Cómo funciona la clave de aacs (round 2)

Bien, una vez estudiado mejor el tema, vuelvo a intentar la explicación:

Aacs es un sistema de protección anticopia para los discos de alta definición. Se basa en meter la clave de descifrado de la película dentro de mismo disco que la contiene, pero para acceder a ella se requiere un lector óptico autorizado y un reproductor software autorizado. De este modo en teoría no se puede construir simplemente un ripeador que te copie el contenido al disco duro y ya está, ya que ese ripeador no estará autorizado y no podrá obtener la clave para leer el contenido.

Antes de explicar las formas de atacar el sistema, voy a detallar un poco más el funcionamiento. De nuevo dejo los términos en inglés por si leeis algo más en otro lado.

Parte I: Descripción simplificada de aacs .

(Todas las uniones son operaciones criptográficas)

¿Por qué un disco tiene dos claves? Una de ellas está en un sitio donde no se puede escribir (por ahora) con una grabadora doméstica de discos de alta definición (la escribe una grabadora industrial), por lo que no se podría hacer una copia exacta de ese disco a otro (si no, menuda protección anticopia). No se ha metido directamente ahí la otra clave porque, simplemente, es un espacio muy pequeño y no cabe, ya veremos por qué más tarde. Llamaremos a esa clave "Volume id".

Hay otra clave que se llama "Media Key Block", y que está cifrada. Sólo los reproductores autorizados tienen la manera de descifrarla, ya que tienen un conjunto de claves secretas llamadas "device keys", de forma que al menos una de ellas descifre esa clave.

Así que: un reproductor autorizado pide el Volume id y el Media Key Block, descifra el Media Key Block con una de sus claves secretas, y hace una operación criptográfica con el resultado que ha obtenido y el Volume id para obtener la clave definitiva con la que descifrará la película.

¿Dónde está la seguridad? Obviamente un reproductor autorizado, que puede leer una película, podría permitir copiarla, ripearla, u otras operaciones "indeseables". Para evitar ésto es posible "revocar" un reproductor, de forma que no pueda seguir leyendo la clave cifrada incluida en el disco. De este modo, se fuerza a que un reproductor autorizado no ofrezca de golpe una opción de "copia esta película", o que si ha dejado escapar (o le han robado) sus claves para que las usen reproductores "pirata", éstas claves dejen de funcionar. Hablaré sobre la revocación y sobre lo que ésto implica más adelante.

Parte II: La relación entre hardware y software

El consorcio de aacs ha montado todo un sistema (ehm, digamos mafioso) para que todas las partes de la cadena sean "buenas" y no permitan a un usuario hacer operaciones "no permitidas". La cadena va como sigue:



Tanto el lector como el programa reproductor tienen unos certificados firmados que les permiten demostrar que son quienes dicen ser (supongo que para evitar unidades virtuales y ripeadores a uno y otro lado). Se demuestran entre sí que son agentes autorizados antes de que el lector comience a leer el disco (comenzando por las claves) y a darle los datos al reproductor.

¿Qué ocurre si el lector o el programa reproductor son revocados? Si el lector o el programa reproductor dejan de estar autorizados, siguen teniendo el certificado que tenían anteriormente y podrían seguir usándolo. ¿Cómo evitarlo? Se crean unas listas de lectores y reproductores revocados, de forma que si un lector o reproductor está en una de esas listas no está autorizado, aunque tenga un certificado (y el lector o el programa reproductor "bueno" debería dejar de hablarle).

¿Cómo distribuyes las listas de revocación? Si revocas un dispositivo, deberás hacer llegar a todos los lectores y reproductores una lista renovada que lo incluye. Para ello, cada vez que publicas un disco con una película, metes en el Media Key Block, además de la clave cifrada para descifrar la película, una copia de las últimas listas de revocación que tengas. De este modo el lector y el programa, cada vez que leen un disco, ven si tienen que sustituir la lista de revocación que tienen por la que aparece en el disco, viendo si ésta última es más moderna que la suya.

