Resumen
- El secreto del voto significa que los registros electorales no deben revelar las selecciones de candidatos de un miembro identificable. No exige secreto sobre la elegibilidad del votante, la autoridad corporativa, la concentración de poderes, los controles del sistema, los incidentes, la participación total o la base de la certificación.
- Las elecciones de los RIR manejan votos organizacionales en lugar de sufragio universal, pero aún necesitan las propiedades familiares identificadas por la investigación en seguridad electoral: confidencialidad de la selección, control de acceso, protección de datos, auditabilidad, registros resilientes, monitoreo y verificación independiente.
- APNIC registra la identidad del miembro y el derecho de voto para auditoría, declarando las papeletas confidenciales; RIPE NCC utiliza una plataforma de votación de terceros y códigos de acceso separados; LACNIC proporciona una etapa de auditoría y quejas para los votantes; las disputas de 2025 de AFRINIC muestran el costo de una reconciliación pública incompleta.
- Un diseño de dos capas separa un libro de autoridad identificado de un dominio de voto anónimo. Un token de elegibilidad unidireccional permite un voto válido sin que el personal rutinario, los candidatos o el público puedan vincular al miembro con su elección.
- La evidencia pública debe incluir reglas, totales de elegibles, atestaciones de configuración y pruebas, asignación de roles, divulgación de conflictos, resúmenes de incidentes, reconciliación, resultados agregados y certificación independiente. La evidencia restringida debe permanecer disponible para un auditor autorizado y un revisor bajo acceso controlado.
El secreto protege la elección, no la administración
El voto secreto existe para que un votante pueda elegir sin tener que demostrar esa elección a un empleador, candidato, acreedor, gobierno u organizador. Reduce la exigibilidad de amenazas y compra de votos. También protege la autonomía política después de la elección, cuando un bando perdedor puede controlar los recursos institucionales.
Los administradores electorales a veces extienden este principio mucho más allá de la selección. Se niegan a revelar quién era elegible, cómo se verificó la autoridad, cuántos poderes acumulaba una persona, quién configuró el servicio o por qué se rechazó una credencial. El resultado no es un mayor secreto del voto, sino una elección que no puede evaluarse sin confiar en las personas que la gestionaron.
El límite puede enunciarse de forma sencilla. La información que vincula a un votante identificable con la elección de un candidato goza de una alta protección. La información necesaria para demostrar que solo los derechos elegibles entraron en el recuento, que cada derecho aceptado se contó como se pretendía y que nadie pudo alterar el resultado debe registrarse y, en un nivel apropiado, divulgarse.
Algunos registros se sitúan cerca del límite. El historial de participación revela que una organización votó, aunque no cómo. En un electorado muy pequeño, publicar el horario detallado o el estilo de la papeleta puede facilitar inferencias. Una lista de poderdantes combinada con la campaña pública de un apoderado puede exponer posibles elecciones. Por tanto, una buena divulgación utiliza agregación, demora y controles de acceso en lugar de una negativa general.
La distinción es importante para los registros regionales de Internet porque los miembros son organizaciones. Una empresa puede tener razones legítimas para mantener su participación en privado; otra puede exigir confirmación de que su representante designado actuó. El registro debe proteger la elección secreta preservando al mismo tiempo un rastro de autoridad corporativa auditable.
La infraestructura pública no son papeletas públicas. Es un sistema cuyas reglas, controles y funcionamiento agregado pueden ser examinados, con evidencia restringida disponible para revisores independientes. El secreto pertenece a la decisión política del votante. Nunca debe convertirse en un privilegio general del administrador.
La identidad y la elección deben separarse deliberadamente
Toda elección de miembros comienza con la identidad. El registro necesita saber que una organización es elegible, está al corriente cuando se requiere y está representada por una persona autorizada. La votación electrónica puede requerir una cuenta, autenticación multifactor o verificación de identidad. Una elección en papel puede requerir un registro y una credencial en la mesa.
La votación solo debe comenzar después de que termine esa decisión de identidad. El sistema identificado emite un derecho o token de un solo uso. El servicio de votación lo acepta, registra la selección sin la identidad del miembro y evita su reutilización. La reconciliación demuestra que los derechos emitidos, usados, revocados y no usados cuadran. El personal rutinario no debe poseer una tabla que relacione los tokens con las elecciones.
Esta separación es una decisión arquitectónica, no una promesa en un aviso de privacidad. Los registros pueden anularla silenciosamente. Las marcas de tiempo exactas, las direcciones de red, las secuencias únicas de papeletas y los detalles del navegador pueden permitir que se correlacionen dos bases de datos. Los administradores deben recopilar solo lo que la seguridad requiere, granular o separar el tiempo cuando sea posible y comprobar si un usuario privilegiado podría reconstruir los votos.
Lostérminos de votación en línea de APNICilustran la tensión necesaria. El servicio registra el miembro, la persona que vota y el número de votos para auditoría, al tiempo que declara que todas las papeletas son confidenciales. Una evaluación robusta pregunta dónde termina ese registro de auditoría identificado y si las selecciones de candidatos permanecen fuera de él.
