Tribunal Electoral de Panama
PLAGEL 2019
 
Llene todos los campos a continuacion, siguiendo las instrucciones a mano derecha o abajo del formulario para poder descagar el codigo fuente de las aplicaciones electorales. Para cualquier duda o consulta comuniquese por Mensaje directo en todas nuestras redes sociales: Facebook, instagram y Twitter @tepanama o por medio de whatsapp al +507 6232-8603 desde las 8AM hasta las 4PM.
!

!

!

  • Debe llenar todos los campos en el formulario incluyendo una dirección de correo electrónico válida.
  • Una notificación le llegará a su buzón de correo electrónico con la dirección para descargar los archivos seleccionados.
  • Al dar click sobre el enlace en el correo, se abrirá otra ventana del navegador con la descarga.
  • Escoja donde desea descargar el archivo en su equipo. El archivo va comprimido con todo el contenido y un archivo con los detalles del compendio criptográfico de cada uno.

 
 
A continuación un listado de las preguntas más frecuentes asociadas a los archivos descargados. Puede dar click sobre cada una de las secciones para revelar el contenido de las respuestas a las preguntas más frecuentes asociadas con ese tema. Esta sección puede actualizarse con frecuencia, esté atento del contenido para cualquier notificación o actualización.
Todo el Código fuente es propiedad intelectual exclusiva del Tribunal Electoral de Panamá.
  • ¿Por qué está el Tribunal Electoral publicando este código fuente?
    Dado el compromiso de la institución con la transparencia, el Tribunal Electoral de Panamá ha decidido publicar el código fuente de las aplicaciones consideradas de misión crítica para las elecciones generales, según la disposición del Decreto del 21 de marzo de 2018, donde se indica lo siguiente:
    • “Publicación en la página web del Tribunal Electoral de los siguientes códigos fuente: a) Aplicación de la transmisión extraoficial de resultados (TER); y b) Voto electrónico.”

  • ¿Quién puede descargar el código fuente?
    Cualquier individuo, institución, partido político o demás personas que estén interesados en conocer como trabajan las aplicaciones que el TE utilizará para las elecciones generales del 2019.
  • ¿Cómo descargar el código fuente?
    • Para realizar la descarga debe llenar un pequeño formulario, se le solicitará su nombre, dirección de correo electrónico válida y código fuente deseado, podrá elegir la opción de descarga del código fuente de la aplicación de TER (Transmisión Extraoficial de Resultados), la aplicación de Voto Electrónico o ambas.
    • Posteriormente recibirá una notificación en su buzón de correo electrónico con la dirección (hipervínculo) para descargar los archivos seleccionados. En algunas ocasiones, dependiendo del gestro de correos utilizado, los mensajes son ubicados en las carpetas de correos no deseados.
    • Al dar clic sobre el enlace en el correo, se abrirá otra ventana del navegador con el hipervínculo de descarga.
    • Seleccione donde desea descargar el archivo en su equipo.
    • El archivo estará comprimido con todo el contenido de la solución o soluciones seleccionadas y por cada solución un archivo con los detalles del compendio criptográfico de cada uno de los archivos de esa solución.
  • ¿Qué puede hacer con este código fuente?
    El usuario que desee descargar el código fuente puede instalarlo en un ambiente de desarrollo o en un editor de su gusto para inspeccionar el código fuente o ejecutar aplicaciones que revisan el código fuente para entender como funciona.
    NOTA:Es importante indicar que todo el código fuente es propiedad intelectual exclusiva del Tribunal Electoral de Panamá.
  • ¿Por qué no está publicado el código fuente de Voto por Internet?
    Según la disposición del Decreto del 21 de marzo de 2018, se indica:
    “Entrega del código fuente del voto por Internet a la comisión de informática de los partidos políticos y a los representantes técnicos de los candidatos presidenciales por libre postulación.”
  • ¿Quién ya ha revisado el código de estas aplicaciones?
    El ciclo de desarrollo empleado por el Tribunal Electoral de Panamá requiere que el código fuente para las elecciones generales del 2019 sea revisado por los siguientes actores:
    1. Departamento de Desarrollo de Sistemas Informáticos (DSI) del Tribunal Electoral de Panamá
    2. Departamento de Control Interno del Tribunal Electoral de Panamá
    3. Dirección de auditoría interna del Tribunal Electoral de Panamá
    4. Unidad de Seguridad del Tribunal Electoral de Panamá
    5. Empresas de Seguridad (una nacional y una internacional)
    6. Universidad Tecnológica de Panamá
    NOTA:
    Las aplicaciones de Voto Electrónico, Voto por Internet y el Aplicativo TER, son revisados y certificados por la Universidad Tecnológica de Panamá. El procedimiento de revisión ha sido presentado a los partidos políticos a través de las comisiones interdisciplinarias de trabajo conjunto.
  • ¿Cómo sé que el código que descargue es el que se usó en las elecciones?
    El código fuente de ambas aplicaciones mantiene compendios criptográficos (hash) los cuales fungen como herramienta de control de trazabilidad para que cualquier actor pueda verificar la integridad de dicha aplicación.
    Estos valores se pueden comparar con las listas a continuación:
  • ¿Puede cambiar el código fuente antes de las elecciones?
    Si, dada la naturaleza dinámica de las aplicaciones pueden surgir cambios requeridos a las aplicaciones, los mismos serán comunicados a través del sitio web de la institución indicando los cambios efectuados. Los cambios pueden ser validados a través del compendio criptográfico (HASH) que se ha incluido para cada archivo que conforma la aplicación

