XX — Las modalidades del voto

Chapitre XX

LAS MODALIDADES DEL VOTO

El sistema propuesto se basa en un voto frecuente: elecciones, revocaciones, referéndums. Esta sección describe la infraestructura técnica que hace todo esto posible, garantizando a la vez el anonimato, la seguridad y la practicidad.

20.1 — La tarjeta de elector anónima

El anonimato del voto es fundamental. El sistema se basa en una arquitectura donde tres elementos están separados y nunca vinculados:

ElementoContenidoPoseído por
Tarjeta de identidadNombre, foto, biometría A (huellas)Ciudadano + registro civil
Tarjeta de electorNúmero aleatorio, biometría B (iris), peso censitario cifradoCiudadano únicamente
Registro electoralNúmeros de tarjeta → votos cifradosAutoridad electoral

Tableau 20.2 — Arquitectura de separación identidad/voto

Ninguna base de datos vincula identidad ↔ número de tarjeta. El anonimato es estructural, no solo jurídico.

Separación de datos electorales Separación de datos electorales Figure 20.2 — Separación de datos electorales

Proceso de atribución:

  1. El ciudadano se presenta en el ayuntamiento con su tarjeta de identidad
  2. Verificación: no ha recibido ya una tarjeta (registro “ha recibido una tarjeta”, sin el número)
  3. El agente abre una urna conteniendo mínimo 100 tarjetas pregeneradas (números aleatorios, no activadas)
  4. El ciudadano saca una él mismo al azar —el agente nunca toca la tarjeta, nunca ve el número
  5. El ciudadano pasa a una cabina para activar la tarjeta, registrar su biometría B (iris), y recibir el documento en papel (PIN, PUK, código de propiedad)
  6. El agente valida “tarjeta entregada” sin nunca saber qué número

Actualización anual del peso censitario:

  1. El ciudadano se dirige a un terminal seguro (ayuntamiento, cabina dedicada)
  2. Inserción tarjeta de identidad → el terminal interroga a la administración fiscal → recupera el peso calculado
  3. Inserción tarjeta de elector → el terminal inscribe el peso cifrado en la tarjeta
  4. El terminal borra inmediatamente el vínculo —sin registro, máquina air-gapped (sin conexión de red)

Biometrías distintas: Las huellas (tarjeta de identidad) y el iris (tarjeta de elector) son biometrías diferentes. Imposible vincular las dos tarjetas por la biometría en las bases de datos.

Pérdida o robo: El ciudadano se presenta con su tarjeta de identidad + código de propiedad. El antiguo número es bloqueado. Nueva tarjeta con nuevo número aleatorio. Ningún vínculo identidad ↔ número es nunca almacenado.

20.2 — La cabina física

Para los votos de alto riesgo de coerción, el voto se hace en una cabina permanente en el ayuntamiento, en horarios extendidos (como una cabina fotográfica). El ciudadano se dirige allí solo, inserta su tarjeta, ingresa su PIN, y utiliza su biometría.

Voto en la cabina:

  1. Autenticación: tarjeta de identidad (foto + biometría A), luego tarjeta de elector (biometría B + PIN)
  2. Elección del voto (o blanco/gris) + opción “quiero poder revocar”
  3. El voto cifrado + peso cifrado son transmitidos al servidor con el número de tarjeta —ninguna identidad transita
  4. El ciudadano se retira con un código de verificación (prueba que su voto ha sido contado, no por quién)

Código open source: El software de la cabina es publicado. Antes de cada elección, máquinas sorteadas son auditadas —comparación de hash con el código publicado. Ciudadanos advertidos pueden verificar el checksum en la cabina.

Este desplazamiento físico tiene varias virtudes:

El tiempo de reflexión: sin revocación en caliente bajo la emoción de una polémica. El trayecto es una esclusa de descompresión.

La voluntad real: si uno se desplaza, es que le importa realmente. Es un filtro natural contra la versatilidad.

La protección contra la coerción: incluso si un cónyuge abusivo conoce los códigos, no puede entrar en la cabina en lugar de su víctima (biometría) y no puede ver lo que hace allí. Se le puede decir “está hecho” y hacer lo contrario. Nunca lo sabrá.

20.3 — Las seguridades técnicas de la cabina

La cabina está diseñada para garantizar que el ciudadano está solo y libre:

Detección de presencia: si el sistema detecta dos personas en la cabina, o si la puerta permanece abierta, rechaza funcionar. Nadie puede vigilar por encima del hombro.

Detección de aparatos electrónicos: si se detecta un teléfono, cámara, o cualquier otro dispositivo de grabación, el sistema se bloquea. No se puede ser forzado a filmar el voto para probar a alguien lo que se hizo.

Estas protecciones técnicas hacen la coerción prácticamente imposible. Incluso bajo amenaza, uno puede entrar en la cabina y hacer lo que quiera. Nadie puede verificar.

20.4 — El voto en línea

El sistema propuesto multiplica las ocasiones de voto: elecciones, revocaciones, referéndums constitucionales, referéndums sobre tratados, referéndums sobre grandes contratos públicos… Si todo debiera hacerse en cabina física, los ciudadanos pasarían su vida en el ayuntamiento.

La solución: distinguir según el riesgo de coerción.

Cabina física obligatoria:

  • Las elecciones (elegir personas)
  • Las revocaciones (deshacer personas)
  • Los referéndums constitucionales (asuntos fundamentales)

Estos votos versan sobre personas o asuntos existenciales. El riesgo de coerción es máximo: un empleador puede querer saber por quién vota, un cónyuge violento puede exigir una prueba. La cabina física con detección de presencia y bloqueo de aparatos electrónicos sigue siendo indispensable.