Resumiendo: tú tienes un programa y un lector óptico en tu ordenador. El consorcio de aacs decide revocar tu lector, por ejemplo, porque está permitiendo (queriendo o no) que reproductores no autorizados accedan al contenido del disco, o por que le han robado la clave secreta que corresponde al certificado, o simplemente porque no les ha pagado la cuota de protección de ese año. Tú no lo sabes, y te funciona todo perfectamente. Compras una película de estreno y la metes en tu ordenador. De pronto, no sólo no puedes ver esa película de estreno, sino que tu reproductor ya ha guardado la lista de revocación mejorada y desconfía del lector (o al revés), y ya no se comunica con él. No puedes ver ninguna película, ni siquiera las que veías antes. En el mejor de los casos, podrás solucionarlo conectándote a internet o obteniendo un disco que actualice el software de tu reproductor o lector, dándole un nuevo certificado que no esté revocado. En el peor de los casos estás jodido.

Yo sinceramente no creo que esa opción se use mucho, ya que si compras un disco, lo metes, y todo deja de funcionar, la gente se va a cabrear sobremanera (yo me cabrearía, vamos).

Y llegamos al modo de ataque número 1 (muy difícil pero bastante interesante): Lamentablemente las listas de revocación van firmadas criptográficamente por el consorcio de aacs, pero si, suponiendo que las listas van númeradas 1,2,3... y que un número mayor indica que es más moderna, se pudiese hacer una lista número 999.999.999 (o el número mayor posible), sólo metiendo un disco que contuviese esa lista podrías hacer que a partir de entonces el reproductor y lector sustituyesen las listas que tuviesen e ignorasen las listas de revocación posteriores (ya que no hay ninguna lista que pueda publicar aacs que sea "más actual" que esa). Así podrías hacer que tu lector no pueda ser revocado (el programa reproductor es otra historia, como diré en la siguiente entrada).

(continuará...)

Teoría de juegos y la revocación en aacs

Para los detalles sobre cómo funciona aacs puedes consultar la primera parte de esta serie.

Antes había hablado de cómo el elemento fundamental de aacs consiste en la revocación de reproductores "débiles", que permitan (intencionalmente o no) conocer las claves que usan para el descifrado de las películas. Si no se hiciese esto, todo el modelo caería abajo, ya que se podría fácilmente crear un reproductor "pirata" usando las claves de uno original, y quien dice un reproductor dice un ripeador, un copiador... Sólo habría que escoger el reproductor más débil de entre los cientos que se fabricasen y atacarlo hasta averiguar sus claves. Y ahí se acabo todo. Así que es esencial poder revocar las claves que se han visto comprometidas.

Antes de nada, ¿qué es exactamente lo que se revoca? En cada disco viene, además de la película, la clave con la que se descifra. Esa clave viene cifrada de modo que sólo se pueda descifrar con al menos una de las claves secretas de los reproductores "autorizados". Si las claves de un reproductor se ven descubiertas, serán revocadas, es decir, ninguna de sus claves podrá descifrar la clave que permita ver las películas que se publiquen posteriormente (no, no pueden fundir los discos ya editados que tienes en casa, que siguen teniendo la clave de visionado cifrado con una clave que puedes descifrar ya que está grabada físicamente y todavía no han encontrado como cambiar el pasado). Los otros reproductores en teoría no se ven afectados porque aunque compartan alguna clave con el que ha sido revocado, siempre tienen alguna clave distinta, que será la que se utilice para cifrar alguna copia de la clave de visionado.

¿Problemas que tiene esto? Bueno, el primero es que aunque en teoría se pueda hacer por cada reproductor individual, en la práctica no tiene sentido hacerlo porque: a) el número de claves para que dos reproductores en el mundo no tengan exactamente las mismas es exageradamente grande y b) Si alguien ha descubierto que un reproductor guarda las claves en por ejemplo la posición de memoria 0xFBB8A0 no tiene más que buscarse otro reproductor exactamente igual y mirar esa posición de memoria sin perder más tiempo. Así que probablemente se haga por modelo (o versión) del reproductor.

Esto provoca un problema bastante importante y es que se puede provocar un ataque de denegación de servicio. Y no solo en teoría, sino que es un fallo gigantesco que acabará derrotando la protección.