    Históricamente, la plataforma electoral se congela, recibe cambios menores y muy controlados, entre un mes y 15 días antes de las elecciones.
    Adicionalmente, todas las personas que hayan realizado la solicitud por medio del formulario electrónico de la página web, se le notificará por correo electrónico del cambio.
  • ¿Cómo puedo comprobar el HASH?
    Se puede utilizar cualquier herramienta que permita la verificación de compendios criptográficos. El Tribunal Electoral utilizó la herramienta QuickHash versión 3.0.3, la cual puede ser descargada a través del siguiente URL.
  • ¿La seguridad de la plataforma de elecciones es solo basada en la seguridad de las aplicaciones?
    No, el modelo utilizado para la protección de la plataforma tecnológica, incluida las aplicaciones subyacentes, para los comicios del 5 de Mayor del 2019 utiliza un esquema de defensa en profundidad. Un esquema de defensa en profundidad utiliza varios controles de seguridad en distintas capas, tal y como se ve en la siguiente imagen:

  • ¿En que Consiste la Aplicación de Transmisión Extraoficial de Resultados (TER)?
    La plataforma TER del Tribunal Electoral de Panamá consiste en una aplicación móvil que permiten transmitir la información de los resultados desde los centros de votación, en cada mesa en una forma expedita y confiable para poder presentar resultados en tiempos muy reducidos al público y con mucha confiabilidad.
  • ¿Qué tan confiable ha sido TER en el pasado?
    Los resultados transmitidos por TER han sido siempre casi idénticos a los resultados provistos por la Junta Nacional de Escrutinio (JNE), casi siempre con menos de un 1% de diferencia.
  • ¿Porque Transmitir TER y no esperar hasta que el ACTA de la mesa llegue a la JNE?
    Por la naturaleza del proceso, las actas de cada tipo de elección (Presidente, Diputado, Alcalde y Representante de Corregimiento) deben llegar físicamente a la Junta Nacional de Escrutinio o a las Juntas Circuitales, etc. Este proceso en muchas ocasiones puede tomar muchas horas y haría que los resultados no estuvieran disponibles a veces hasta días después de la elección, causando preocupación y duda en la ciudadanía.
  • ¿Cómo está hecho el aplicativo TER para dispositivos móviles?
    El aplicativo está construido para operar en dispostivos móviles. La aplicación permite enviar en forma fácil y efectiva los resultados de cada elección por cargo y mesa incluyendo los votos totales, votos válidos, blancos y nulos al igual que los votos por partido.
    Utiliza criptografía fuerte de extremo a extremo. Es decir que los datos se encuentran cifrados desde que salen del dispositivo móvil hasta llegar a los servidores encargados de procesar la información. Utilizamos un dispositivo de seguridad para almacenar el material criptográfico.
    Está desarrollado para utilizar una llave pública de un par de llaves protegida por un HSM (Hardware Security Module) para garantizar que cada mesa transmitida solo se puede descifrar por la llave privada que está resguardada por el HSM en el servidor de acopio. .
  • ¿Corrí la aplicación contra una herramienta de análisis de código y encontré vulnerabilidades?
    Parte del análisis realizado por las entidades que validan el código fuente del aplicativo incluye el uso de herramientas automatizadas para identificar posibles vulnerabilidades. Todas las consideradas de importancia han sido manejadas, pero algunas todavía aparecen en ciertas herramientas como falsos positivos, por ejemplo:
    • Contraseñas codificadas y las claves privadas de la base de código  Algunas herramientas identifican que se guardan credenciales en el código basado en nombres de variables y asignaciones que se hacen en el aplicativo pero que realmente no son credenciales.
    • Configuraciones no están reforzadas de acuerdo con las mejores prácticas de seguridad  Similar al anterior, aparece como si se estuvieran guardando credenciales en una forma no acorde a mejores prácticas. Las credenciales y demás secretos o información sensitiva se ha tomado mucho cuidado de donde se almacenan y además en la plataforma electoral se encuentran protegidas por otros medios.
    • Funcionalidades de registro pueden revelar información sobre las partes internas de la aplicación  Algunas pantallas cuentan con objetos escondidos en la pantalla que se usan para notificar información al usuario en forma inmediata. Las herramientas automatizadas asumen que pueden contener datos sensibles que aunque no se ven, pueden ser accedidos por mecanismos maliciosos y si hay información sensitiva se podrían leer. Los desarrolladores se han asegurado que ninguno de estos objetos puede revelar información sensible.
