Cientistas explicam como as urnas eletrônicas podem ser mais seguras

O professor Mario Gazziro durante demonstração de um protótipo de urna eletrônica de terceira geração (crédito: Beatriz Rezende/FAI-UFSCar)

O Brasil já se orgulhou de estar na vanguarda das tecnologias eleitorais. Quando, pela primeira vez, um terço dos eleitores do país escolheu os candidatos por meio da urna eletrônica, em 1996, a novidade do sistema de votação informatizado se tornou notícia no mundo. Naquele tempo, poucos brasileiros tinham familiaridade com o computador e a internet comercial sequer tinha chegado ao Brasil.

Depois de 22 anos, não é preciso ser um especialista para imaginar quantas novas tecnologias já foram desenvolvidas a fim de aprimorar a segurança – física e digital – dos processos eleitorais em todo mundo. Mas será que o Brasil continua na vanguarda da área sendo o único país em que os votos são registrados apenas eletronicamente?

A voz dos pesquisadores – Para o professor Mário Gazziro, pós-doutorando do Instituto de Ciências Matemáticas e de Computação (ICMC) da USP, em São Carlos, resistir à implantação do voto impresso deixa o país parado no tempo. “Por que o registro em papel é um avanço? Porque é a única forma de garantir que os votos sejam auditados caso haja algum problema no registro eletrônico”, explica Mário, que faz parte de um grupo de cientistas brasileiros que pesquisa tecnologias eleitorais.

Se você acredita que essa discussão sobre a necessidade do voto impresso é recente e só veio à tona nas vésperas das eleições de 2018, caiu em mais uma notícia falsa. No meio científico, o debate sobre a segurança das urnas existe desde 1996 e ganhou força a partir da realização dos testes públicos de segurança e da realização de eventos que acontecem desde 2013, quando Gazziro organizou o 1º Fórum Nacional de Segurança em Urnas Eletrônicas no ICMC (clique e assista ao vídeo do evento na íntegra). Desde aquele momento, os cientistas alertam para as diversas vulnerabilidades encontradas no sistema eleitoral brasileiro.

“Não estou dizendo que a urna já foi fraudada. Durante todos esses anos eu nunca vi provas convincentes deste tipo de fraude no Brasil, o que não quer dizer que não houve. Este é exatamente o problema: a urna sofre de uma falta de transparência muito séria. É tão mal concebida que a sua segurança não pode ser comprovada”, escreve o professor Jeroen van de Graaf, do departamento de Computação da Universidade Federal de Minas Gerais, no livro O mito da urna eletrônica – desvendando a (in)segurança da urna eletrônica.

“Permitir a conferência do registro de voto do eleitor por meio da impressão em papel não é um retrocesso porque não significa inutilizar o voto eletrônico ou retornar à forma antiga de apuração manual”, garante Gazziro, que também é professor na Universidade Federal do ABC (UFABC). “O voto impresso permite ao eleitor saber se o voto gravado eletronicamente corresponde, de fato, ao voto dado”, adiciona o especialista. Ele diz ainda que, com a impressão, os votos podem ser auditados: “Isso não quer dizer que todos os votos impressos serão contados manualmente como fazíamos no passado, mas assegura que é possível sortear algumas urnas para auditar estatisticamente o resultado”.

No artigo As urnas brasileiras são vulneráveis, publicado no Jornal da USP em maio deste ano, Walter Del Picchia, professor aposentado da Escola Politécnica da USP escreve: “O fato é que as urnas eletrônicas brasileiras são as mais atrasadas dentre as usadas na dezena de nações que praticam a eleição eletrônica. Elas não permitem saber se o voto gravado corresponde ao voto dado e não possibilitam auditoria”.

