Hoy en día muchos países, China es el “Big Brother” por excelencia, utilizan el reconocimiento facial para la persecución del delito. Pero antes de meternos de lleno en esto, comencemos con una breve explicación e historia del reconocimiento facial. El método consiste en detectar rostros en las imágenes digitales y para poder realizar esto utiliza, la hoy muy aclamada, Inteligencia Artificial. ¿Y qué es la Inteligencia Artificial?

Lo primero que quiero decirles es que la IA no es un término nuevo, sino que existe desde hace mucho mucho tiempo. Hay trabajos de la década del 40 donde se empezaba a hablar un poco sobre este concepto. Pero el que realmente puso a la Inteligencia Artificial en un plano realizable fue Alan Turing. Este hombre por si no sabían, fue el creador de lo que hoy llamamos computadoras, entre otras cosas, como también haber descifrado el código Enigma utilizado por los alemanes en la Segunda Guerra Mundial para enviarse mensajes sin que puedan ser leídos, nada, no hizo nada este muchacho. En 1950 Turing comenzó a hablar y a realizar trabajos sobre IA. Esto se los cuento para que vean que el término IA no es nuevo, pero como ahora el poder de las computadoras no es el de hace tanto tiempo, hizo que las máquinas que se consiguen en el mercado, puedan desarrollar este tipo de algoritmos y tecnología.

La IA es el proceso por el cual las máquinas pueden percibir su entorno y tomar decisiones en base a esto. ¿Cómo? Aprendiendo. Por ejemplo, nosotros sabemos que “Juan” es un nombre propio porque nos han enseñado que lo era y porque hemos analizado el contexto en el cual oímos o leemos esa palabra, lo mismo pasa con las máquinas. Para que ellas pueden interpretar que “Juan” es un nombre propio, se la debe enseñar para que pueda interpretarlo y pueda dar como resultado que Juan es un nombre propio. ¿Y quiénes son los encargados de enseñar a las máquinas? Las Personas. No hay otra opción. Las personas son quienes se encargan de darle las instrucciones diciéndole a la máquina por ejemplo: “En esta oración Juan es el nombre, en esta otra Pedro, etc etc” para que las máquinas puedan aprender y luego tomar decisiones. Claramente son ejemplos muy básicos pero quiero llegar a este punto: Las personas somos las que le decimos a un algoritmo de IA dónde está cada cosa y las máquinas pueden evaluar y aprender de todos los ejemplos que les damos. Entonces el procedimiento básico de un algoritmo de IA es el siguiente: entrenamiento o aprendizaje, evaluación, re-entrenamiento. Un vez que la evaluación informa que no se ha aprendido nada nuevo, ese algoritmo de IA estaría listo para poder ser aplicado a casos reales. Una vez aplicado a casos reales, sus resultados también deberán ser evaluados por personas para que puedan tomar decisiones. Y acá vamos al gran pilar de la Seguridad Informática: ningún sistema es 100% seguro y eficaz. Fallas presentan todos. Pero esto de las fallas lo vamos a dejar para un poquito más adelante.

¿Por qué toda esta introducción? Porque a lo que quiero llegar es que la IA no es mala ni buena, sino que sus resultados dependerán siempre de las personas que la hayan entrenado y/o las medidas a tomar en base a sus resultados, también deberían ser tomadas por PERSONAS. También depende de en dónde se aplique, será necesario evaluar si es adecuada o no su utilización. Entonces el foco de su uso responsable, para mi, está en las personas y no en el algoritmo en sí. El uso responsable presupone evaluar sus resultados y tomar decisiones en base a esto. El uso no responsable está determinado por aceptar los resultados arrojados por estos algoritmos sin la debida verificación o bien, un uso no responsable sería utilizar esta tecnología con fines oscuros o poco éticos.

Esto me llevó a pensar en el uso del reconocimiento facial por parte del estado en espacios públicos, donde somos reconocidos y detectados por el sólo hecho de caminar por la calle.