Pongamos un ejemplo. En principio los reproductores más fáciles de "hackear" son los que son únicamente programas de ordenador. ¿Por qué? Bueno, el ordenador es tuyo y te instalas lo que quieres. Y no solo eso, sino que te lo conoces como la palma de tu mano. Ejecutas el programa reproductor y un decompilador, o como hizo arnezami, deteniéndolo y volcando el contenido de la memoria para poder examinarla, o lo que sea... Supongamos que existe un reproductor software al que llamaremos win_aacs (por ejemplo). Supongamos que tiene un error, o una vulnerabilidad, o simplemente que hay alguien muy hábil (nunca descartes esa opción) y sus claves se publican en internet. Supongamos entonces que esas claves se revocan. ¿Qué pasa entonces? Que los que usen ese reproductor en su ordenador descubriran que no pueden ver las películas más nuevas, y que el fabricante del reproductor tendrá que pedir disculpas, tratar de averiguar cuál era el problema, arreglarlo, y con suerte conseguirá nuevas claves, que tendrá que distribuir a sus usuarios. ¿Es un problema? Sí, pero hay mucha gente que tiene ordenador que también tiene conexión a internet, por lo que bastaría una actualización a través de internet. Si no, esos programas tienden a ser baratos, por lo que si pierdes unos pocos euros, pues qué se le va a hacer... no haber confiado en win_aacs_company.

Ahora supongamos que en lugar de ser un mísero reproductor software, es un home theater de más de mil euros, o una play 3, que valen un pico. ¿Alguien tiene conectado eso a una línea telefónica? O supongamos que es un reproductor software importante, de esos que viene por defecto en cierto sistema operativo, que usa más gente del tipo que no suele tener conexión a internet en casa. Supongamos que de nuevo viene alguien muy aburrido y muy hábil, destripa el aparato y publica las claves, que son revocadas. Entonces miles de clientes llamarán irritados a la empresa que sea, que tendrá que mandar cds con las nuevas claves y la actualización del software que permita que no sean descubiertas, y digamos que aunque los que lleven aacs sean generosos con los plazos, las personas que descubran que tienen que esperar al menos una semana en ver "spiderman 8", ya que no sabían nada de la actualización hasta que metieron esa película, no estarán muy contentas. Y ahora supongamos que quién publica las claves secretas de un reproductor muy usado y difícil de actualizar no dice cómo las descubre, las actualizaciones no arreglan el fallo y las claves se revelan una y otra vez, y que por cada vez hacen perder a la gran compañía X un montón de dinero. Una gran compañía no puede simplemente abandonar el reproductor a su suerte ya que tendrá miles de clientes con un reproductor caro que no pueden usar, y tiene una reputación que mantener. Supongamos que presiona para que las claves no se revoquen o tarden más en hacerlo. Ahora existe un conjunto de claves no revocadas que han sido reveladas, junto con un montón de gente cabreada con la protección anticopia de regalo. Victoria.

¿Entonces por qué todo eso? Bueno, lo primero es que ganan tiempo. Si revocan un reproductor débil, la persona que ha averiguado cómo destriparlo tiene que perder el tiempo en descubrir otra vulnerabilidad en la nueva versión de ese o en otro distinto. A lo mejor tarda unos meses (tendrá otra vida, trabajo, familia...) en los que la gente que no pueda esperar pagará 30€ por "spiderman 8". Lo segundo... bueno, la verdad es que realmente sólo ganan tiempo, y las maravillas imaginarias que hayan prometido a las distribuidoras de películas es asunto sólo de ellos y su conciencia.

---

Nota para los que han pagado para poder usar este sistema:

Situación anterior: algunos veían tus películas sin pagar (es discutible que hubiesen pagado en caso de no poder verlas). Situación posterior: algunos verán tus películas sin pagar (en cuanto la primera persona las ripee y las cuelgue en un formato sin protección) y además has creado un botón rojo de autodestrucción en tu negocio, qué no sólo pueden aprovechar los hackers que deseen ver películas sin pagar (o películas por las que sí han pagado pero no usan windows), sino también empresas rivales, empleados descontentos... Y encima has pagado por ello. Felicidades.

Cómo funciona la clave de aacs

Edición: He estado leyendo este hilo en doom9 y parece ser que la processing key no es lo que yo había entendido que era (parece que es una especie de device key, y por tanto puede ser revocada). Dentro de poco lo explicaré bien. Lo siento :(

Edición II: He empezado a explicar de nuevo cómo funciona todo. La primera parte la podeis encontrar aqui.

Dejo el post por si quereis seguir leyendolo de todas formas, pero os aviso que aacs no funciona exactamente así.

---

Todos habreis oido ya lo de la clave de aacs. Si no, aqui y aqui teneis un resumen.

A mi, más que el efecto en las comunidades de internet, y los intentos de censura, me ha interesado más lo que es exactamente este número:
09-f9-11-02-9d-74-e3-5b-d8-41-56-c5-63-56-88-c0.