Del Picchia explica detalhadamente, no texto, a evolução nos modelos das urnas eletrônicas utilizadas no mundo. As brasileiras fazem parte da primeira geração desse tipo de equipamento, são as chamadas DRE (Direct Recording Electronic ou Gravação Eletrônica Direta). Nesse caso, como diz o próprio nome, o voto é gravado apenas eletronicamente e a confiabilidade do resultado depende totalmente dos programas instalados no equipamento.

“Há muita ênfase na possibilidade de danificarem a urna, mas acho que essa não é a principal ameaça. O problema não são apenas eventos acidentais, mas especialmente propositais, como a adulteração maliciosa do software. Por isso, o voto impresso não deve ser visto apenas como um backup, mas uma forma do sistema provar ao eleitor que está funcionando corretamente”, diz Diego Aranha, um dos maiores especialistas no assunto.

Depois do Fórum de 2013, os pesquisadores da área voltaram a se reunir em 2014, no primeiro Workshop de Tecnologia Eleitoral. Duas outras edições do evento aconteceram em 2015 e 2017, todas coordenadas por Aranha. Seguindo o exemplo de muitos outros pesquisadores do país, ele se desvinculou do Instituto de Computação da Unicamp em junho deste ano e se mudou para a Dinamarca, onde é docente na Universidade de Aarhus.

No dia 6 de junho, Aranha registrou assim sua despedida no Twitter: “Hoje marca um final triste de 6 anos de trabalho duro para provar que nosso sistema de votação é inseguro. Decidi me tornar um cientista com a firme convicção de que a ciência pode mudar e melhorar a sociedade e o mundo ao nosso redor, mas talvez eu fosse ingênuo demais para pensar que isso era possível no Brasil”.

A ilusão do sigilo – Um dos argumentos utilizados este ano pela Procuradoria Geral da República para contestar a implantação do mecanismo de impressão destaca que a mudança coloca em risco o sigilo do voto. Porém, Gazziro explica que o registro em papel não significa que o eleitor será identificado. “Independentemente do sistema eleitoral adotado, precisamos garantir que a autoria do voto seja mantida em sigilo e o conteúdo torne-se público. O problema é que, atualmente, a urna eletrônica brasileira não garante sequer o sigilo da autoria”.

O professor revela que mesmo os votos sendo anônimos e embaralhados na urna eletrônica, ainda podem ser relacionados com o número do título de cada eleitor, que é digitado pelos mesários antes do cidadão ingressar na cabine eleitoral. “Veja que há um cabo unindo o terminal em que os mesários registram o número do título e a urna eletrônica. É esse cordão umbilical que permite relacionar o voto digitado sigilosamente na urna com o número registrado no terminal. Esse mecanismo faz com que apenas camadas de software internas da urna evitem que os votos sejam desembaralhados. O ideal seria eliminarmos esse elo”, conta Gazziro.

Aranha acrescenta que o cabo de ligação não é a única ameaça ao sigilo do voto. Ele e sua equipe já participaram de vários testes públicos de segurança, que são realizados periodicamente pelo Tribunal Superior Eleitoral (TSE). Normalmente, participam da atividade cientistas, a Associação Nacional dos Peritos Criminais Federais, representantes de partidos políticos e de órgãos da sociedade civil. O objetivo desses testes, que são realizados com vários entraves e limitação de tempo, é identificar as vulnerabilidades do sistema. Nos quatro testes já efetuados (2009, 2012, 2016 e 2017), os profissionais da área de computação encontraram problemas que, na medida do possível, o TSE tenta eliminar.

Em 2012, por exemplo, acessando a urna e o Registro Digital do Voto (RDV), que é uma lista emitida depois de todo o processo de votação e apuração dos votos, Aranha e sua equipe conseguiram quebrar o sigilo dos votos. Eles demonstraram, assim, que era possível reordenar os votos e recuperar a informação de como votou o primeiro eleitor, o segundo, o terceiro e, assim, sucessivamente.