Laguía de votación de RIPE NCCdescribe un servicio de terceros, un enlace único y dos códigos. El recorrido de usuario publicado ayuda a los miembros a entender el acceso. La garantía independiente debería explicar adicionalmente la separación de identidad, código y registro de voto emitido sin exponer secretos de seguridad.
Ningún sistema electrónico puede basarse únicamente en la frase voto anónimo. Las preguntas relevantes son qué registros existen, quién puede acceder a ellos, cómo pueden correlacionarse, cuánto tiempo permanecen y qué probó un auditor. La separación deliberada permite a la institución ser estricta con la elegibilidad e igualmente estricta con el secreto.
La auditabilidad y el secreto son propiedades compatibles
Ladiscusión del Instituto Nacional de Estándares y Tecnología sobre las propiedades deseables de los sistemas de votacióntrata la auditabilidad, el secreto del voto, la resistencia a la coacción, la usabilidad y la accesibilidad como objetivos de diseño relacionados. Susobjetivos de seguridademparejan igualmente las elecciones basadas en evidencia con registros que no revelan la intención de un votante identificable.
Ese emparejamiento es importante porque el debate público a menudo presenta una falsa disyuntiva: publicar evidencia detallada y exponer a los votantes, o proteger a los votantes y aceptar una caja negra. El diseño de auditoría moderno existe precisamente para evitar esa elección. Verifica el proceso y el resultado mediante registros que son independientes de la asociación secreta entre persona y selección.
Para un RIR, la auditabilidad significa más que recontar los totales de los candidatos. El auditor debería poder confirmar la población de miembros elegibles, los representantes autorizados, un derecho por cada facultad aplicable, el peso de voto correcto, la prevención exitosa de duplicados, la configuración exacta, el manejo completo de incidentes y un recuento matemáticamente consistente. Nada de eso requiere publicar las elecciones de candidatos de un miembro.
El secreto también debe sobrevivir a la auditoría. Un auditor debe recibir solo los datos mínimos identificados necesarios para cada prueba. Cuando se necesite el libro de autoridad completo, las selecciones de candidatos deben permanecer en otro dominio controlado. Los informes deben agregar grupos pequeños. Los papeles de trabajo de auditoría necesitan reglas de conservación y eliminación.
La evidencia puede ser criptográfica, documental, procedimental o física. No se debe asumir que una prueba técnica resuelve la autoridad corporativa o que las actas firmadas demuestran que el software se comportó correctamente. La verificación independiente se nutre de varios registros con diferentes modos de fallo.
La institución debe declarar su modelo de confianza. ¿Qué actores podrían alterar la elegibilidad? ¿Quién podría cambiar la configuración de la papeleta? ¿Quién posee la autoridad de descifrado o de recuento? ¿Puede una sola persona realizar una operación crítica? Los antiguos requisitos de transmisión del NIST, por ejemplo, incluyen la autorización de dos personas para el procesamiento crítico de votos a través de redes públicas. El control específico puede variar, pero la concentración de privilegios debe ser visible.
La auditabilidad no debilita el secreto. Bien diseñada, proporciona la evidencia de que el secreto se preservó mientras el resultado se mantuvo correcto.
El libro de autoridad debe ser inspeccionable
Antes de que exista un voto secreto, hay un libro de autoridad. Contiene los miembros elegibles, los pesos de voto, los contactos designados, los poderes, los cambios de estado y los derechos emitidos. Los errores aquí pueden excluir a un votante legítimo o admitir a uno no autorizado. El libro es, por tanto, parte de la elección, no una administración ordinaria de miembros reutilizada temporalmente.
El acceso público no debe exponer números de teléfono personales, documentos de identidad o detalles de cuenta. La institución puede publicar las reglas, el total de organizaciones elegibles, las categorías de exclusión, el registro provisional en un nivel organizativo apropiado y un mecanismo de corrección. Cada miembro debe ver privadamente su propio estado y representante.
Elcalendario electoral extraordinario de 2026 de LACNICpublicó un registro de votantes y permitió quejas mucho antes de la votación. Esa secuencia distribuye la detección de errores. Un miembro puede identificar una omisión mientras la corrección sigue siendo posible. La Comisión Electoral se hace responsable de las respuestas antes de que se abra la votación.
La elección sustitutiva de AFRINIC de 2025 también utilizó etapas de registro de votantes provisional y definitivo. Esta fue una mejora importante tras las disputas en torno a la elección de junio. Sin embargo, la publicación por sí sola es insuficiente si los criterios, el registro de cambios o las razones de exclusión permanecen poco claros. Un registro definitivo debe ir acompañado de totales que muestren las adiciones, eliminaciones y correcciones respecto a la versión provisional.
El auditor necesita el libro restringido completo, que incluya evidencia de autoridad, marcas de tiempo y acciones del personal. El muestreo debe comprobar si el cargo corporativo registrado tenía poder para designar, si se aplicaron revocaciones, si una persona física controlaba varias organizaciones y si los cambios tardíos siguieron las reglas comunes.