¿Es muy importante? ¿Realmente derrota la protección anticopia? Veamoslo...

---

Cómo funciona aacs

Aacs es un sistema de protección anticopia para los discos de alta definición. Se basa en pasar la pelota directamente a los creadores de los reproductores, con la amenaza de que si permiten (intencionalmente o no) que los usuarios puedan acceder a las claves, su reproductor no podrá reproducir las películas que se publiquen posteriormente.

¿Por qué es necesario ésto? Por lo obvio. Aacs está basado en un modelo criptográfico, pero para ver la película cifrada, las claves tienen que venir con ella (si no, el disco no vale de nada). Por lo tanto, para que el usuario no conozca las claves (a pesar de que las necesita) amenazan a los fabricantes de reproductores con que si de alguna forma salen de la caja negra del software, ellos están fuera del negocio.

El modelo, simplificando, funciona así:

• La clave de descifrado viene en el disco. La he llamado media key block (mantengo los términos en inglés por si quereis seguir leyendo sobre ésto en otros lados). Viene cifrada, para que no se pueda leer del disco a palo seco sin un reproductor "autorizado".


• El reproductor tiene una serie de claves denominadas device keys. Con alguna de ellas puede descifrar el media key block, y sacar de allí una clave intermedia, que en los foros de doom9 llaman processing key (creo que en la documentación oficial de aacs le llaman media key). ¿Es esa clave suficiente? No.


• ¿Por qué? Si ésta fuese toda la protección, no habría sistema anticopia. No sería posible ripear la peli sin conocer alguna device key, pero sí sería posible hacer una copia exacta del disco (bit a bit) y que funcionase exactamente igual que el original. ¿Cómo se impide? Se mete en el disco una cosa que se llama volume id, que está en una parte del disco que las grabadoras domésticas no pueden grabar (de forma que no se pueda copiar de un disco a otro). Es necesario usa esa clave junto con la processing key para obtener la clave de lectura de la película


• ¿Y cómo se obtiene el volume id? Se supone que el lector de discos sólo se lo da a reproductores autorizados, que se identifican con una clave secreta propia del reproductor. El reproductor "firma" su petición y obtiene el volume id. Calcula también la processing key y con ambas obtiene el title key, con el que puede descifrar el contenido

---

Vale, y ahora ¿en qué consiste la protección? El truco está en que las claves que tienen los reproductores son específicas para cada reproductor (En teoría podrían hacerse para cada uno individualmente, pero supongo que se darán por modelos). En el disco el media key block está repetido de modo que cada reproductor pueda descifrarlo con al menos una de sus claves. Si un reproductor deja de estar autorizado, las peliculas que salgan posteriormente (NO las que ya han sido publicadas) no tendrán el media key block cifrado con ninguna clave de ese reproductor, de modo que el reproductor dejará de funcionar con las nuevas películas. Así fuerzan a que sean los reproductores los que protejan las claves.

¿Por qué? Veamos los modos de ataque a este sistema

• El mejor: conseguir los device keys sacándolas del software reproductor o engañándole para que te las de. Con eso ya casi estás. Como he dicho, la protección contra ello es que cuando se publiquen, se revocan y ese reproductor (y los reproductores piratas que usen esas claves) no podrán usar las peliculas que se publiquen desde ese momento. Por supuesto, si alguien las averigua pero no las comparte, podrá seguir usándolas, pero es demasiado trabajo para un usuario corriente, y habrá pocas personas que puedan hacerlo.


• Además, si no usas un reproductor autorizado, necesitas obtener el volume id de algún modo. Ésto es más fácil. Una forma es espiar la comunicación entre el reproductor autorizado y el lector de discos. Otra que han conseguido es que si tienes un reproductor autorizado y dejas que se identifique, luego puedes pedir el volume id antes de que lo haga él. Una última, mucho más difícil pero más general, es modificar el firmware del lector para que no solicite la identificación. Por ahora todas las copias de una película tienen el mismo volume id, por lo que si lo obtiene una persona en todo el mundo es suficiente.


• Y ahora el cutre. Si lo otro es muy difícil, lo que se puede hacer es que una persona en todo el mundo obtenga la clave final (title key) de cada película y la publique. Un reproductor pirata podrá usar esa clave para reproducir esa película. Pensad que es algo como los números de serie para activar los programas. ¿Cómo piensan evitarlo? Identificando el reproductor débil que está permitiendo que quien sea esté obteniendo las claves y revocándolo. Hay sistemas que permitirán reducir el número de reproductores que pueden ser con cada película que se desproteja, de forma que con un número suficiente de películas puedan saber exactamente que reproductor es. Por ahora, sin embargo, no están utilizando esos sistemas.