    • Verificación de la forma de saneamiento aplicada a los campos de entrada  Todas las entradas han sido verificadas en las diferentes capas de la aplicación. En algunos casos estas validaciones pueden ser más difíciles para herramientas automatizadas para identificar, pero se ha garantizado que toda entrada está protegida.
    • Uso de Almacenamiento Externo El diseño de la aplicación requiere accesos temporarles al almacenamiento fuera del sandbox de la aplicación. Esto es por diseño y se han tomado las medidas necesarias para proteger estos accesos. Sin embargo, algunas herramientas identifican el uso del almacenamiento externo sin validar su protección
  • Qué es la plataforma de Voto Electrónico del Tribunal Electoral de Panamá?
    La plataforma de voto electrónico es una solución que permite, utilizando equipos computacionales normales y disponibles en el mercado, crear un ambiente seguro, rápido y fácil de usar para verificar la identidad del electoral, y permitirle emitir su voto. Al final del proceso, también permite hacer el escrutinio en una forma mucho más breve que el escrutinio manual.
  • ¿Qué tan confiable es la plataforma?
    La plataforma se ha usado en eventos electorales como la elección de autoridades de la Comarca Ngäbe-Buglé, ambas elecciones de reemplazo de representante de Corregimiento en El Bebedero, provincia de Los Santos en el quinquenio pasado y en la Escuela Jose Antonio Remón Cantera en las elecciones generales del 2014, entre otras. Los datos contabilizados siempre han dado los valores correctos y nunca se ha reportado incidente donde se haya comprometido la seguridad ni siquiera de un solo equipo.
  • ¿Cómo se evita que se hackee los equipos?
    Los equipos configurados para Voto Electrónico tienen los servicios de redes, bluetooth y demás componentes que pueden ser atacados externamente, deshabilitados o no existentes. Es imposible conectarse a estos equipos de forma remota. La comunicación entre equipos para validar ciudadanos o para consolidar votos se hace por medio de dispositivos de seguridad USB o tarjetas inteligentes.
  • ¿Cómo se puede saber que los votos contabilizados son los que se emitieron?
    Para pemitir que una auditoría en caso que se piense que se ha comprometido la información en una mesa, cada voto emitido es impreso en un dispositivo de impresión conectado a cada equipo de votación. Este comprobante de voto permite al elector ver efectivamente que información guardó el sistema. Este comprobante luego se deposita en una urna acrílica en la mesa de votación. Si existe razón suficiente, el presidente de la mesa puede solicitar hacer el escrutinio manual basado en los comprobantes de voto.
  • ¿Cómo está desarrollada la aplicación de Voto Electrónico?
    El aplicativo fue construido internamente por parte del TE y desarrollado utilizando las últimas tecnologías de la casa fabricante MICROSOFT para desarrollar un módulo confiable, seguro y rápido para emitir el voto y hacer el escrutinio.
  • ¿Corrí la aplicación contra una herramienta de análisis de código y encontré vulnerabilidades. Es el código inseguro?
    Parte del análisis realizado por las entidades que validan el código fuente del aplicativo incluye el uso de herramientas automatizadas para identificar posibles vulnerabilidades. Todas las consideradas de importancia han sido manejadas, pero gunas todavía aparecen en ciertas herramientas como falsos positivos, por ejemplo:
    • identificó que la aplicación no valida el parámetro de entrada del usuario que conduce a una inyección de SQL  La aplicación es de tipo escritorio y utiliza varias capas para interactuar entre la presentación (lo que ve el usuario) y los datos (donde se guarda la información). Esto hace que algunas herramientas no identifiquen las validaciones de las entradas. Todas las entradas de usuario son verificadas antes de procesar o capturarlas en la base de datos. Cada tipo de dato que se guarda es tipificado y validado.
    • Contraseñas codificadas y las claves privadas de la base de código  Algunas herramientas identifican que se guardan credenciales en el código basado en nombres de variables y asignaciones que se hacen en el aplicativo pero que realmente no son credenciales.
    • Configuraciones no están reforzadas de acuerdo con las mejores prácticas de seguridad  A las herramientas automatizadas puede parecer como si se estuvieran guardando credenciales en una forma no acorde a mejores prácticas. Las credenciales y demás secretos o información sensitiva se ha tomado mucho cuidado de donde se almacenan y además en la plataforma electoral se encuentran protegidas por otros medios.