Mais vulnerabilidades – Outro problema identificado nos testes que parece não ter sido resolvido: todas as urnas eletrônicas brasileiras são protegidas por um mesmo código, um segredo criptográfico que impede o acesso de pessoas não autorizadas aos dados registrados. Ou seja, se uma urna é furtada e o criminoso descobre qual é seu segredo, terá em mãos o código que abre o acesso ao sistema de todas as urnas do país. “Qualquer pessoa que tenha acesso físico a uma urna eletrônica brasileira pode danificá-la. Por isso, os especialistas têm alertado que não basta manter a urna desconectada da internet para impedir um ataque hacker”, diz Mário.

O professor alerta que, além dos furtos de urnas, há várias situações de risco que possibilitam a realização de fraudes. Antes da eleição, por exemplo, funcionários terceirizados são contratados para inserir os softwares nas urnas. O próprio momento de votação é crítico: nos poucos segundos em que o eleitor fica sozinho na cabine pode acontecer uma tentativa de danificar a urna. Se a fraude foi bem ou mal-sucedida é que será difícil descobrir.

Também será impossível recuperar qualquer dado perdido, o que pode acontecer devido a uma fraude no equipamento ou simplesmente por causa de um problema técnico – lembrando que qualquer máquina está sujeita a mau funcionamento. Como não existem votos impressos para a checagem, tudo o que foi registrado naquela urna se perderá. “Eliminando os dados de duas urnas eletrônicas, algo em torno de 500 votos, é possível até mesmo mudar o resultado de uma eleição para vereador em cidades com menos de 200 mil eleitores. Nesses locais, é preciso cerca de 2 mil votos para eleger um vereador”, ressalta Mário.

O futuro da urna – Para enfrentar as vulnerabilidades presentes nas urnas de primeira geração, pesquisadores de todo o mundo têm buscado soluções. Em 2000, surgiu a segunda geração, as chamadas urnas VVPAT (em português: Auditoria Conferível em Papel). “Nesses equipamentos pode-se conferir os votos através do voto impresso, tornando-os independentes do software”, escreve o professor Walter Del Picchia.

“A partir de 2008, surgiram sistemas eleitorais independentes do software e que facilitam a auditoria. A Argentina (2010) criou uma cédula com um chip de radiofrequência embutido, em que, num só documento, estão presentes o registro digital e o registro impresso do voto. Há muita facilidade para se conferir o registro do voto, a apuração e a transmissão dos resultados”, acrescenta Del Picchia.

No Brasil, o professor Gazziro também criou um protótipo de urna eletrônica de terceira geração. Apresentado durante o Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais (SBSeg), realizado em 2017 em Brasília, o protótipo foi uma das atrações do bate-papo Posso confiar nas urnas eletrônicas?, realizado em maio, durante o festival de divulgação Pint of Science, em São Carlos.

No evento, Gazziro simulou um processo eleitoral e convidou a plateia para registrar o voto na urna eletrônica. À medida que cada um terminava de digitar, era possível ver o papel sendo impresso. Nele, aparecia um código de barras e o nome do candidato escolhido, sem nenhuma identificação do eleitor. Essa é a grande novidade das urnas de terceira geração: possibilitar que o registro digital e impresso andem juntos, acoplados em um único meio físico, tornando o processo eleitoral independente de qualquer software, passível de auditoria e sigiloso.

Diante de tantos avanços tecnológicos, pode soar contraditório os cientistas de computação dizerem que ainda é fundamental usarmos papel nos nossos processos eleitorais. No entanto, a aparente contradição deixa de existir quando compreendemos por que esses cientistas desistiram de buscar a segurança total dos sistemas computacionais: eles sabem que é impossível garantir 100% de segurança na área em que atuam. Eles lutam, agora, para que a segurança dos softwares por eles construídos ou por quaisquer outros especialistas seja tão passível de verificação quanto o voto de cada brasileiro.

Texto: Denise Casatti – Assessoria de Comunicação do ICMC/USP