Los candidatos no deben recibir datos de contacto privados de los miembros simplemente porque se presentan a la elección. Pueden recibir información agregada del electorado y cualquier registro organizativo público autorizado por las normas de gobierno. El acceso para campaña y el acceso para auditoría tienen propósitos diferentes.
Un libro de autoridad inspeccionable da a los miembros la confianza de que el voto secreto parte de un electorado legítimo. Sin él, un servicio de votación perfecto puede contar fielmente a los votantes equivocados.
La configuración es un registro de interés público
Las papeletas electrónicas contienen ajustes trascendentales: nombres y orden de los candidatos, escaños, selecciones máximas, pesos de voto, opciones de abstención, horarios de apertura y cierre, reglas de desempate y tratamiento de papeletas parciales. Un error de configuración puede alterar todos los votos dejando el software técnicamente seguro.
La especificación de la papeleta aprobada debe ser firmada antes de la apertura por al menos dos funcionarios autorizados y, idealmente, por un oficial electoral independiente. Los candidatos pueden confirmar la ortografía, la elegibilidad y la asignación de escaños sin ver las credenciales de seguridad. Una papeleta de muestra debe publicarse con suficiente antelación para corregir errores.
Las pruebas previas a la elección deben incluir casos normales y límite: una selección, selecciones máximas, intento de sobrevoto, abstención, derecho ponderado, token revocado, uso duplicado, límite de zona horaria e interrupción. El informe puede indicar las pruebas y los resultados sin revelar detalles explotables. Los hashes o las atestaciones firmadas pueden identificar la configuración exacta aprobada.
Los cambios después de las pruebas requieren una nueva versión, motivo, aprobación y repetición de la prueba. La corrección silenciosa es inaceptable porque destruye el vínculo entre la garantía y la votación en vivo. Si la votación ha comenzado, el oficial independiente debe determinar si el cambio afecta a las papeletas ya emitidas y si es necesario reabrir o repetir la elección.
El orden de los candidatos merece una política explícita. El orden alfabético, aleatorio o rotativo puede ser defendible si se anuncia y se aplica de forma consistente. Un administrador no debe elegir la colocación informalmente después de ver la lista de candidatos. Lo mismo se aplica a las biografías, fotografías y enlaces.
La hora de cierre también pertenece a la configuración. El aviso público, la cuenta atrás del portal y el reloj del proveedor deben coincidir. Cualquier ampliación debe cambiar los tres y conservar un registro. El personal de soporte no debe tener la capacidad oculta de aceptar papeletas seleccionadas después del cierre.
Publicar la evidencia de configuración no le dice a nadie cómo votaron los miembros. Muestra qué pregunta hizo realmente el sistema. En una elección responsable, el resultado público debe ser trazable hasta una definición de papeleta públicamente autorizada.
La separación de roles es más valiosa que las garantías
Una elección involucra al personal de servicios a miembros, un comité electoral, candidatos, una junta directiva o un síndico, asesores legales, un proveedor de tecnología, escrutadores y un auditor. La confianza mejora cuando ningún actor controla por sí mismo la elegibilidad, la configuración de la papeleta, el escrutinio y la resolución de quejas.
La separación de roles debe publicarse antes de la contienda. Los servicios a miembros pueden mantener los registros de contacto, pero no deben decidir las disputas de los candidatos. El comité electoral puede supervisar la elegibilidad y el procedimiento, pero no debe alterar los escrutinios secretos. El proveedor puede operar el servicio, pero no debe certificar su propio cumplimiento. El revisor no debe reportar a un candidato o funcionario cuya actuación se cuestione.
Los conflictos requieren divulgación individual. Un miembro del comité puede trabajar para una organización miembro, conocer a un candidato o haber participado en una disputa. El conflicto no siempre exige exclusión; la abstención puede ser suficiente. El registro debe indicar la relación, la decisión y el sustituto.
Los candidatos y los directores en ejercicio no deben tener privilegios administrativos. El personal que haga campaña debe ser apartado de las funciones electorales, y las reglas deben definir si se permite la campaña en calidad oficial. El personal del proveedor con acceso a producción debe ser identificado ante el auditor y estar sujeto a un registro de cambios.
El control por dos personas es útil para actos críticos: abrir o cerrar la votación fuera del horario automático, cambiar la configuración, exportar un escrutinio, descifrar resultados y manipular los contenedores físicos de papeletas. Limita tanto el error como la mala conducta. La evidencia es una acción firmada o registrada criptográficamente por ambos roles.
La garantía pública de que todos actuaron profesionalmente no puede reemplazar este diseño. Las buenas personas cometen errores y las instituciones se enfrentan posteriormente a disputas. La separación protege a los funcionarios haciendo que las acusaciones sin fundamento sean menos plausibles. También permite que una investigación identifique qué dominio pudo haber fallado.
El público no necesita conocer detalles de seguridad personal. Debe conocer las funciones, responsabilidades, conflictos, aprobaciones y verificaciones independientes. Los votos secretos son más sólidos cuando la autoridad que los rodea está visiblemente dividida.
