todas estas cosas juntas es la parte difícil, ahí es realmente donde está el valor. Pero ningún estado está por encima de toda crítica a menos que actualice y modernice por completo su sistema de identificación.
Y lo que me parece una locura es que cuando hablo con la gente sobre un mejor sistema de identificación nacional, muchos dicen que eso es “la marca de la bestia” y que es distópico y que no podemos permitir un documento de identidad nacional. Pero luego están cómodos con las tarjetas de seguridad social, las licencias de conducir, los pasaportes y las identificaciones emitidas por el estado. Y están la NSA y la CIA, y pones toda tu información personal en Facebook, y pones toda tu información personal en Google, usas todos estos productos, tienes un teléfono Android, tienes un teléfono Apple… Saben muchísimo más que lo que tendría un documento de identidad emitido por el gobierno.
Así que tenemos una enorme vulnerabilidad en nuestro sistema de identidad, y debido a esa vulnerabilidad, el robo de identidad es un negocio de 50 mil millones de dólares al año y es terrible para las personas que son víctimas de ello. Como conversación nacional, estos temas se construyen por capas. Y lo primero que se debe hacer es construir un sistema de identificación nacional seguro con capacidades programables y portabilidad que sea autosoberano. El estándar DID es un muy buen punto de partida, y podemos encontrar algo a partir de eso.
La siguiente etapa es hablar sobre procesos seguros de registro de votantes, basados en esos DID. Y luego se puede desarrollar un sistema que permita votar con el teléfono, lo cual probablemente se convierta en la forma dominante en la que la gente vote. Y después, es de muy bajo costo añadir un sistema de blockchain y un sistema de boleta en papel. Se puede tener un recibo único o un recibo doble con un concepto de vara de conteo, y se pueden enviar los recuentos a las personas. Luego, en caso de auditoría, podríamos decir que debes conservar tus recuentos y que cualquier voto que no tenga un recuento correspondiente, ya sea digital o en papel, no será contado. Se construiría un sistema así y se pondría algo de responsabilidad en el votante para que conserve esa información en caso de auditoría.
Hay muchas maneras de abordar este problema, pero es un campo muy interesante y tiene muchas piezas en movimiento. De ninguna manera es fácil el voto electrónico. De hecho, es uno de los protocolos criptográficos más complicados, porque se maneja en un entorno intrínsecamente adversarial y con restricciones de recursos, con una enorme superficie de ataque adversarial. Es muy difícil implementarlo en la práctica. Pero este es un campo de la criptografía, y cubre todas sus áreas: la confidencialidad, la integridad, el no repudio y la autenticación. Es un rompecabezas de seguridad de la información extremadamente difícil. Pero blockchain tiene un papel que jugar, porque proporciona un mecanismo de intermediación para la coordinación de elementos. También da un lugar donde almacenar el recibo digital que coincide con el recibo en papel. De hecho, cuando se genera el recibo en papel, podría haber un secreto en la blockchain que permita decodificar algo en el recibo en papel, de manera que estén vinculados de alguna forma. Y también proporciona un espacio para la infraestructura de clave pública (PKI) en el registro de personas, lo que hace que sea resistente a manipulaciones, con marca de tiempo e inmutable. Incluso se podrían usar nonces u otros elementos para que, cuando te conectes a un sistema de votación, puedas comprometer un secreto, y la revelación de ese compromiso permita verificar la autenticidad.
Es un tema complicado, pero en general, se puede diseñar. Muchas buenas empresas han estado pensando en esto y existen muchos buenos protocolos al respecto. Es algo que podríamos construir en probablemente uno a tres años con un equipo dedicado de entre cinco y diez criptógrafos e ingenieros. Y sería un sistema que se podría construir a muy bajo costo, porque se crearía una aplicación que se ejecuta en un entorno de ejecución confiable. Y luego el registro sería muy fácil: literalmente, solo tendrías que tocar tu teléfono, y todos tienen uno de esos. Pero ni siquiera estamos considerando hacerlo. Nunca participaríamos en una licitación a menos que podamos hablar también sobre la infraestructura de identidad al mismo tiempo. De lo contrario, estaríamos construyendo la máquina de falsificación más segura jamás creada.