Existen muchos países que implementan el Reconocimiento Facial en el estado, ya hemos mencionado a China pero otros países también lo utilizan como Inglaterra, EEUU y si, la Argentina. ¿Cuál es el fundamento de la utilización del reconocimiento facial por parte del estado? ¿La persecución de un delito o el “big Brother” del estado hacia sus ciudadanos? Básicamente, su implementación consiste en comparar los rostros detectados con una base de datos de personas desaparecidas o con pedidos de captura y así poder informar a las autoridades cuando existe algún tipo de coincidencia sobre la persona detectada y la buscada, todo en tiempo real. ¿Qué implica un caso de acierto en estas condiciones? Demorar a dicha persona, pedirle su identificación y si coincide con la persona que figura en la base de datos, detenerla por ejemplo si es un caso de pedido de captura. Ahora bien, ¿se acuerdan de la premisa de la Seguridad Informática que decía que no todos los sistemas son 100% seguros y presentan fallas? También esto aplica para el reconocimiento facial y aplica aún más, porque los algoritmos no pueden siempre detectar correctamente los rostros o pueden tomar actitudes equivocadas en cuanto a su entorno (por ejemplo en la comparación con las bases de datos). ¿Y esto por qué es? Primero se puede deber a quién le enseñó a ese algoritmo a detectar rostros y compararlos. Por ejemplo, si yo le enseño con ejemplos de personas de diferente origen étnico al de su aplicación, lo más probable es que funcione realmente muy mal. El segundo factor de error se puede deber, justamente al procesamiento en tiempo real. Procesar en tiempo real, implica tener algoritmos de bajo costo de procesamiento, por consecuencia débiles y por eso pueden fallar también. Esto genera 2 tipos de errores: los falsos negativos y los falsos positivos. En los primeros, es muy difícil que nos demos cuenta que sucedieron, porque no vamos a saber que la persona con la que comparó su rostro con una base de datos, dio como que no figuraba en ella pero en realidad si era buscada. El gran problema lo tenemos con los falsos positivos, que son aquellas situaciones donde el algoritmo detectó que un rostro si se encuentra en una base de datos, pero en realidad el algoritmo falló y por lo tanto, la persona que figura en la base de datos es diferente a la detectada en calle. Entonces, ¿qué implica un falso positivo? A grandes rasgos implica que una persona que no es buscada, sea demorada, a priori, en la calle. Ha habido casos en los que personas han estado detenidas hasta tanto se resuelva su situación y se verifique que efectivamente no era prófuga de la justicia. Por ejemplo, en China, no sólo se utiliza para la búsqueda de personas sino también para labrar infracciones: se multó a una persona por haber cruzado mal la calle y en realidad el error se debió a que dicha persona figuraba en la publicidad de un colectivo. Claramente en este caso no hubo una verificación de esa multa ni cómo se produjo. Si hubiese existido, la multa no podría haberse llevado a cabo. Ahora China, ha implementado que todas las empresas de telecomunicaciones deben registrar los parámetros biométricos faciales de cualquier usuario de teléfono celular nuevo.

En la Argentina este sistema es implementado en la Ciudad Autónoma de Buenos Aires y en la ciudad de Córdoba. En CABA se ha planteado la inconstitucionalidad de la aplicación del Reconocimiento Facial porque se cree que viola el derecho a la intimidad de las personas y porque fue implementado como una resolución poco transparente y no como una ley donde se dé lugar al debate, la medición de su impacto y cómo afecta al normal desarrollo de las personas que transitan en el subte, por ejemplo.

En todos estos casos me surgen ciertos interrogantes debido a la no-transparencia en su implementación: ¿qué hacen con mis datos? ¿Con qué bases de datos cruzan los rostros detectados? Luego de detectar mi rostro, ¿se destruye o queda almacenado? Para la ONG Access Now, la implementación de esta tecnología en la ciudad de CABA fue digna del premio al “Villano del año” por considerar que dicha implementación no estaba dentro de los criterios de transparencia adecuados para su utilización. ¿y saben qué? Comparte el podio con Mark Zuckerberg, el CEO de la empresa Facebook.

No obstante esto, volvemos a que las personas u organizaciones son aquellas que están siempre en el foco de la utilización de estas tecnologías. ¿El problema es el Reconocimiento Facial? ¿O el problema es la falta de transparencia en su implementación por parte de las personas que están a cargo de la toma de estas decisiones e implementaciones? ¿Hasta qué punto este sistema no es utilizado para vigilancia? Y ahora que nombramos la palabra “vigilancia” se me viene a la mente un dicho anónimo que dice: “Cualquier sistema que pueda ser utilizado para vigilancia… será utilizado para vigilancia”.

