Dr Polux
FEOfobo & CALVOfobo
¿Tiene fondo el pozo al que ha caído Scytl? La tecnológica catalana que efectuará el recuento de las elecciones municipales y autonómicas del 26 de mayo por 8,7 millones de euros ha encajado tres reveses en apenas un mes y medio. Los tres pinchazos con el voto electrónico en Suiza, la Cámara de Comercio de Barcelona y en las pruebas para el próximo 26M de sus soluciones end-to-end para el voto telemático y el escrutinio generan muy serias dudas sobre la efectividad de la firma elegida por el Ministerio del Interior.
Scytl Secure Electronic Voting SA se hizo con la contrata de Interior en enero de este año por medio una unión temporal de empresas (UTE) formada con Vector ITC Group. El departamento que comanda Fernando Grande Marlaska confió la cita electoral local y europea a nivel nacional pese a que la compañía venía de experimentar una cadena de fallos críticos en Suiza, donde una investigación académica [leer aquí] reveló en febrero tres agujeros clave en el sistema que abría la puerta, según los autores, al pucherazo. Como respuesta a ello, el Gobierno lanzó un bug bounty o intento de hackeo organizado para detectar más deficiencias en el sistema, subcontratado por Swiss Post. Hasta 3.200 piratas informáticos participaron. Dieciséis ataques dieron en la diana y revelaron "errores críticos" en el código [leer comunicado aquí]. La reputación de Scytl, que vende a 35 países, incluido Estados Unidos, se hundió.
Cámara: sistema polémico y 955 votos 'dudosos'
Tras hacerse con el contrato de las municipales y autonómicas, Scytl se las prometía felices con el voto telemático en una institución clave en Cataluña: la Cámara de Comercio de Barcelona. No obstante, el sistema de voto a distancia nunca terminó de convencer. Algunos candidatos, como Ramon Masià, impugnaron la plataforma que defendían, sobre todo, las candidaturas independentistas Eines de País (ANC) y la del empresario Enric Crous, cuya lista tenía el apoyo sotto voce del Gobierno catalán. Pese al escepticismo empresarial, la consejera de Empresa, Àngels Chacón, pasó el rodillo e impuso la votación electrónica. Lo hizo a pesar de que tuvo que contratar también a un auditor externo, Agtic Consulting, y a que tuvo que explicar físicamente a los directivos y autónomos cómo funcionaría la votación por las dudas suscitadas.
Representantes de la candidatura de la ANC en la Cámara de Comercio, celebrando su victoria provisional / TWITTER
Hay más. Tras el proceso de votación del 2 al 8 de mayo, que concluyó con la victoria de la lista Eines de País, la Junta Electoral Central no proclamó los resultados provisionales [ver aquí]. No lo hizo porque quitó 955 de los 17.224 votos emitidos por sospechas sobre su validez. Habían sido emitidos desde la misma IP o dirección que identifica a un dispositivo (un ordenador u un móvil) conectado a internet. Ello provocó una situación esperpéntica: se filtraron los resultados, la ANC los celebró, pero el organismo electoral no los hizo oficiales a la espera de que se recontaran los 955 sufragios, equivalentes al 6,3% del total. Ayer lunes, la Cámara exigió "rigor" a la Generalitat de Cataluña y advirtió del menoscabo sobre la reputación del ente cameral.
Como telón de fondo, Scytl volvía a colocarse en el punto de mira por su falta de eficacia.
Pruebas del 26M: cae el sistema
En paralelo a este fallo y no menos preocupante, Scytl ha recibido más críticas por los numerosos fallos que se produjeron durante las pruebas de las tras*misiones de datos de las elecciones municipales y europeas del 26 de mayo. La plataforma de la tecnológica que dirige Pere Vallès como presidente llegó a ver como caía el sistema y no se podían recontar los votos en algunas autonomías y provincias. Si ello hubiera ocurrido durante la jornada del 26M, el fallo hubiera significado que no se habrían podido dar los dos primeros avances de participación ni el resultado final del escrutinio. Entre otras regiones afectadas por la chapuza de la firma se cuentan Galicia, Canarias, Asturias y la provincia de Teruel. Si la incapacidad de tras*misión se repite el día de los comicios, la start up habría desempeñado una pobre labor sustituyendo a Indra como proveedor de este servicio para el Ministerio de Interior.
