Urnas eletrônicas podem ser hackeadas?

O processo é simples: você chega à seção eleitoral, entrega seu título de eleitor ao mesário, ele habilita a urna eletrônica, você vai até ela, seleciona seus candidatos e vota. Ao fim, depois de escolher nomes para todos os cargos disponíveis e confirmar, a urna registra as informações e pode ser liberada para outro eleitor.

• Justiça Federal aceita denúncia contra hackers que invadiram tribunal
• Eleições online: por que há tanta resistência e quando teremos no Brasil?
• Após analisar propostas, TSE pode implementar votação online já em 2022

Mesmo já sendo um dispositivo muito conhecido, no Brasil e no exterior, a urna eletrônica completa 25 anos em meio a novos questionamentos sobre sua segurança — o que pode ser irônico, considerando que ela foi projetada justamente para eliminar a fraude no processo eleitoral ao afastar ao máximo a intervenção humana.

Será mesmo que o equipamento pode ser invadida por hackers? A resposta é simples: não, a urna eletrônica não pode ser hackeada — bem, pelo menos por enquando, não há registros de manipulação ou roubo de dados, segundo o próprio Tribunal Superior Eleitoral (TSE), que também já desmentiu boatos a respeito. E o principal motivo para isso é o fato de ela ser um aparelho isolado. Isso quer dizer que ela não está conectada a nenhum tipo de rede. Isso mesmo: não há ligação do dispositivo com a internet nem com sistemas de comunicação semelhantes, Bluetooth.

Vale destacar que falar "não é possível ser hackeado" com 100% de certeza, definitivamente, pode ser imprudente, já que as invasões estão a cada dia mais sofisticadas e os cibercriminosos também podem atuar em conjunto com pessoas mal-intencionadas, capazes de facilitar algum esquema de vazamento de dados nos próprios locais de votação. Mas, de acordo com os fatos registrados até hoje e com os mecanismos de proteção, é possível dizer que, no momento, as urnas eletrônicas não podem ser hackeadas.Abaixo estão as razões pelas quais dá para afirmar isso.

Camadas de segurança

Outro fator que garante a proteção desses equipamentos são as camadas de segurança do sistema. Isso inclui desde itens físicos, como lacres nas urnas eletrônicas, até escudos digitais para garantir a integridade do software.

Então, se um criminoso conseguir obter uma urna eletrônica para invadi-la — e isso significa ter a posse física do equipamento, já que ele não interage com nenhuma rede — terá de superar todas as barreiras de defesa. E muitos desses bloqueios são programados para travar o sistema em caso de ataque.

Uma das tecnologias que protege a urna eletrônica é a criptografia, também usada em vários outros sistemas atuais considerados seguros, a exemplo de mensageiros como WhatsApp e Telegram, assim como em transações financeiras. Essa técnica codifica as informações e impede que os bancos de dados de eleitores e candidatos sejam interpretados.

Além disso, o software do equipamento é protegido por assinaturas digitais. Elas permitem verificar a autenticidade do programa de cada dispositivo, de forma que se torna quase impossível inserir opções não oficiais.

Isso porque existe uma cadeia de confiança entre hardware e software. Em outras palavras, se um programa não autorizado for inserido na urna eletrônica, o funcionamento do dispositivo é bloqueado. E se, ao contrário, o software oficial for executado em um dispositivo não certificado, a execução do aplicativo é cancelada.

Para evitar que os profissionais envolvidos no processo eleitoral tentem violar o ambiente, a Justiça Eleitoral utiliza ferramentas de controle de versão do código-fonte. Elas permitem acompanhar as modificações feitas no sistema, que é restrito a um grupo de especialistas.

Além disso, o conhecimento é segregado no TSE. Ou seja, os responsáveis pelo software da urna eletrônica não atuam no sistema de totalização. A quantidade de sistemas eleitorais envolvidos na realização de uma eleição torna impraticável a um agente interno ter conhecimento do todo para realizar algum tipo de ataque.

Teste público

Desde 2009, o TSE faz, periodicamente, o teste público de segurança (TPS) do sistema. Grupos são desafiados a tentar violar a urna eletrônica para verificar se ela é de fato segura. Segundo Rosa Weber, que já foi presidente do TSE, o TPS é um chamado para que profissionais atuem como hackers a fim de identificar falhas na integridade da urna. “É o momento de abertura dos sistemas de segurança aos olhos da comunidade científica, de partidos e de estudantes.”