O sea, que ya están suponiendo que es posible obtener las claves (buena suposición, por cierto) y se limitan a reducir el daño que produzcan esas claves en el futuro, y al mismo tiempo tratan de fortalecer el reproductor débil que permite obtener las claves ("si no arreglas ese fallo, no te damos otras").

---

Ajá... Y ahora, ¿qué es ese número? Ese número es la processing key. No sería gran cosa si no fuese por que todas las películas publicadas hasta ahora (tanto hd-dvd como blu-ray) usan la misma clave, o sea, esa. Muy buena, sí señor... Con eso no importa que no conozcas las claves secretas de los reproductores, porque no necesitas descifrar la clave que viene en el disco, es 09-f9-11-02-9d-74-e3-5b-d8-41-56-c5-63-56-88-c0. Sólo necesitas el volume id.

¿Es el santo grial? No. Pueden cambiar por fin la clave de una película a otra, pero si no lo han hecho presupongo que algún problema habrá. Es noticia porque la persona que lo ha hecho (arnezami en el foro de doom9) no ha revelado el reproductor débil, y es posible que pueda volver a hacerlo una y otra vez (y si revocan el reproductor a lo mejor otro tiene el mismo error). Ha empezado la carrera, y sólo un bando se ha gastado cientos de millones.

---

En este otro post explico por qué al final la medida de revocación de reproductores débiles va a ser inútil...

---

Enlaces: (todo en inglés)
Foro de doom9 donde arnezami publica la clave
Foro de doom9 donde Geremia explica cómo se va a poder modificar el firmware del lector
Serie de posts en freedom to tinker que analizan aacs

La seguridad en el voto por correo y los impresos falsificados en Melilla

Sé que esto no tiene mucha relación con la informática, pero mi especialidad es la seguridad en el voto electrónico, y no he podido resistir echar un vistazo.

Podeis encontrar una descripción del tema de los impresos falsificados de solicitud de voto por correo aqui. Luego hay otros artículos como éste, pero ya son más recolecciones de declaraciones (por cierto bastante estúpidas).

Antes de seguir explicando, podeis leer las instrucciones para votar por correo en el Ministerio del interior o en La ley de Régimen Electoral General. Resumiendo:

1. Vas a una oficina de correos personalmente y pides tu impreso de solicitud (se especifica "personalmente" en la página del ministerio de administraciones públicas, pero no en la ley)


2. Entregas en persona la solicitud rellena en la oficina de correos.


3. Te envían por correo las instrucciones, la documentación y el sobre de votación. Tienes que estar en ese momento en la dirección que has indicado para recoger el envío, o si no, ir a correos en persona para recogerlo


4. Escoges las papeleta del voto y la metes en un sobre (igual al que se usa en la votación en los colegios electorales). Metes ese sobre (o más de uno si hay más de una votación) en un sobre gordo junto con el certificado que te han adjuntado que certifica que esos votos son válidos y lo envías por correo certificado a tu mesa electoral (la dirección está preimpresa). No tienes ya por qué entregar tú el sobre en correos, puede hacerlo otro.


5. El día de la votación, cuando acabe la votación en la mesa, abren todos los sobres gordos, comprueban que el certificado es válido, y meten el sobre de voto (obviamente sin abrirlo, está al lado de un certificado con tu nombre) en la urna junto con todos los votos presenciales. Después abren la urna, y cuentan todos los votos de forma normal

Antes de nada ¿por qué el Ministerio de Administraciones Públicas especifica que tienes que recoger el impreso de solicitud personalmente si en la ley no lo pone? Creo que han supuesto que lo que hace casi todo el mundo (y lo que haría yo) es lo siguiente: vas a correos, pides el impreso, coges un boli, lo rellenas y lo entregas. Eso es lo que hago yo cuando voy a un banco y sitios similares. Sólo te sueles llevar un impreso cuando no es para tí, o cuando piden que lo entregues junto con fotocopias de x, y y z. ¿Tiene sentido de todas formas negar a cualquiera a que recoja varias solicitudes (se habla de que pedían cientos de ellas)? Sí. Supongamos que tú estás en una mesa electoral y viene alguien y te dice "¿Te importa que me lleve las papeletas para votar al PP? Tengo amigos que las necesitan..." Obviamente te tienes que negar, porque ¿y si luego llega alguien que quiere votar al PP y no hay papeletas? (es lo que los hackers llaman ataque por denengación de servicio). Podeis ver una acusación de ello aquí . No sé si es cierta, pero la posibilidad claramente existe. A todo esto, podeis ver un ejemplo de la solicitud aquí, juzgad vosotros mismos si es necesario ayudar a la gente a rellenarla o si es necesario llevársela a casa un par de días para hacerlo.