Yo creo que la Inteligencia Artificial no es el problema, sino que el problema es quien la aplica y toma decisiones con sus resultados. En el caso del reconocimiento facial en espacios públicos por parte del estado ¿Qué es más importante, la persecución y resolución de un delito o atentar contra la libre circulación de las personas en la vía pública?

Para concluir, mi idea es focalizar en que no existe, al menos para mi, una grieta en la que unos están a favor del Reconocimiento Facial y otros están en contra. Siempre lo que hay que cuestionar es el fin de la utilización de estas tecnologías y si ese fin está adecuadamente reglamentado y se ha realizado una medición del impacto que podría generar. Una correcta evaluación del impacto, nos dará como resultado si su implementación es viable o no.

La pregunta es ¿para qué? Y no ¿con qué? La respuesta al para qué siempre tendrá como protagonistas a las personas u organizaciones que son quienes toman decisiones y no a las máquinas.

Hace unos años empezó a instaurarse la idea de usar tecnología para los sufragios de las elecciones en nuestro país. La ciudad autónoma de Buenos Aires, junto con la provincia de Salta fueron los pioneros en incorporar el voto electrónico y se denominó BUE (Boleta Única Electrónica), luego se le sumaron Chaco, Neuquén, Córdoba y Misiones. Brevemente en qué consiste este sistema electrónico de votación: cuando llegamos a nuestra mesa, nos identificamos en el padrón y el presidente de mesa nos da una boleta, en este caso la boleta única electrónica, a la cual previamente le corta un troquel a la misma para pasar posteriormente al sector donde se encuentran las máquinas en las cuales emitiremos nuestra intención de voto. Una vez frente a esta máquina, introducimos la boleta provista anteriormente y a través de la pantalla táctil seleccionamos a nuestro candidato. Cuando hayamos finalizado, la máquina imprimirá en la boleta la opción elegida y a su vez la registrará en un chip RFID que la misma contiene con la misma información que salió impresa. Con la boleta en mano, podemos verificar, mediante un lector que la máquina contiene, que lo que esté impreso coincide con lo almacenado en el chip para así luego, doblar la boleta y depositarla en la urna. El voto realizado se almacena en este chip, para que luego de haber cerrados los comicios, el conteo de los votos se realice con la misma máquina de votación, pero ahora ejecutando el software para el conteo de votos.  Hasta ahora es un sistema que parece rápido y ágil pero ¿es seguro?

Tenemos que partir sobre uno de los principios de la Seguridad Informática: “No hay un sistema informático 100% seguro, todo sistema tiene fallas o vulnerabilidades”. Entonces, incorporar tecnología al proceso de votación implica ciertos riesgos que se deben contemplar de antemano y más si esta tecnología la utilizamos en un proceso tan crítico como es el que estamos tratando y sobre todo si es en la fase de emisión del voto. Una de las características obligatorias del voto es que debe ser SECRETO, pero ¿es la BUE capaz de garantizar esta característica? La respuesta es NO. Se ha demostrado, tanto en países extranjeros, como EEUU, y en nuestro país que es posible conocer el voto que posee una boleta con tan sólo leer el chip de la boleta a cierta distancia, por ejemplo con un celular. Otra de las formas es simplemente a través del medio que estamos utilizando, una computadora. Como tal ejecuta un programa y por lo tanto es programable. ¿Qué pasaría si esta máquina registrara hora exacta y voto realizado y que alguien de la mesa, o no, registre a qué hora esa persona ingresó a votar? Sería muy sencillo consultar la información que tiene almacenada la máquina y la hora en que ingresó el votante para poder conocer su voto. Pero también podría imprimirse el voto en la boleta con alguna característica indetectable al ojo humano (ciertos puntos en las letras, por ejemplo). Sólo basta con que se registre el orden de cada votante en el que ingresaron a la mesa y luego cotejar en una tabla -que se tiene de antemano- que tal número se imprime de cierta forma y también sabremos a quién votó cierta persona.