Los incidentes deben ser públicos sin convertirse en acusaciones
Toda elección tiene anomalías: mensajes rebotados, autenticación fallida, un documento de autoridad cuestionado, una interrupción, un votante que reclama no haber recibido algo o un candidato que impugna una regla. Ocultarlas invita a los rumores; publicar acusaciones no verificadas puede dañar a las personas y a la elección.
Un registro de incidentes ofrece un camino intermedio. Cada entrada registra la hora, la categoría, la etapa afectada, la acción de preservación, el responsable de la decisión, el estado y la solución. Las versiones públicas agregan o anonimizan la identidad. Los incidentes graves reciben un informe más completo después de que se establezcan los hechos.
La materialidad debe guiar la respuesta. Un correo fallido corregido antes de la votación puede no requerir efecto alguno en los resultados. Una credencial admitida para un miembro necesita una decisión de validez y, si ya se utilizó, una forma de evaluar el impacto que preserve la privacidad. Una interrupción del servicio que afecte a muchos votantes puede justificar una ampliación. Un defecto de configuración que afecte a todas las papeletas puede requerir una repetición independientemente del margen.
La elección de junio de 2025 de AFRINIC se suspendió tras disputas sobre documentos de autoridad y posteriormente se anuló. Las comunicaciones oficiales se refirieron particularmente a los poderes notariales y a una investigación, pero no publicaron inicialmente un recuento completo de las credenciales cuestionadas, las papeletas asociadas y la materialidad a nivel de escaño. La ausencia de reconciliación permitió que narrativas contrapuestas ocuparan el vacío.
El informe público de incidentes debe distinguir entre acusación, hecho verificado, conclusión y solución. La investigación policial de una posible falsificación es diferente de la interpretación de un formulario anunciado por parte de un funcionario electoral. El poder de un tribunal es diferente del de un escrutador. Combinarlos bajo la palabra irregularidad oscurece la responsabilidad.
La preservación está antes que la retórica. Asegure el instrumento, el registro de autoridad, el registro de acceso, el estado de la papeleta, la nota del testigo y las comunicaciones relevantes. No vincule una selección secreta a menos que un proceso excepcional legal lo requiera y existan salvaguardas. Notifique al miembro afectado y al revisor.
Una elección gana confianza no afirmando cero incidentes, sino mostrando que los incidentes podían detectarse, acotarse y resolverse bajo reglas conocidas.
La reconciliación demuestra la integridad sin revelar las elecciones
Al cierre, los totales deben conectar el libro de autoridad con el escrutinio. Comience con los miembros elegibles y el peso de voto. Muestre los representantes registrados, los poderes validados, los derechos emitidos, los derechos revocados, los derechos usados, los derechos no usados, los intentos rechazados y las papeletas aceptadas. Luego muestre las papeletas válidas, en blanco o abstenciones, y las papeletas inválidas según las reglas.
Las ecuaciones deben cuadrar. Si 1.000 derechos estaban activos y se aceptaron 600 papeletas, 400 deben estar demostrablemente sin usar o contabilizados de otra manera. Los sistemas ponderados necesitan tanto totales de miembros como de unidades de voto. Las elecciones de múltiples escaños deben explicar por qué el total de marcas de candidatos difiere del de papeletas.
APNIC publica una página de verificación de voto con números de recibo para los votos emitidos según sus términos en línea. LACNIC otorga a los votantes un intervalo de auditoría tras los resultados provisionales. Estos mecanismos permiten a los participantes confirmar la inclusión sin revelar la selección. El diseño del recibo debe resistir la coacción: puede demostrar la participación o la inclusión, no la elección del candidato.
La reconciliación debe completarse antes de la certificación y revisarse de forma independiente. Las diferencias pueden ser inocentes, como un derecho revocado que todavía se cuenta en una exportación de emisión. No obstante, deben resolverse. Una diferencia inexplicable mayor que un margen decisivo es claramente material; una diferencia menor aún puede revelar un fallo de control que requiera corrección.
El informe público puede proporcionar totales y método. El auditor recibe identificadores detallados para probar la unicidad. Los candidatos pueden observar etapas definidas o recibir el informe firmado, pero no deben inspeccionar credenciales personales o registros a nivel de voto sin autorización.
Las elecciones en papel utilizan la misma lógica: papeletas impresas, emitidas, anuladas, no usadas, depositadas y contadas; sellos aplicados y rotos; cajas transferidas. La terminología electrónica no debe ocultar que existe una custodia equivalente en registros, claves y exportaciones.
La reconciliación es el puente entre un conjunto secreto de elecciones y un resultado público. Sin ella, el resultado es simplemente un número afirmado por el operador. Con ella, los miembros pueden ver que el número surgió del electorado autorizado aunque nadie pueda ver cómo eligió cada miembro.
La verificación no debe convertirse en un recibo de voto
Los votantes quieren, razonablemente, una prueba de que su papeleta llegó. Un sistema puede proporcionar un número de recibo o permitir que el participante compruebe la inclusión. El diseño se vuelve peligroso si la prueba revela el candidato seleccionado de una manera que otra persona pueda verificar.