¿Permitiría tener falsificaciones del impreso del paso 1 hacer fraude electoral? Pues he estado mirando y la verdad, no veo cómo (aparte de que me parezca mal que alguien falsifique documentos más o menos oficiales).

Entonces, ¿qué puedes hacer con un impreso? En principio nada, pero es el mismo impreso que se usa para pedir voto por correo para personas enfermas. En este caso, una persona puede entregar la solicitud con una certificación notarial, pero no puede entregarla para más de una persona. En cualquier caso no necesitaría más de una solicitud (o dos por si acaso mete la pata en la primera). Nunca cientos. Y ese no es un sistema especialmente bueno de hacer fraude porque es muy difícil conseguir suficientes personas que vayan a entregar la solicitud (no se permite que una persona represente a más de una), necesitas un notario que te falsifique todas las certificaciones de enfermedad y al final te la juegas a que ninguno de los electores vaya a votar presencialmente y se queje del voto fraudulento (en ese caso el notario y la persona que entregó la solicitud están vendidos, y si hablan, también más gente).

¿No es posible hacer nada, nada...? Hombre, mirando la solicitud sería posible rellenar la dirección antes de dársela a la persona que la va a usar (no tiene sentido rellenar el nombre porque tiene que coincidir con el DNI de la persona que lo entrega). Sería posible decir algo así cómo "entrega este impreso y no te preocupes de nada, votamos por tí". Pones una dirección para todos los impresos, recoges los sobres y te aseguras de enviar en todos el voto para tu partido. Problema: la persona tiene que recoger el sobre personalmente, por lo que necesitarías un cartero corrupto. Y tener un rango de direcciones donde recoger los sobres lo suficientemente amplio (¿están viviendo 1000 votantes por correo en la sede del PP?) para que la Junta Electoral no sospeche, todas en la misma área de reparto del cartero corrupto, no parece especialmente factible.

¿Pero realmente no hay intención de hacer fraude electoral? Hombre, seguro, seguro, no, pero no lo veo claro. En las elecciones municipales, es más fácil hacer fraude (necesitas cambiar cientos o miles de votos en lugar de cientos de miles o incluso millones), pero a cambio el fraude en el voto por correo es más difícil, ya que la gente que va a votar por correo por definición no está en donde tú estás (si no, votaría presencialmente). Es posible que se fuese mucha gente en ese fin de semana y que sí estuviese el resto del tiempo, pero ¿de verdad aprovecha todo el mundo un fin de semana de mayo para largarse? ¿Y necesitan realmente falsificar impresos para eso? Se ha dicho que se ha hecho ésto en las elecciones gallegas con las colonias de gente de Galicia en América Latina, pero no creo que funcionase en elecciones municipales ¿cuantas colonias de cientos de melillenses hay en España? Estarán un poco repartidos, digo yo...

¿Y entonces lo de falsificar las solicitudes? La verdad, no tengo ni idea. ¿No sería más fácil enviar una carta recordando a tus votantes que vayan a una oficina de correos y rellenen el impreso que falsificar documentos oficiales? ¿Tantos votos ganas de gente que no iría a correos a recoger el impreso ni lo rellenaría allí pero sí iría a entregarlo?

---

Y ahora las citas estúpidas, cortesía de la casa (¿es que la gente desconecta su cerebro antes de abrir la boca?):

Una regulación con la que no está de acuerdo la presidenta de la Comunidad de Madrid, Esperanza Aguirre, que criticó que con la misma se obliga a acudir "tres veces a las oficinas de Correos in person" (enlace)

Ehm, no. Cómo he dicho antes, si pides prestado un boli sólo tienes que ir dos veces (si necesitas certificación notarial para pedirlo por otra persona es otra cosa, pero eso es mucho más complicado, y es complicado a propósito). Y eso contando con que no estés en casa cuando correos te envíe el sobre. Si estás en casa, sólo habrás tenido que ir una vez.