Voto en línea posible:

  • Los referéndums sobre contratos públicos
  • Los referéndums ordinarios (leyes, tratados comerciales, cuestiones locales)

Estos votos versan sobre proyectos o textos. El riesgo de coerción es menor: nadie va a amenazar a su mujer para que vote por tal proveedor de tranvía. E incluso si alguien intentara obligar, el asunto personal es menor —la víctima puede ceder sin traicionar sus convicciones profundas.

Las garantías del voto en línea:

  • Autenticación por tarjeta de elector + PIN + código SMS o aplicación dedicada
  • Cifrado de extremo a extremo —el servidor solo ve el voto cifrado y el peso cifrado
  • Posibilidad de “revotar” durante el período de voto —solo el último voto cuenta. Esto permite a una persona bajo coacción votar bajo vigilancia, luego revotar sola más tarde
  • Código de verificación —el ciudadano puede verificar que su voto ha sido contado
  • Auditoría pública del código fuente

El derecho a votar en cabina permanece abierto. Incluso para un referéndum ordinario, todo ciudadano puede elegir votar en cabina física en lugar de en línea. Es una opción, no una obligación.

El volumen se vuelve manejable. Con el voto en línea para referéndums ordinarios, el sistema puede funcionar sin ahogar a los ciudadanos. Los desplazamientos físicos se reservan para asuntos donde la protección máxima es necesaria.

20.5 — Estudio de caso (ejemplo empírico): El voto electrónico estonio (i-Voting, 2005-presente)

Estonia es el único país del mundo en haber generalizado el voto en línea para elecciones nacionales [132][133]. Desde 2005, todo ciudadano puede votar desde su computadora gracias a su tarjeta de identidad electrónica. En 2023, 51% de los votos en las elecciones legislativas fueron expresados en línea [134].

Lo que ha funcionado

Adopción masiva progresiva. De 2% de votos en 2005 a 51% en 2023. La confianza se construyó elección tras elección. El sistema no fue impuesto brutalmente —fue adoptado progresivamente por los ciudadanos [132].

Infraestructura de identidad digital sólida. El i-Voting se basa en el ID-kaart (tarjeta de identidad electrónica) y el Mobile-ID. 98% de los estonios tienen una identidad digital. El voto es solo una aplicación entre otras (banco, impuestos, salud) [133].

Posibilidad de revotar. El elector puede modificar su voto cuantas veces lo desee durante el período de voto anticipado. Solo el último voto cuenta. Es una protección contra la coerción: se puede votar bajo vigilancia, luego revotar solo más tarde [132].

Verificación individual. Desde 2013, cada elector puede verificar vía su smartphone que su voto ha sido correctamente registrado [134].

Costo marginal bajo. Una vez la infraestructura instalada, el costo por voto es insignificante. Sin necesidad de cabinas físicas suplementarias, de personal electoral, de escrutinio manual.

Accesibilidad. Las personas con movilidad reducida, los expatriados, los ciudadanos en desplazamiento pueden votar sin restricción logística.

Lo que plantea problemas

Vulnerabilidades identificadas. Investigadores han demostrado fallas potenciales: malware en la computadora del elector, ataques sobre servidores de recolección, manipulación posible del lado del servidor [133]. Ningún ataque exitoso ha sido probado, pero el riesgo teórico existe.

Confianza inverificable. El ciudadano ordinario no puede auditar el sistema. Debe confiar en los expertos y las autoridades. El código es publicado, pero poca gente puede verificarlo realmente.

Concentración del riesgo. Un ataque exitoso sobre el sistema central podría afectar el conjunto de la elección, a diferencia de las mesas de votación físicas descentralizadas.

Sin recibo en papel. A diferencia del voto físico, no hay traza material. Un recuento independiente es imposible.

Riesgo de coerción residual. A pesar del revote, un coactor sofisticado podría vigilar hasta el fin del período de voto. El riesgo es reducido, no eliminado.

Lo que guardamos del modelo estonio

  • La posibilidad de revotar como protección contra la coerción
  • La verificación individual de que el voto ha sido registrado
  • La infraestructura de identidad digital como prerrequisito
  • La adopción progresiva que construye la confianza
  • El código fuente público para la auditabilidad

Lo que mejoramos

  • Distinción por riesgo de coerción: nuestro sistema reserva el voto en línea para referéndums ordinarios. Las elecciones (personas) y referéndums constitucionales permanecen en cabina física —Estonia permite el voto en línea para todo
  • Cabina física reforzada: detección de presencia, bloqueo de aparatos electrónicos —protecciones que Estonia no puede ofrecer para el voto en el domicilio
  • Separación identidad/voto: nuestro sistema utiliza dos tarjetas distintas (identidad y elector) con biometrías diferentes. Estonia utiliza la misma tarjeta para todo

Lo que no retomamos

  • El voto en línea para elecciones de personas: el riesgo de coerción es demasiado elevado
  • La confianza en el voto en el domicilio: incluso con el revote, la cabina física permanece superior para asuntos mayores
  • La ausencia de traza material: nuestro sistema mantiene respaldos y mecanismos de auditoría

🌍 Langue

Chargement des langues...
Le libertarianisme libertaire
Les trois principes
⚖️ Qui paie décide — mais pas de tout.
Qui élit révoque — souveraineté permanente.
💪 Qui tombe se relève — ni assisté, ni abandonné.

Ce document décrit les moyens de faire vivre ces trois principes.

⤵️