Un coaccionador que puede exigir un recibo específico del candidato puede hacer cumplir amenazas o pagos. Un principal corporativo puede obligar a un representante a demostrar obediencia. El voto secreto solo existe entonces frente a terceros sin capacidad de presión.
La verificación segura suele responder a preguntas limitadas: se utilizó el derecho autorizado; la papeleta cifrada enviada aparece en un conjunto público; el escrutinio incluye todos los registros válidos; o una prueba independiente verifica el cálculo. No debe permitir que el votante revele una elección única en texto plano.
La verificabilidad de extremo a extremo ofrece enfoques sofisticados, pero la complejidad debe ajustarse a la elección. Los miembros necesitan instrucciones utilizables, una revisión de implementación independiente y recuperación cuando la verificación falle. Una característica que pocos votantes entienden puede crear una falsa seguridad.
Cuando se utilizan plataformas comerciales más simples, el registro debe indicar exactamente qué prueba el recibo. “Su voto ha sido registrado” puede significar que la sesión se completó, no que el escrutinio final lo incluyó. El proveedor y el auditor deben definir las etapas. Los mensajes de éxito ambiguos no son evidencia.
Los registros de verificación necesitan una revisión de privacidad. Publicar todos los números de recibo solo es útil si no pueden vincularse a las identidades de los miembros a través del orden de emisión o las marcas de tiempo. La aleatorización, el procesamiento por lotes y la separación pueden reducir la correlación. Las elecciones pequeñas pueden requerir una supresión más fuerte.
El objetivo correcto es la confianza sin transferibilidad. El votante puede detectar la omisión y solicitar una revisión, mientras que un tercero no puede usar la misma evidencia para conocer o imponer la selección. Este límite debe probarse explícitamente en lugar de asumirse a partir del lenguaje de cifrado.
La evidencia pública debe estar estratificada
No todos los registros electorales pertenecen a un sitio web. Un modelo de divulgación por capas protege los datos personales y la seguridad preservando al mismo tiempo la rendición de cuentas. La capa pública debe incluir las normas de gobierno, el calendario, los totales del electorado, la lista de candidatos, la asignación de roles, los conflictos, la identidad del proveedor, la atestación de pruebas, el resumen de incidentes, la reconciliación, los resultados agregados, las quejas y la certificación.
La capa de miembro debe mostrar la elegibilidad de la organización, el votante autorizado, el estado del poder, el estado de participación en la votación y el historial de correcciones. No debe mostrar la elección de un candidato. El acceso debe utilizar el canal seguro habitual del miembro.
La capa de auditor puede incluir registros de autoridad identificados, registros detallados, configuración, acciones privilegiadas, evidencia del proveedor, comunicaciones muestreadas y archivos de incidentes. El acceso es limitado, se registra y tiene un plazo. El auditor informa públicamente de los hallazgos y las limitaciones.
La capa de adjudicación puede requerir material adicional para una disputa específica, incluidos documentos personales o evidencia técnica sellada. Las partes reciben solo lo que exige la equidad, con órdenes de protección o confidencialidad cuando corresponda. La curiosidad del candidato no es una base para el acceso.
El proveedor conserva los materiales sensibles de seguridad bajo contrato, pero el registro debe garantizar que la evidencia siga estando disponible si la relación termina. La ubicación de los datos, la conservación, la eliminación y la notificación de violaciones deben acordarse antes de la votación.
La estratificación evita dos fallos comunes. La publicación total puede exponer a los votantes y a los sistemas. La confidencialidad total puede convertir a los funcionarios en los únicos jueces de su propio desempeño. El propósito determina el acceso.
El plan de divulgación debe aprobarse antes de que existan los datos. Decidir después de una disputa invita a la transparencia selectiva. Los miembros deben saber qué hechos se harán públicos, qué información personal se recopila y quién puede inspeccionar los registros restringidos.
La infraestructura pública es responsable porque la evidencia se traslada al revisor adecuado, no porque cada byte esté abierto.
La certificación independiente necesita una declaración razonada
La certificación no es una firma ceremonial bajo una tabla de resultados. Es la decisión de que se aplicaron las reglas autorizadas, se resolvieron los incidentes materiales y los candidatos anunciados pueden asumir el cargo. El certificador debe exponer la base.
Un certificado razonado identifica la elección, los instrumentos de gobierno, los totales de elegibles y participantes, el período de votación, el sistema o método, la reconciliación, la auditoría realizada, las quejas recibidas, las limitaciones no resueltas y la determinación final. Debe indicar si los resultados son provisionales mientras existan impugnaciones.
La independencia es relativa y debe divulgarse. Una comisión electoral nombrada por la junta puede actuar de manera independiente bajo un mandato protegido. Un proveedor comercial es independiente del personal, pero tiene interés en defender su servicio. Un auditor pagado por el registro puede ser creíble si la selección, el alcance y los derechos de información impiden la interferencia.
