Caracas (Venezuela) - 6 de julio de 2004


La discusión sobre las posibilidades de fraude en el venidero
Referendo Revocatorio Presidencial se ha venido llevando a cabo a
través del análisis de la automatización como modo de eliminar, o al
menos reducir, los anteriores vicios. El fraude se vale
principalmente de la falsificación de documentos de identidad, del
forjamiento de las actas en los centros de votación y/o de la
tergiversación de los datos compilados en el centro de acopio
principal situado en la sede del ente comicial en Caracas.

Pero, si bien este sistema automatizado puede reducir la posibilidad
del fraude tradicional, ¿no abre otras posibilidades de hacerlo a
través de la manipulación de datos por parte de piratas
informáticos, mejor conocidos como hackers?... ¿No es más
transparente un sistema de conteo manual, con testigos de las partes
involucradas en todas las instancias de compilación, que una caja
negra automatizada vulnerable a los temibles hackers?... Ante esta
pregunta, la compañía SmartMatic, que provee el servicio de
automatización al Consejo Nacional Electoral, nos contestaría de
manera rápida y segura que no, debido a que la información será
transmitida de manera "encriptada (sic.) o codificada de una forma
extremadamente dura, con clave pública/clave privada de 128 bits, la
más fuerte que existe" [1].

Ahora bien, ¿qué es un código criptográfico?. Es un mensaje en clave
secreta que impide que quien no conozca la misma pueda descifrar el
mensaje. Por ejemplo, si usted dice "cutilo-cutico" y su
interlocutor sabe que la clave es quitar el "cuti" de cada sílaba,
entonces sabrá que usted está diciendo "loco", de otro modo no
entenderá nada.

Los códigos criptográficos han sido usados desde la antigüedad, en
especial en tiempos de guerra y siguen siendo utilizados,
potenciados con las capacidades de cómputo del momento. Los sistemas
de comunicación por Internet lo usan cada vez que accedemos al
correo electrónico o cuando revisamos una cuenta bancaria.

Existen diversos tipos: uno de ellos es el código criptográfico de
128 bits. Para descifrarlo tenemos una única posibilidad en un
número de 128 guarismos de largo en combinaciones de ceros y unos.
De acuerdo al Departamento de Justicia de Estados Unidos se
necesitaría un promedio de 58 años de procesamiento continuo en un
clúster de 10 mil procesadores Pentium, trabajando paralelamente,
para poder descifrar la "llave" de un código de sólo 64 bits [2], de
acuerdo al Instituto Nacional de Estándares y Tecnología (NIST) del
mismo país se necesitarían 149 billones de años si fuese un mensaje
en criptografía de 128 bits [3].

La "llave" es un número de, en este caso, 128 guarismos de largo de
diversas combinaciones de ceros y unos que permite descifrar el
mensaje. Se trataría del "cuti" del ejemplo anterior. Lo que dicen
los representantes de SmartMatic es cierto, un código criptográfico
de 128 bits es imposible de burlar, incluso para la CIA, la NSA y el
Departamento de Defensa de los EE.UU. y ellos lo saben, muy bien,
por cierto.

Desde 1971 IBM estaba en capacidad de proveer productos de
traducción de códigos criptográficos de 128 bits, sin embargo la
Agencia de Seguridad Nacional (NSA) de EE.UU. se lo prohibió y sólo
pudo liberar productos de hasta 56 bits [4]. Hasta 1996 ninguna
compañía estadounidense podía vender productos de criptografía de
más de 56 bits sin la autorización expresa del Departamento de
Estado.

A partir de 1996, a instancia del entonces vicepresidente Albert
Gore Jr., la responsabilidad por la política alrededor de los
códigos de criptografía pasó al Departamento de Comercio para así
impulsar el desarrollo del comercio electrónico. Rápidamente la
comunidad de inteligencia de EE.UU. (la CIA, la NSA, el Departamento
de Defensa y el FBI) intervino y se introdujo en el Congreso el
Proyecto de Ley 695 (H.R. 695) para procurar modos mediante los
cuales no se vendiese libremente los productos de criptografía de
128 bits o se tuviesen herramientas para poder acceder a las
"llaves" que permitían descifrar los mensajes codificados de
aquellas personas y organizaciones bajo vigilancia por las agencias
de inteligencia.

Los propulsores de la ley enfrentaron las críticas de los defensores
del derecho a la privacidad mostrando que para ese momento ya se
sabía que Ramzi Yousef, quien había planeado el sabotaje de once
vuelos de aerolíneas estadounidenses, usaba códigos electrónicos
criptográficos. Corría 1997 cuando el plan de Yousef fue descubierto
y desmontado. El plan del once de septiembre de 2001 no tuvo la
misma suerte...