No se puede reducir el proceso, por muy incómodo que sea. Si no tienes que identificarte la primera vez o dejas que cualquier otra persona entregue la solicitud, es posible evitar que alguien vote presentando una solicitud en su nombre y poniendo una dirección en la que sepas que no esté para la entrega de la documentación (otro ataque por denegación de servicio). No te pueden entregar la documentación al momento porque la Junta Electoral tiene que comprobar si puedes votar (no lo pueden hacer en Correos). Y tienes que recoger la documentación en persona porque si no cualquier persona puede coger el sobre del buzón, o tu pareja cogerlo en tu nombre y votar por ti mientras tú estás pensando "¿por qué no me llegarán los papeles?". Asi que sí, es incómodo, pero así es la seguridad.

"Por eso entendí", insistió, "que ante la escasez de suministro por parte de la Delegación del Gobierno y de la oficina de Correos de estas instancias, y ante la demanda de muchos simpatizantes que tienen chavales que están estudiando fuera de Melilla, y que vienen a la sede para saber cómo es eso del voto por correo, hice el encargo de imprimir estas instancias idénticas a las de Correos". (enlace)

¿Ein? Si tú estás estudiando fuera, tienes que ir a tu oficina de correos más cercana a entregarlo asi que ¿de qué sirve que te envíen el impreso desde Melilla? Esto realmente hace parecer que hacen algún tipo de fraude con las entregas de los documentos o algo así. Yo no me buscaría una excusa así, la verdad...

Asimismo, Esteban criticó especialmente el caso del PSOE de Andalucía, ya que una noticia difundida por Europa Press señalaba que tenía previsto “reforzar el reparto de papeletas para el voto por correo en los municipios con mayor participación en la Romería del Rocío”.(enlace)

A ver... Correos te envía las cosas a casa, de modo que aunque vayas a la Romería del Rocío, que parece que coincide con las elecciones, sigues votando en Zaragoza, Logroño, Teruel o dónde sea. ¿Cuántos meses está la gente en el Rocío? De todos modos no sirve de nada solicitar el voto por correo mientras estás allí, tienes que solicitarlo antes de ir para tener tiempo a recibir los materiales y enviarlos. Y si lo que pretenden es entregar solicitudes ¿de veras, que tiene de malo una carta con "recoge tu solicitud en correos. Cualquier correos. Mira, hay uno en esa esquina..."?

Por su parte, Joaquín Aréstegui vino a decir que los socialistas han encontrado en Avilés la horma de su zapato. «El formulario para solicitar el voto es igual para los votantes en el exterior que para los nacionales, no es excusa. Lo que han montado en Melilla es un despropósito y lo han exagerado. No hay fraude. Me atrevería a decir que el voto por correo está mucho más controlado que el que se efectúa ante las urnas. Lo importante al final es la voluntad del elector de efectuar el voto», concluyó. (enlace)

No, no, NO. El voto por correo es mucho más inseguro que el que se efectua en las urnas. El voto por correo no es confidencial, por lo que se pueden comprar votos, amenazar a la gente para que vote de cierta forma ("si no metes este voto y luego me das el sobre para que yo lo envíe te despido..."), se pueden eliminar votos (robar las sacas de correos), abrir los sobres gordos y cambiar los sobres cerrados con los votos que van dentro, robar los sobres con la documentación antes de que le lleguen al votante... Obviamente hay formas de detectar ésto, pero no es lo mismo que ir a una urna transparente vigilada por diez personas y echar dentro un sobre que has rellenado tú en una cabina. Para que quede claro, el voto por correo no es seguro, es un riesgo que se corre para fomentar el voto presencial y además permitir ejercer más fácilmente sus derechos a los ciudadanos. Funciona porque hay poco, y por tanto no es fácil aprovechar sus vulnerabilidades sin llamar la atención (mejor dicho, no compensa). Y lo de "Lo importante al final es la voluntad del elector de efectuar el voto" me da ganas de darle con una silla en la cabeza. Lo importante es recoger bien la voluntad de elector, no que esa voluntad exista en teoría teórica. No permitimos a PP (o a quien sea) votar en nombre de sus votantes aunque le den un certificado porque no es buena idea (permite intimidaciones, no cambiar de opinión a última hora, falsificación de firmas a gran escala, etc.) y eso también recogería la voluntad de elector y le permitiría votar ¿no? El proceso está para algo, de verdad...