Hubo un cierto presidente del que, por alguna razón, mucha gente dudaba que hubiera nacido en los Estados Unidos. Y habiendo nacido en el mismo lugar que esa persona, y teniendo un abuelo que ayudó a traer niños al mundo en ese lugar, siempre me pareció gracioso cuando la gente decía eso. Decían: “tenemos pruebas irrefutables”. Pero una de las cosas que solía suceder en ese lugar antes de Medicare y Medicaid era que cuando la gente llegaba de diversos países con hijos pequeños, simplemente pagaban a los médicos para que llenaran un certificado de nacimiento y lo enviaran al estado, diciendo que habían asistido el parto. El estado decía “felicidades”, los periódicos lo reportaban y el estado emitía un certificado de nacimiento. ¿Bastante ingenioso, verdad? Si venías de Filipinas o Indonesia u otro lugar, ahora tu hijo era ciudadano estadounidense.
El problema con esto es que el certificado de nacimiento es legítimo. El estado no distingue entre uno y otro. Se siguió el proceso, se presentaron los documentos, tiene una firma… y ahí está. No puedes cambiar nada. Solo cuando la gente comenzó a hacer seguimiento de estos casos y a buscar fraudes y abusos en el sistema, se empezó a limpiar el proceso, agregando más controles y balances. El punto es que los sistemas operan en etapas. Y cuando los sistemas operan en etapas, cada etapa en la cadena debe ser segura para que el resultado final lo sea. Tener un documento legítimo de origen no significa que la información contenida en él sea precisa. Se da por hecho que la etapa anterior del sistema se realizó correctamente.
La gente a veces se enfoca demasiado en solo una cosa y dice: "esto al final debe ser legítimo. Pero un documento puede ser completamente legítimo y haber sido construido correctamente, solo que con basura entra, basura sale. El registro de votantes es un caso de estudio en esto. Si tienes personas falsas o un registro deficiente, no puedes tener un sistema de votación seguro. Así que comienzas con la identificación del votante. Debes tener un buen sistema de identidad, luego un sistema de registro seguro y solo entonces puedes hablar de un sistema electoral seguro. No puedes hacerlo al revés: no puedes empezar con un sistema electoral seguro y después descubrir cómo hacer un registro seguro y luego descubrir cómo hacer un sistema de identidad seguro. Debes resolver estos problemas en orden, o todo se vendrá abajo.
Espero que esto aclare un poco las cosas para ustedes y que les dé una idea de qué tan profundo puede ser este tema. Les recomendaría que tengan un poco de escepticismo cuando alguien diga “solo votamos con blockchain y eso soluciona todo el problema”. Es realmente difícil en la práctica, construir un sistema seguro de extremo a extremo. Hicimos esto con Cardano y la votación con CIP-1694, porque ya estabas autenticado, la gente elegible para votar son los poseedores de ADA, y la manera de probarlo es demostrando que tienes ADA. Es un sistema de clave pública y privada, que es el estándar de oro en identidad. PGP es un ejemplo de ello. Es el estándar de oro. El registro se hace a través de la blockchain, por lo que es un sistema de registro seguro y un sistema de identidad seguro. Y no se puede manipular desde afuera. Asumiendo que tu billetera no esté comprometida, no puedes cambiar el resultado de la votación. Pero eso es algo más simple que la realidad física.
La realidad física requiere papel, porque hay personas y muchas otras variables. Se necesita un sistema híbrido y algún concepto de vara de conteo para verificar que cuando las piezas se juntan, no pueden ser falsificadas. Y la buena noticia es que la humanidad ha estado haciendo esto durante más de 3,000 años. De hecho, las varas de conteo sticks se usaban en China hace 2,000 o 3,000 años, lo que te da una idea de cuán extendido está este concepto. Así que es algo en qué pensar. Que tengan un buen fin de semana, ha sido una semana larga pero divertida. Buenas noches.