Pero tenemos aún un problema más grave: el proceso de votación debe ser entendido y auditable por cualquier persona. El código de las máquinas de votación no está disponible para su auditabilidad, que es otro de los pilares básicos de la Seguridad en los Sistema de Información. Como ciudadanos y votantes, nos basamos en la confianza de que nuestro voto se realizó correctamente y no fue alterado ni almacenado en la máquina ni ninguna otra consideración que nos podamos hacer. Por ejemplo, ¿si al momento de verificar el voto que está impreso en nuestra boleta con lo almacenado en el chip RFID, la máquina nos muestra los datos para que coincidan pero en realidad lo almacenado en el chip difiere con lo impreso? ¿Cómo podemos saber que realmente la máquina hace lo que tiene que hacer y no otra cosa? La respuesta a esta pregunta es lo que ya expuse anteriormente: AUDITORÍA. Se basan en la seguridad por ocultamiento u ofuscación (caja negra, no sabemos cómo está hecho) en un proceso universal y público como es el sufragio, algo que no deberíamos aceptar bajo ningún punto de vista. ¿Y alguien se puso a pensar en el diseño, por ejemplo de la pantalla que muestra a los candidatos para poder seleccionarlos? Podría tranquilamente programarse para que por defecto se tenga seleccionado cierto candidato o bien poner a cierto candidato en un sector de la pantalla, estratégicamente planeado, para que sea seleccionado. Esto ocurrió en las elecciones de Holanda del año 2006.

Existen ciertos mitos en base al voto electrónico como “no es una computadora, es una impresora”. Creo que con todo lo expuesto anteriormente, está más que claro que es una computadora. Es más, déjenme decirles que una impresora, es una computadora porque recibe datos de entrada, los procesa y genera una salida y todo lo hace mediante sus dos componentes principales, el hardware (dispositivos físicos electrónicos) y el software (programas). Otro de los mitos que surge es que el voto electrónico puede ser comparado con una operación bancaria, si podemos transferir dinero en forma digital, podemos realizar una votación bajo el mismo medio. Comparar transferencia bancaria con voto electrónico es comparar “peras con manzanas”. Podemos dar un ejemplo irrefutable: en una transferencia u operación bancaria digital, ante un problema, podemos conocer tanto el emisor como el receptor de esa transferencia y además, los sistemas bancarios por Internet (HomeBanking) llevan todo tipo de registros sobre accesos y operaciones que se realizan en él, por lo tanto sería muy sencillo conocer quién o qué produjo cierta falla, fraude, acceso u operación. En un voto electrónico SE DEBE GARANTIZAR EL SECRETO, razón por la cual, estos registros no pueden ni deben ser almacenados lo que hace que ante una falla no puedan conocerse siempre las causas y hasta podría pasar que uno o varios votos no puedan ser contabilizados. Y el último mito a mencionar que ha surgido, es que se dice que la Boleta Única Electrónica no es Voto Electrónico, pero sólo es una cuestión de cambiarle el nombre a la misma cosa para que parezca diferente, lo cierto es que el uso de tecnología para la emisión y conteo del voto, es una forma de voto electrónico. Existen múltiples formas de voto electrónico pero no entraremos en detalle sobre estas.

Para finalizar, hoy en día son pocos países en los cuales se utiliza el voto electrónico, como por ejemplo algunos distritos en E.E.U.U., Brasil, India y Venezuela y cabe mencionar que en todos estos hubo problemas como los ya mencionados y otros tantos. El voto electrónico trae más problemas, y muy graves, de los que verdaderamente viene a solucionar. La solución que se propone para mejorar el actual sistema obsoleto -boleta partidaria en papel- es la Boleta única de papel, en la que se nos entrega un sola boleta oficial (provista por el estado) donde están todos los candidatos y sólo tenemos que marcar con una lapicera el candidato deseado. Este tipo de boleta soluciona los mismos problemas de los que soluciona la BUE pero no hay máquinas, es mucho pero mucho menos costoso y además, es la opción utilizada por la mayoría de los países. Aquellos países que han optado por utilizar voto electrónico, la mayoría de ellos lo han dejado de lado por la gran cantidad de problemas que atrae. La tecnología no soluciona todos nuestros problemas, muchas veces genera más de los que creemos.

Ah, me olvidaba… ¿y si se corta la luz, hay plan B?