https://twitter.com/joseluislopezg8
De hecho, el polémico sistema de tras*misión de datos ha sido objeto de crítica en las redes sociales. Así lo atestiguaron secretarios municipales en Twitter, donde se quejaron de que formadores de la empresa "no se presentaron"; de que éstos fueron sustituidos por compañeros "que no tenían ni idea" y que en algunos casos, el software de tras*misión de datos "no estaba ni cargado en los ordenadores" con los que se llevaban a cabo las sesiones a los funcionarios. Algunos de ellos indicaron que "se echaba de menos a Indra", compañía a la que Scytl arrebató el concurso del 26M por ofrecer dos millones menos en la licitación.
"Ha crecido demasiado rápido"
Una portavoz de la tecnológica ha insistido en que la firma no sufrió hackeoalguno en Suiza, sino que se participó en "una iniciativa de tras*parencia y hacking ético abierto de un prototipo de su nueva plataforma para el mercado suizo". La misma fuente ha tildado de "desinformación" las noticias referentes a agujeros de seguridad en su sistema de votación telemática en el Estado no miembro de la Unión Europea. "De los más de 3.000 participantes que se han registrado en este programa y tenido acceso al código fuente, sólo un grupo de tres investigadores publicó informes explicando que habían identificado una potencial vulnerabilidad que podría afectar la auditoría del sistema", ha defendido el representante. En relación a la Cámara, ha desmentido Scytl que se produjera fallo alguno. "Ha funcionado con total seguridad", ha señalado. Con respecto a las pruebas para las elecciones del 26M, la tecnológica no da información y se remite al Ministerio del Interior.
Imagen de un votante ejerciendo su derecho a voto / CG
Fuentes del sector son más duras con el desempeño de la compañía. "La solución de Scytl para voto telemático es segura. Funciona. Lo que sorprende es su afán por meterse en campos --como el recuento electoral-- que no son su especialidad", critican. Atribuyen estas decisiones a "un afán por maximizar beneficios" y lo vinculan a la composición accionarial de la start up. No en vano, fondos de inversión como como Vulcan Capital, Balderton Capital, Nauta Capital, Spinnaker Invest, Sapphire Ventures, Vy Capital, Industry Ventures y Adams Street Partners copan la mayoría del capital. "Empezó como spin off de un departamento de investigación de la Universidad Autónoma de Barcelona (UAB), pero mutó. Pegó un pelotazo y se revalorizó. Sus dueños --salvo Andreu Riera, su cofundador, que murió por un accidente de tráfico en 2006-- se hicieron ricos. Pero ahora no llegan con el voto telemático. Necesitan más ingresos y por ello se están sobredimensionando y compitiendo en campos en los que no son buenos", explican las mismas voces.
Cercana al Gobierno catalán
Según las mismas voces, otro elemento a tener en cuenta es el hecho de que, insisten, "la patente de Scytl funciona --no así otra que salió del mismo equipo, pero la spin off vinculada naufragó--, aunque ésta rebaja la seguridad digital en función de los intereses del cliente, en la misma lógica de ganar clientes e ingresos a toda costa". Según estos expertos, "ocurrió en 2010, con la fallida consulta de la Diagonal que se cobró la cabeza del entonces alcalde de Barcelona, Jordi Hereu", y podría ocurrir en el futuro si "el cliente pide a la tecnológica que rebaje los mecanismos de validación para lograr una mayor participación. En el voto electrónico, seguridad y usabilidad son antónimos". Otro directivo del sector valora que el voto a distancia "está muy influenciado por el dinero y el poder que decide la elección". ¿A qué se refiere? "Se podría llegar a saber qué ha votado la gente, como en Venezuela. Y por otro lado, hay una cuestión teórica: amplía la distancia percibida por el votante entre su papeleta y el resultado final. Ello mina la confianza".
Existe también un ángulo político en las chapuzas de Scytl. Teóricamente es una historia de éxito, una spin off exitosa de la UAB que nació de la tesis de un estudiante y que dio el salto a Silicon Valley. Flirteó con dar el salto al Nasdaq en 2017. Pero la realidad es más compleja. Cuenta con financiación del holding del Gobierno catalán: AvançSA. El vehículo de inversión no presupone ideología alguna, por supuesto, pero sí que presenta politización al financiar a aventuras empresariales como Parlem, el intento de grupo de telecomunicaciones dirigido a clientes independentistas en Cataluña.