El certificador necesita acceso. Un rol descrito como observador pero al que se le niegan los registros de autoridad o los registros del proveedor no puede ofrecer una garantía sólida. El informe debe indicar la evidencia no disponible, las pruebas no realizadas y la dependencia de manifestaciones. La franqueza sobre los límites es más valiosa que una declaración absoluta no respaldada por el trabajo.
Las quejas deben resolverse o reservarse expresamente. Si un asunto pendiente no puede alterar el resultado, el certificador puede explicar la materialidad. Si pudiera, el nombramiento definitivo debe esperar o debe aplicarse un mecanismo condicional legal. La institución no debe crear urgencia anunciando ganadores antes de la revisión.
El uso por parte de LACNIC de resultados provisionales y una fecha de certificación posterior en función de las quejas demuestra la secuencia adecuada. Preserva la información pública sobre el recuento al tiempo que permite que la auditoría autorizada finalice.
La certificación convierte los registros técnicos y administrativos en autoridad institucional. Merece la misma transparencia que una resolución de la junta: quién decidió, bajo qué facultad, con qué evidencia y con qué limitaciones.
Los proveedores no absorben la responsabilidad institucional
Los servicios de votación de terceros pueden mejorar la separación y la experiencia. APNIC ha utilizado BigPulse; RIPE NCC usa Assembly Voting; AFRINIC utilizó proveedores externos en sus elecciones de 2025. Un proveedor puede reducir el acceso del personal a las selecciones y suministrar infraestructura probada.
La externalización no transfiere la responsabilidad constitucional del registro. La asociación elige al proveedor, configura la papeleta, proporciona la elegibilidad, se comunica con los votantes y acepta el resultado. Debe entender y auditar el servicio lo suficiente como para defender esos actos.
Los contratos deben cubrir la confidencialidad, la minimización de datos, el acceso privilegiado, los subcontratistas, los cambios del sistema, la notificación de incidentes, la disponibilidad, los registros, las pruebas independientes, la exportación de evidencia, la conservación, la eliminación y la cooperación con las impugnaciones. Las afirmaciones del proveedor sobre tecnología propietaria no pueden impedir la garantía del resultado.
El registro debe publicar el nombre del proveedor, la justificación de la selección a un nivel apropiado y la garantía obtenida. Los informes sensibles a la seguridad pueden resumirse. Las limitaciones conocidas deben condicionar la elección: si la plataforma no puede soportar la revocación o una separación fuerte, las reglas deben tenerlo en cuenta en lugar de insinuar una capacidad.
Los conflictos y el acceso del personal del proveedor son importantes. ¿Qué personal puede ver las identidades de los miembros, restablecer credenciales, cambiar la configuración o exportar resultados? ¿Están las acciones críticas sujetas a doble control? ¿Se registran los accesos y son revisados por alguien ajeno al equipo del proveedor?
Los planes de continuidad deben abordar el fallo del proveedor. El registro necesita copias de seguridad verificadas de la configuración y los datos de autoridad, una regla para ampliar la votación y una forma de preservar los votos emitidos sin crear duplicados. Cambiar de servicio a mitad de la elección es un acto extremo que requiere una dirección independiente.
Una marca conocida no es evidencia pública. La participación del proveedor es un control en un diseño institucional más amplio. Los miembros eligen la junta del registro, no a la empresa de software, y el registro sigue siendo responsable de toda autoridad que delegue.
El voto a distancia amplía la superficie de amenaza y la superficie de evidencia
El acceso electrónico crea riesgos: apropiación de cuentas, phishing, malware, denegación de servicio, privilegios internos y correlación de la identidad con la elección. También crea evidencia no disponible en un proceso informal en papel: configuración firmada, registros de acceso, prevención de duplicados, supervisión del sistema y reconciliación precisa.
ElPerfil de Infraestructura Electoral del NISTenmarca la tecnología electoral a través de la gestión de riesgos en el registro de votantes y los sistemas de votación. Los RIR no necesitan copiar un estándar electoral nacional en su totalidad, pero las funciones son relevantes: identificar activos y riesgos, proteger el acceso y los datos, detectar anomalías, responder bajo autoridad definida y recuperarse preservando la evidencia.
Las cuentas de los miembros merecen una protección más fuerte antes de la elección, no una inscripción de emergencia en el momento de la apertura. La autenticación multifactor, la confirmación de contacto y las advertencias de phishing deben ser rutinarias. Los mensajes electorales deben usar dominios predecibles y permitir que los miembros verifiquen los enlaces a través del portal.
La supervisión no debe convertirse en vigilancia del votante. Los equipos de seguridad pueden detectar fallos repetidos, accesos imposibles y ataques al servicio sin analizar las elecciones de los candidatos. Las direcciones de red y los datos del dispositivo deben restringirse y conservarse solo el tiempo necesario. La evaluación de privacidad debe explicar el equilibrio.