El Comité de Defensa del Senado estadounidense en la discusión
alrededor del Proyecto de Ley 695 citaba al entonces Secretario de
Defensa William Cohen quien decía que "la aprobación de una
legislación que efectivamente elimine las regulaciones en la
exportación de códigos de criptografía comercial, minaría los
esfuerzos de los EE.UU. por promover una infraestructura de
recuperación de llaves que preserve las habilidades de los gobiernos
para contrarrestar al terrorismo mundial y al tráfico y
proliferación de narcóticos" [5].

Como resultado de esta discusión se decidió que se permitiría el uso
libre de la criptografía de 128 bits dentro del territorio de EE.UU.
y Canadá. Para poder acceder a portales que usan códigos
criptográficos de 128 bits desde fuera de los dos países
norteamericanos, las empresas estadounidenses concertaron con el
Departamento de Comercio la habilitación en los navegadores de
Internet de emuladores que permitiesen simular un ambiente de
codificación de 128 bits, mientras que en realidad se encuentra en
uno de 40 bits.

El emulador de Internet Explorer se llama Server Gated Cryptography,
el de Netscape International Step-Up Un buen resumen en castellano
lo puede obtener en [6]. La diferencia entre un código de 128 bits y
uno de 40 es 309.485.009.821.345.068.724.781.056 posibilidades lo
cual se traduce en que una agencia de inteligencia militar puede
traducir un código de 40 bits en microsegundos mientras que tardaría
milenios en el otro caso [7].

Sin embargo, los productos de criptografía de 128 bits pueden ser
exportados fuera de los EE.UU. siguiendo meticulosos trámites ante
la Oficina de Seguridad e Industria del Departamento de Comercio. En
las regulaciones se menciona que las restricciones de exportación
incluyen revisiones técnicas del producto cuando se trate de la
venta a otros gobiernos siempre que fuesen los de Suiza, Nueva
Zelanda, Australia, Japón y los de algunos países de la Unión
Europea. La exportación de productos de criptografía a gobiernos de
países distintos a los ya mencionados es posible, pero siguiendo
trámites aún más restrictivos. Por último, se prohíbe expresamente
toda exportación a particulares u organizaciones en Cuba, Irán,
Irak, Libia, Corea del Norte, Siria y Sudán [8].

De modo tal que, dado todo lo anterior, la empresa SmartMatic o bien
nos está proveyendo un sistema de emulación de criptografía de 128
bits que realmente es de 40 bits, o por el contrario de un producto
cuya exportación ha sido revisada y aprobada, incluso técnicamente,
por el gobierno de Estados Unidos. En el primer caso, el código es
fácilmente violable con la infraestructura electrónica adecuada. En
el segundo, SmartMatic, que vale la pena recordar es una compañía
estadounidense con sede en Boca Ratón (asociada además en el
consorcio SBC con Cantv cuyo accionista mayoritario es la empresa
GTE, también estadounidense), debió haber obtenido permiso del
gobierno de EE.UU. para utilizar un producto de criptografía en el
sistema electoral del Estado venezolano.

¿Bajo qué condiciones obtuvieron el permiso de usar un producto de
criptografía en Venezuela? ¿Sería mucho especular que con este
sistema de criptografía el gobierno de EE.UU. podría estar en
capacidad de modificar los datos en el sistema electoral
automatizado que estamos implantando para eliminar los vicios del
sistema manual? ¿Será que el gobierno del presidente George W. Bush
tiene la llave electrónica que le permitiría vulnerar los datos del
venidero Referendo Revocatorio del mandato constitucional del
presidente Chávez?


José J. Contreras
Cursante del Programa de Doctorado en Ciencias Aplicadas,
Mención Sistemología Interpretativa, Universidad de los Andes




[1] "Conozca las máquinas de SmartMatic y sepa cómo se votará el 15
de agosto". Radio Nacional de Venezuela.
http://www.rnv.gov.ve/noticias/?act=ST&f=15&t=6034

[2] "Department of Justice. FAQ on Encryption Policy, April 24,
1998". http://www.usdoj.gov/ criminal/cybercrime/cryptfaq.htm

[3]
http://www.bxa.doc.gov/encryption/guidance.htmhttp://csrc.nist.gov/CryptoToolkit/aes/aesfact.html

[4] Peha, Jon. Encryption Policy Issues. http://www.ece.cmu.edu/
peha/encrypt.pdf

[5] Committee Report 1 of 5 - House Rpt. 105-108 - Part 3 - Security
and freedom through encryption (Safe) act of 1997.
http://thomas.loc.gov/

[6] http://digisign.50megs.com/sgc.html

[7] http://www.sslreview.com/ssl-certificate-content/sgc.pdf

[8] Verhttp://www.bxa.doc.gov/encryption/guidance.htm




www.alia2.net/article1360.html





************************************************
" No habría explotación si la gente se negara a obedecer al explotador".

Gandhi