Scytl, la empresa que contará las elecciones del 26 de mayo: de chapuza en chapuza
Scytl Secure Electronic Voting SA se hizo con la contrata de Interior en enero de este año por medio una unión temporal de empresas (UTE) formada con Vector ITC Group. El departamento que comanda Fernando Grande Marlaska confió la cita electoral local y europea a nivel nacional pese a que la compañía venía de experimentar una cadena de fallos críticos en Suiza, donde una investigación académica [leer aquí] reveló en febrero tres agujeros clave en el sistema que abría la puerta, según los autores, al pucherazo. Como respuesta a ello, el Gobierno lanzó un bug bounty o intento de hackeo organizado para detectar más deficiencias en el sistema, subcontratado por Swiss Post. Hasta 3.200 piratas informáticos participaron. Dieciséis ataques dieron en la diana y revelaron "errores críticos" en el código [leer comunicado aquí]. La reputación de Scytl, que vende a 35 países, incluido Estados Unidos, se hundió.
Cámara: sistema polémico y 955 votos 'dudosos'
Tras hacerse con el contrato de las municipales y autonómicas, Scytl se las prometía felices con el voto telemático en una institución clave en Cataluña: la Cámara de Comercio de Barcelona. No obstante, el sistema de voto a distancia nunca terminó de convencer. Algunos candidatos, como Ramon Masià, impugnaron la plataforma que defendían, sobre todo, las candidaturas independentistas Eines de País (ANC) y la del empresario Enric Crous, cuya lista tenía el apoyo sotto voce del Gobierno catalán. Pese al escepticismo empresarial, la consejera de Empresa, Àngels Chacón, pasó el rodillo e impuso la votación electrónica. Lo hizo a pesar de que tuvo que contratar también a un auditor externo, Agtic Consulting, y a que tuvo que explicar físicamente a los directivos y autónomos cómo funcionaría la votación por las dudas suscitadas.
Representantes de la candidatura de la ANC en la Cámara de Comercio, celebrando su victoria provisional / TWITTER
Hay más. Tras el proceso de votación del 2 al 8 de mayo, que concluyó con la victoria de la lista Eines de País, la Junta Electoral Central no proclamó los resultados provisionales [ver aquí]. No lo hizo porque quitó 955 de los 17.224 votos emitidos por sospechas sobre su validez. Habían sido emitidos desde la misma IP o dirección que identifica a un dispositivo (un ordenador u un móvil) conectado a internet. Ello provocó una situación esperpéntica: se filtraron los resultados, la ANC los celebró, pero el organismo electoral no los hizo oficiales a la espera de que se recontaran los 955 sufragios, equivalentes al 6,3% del total. Ayer lunes, la Cámara exigió "rigor" a la Generalitat de Cataluña y advirtió del menoscabo sobre la reputación del ente cameral.
Como telón de fondo, Scytl volvía a colocarse en el punto de mira por su falta de eficacia.
Pruebas del 26M: cae el sistema
En paralelo a este fallo y no menos preocupante, Scytl ha recibido más críticas por los numerosos fallos que se produjeron durante las pruebas de las tras*misiones de datos de las elecciones municipales y europeas del 26 de mayo. La plataforma de la tecnológica que dirige Pere Vallès como presidente llegó a ver como caía el sistema y no se podían recontar los votos en algunas autonomías y provincias. Si ello hubiera ocurrido durante la jornada del 26M, el fallo hubiera significado que no se habrían podido dar los dos primeros avances de participación ni el resultado final del escrutinio. Entre otras regiones afectadas por la chapuza de la firma se cuentan Galicia, Canarias, Asturias y la provincia de Teruel. Si la incapacidad de tras*misión se repite el día de los comicios, la start up habría desempeñado una pobre labor sustituyendo a Indra como proveedor de este servicio para el Ministerio de Interior.
https://twitter.com/joseluislopezg8
De hecho, el polémico sistema de tras*misión de datos ha sido objeto de crítica en las redes sociales. Así lo atestiguaron secretarios municipales en Twitter, donde se quejaron de que formadores de la empresa "no se presentaron"; de que éstos fueron sustituidos por compañeros "que no tenían ni idea" y que en algunos casos, el software de tras*misión de datos "no estaba ni cargado en los ordenadores" con los que se llevaban a cabo las sesiones a los funcionarios. Algunos de ellos indicaron que "se echaba de menos a Indra", compañía a la que Scytl arrebató el concurso del 26M por ofrecer dos millones menos en la licitación.
