Así puede manipular Ciudadanos sus primarias

Ciudadanos ha optado por no repetir la primarias para elegir a sus candidatos al Congreso el 26-J. Entre las bajas entre cabezas de lista antes y después del 20-D, habrá al menos 10 números 1 que cambiarán a dedo. Las dos entradas más célebres son los actores Félix Álvarez por Cantabria, y Toni Cantó, en Valencia.

Ciudadanos no hará por tanto otras primarias. Aunque, como otros partidos, sin embargo, su proceso es manipulable desde la cúpula. El partido de Albert Rivera usa una aplicación por internet para escoger a sus candidatos en las municipales, autonómicas y generales. Las herramientas de voto electrónico suelen plantear dudas, pero los agujeros en el caso de Ciudadanos son alarmantes. La Comisión de Garantías del partido ha recibido impugnaciones al menos en Alicante y Toledo y hay quejas sin respuesta en Castellón, Valladolid, Segovia o Barcelona. La falta de transparencia en el proceso hace que las dudas no queden resueltas.

En las primarias de Ciudadanos sólo pueden votar los afiliados que estén al corriente en el pago de sus cuotas y tengan una antigüedad determinada. Días antes de cada primaria, esos militantes reciben desde el partido un mensaje con las instrucciones. Para acceder a la zona de voto, necesitan su número de DNI sin letra y una contraseña.

En esas instrucciones había un punto para quienes hubieran perdido la contraseña. Se podía avisar a través del típico mensaje: “¿Has olvidado tu contraseña?”. Según el email, una vez advertido el olvido, el afiliado recibiría un mensaje que “incluirá tanto nuestro usuario (el número de DNI sin la letra) y la contraseña que habíamos olvidado”.

El método habitual para contraseñas olvidadas es recibir un enlace en el correo electrónico para renovarla. Ningún sistema seguro actual en internet devuelve la clave olvidada. Si una base de datos archiva las contraseñas sin encriptar o las manda en el cuerpo de correo -como hacía Ciudadanos-, quien tenga acceso a la base de datos puede conocerlas y utilizarlas.

Un sistema demasiado sencillo

La empresa que programó la aplicación de primarias de Ciudadanos está en Barcelona y fue fundada por un desarrollador de software en otoño de 2014. El desarrollador había trabajado antes en otros proyectos de Ciudadanos desde otra empresa. Tanto el ingeniero como los responsables del partido me pidieron que dejara al margen el nombre de la empresa y su fundador -aunque ya han salido en otros medios- porque sólo ejecutaba una orden de Ciudadanos.

Eduardo Robles, de la empresa de voto electrónico con código abierto Agora Voting, llamó a Ciudadanos en 2014 para ofrecerles sus servicios. (Agora se encarga también del sistema de Podemos.) El partido le dijo que ya estaban trabajando con alguien de Barcelona. Robles creyó que era Scytl, una multinacional líder en el sector con sede en Barcelona. Pero no era Scytl. Robles estuvo junto a otra persona más de 4 años -a media jornada- para poder garantizar que el proceso de voto por internet que ofrece es seguro. Si una empresa creada en otoño de 2014 ofrece al cabo de unos meses una aplicación de primarias tiene pocas garantías de ser un sistema con un cifrado fiable.

Después de explicar otros detalles de la aplicación sin problemas, el ingeniero que hizo el sistema de Ciudadanos me dijo que sobre la encriptación de contraseñas debía hablar con el secretario de organización, Fran Hervías. Fue sólo después de esa petición y de colgar cuando me volvió a llamar para pedirme no aparecer en esta pieza.

Una bobada de redacción

Hervías me dijo dos cosas. La primera, que “las contraseñas se guardan en un sistema de encriptación hash y ya está”. La segunda, que la contraseña vieja nunca vuelve a aparecer: “El sistema te vuelve a crear una contraseña nueva, con mayúsculas, minúsculas. El usuario vuelve entonces a entrar en el sistema y se hace otra. Claro que no es la contraseña que habías olvidado. Se crea automática y nosotros la mandamos”, dice Hervías.