La respuesta a incidentes debe preservar los votos secretos. Al restablecer una credencial no se debe revelar ni alterar un voto anterior. La restauración desde copias de seguridad debe evitar el doble recuento. Los registros deben copiarse bajo controles de integridad antes de que los administradores realicen cambios.
Los informes de ciberseguridad suelen permanecer confidenciales por buenas razones. Los resúmenes públicos pueden, no obstante, indicar las amenazas consideradas, los controles aplicados, las pruebas completadas, los incidentes detectados y el riesgo residual aceptado. El silencio no es seguridad.
El voto a distancia puede respaldar una evidencia más rigurosa que una caja de papel observada por unos pocos asistentes. Para aprovechar esa ventaja es necesario diseñar registros para la auditoría evitando al mismo tiempo su uso para reconstruir los votos.
Un modelo de auditoría de dos capas para las elecciones de los registros
La primera capa es la de autoridad y operación. Está identificada y restringida. Verifica la elegibilidad de los miembros, la autoridad corporativa, el peso de voto, la concentración de poderes, la emisión de tokens, el control de acceso, la configuración, los incidentes y el uso único. El auditor puede rastrear cada derecho desde su origen legal hasta un límite de aceptación anónima.
La segunda capa es la de la papeleta y el resultado. Es anónima y verificable de forma independiente. Confirma que las papeletas aceptadas eran inmutables, que se incluyeron todas, que las reglas de escrutinio eran correctas y que los totales publicados coinciden con los registros protegidos. No permite la inversión ordinaria de la papeleta al miembro.
Las capas se encuentran a través de la reconciliación, no de una tabla permanente de identidad-elección. Los totales, los compromisos criptográficos o las comprobaciones controladas de tokens muestran que cada derecho utilizado corresponde a una papeleta. Las excepciones se investigan en el límite sin exponer las elecciones no afectadas.
Los informes públicos reflejan el modelo. Los informes de autoridad divulgan los totales del electorado, las categorías de validación y la concentración. Los informes de resultado divulgan la participación, las papeletas válidas, los totales de los candidatos y el resultado de la auditoría. Los informes de incidentes dicen qué capa se vio afectada y si existió riesgo de cruce.
La gobernanza rodea a ambas. Los roles publicados definen quién puede acceder a cada capa. Los conflictos y las acciones críticas se registran. Un revisor independiente escucha las quejas. La certificación declara que ambas capas y su reconciliación superaron las pruebas definidas.
Este modelo funciona tanto para la votación en papel como para la electrónica. La mesa de autoridad verifica al votante y emite un papel validado sin registrar su marca. La urna y el recuento protegen las papeletas anónimas. Las papeletas emitidas, anuladas, no utilizadas y contadas se reconcilian. La tecnología cambia los instrumentos, no el principio.
El modelo también aclara las soluciones. Un error aislado de autoridad puede afectar a un derecho. Un fallo de integridad en la capa de la papeleta puede afectar a todo el escrutinio. Un vínculo roto entre capas puede hacer que el alcance sea incierto. Las soluciones deben seguir el dominio afectado y la materialidad, en lugar de la presión política.
Dos capas hacen del secreto y la rendición de cuentas aliados. Una evidencia de autoridad sólida impide el acceso no válido; una separación fuerte de las papeletas mantiene las elecciones válidas en privado; la reconciliación independiente da al público una razón para confiar en el resultado.
Los electorados pequeños necesitan controles de inferencia más fuertes
Las elecciones de los registros suelen ser mucho más pequeñas que las elecciones públicas. Un resultado puede desglosarse por región, nivel de miembro, método de votación o condición de apoderado porque esas categorías son importantes para la gobernanza. Cada desglose adicional puede facilitar la inferencia de una elección secreta, especialmente cuando una categoría contiene una o dos organizaciones.
Por lo tanto, la divulgación debe someterse a una prueba de riesgo de composición. Supongamos que el público sabe que un miembro de un país votó, que el miembro designó a un apoderado que hace campaña pública y que los totales de los candidatos cambiaron en una cantidad ponderada coincidente. Ninguno de esos hechos por sí solo revela una elección; juntos pueden hacerlo. Las marcas de tiempo exactas pueden crear el mismo problema cuando los participantes anuncian cuándo votaron.
El plan de información pública debe establecer tamaños mínimos de celda, combinar categorías poco frecuentes y retrasar los detalles sensibles de participación. Los sistemas ponderados requieren un cuidado especial porque un derecho distintivo puede actuar como una huella dactilar. Los recibos deben ser aleatorios y no ordenados. Los informes de incidentes deben evitar afirmar que el único miembro de una categoría apoyó o rechazó una propuesta de una manera que implique su voto.
Los auditores restringidos aún pueden inspeccionar los datos completos. La agregación pública limita la inferencia, no la rendición de cuentas. El auditor confirma los cálculos regionales y por nivel, verifica que la supresión se aplicó de manera consistente e informa si alguna publicación oficial creó una vía creíble para la reidentificación.