"Ha crecido demasiado rápido"
Una portavoz de la tecnológica ha insistido en que la firma no sufrió hackeoalguno en Suiza, sino que se participó en "una iniciativa de tras*parencia y hacking ético abierto de un prototipo de su nueva plataforma para el mercado suizo". La misma fuente ha tildado de "desinformación" las noticias referentes a agujeros de seguridad en su sistema de votación telemática en el Estado no miembro de la Unión Europea. "De los más de 3.000 participantes que se han registrado en este programa y tenido acceso al código fuente, sólo un grupo de tres investigadores publicó informes explicando que habían identificado una potencial vulnerabilidad que podría afectar la auditoría del sistema", ha defendido el representante. En relación a la Cámara, ha desmentido Scytl que se produjera fallo alguno. "Ha funcionado con total seguridad", ha señalado. Con respecto a las pruebas para las elecciones del 26M, la tecnológica no da información y se remite al Ministerio del Interior.
Imagen de un votante ejerciendo su derecho a voto / CG
Fuentes del sector son más duras con el desempeño de la compañía. "La solución de Scytl para voto telemático es segura. Funciona. Lo que sorprende es su afán por meterse en campos --como el recuento electoral-- que no son su especialidad", critican. Atribuyen estas decisiones a "un afán por maximizar beneficios" y lo vinculan a la composición accionarial de la start up. No en vano, fondos de inversión como como Vulcan Capital, Balderton Capital, Nauta Capital, Spinnaker Invest, Sapphire Ventures, Vy Capital, Industry Ventures y Adams Street Partners copan la mayoría del capital. "Empezó como spin off de un departamento de investigación de la Universidad Autónoma de Barcelona (UAB), pero mutó. Pegó un pelotazo y se revalorizó. Sus dueños --salvo Andreu Riera, su cofundador, que murió por un accidente de tráfico en 2006-- se hicieron ricos. Pero ahora no llegan con el voto telemático. Necesitan más ingresos y por ello se están sobredimensionando y compitiendo en campos en los que no son buenos", explican las mismas voces.
Cercana al Gobierno catalán
Según las mismas voces, otro elemento a tener en cuenta es el hecho de que, insisten, "la patente de Scytl funciona --no así otra que salió del mismo equipo, pero la spin off vinculada naufragó--, aunque ésta rebaja la seguridad digital en función de los intereses del cliente, en la misma lógica de ganar clientes e ingresos a toda costa". Según estos expertos, "ocurrió en 2010, con la fallida consulta de la Diagonal que se cobró la cabeza del entonces alcalde de Barcelona, Jordi Hereu", y podría ocurrir en el futuro si "el cliente pide a la tecnológica que rebaje los mecanismos de validación para lograr una mayor participación. En el voto electrónico, seguridad y usabilidad son antónimos". Otro directivo del sector valora que el voto a distancia "está muy influenciado por el dinero y el poder que decide la elección". ¿A qué se refiere? "Se podría llegar a saber qué ha votado la gente, como en Venezuela. Y por otro lado, hay una cuestión teórica: amplía la distancia percibida por el votante entre su papeleta y el resultado final. Ello mina la confianza".
Existe también un ángulo político en las chapuzas de Scytl. Teóricamente es una historia de éxito, una spin off exitosa de la UAB que nació de la tesis de un estudiante y que dio el salto a Silicon Valley. Flirteó con dar el salto al Nasdaq en 2017. Pero la realidad es más compleja. Cuenta con financiación del holding del Gobierno catalán: AvançSA. El vehículo de inversión no presupone ideología alguna, por supuesto, pero sí que presenta politización al financiar a aventuras empresariales como Parlem, el intento de grupo de telecomunicaciones dirigido a clientes independentistas en Cataluña.
Scytl, la empresa que contará las elecciones del 26 de mayo: de chapuza en chapuza