¿Por qué si creaba “una nueva contraseña” el email decía que te enviaba “tu vieja contraseña”?, pregunté a Hervías. “Eso es una bobada de redacción”, respondió.

No es una bobada. Ninguna de las dos afirmaciones del secretario de Organización de Ciudadanos es cierta. Después de nuestra conversación, cinco afiliados a Ciudadanos activaron la función “He olvidado mi contraseña” y todos recibieron su vieja contraseña. Vi una de esas contraseñas y estaba formada por las iniciales del afiliado repetidas y un número importante para él. Era imposible que el sistema hubiera creado algo así. La práctica es inaceptable: “Jamás, jamás, jamás hay que enviar la contraseña por correo electrónico. Además de que pasa por varios servidores sin cifrar, si alguien accede a tu cuenta de correo ya tiene la contraseña”, dice Ricardo Galli, ingeniero y doctor en informática.

Tampoco es verdad que la encriptación sea hash como dice Hervías. “Si está cifrado con un buen hash es irreversible”, dice Galli. “El hash es de un solo sentido. A partir del hash, costaría muchos años de CPU encontrar el original”. El sistema por tanto no podría devolver -si hubiera sido encriptada con hash- la contraseña original creada por sus afiliados.

La contraseña es de todos

Los administradores de la base de datos tienen por tanto acceso a las zonas privadas de cada afiliado. Como gestores de la web, además, saben con cuánta frecuencia entra cada militante a su zona de afiliados. El nombre de usuario de los militantes de Ciudadanos no se puede cambiar: siempre es el número de DNI sin la letra. Cualquier persona con acceso a la base de datos completa podría hacer y deshacer a su voluntad sin requerir de ayuda informática específica.

En cada votación, hay un certificado conforme el proceso ha funcionado, pero incomprensiblemente lo emite la misma persona que creó el sistema. Así por ejemplo se certifica el proceso de recepción de avales para las primarias al Congreso que se celebraron entre el 12 y el 16 de julio: “[La empresa] certifica que ha diseñado e implementado de forma íntegra la plataforma de votaciones telemáticas para el desarrollo de las elecciones primarias de Ciudadanos” y que “la presentación de candidaturas ha transcurrido con total normalidad y sin ningún tipo de incidencia en la plataforma”. Ciudadanos no dispone -como Podemos- de una segunda empresa que audite las votaciones.

Para evitar suspicacias como las que EL ESPAÑOL ya contó en el caso de Aragón, el partido contrató después de las autonómicas los servicios de dos entidades con la esperanza de que dieran un barniz de fiabilidad: la Fábrica Nacional de Moneda y Timbre (FNMT) y un certificado llamado Confianza Online, poco conocido en el sector de seguridad informática.

La función exacta de la FNMT en el proceso de primarias es la siguiente: “Ciudadanos no ha contratado a la FNMT el uso de sus certificados electrónicos. Sólo el servicio de sellado de tiempo”, dicen desde la entidad. El sellado de tiempo certifica sólo una cosa, según la FNMT: “Nos limitamos a generar evidencias electrónicas de cuándo ha tenido lugar un evento y que dicho evento no pueda ser manipulado con posterioridad”. Todo sigue dependiendo de la fiabilidad del sistema puesto en marcha desde Ciudadanos.

La FNMT tampoco puede por ejemplo garantizar “el número de votos totales, que un afiliado con un mismo DNI no pueda repetir o que los votos hayan sido asignados al candidato deseado por el votante”. Todo eso depende del “sistema de voto electrónico utilizado”, dicen.

Poca confianza online

Confianza Online es un sello que analiza la fiabilidad de una página web después del pago de una cuota. Ciudadanos contrató sus servicios en junio de 2015. Confianza Online cubre “reclamaciones relacionadas con comercio electrónico, publicidad, privacidad y protección de menores”. El presunto agujero en la aplicación que podría cubrir Confianza Online es la gestión de la base de datos. Pero su código ético en este punto es genérico e incomprensible: “Los adheridos deberán confeccionar un documento de seguridad que recoja las medidas de índole técnica y organizativa interna e implantar las medidas de seguridad exigibles a los ficheros y tratamientos que realicen”.