Los candidatos también necesitan límites. Una campaña puede querer una lista de los miembros que no han votado para movilizar la participación. En un electorado corporativo pequeño, esa información crea presión y, combinada con informes posteriores, puede exponer el comportamiento político. Si se publican actualizaciones de participación, deben ser amplias, programadas y estar disponibles para todos. El estado de participación individual pertenece al miembro y a la oficina electoral.
Las propias organizaciones pueden anunciar sus elecciones. El discurso político voluntario es diferente de una prueba generada por el sistema. El registro no debe diseñar un recibo que permita a un empleador u organizador obligar a dicha divulgación. Tampoco debe tratar un respaldo público como consentimiento para exponer la papeleta real.
La revisión de las inferencias no es un argumento para no publicar nada. El silencio total deja a los miembros sin poder comprobar la concentración y la participación. Es un argumento a favor de estadísticas deliberadas: divulgar lo que respalda la legitimidad, suprimir lo que vincula a una organización identificable con una selección, y dejar que un revisor independiente examine la evidencia no suprimida.
Las elecciones pequeñas hacen que este límite sea más exigente, no menos. Su infraestructura debe ser lo suficientemente pública para verificar y lo suficientemente privada para que cada miembro pueda cambiar de opinión dentro de la papeleta sin ser observado.
La publicación también debe tener en cuenta el riesgo acumulativo. Un registro inocuo publicado antes de la votación puede volverse identificativo cuando se combina más tarde con un informe detallado de incidentes y las marcas de tiempo del proveedor. Alguien debe revisar la secuencia completa planificada de divulgaciones, no aprobar cada elemento de forma aislada. Cuando surgen nuevos hechos, las publicaciones anteriores no pueden retirarse de la memoria pública, por lo que los informes posteriores pueden necesitar una agregación más amplia.
El certificador puede afirmar, no obstante, que la evidencia subyacente fue inspeccionada y se encontró consistente. Esta práctica preserva el valor de un relato público continuo sin permitir que la transparencia en una etapa derrote al secreto en otra.
La misma revisión debe aplicarse a la información publicada por contratistas y observadores. Un registro puede agregar cuidadosamente mientras un proveedor publica estadísticas exactas del servicio o un testigo publica fotografías que muestran quién estaba en una mesa de votación. Los contratos y las instrucciones a los observadores deben definir el límite de confidencialidad sin impedir la información legítima. Cuando se produce una divulgación accidental, los funcionarios deben evaluar el riesgo de inferencia, notificar a los miembros afectados cuando sea necesario y ajustar las publicaciones posteriores.
El secreto del voto lo mantiene todo el entorno electoral, no solo la base de datos que contiene las selecciones. El control coordinado de la divulgación es, por tanto, parte de la responsabilidad de la infraestructura, en lugar de una razón para excluir el escrutinio.
Publicar lo suficiente para que la confianza sea opcional
Los miembros siempre depositarán cierta confianza en los funcionarios electorales, los proveedores y los auditores. Ningún informe permite a cada votante inspeccionar personalmente cada sistema. La buena gobernanza reduce la cantidad de confianza ciega y hace explícita la dependencia restante.
Antes de la votación, publique las reglas, el proceso del electorado, el calendario, la definición de la papeleta, los roles, los conflictos, el proveedor, el aviso de privacidad, el plan de auditoría y la vía de quejas. Durante la votación, publique el estado del servicio y los incidentes materiales sin divulgar información sobre la participación que pueda distorsionar la campaña, a menos que la norma lo autorice. Después del cierre, publique la reconciliación, los resultados provisionales, los hallazgos de la auditoría, las quejas y la certificación razonada.
Proporcione a cada miembro una confirmación privada de su elegibilidad y participación. Otorgue al auditor acceso controlado a la evidencia completa. Evite que los candidatos, el personal y los proveedores accedan a los datos de selección sin una autoridad legal extraordinaria. Registre cada acceso excepcional.
Las disputas de AFRINIC en 2025 ilustran por qué es importante la distinción. El secreto no exigía silencio sobre cuántos documentos de autoridad fueron cuestionados, cuántos derechos asociados se emitieron o por qué la anulación general fue proporcionada. Publicar esos hechos no habría revelado las elecciones de los candidatos. Su ausencia dificultó la garantía institucional.
El principio se aplica en todo el sistema de RIR. Los campos de auditoría identificados y las papeletas confidenciales de APNIC, el procedimiento de acceso de terceros de RIPE NCC, el intervalo de verificación de LACNIC y los estándares públicos de seguridad electoral proporcionan componentes viables. Los registros pueden adaptarlos a la legislación asociativa y a la votación de los miembros sin pretender que administran elecciones nacionales.
Un voto secreto no es una habitación oscura. Es una elección protegida que se mueve a través de una institución iluminada. Las luces deben revelar puertas, guardias, registros, transferencias, incidentes y la autoridad que declara el resultado. Nunca deben revelar qué marca privada perteneció a qué miembro.
Cuando la infraestructura es pública en ese sentido, la confianza se convierte en una conclusión respaldada por evidencia en lugar de un favor que los administradores piden al electorado. Esa es la legitimidad que el voto secreto está destinado a servir.

