A cada dois anos, a urna eletrônica volta ao centro da discussão política. Neste domingo (15), em especial, o tema esquentou com a exposição de bancos de dados e credenciais de servidores do Tribunal Superior Eleitoral (TSE), noticiada em primeira mão pelo Olhar Digital. No entanto, é importante ressaltar: uma coisa não tem necessariamente a ver com a outra.

Como aconteceu na eleição dos Estados Unidos, começou um grande burburinho sobre fraudes, alimentado pelos ciberataques sofridos pelo TSE. Além da exposição dos dados, o tribunal diz que foi alvo de um ataque de negação de serviço, também conhecido pela sigla DDoS, que desestabilizou alguns sistemas.

No entanto, não há como vincular os ataques a fraudes na urna. Como informou a ONG SaferNet nesta segunda-feira, os dados vazados parecem ser antigos, datando de períodos entre 2001 e 2010, embora tenham sido obtidos recentemente, em acesso verificado pela Polícia Federal antes de 23 de outubro.

Vale notar que a urna eletrônica teve seu código lacrado no dia 16 de outubro, então um ataque que, por qualquer motivo, pudesse alterar o funcionamento do equipamento precisaria ter sido realizado antes desta data.

O Tribunal Superior Eleitoral, no entanto, reforça que não há vínculo entre o sistema invadido e o roubo de dados pelos hackers e a instabilidade enfrentada na contagem e totalização dos votos. São sistemas separados e independentes.

Como funciona a urna eletrônica?

Antes da votação, o TSE permite a auditoria do código da urna, dando a especialistas e partidos a oportunidade de averiguar potenciais irregularidades antes de fechar o sistema que será instalado na urna. Algumas semanas antes das eleições, o código é “lacrado”, com uma assinatura digital que garante que ele não foi alterado após a data. Qualquer alteração produziria uma chave diferente que seria facilmente detectável.

No dia da eleição, a urna, totalmente desconectada da internet, contabiliza os votos e grave os resultados no Registro Digital do Voto (RDV), gravado em um equipamento chamado memória de resultado, que é transmitido para totalização em algum ponto de acesso à rede da Justiça Eleitoral. Essa rede é isolada da internet na maior parte do Brasil, exceto em alguns lugares mais isolados, onde é necessário transmitir os dados protegidos por uma VPN pela internet via satélite.

Mas esse processo é seguro?

Apesar de haver muita teoria da conspiração sobre a urna eletrônica, e elas voltaram à tona com força devido aos problemas relatados no fim de semana, é fato que existem muitos especialistas em segurança digital que questionam o método de votação. Diego Aranha, professor de ciência da computação da Universidade de Aarhus, na Dinamarca, é o crítico mais conhecido, tendo participado de várias das sessões de testes de segurança da urna promovidas pelo TSE (TPS) e demonstrado algumas de suas vulnerabilidades.

Aranha já se “aposentou” do assunto, mas deixou amplo material descrevendo as falhas encontradas ao longo dos anos na urna eletrônica e as preocupações compartilhadas por uma boa parte da comunidade de especialistas em segurança digital.

A grande defesa do TSE é de que não há como hackear a urna, já que ela não está conectada à internet, o que é uma verdade. A figura do hacker sentado atrás do computador procurando vulnerabilidades em uma tela similar a do MS-DOS não é a ameaça primária: não há como acessar à urna diretamente durante a sessão de votação sem acesso físico a ela.

Isso não significa que não há outros modos de ataque. Em uma demonstração de 2017, Aranha e seus colegas demonstraram um método em que o cartão de memória utilizado para instalação do código na urna poderia ser infectado para alterar seu comportamento, como desviar votos ou até mesmo exibir uma mensagem de boca de urna, recomendando o voto em um candidato específico. Cada cartão de memória é utilizado em 50 urnas, fazendo com que o comprometimento de um único cartão pudesse ter um grande impacto na manipulação da votação.

Ou seja: o fato de a urna não estar conectada durante a eleição não significa que os resultados não podem ser adulterados antes da votação ou depois, enquanto os votos são transmitidos, especialmente se houver alguém mal intencionado com acesso interno. A única garantia é de que um ataque remoto é impossível durante as horas em que a votação ocorre; alguém ainda poderia fazer uma alteração indevida no funcionamento na expectativa que essa alteração não fosse notado pelas auditorias.

Também é importante ficar claro: não há evidência de que qualquer um desses ataques já foi colocado em prática. As demonstrações sempre foram feitas em testes públicos de segurança, em que o TSE convida especialistas para tentarem hackear a urna justamente com o objetivo de descobrir as vulnerabilidades do processo e corrigi-las.

Voto impresso?

O que Aranha e outros especialistas têm defendido há tempos para melhorar a confiabilidade da urna é o voto impresso. E é importante deixar claro que não se trata de um recibo que o eleitor leva para casa para provar em qual candidato ele votou, o que iria contra o sigilo do voto.

A ideia defendida por eles é de que o eleitor possa ver, por trás de um vidro ou acrílico, um pedaço de papel impresso com o nome do candidato em que ele votou para confirmar que a urna não está desviando a votação. Caso a informação esteja correta basta apertar “Confirma” e o papel será destacado e inserido automaticamente em uma urna física lacrada, sem passar pela mão do eleitor. Caso o número tenha sido digitado errado, é possível apertar “Corrige”, e a urna imprime um “X” no papel, deixando claro para fins de auditoria que aquela cédula é inválida, e cria uma nova com as informações corrigidas.

O modelo de urna chegou a ser aprovado durante a minirreforma eleitoral de 2015, mas sua aplicação nas eleições de 2018 foi barrado por liminar e, agora, em 2020, o Supremo Tribunal Federal (STF) reforçou que sua aplicação seria inconstitucional, traria novas complicações e caminhos para fraude e violaria o sigilo do voto. O TSE acompanhou esse entendimento e acrescenta que os custos de implementação da impressão tornariam o método inviável.