La subdirectora de Confianza Online, Marta Ayed, aclara que su sello no entra en cuestiones internas de la empresa: “Las obligaciones de confidencialidad que haya dentro de la empresa se nos escapan. No hacemos esa comprobación. El sello cubre aspectos formales de la página web”.

Las primarias de Ciudadanos se resuelven a menudo por docenas de votos. Ricardo Galli valora que se pida un número de cuenta en vigor: “La cuenta bancaria ya es un control bastante importante. El control del censo es muy superior a Podemos, que no tenía ninguno”, dice Galli. El truco de Ciudadanos es distinto al de Podemos. En Podemos, el censo es incontrolable y opaco, pero el sistema de votación está en manos ajenas y fiables, Agora Voting, junto a otra empresa que se encarga de vigilar el proceso, Open Kratio.

Pero ni siquiera el sistema del censo es siempre tan estricto como parece. En conversaciones informales con afiliados, algunos al corriente de pago y otros no, se han encontrado con la zona de afiliados bloqueada. El partido permitía votar en las primarias de julio del Congreso y del Senado sólo a quienes se hubieran afiliado antes del 20 de junio. Pero en una provincia de Castilla y León, una junta directiva me ha facilitado las altas de dos personas después del día 20 que pudieron votar, según certifica la FNMT.

El ejemplo de Castellón

En Castellón hubo polémica con el resultado de las primarias al Congreso. Había dos candidaturas dominantes: la del candidato oficial, Domingo Lorenzo, y la del candidato crítico, José Alberto Alexandre.

Además de los números uno, los afiliados debían escoger también los puestos dos a cinco de la lista. Tanto Lorenzo como Alexandre tenían sus equipos favoritos. Varios afiliados en Castellón me han confirmado que sabían que había dos equipos claros. Alexandre obtuvo 140 votos y el resto de su equipo osciló entre 115 y 140 votos. Los candidatos del equipo presuntamente oficial obtuvieron entre 91 y 99 votos. Todos menos uno, Domingo Lorenzo, que logró 150 votos. Nadie se explica por qué. “Hubo dos o tres días de jaleo y luego se calmó”, dice Jordi Clausell, que iba en la candidatura oficial de Lorenzo.

La lista por Castellón quedó por tanto con un número uno oficial y cuatro “críticos” detrás. Pasaban las semanas y las encuestas del partido subían. Pocos días antes de la presentación de las listas, empezó a ser más posible que Ciudadanos sacara más de un escaño en Castellón.

Entonces la lista cambió por completo y solo quedó el número uno. El resto renunció. Según Fran Hervías, "por motivos personales”. Uno de ellos sí que fue “por motivos personales”. Pero Rosel Mormoneo, que iba de cuatro, no. “Simplemente renuncié”, me ha dicho. Se lo pidió “con buenas palabras” Sandra Julià, subdelegada del partido en Castellón. Rosel entendió el mensaje. La número dos por Castellón fue Sandra Julià, que no salió como diputada.

Una de las excusas que se ha dado para el cambio de puestos en la lista es que los “críticos” firmaron un manifiesto donde pedían más transparencia. Las primarias fomentan la disensión dentro de los límites del partido. Es el modo de distinguirse entre candidatos. En España es algo poco habitual: “La lealtad es la tónica dominante en los políticos españoles”, dicen los miembros de Politikon en su libro La urna rota. En la carta ética que firman los cargos públicos de Ciudadanos se les pide que cumplan “en su integridad” los acuerdos de “los Órganos centrales del Partido” y “siguiendo en todo momento las directrices que de ellos emanen”.

No solo eso. También deben tener cuidado con lo que dicen: “No efectuar sin autorización de los órganos centrales del Partido, ni aún a título personal, manifestación alguna que pudiera comprometer la independencia de criterio del Partido”. Con tanta disciplina amenazante, las primarias son difíciles.