No TPS de 2019, peritos da Polícia Federal encontraram duas falhas superficiais no sistema. Os invasores usaram dados de eleitores e de candidatos e conseguiram romper uma das camadas de proteção do dispositivo. Além disso, foram capazes de mudar palavras, mas não conseguiram mudar nomes de candidatos ou de eleitores.

Segundo o TSE, algumas das barreiras são retiradas durante o TPS para que os peritos possam avançar e descobrir fragilidades. Assim, é possível corrigi-las. Isso não significa, entretanto, que haja vulnerabilidades graves de segurança no dispositivo.

Para o TSE, os resultados provam a inviolabilidade dos aparelhos. Os participantes não conseguiram alterar boletins de urna, não tiveram acesso ao sistema com o uso de inteligência artificial, não detectaram vulnerabilidades em chaves criptográficas e bibliotecas, não quebraram sigilo nem adulteraram informações, e não conseguiram captar digitação na urna e identificar o voto a partir de pulsos elétricos.

Ainda em nome da transparência, o TSE realiza a Cerimônia de Votação Paralela — que é pública. Na véspera da eleição, o órgão sorteia urnas para verificação. Elas são retiradas dos locais de votação em que estão instaladas, conduzidas ao Tribunal Regional Eleitoral (TRE) e substituídas por outras, igualmente preparadas.

No dia da votação, as urnas sorteadas são submetidas à votação enquanto um registro manual dos votos, em cédulas de papel, é efetuado paralelamente. Ao fim do dia, quando o processo é encerrado, as cédulas de papel são apuradas e o resultado é comparado com o boletim de urna.

Transmissão de resultados

Mesmo que a urna eletrônica não tenha conexão com redes e que sejam realizados testes frequentes de segurança, todos os votos precisam ser enviados ao TSE para a contagem. E aí, é possível interceptar os dados nesse momento? Sim, é, mas isso não é fácil, e muito menos passa despercebido.

Para começar, a transmissão dos resultados pode ser verificada por qualquer pessoa. E, assim como a urna eletrônica em si, é protegida por criptografia e camadas de segurança. Para ter acesso a elas, é necessário tempo e equipamento potente.

Quando a votação chega ao fim, o mesário usa uma senha para encerrar a urna eletrônica. O próprio equipamento faz a contagem dos votos e emite os resultados em um comunicado impresso — é o boletim de urna, que tem um QR code que pode ser escaneado e publicado no aplicativo do TSE.

Os dados são gravados de forma criptografada em uma mídia digital, que é assinada digitalmente pela urna eletrônica. A transmissão das informações é feita via satélite para uma rede privada do TSE. Quando chega lá, é criptografada novamente e armazenada em um servidor.

O próprio servidor verifica a seção, a urna e a assinatura digital. Se todos os dados estiverem corretos, esse resultado é totalizado pelo TSE e publicado na internet. Apesar de ser composto de várias etapas, todo o processo é concluído em segundos.

Como centenas de milhares de votos são totalizados em pouco tempo, um invasor precisaria ser muito ágil para superar a criptografia e as chaves de segurança. Mesmo assim, qualquer cidadão pode confirmar se o resultado divulgado ao fim da votação é o mesmo que consta no aplicativo do TSE. Se ele estiver alterado, será facilmente descoberto.

Auditoria e transparência 

A totalização dos votos da urna eletrônica já tem opção de auditoria. É o boletim de urna, um relatório detalhado dos votos inseridos no dispositivo, impresso automaticamente ao fim do pleito. Ele é colado na porta da seção eleitoral para que possa ser conferido pelos eleitores, e até comparado com o documento divulgado pelo TSE.

Se, ao contrário, a auditoria que confirma a escolha do eleitor fosse impressa (o que tem sido chamado atualmente de voto impresso), esses papéis seriam depositados pela própria urna eletrônica em um recipiente lacrado, sem que o usuário tivesse contato com eles. Caso fosse necessário fazer qualquer conferência, ele seria aberto, e os votos precisariam ser manipulados para a recontagem — o que abre mais possibilidades para fraudes do que o modelo adotado pelo TSE atualmente..

Como teste, o sistema do voto impresso foi utilizado em algumas seções nas eleições de 2002 e apresentou um grande número de falhas. Sem contar que os custos de implantação foram muito altos, houve mais lentidão na votação, muitas impressoras apresentaram defeito e a carga dos programas foi mais demorada.

Em 2003, essa impressão foi substituída pelo registro digital do voto. Já em 2009, o tema voltou à pauta e o retorno do voto impresso foi previsto para as eleições de 2014.

O tema foi, então, para apreciação no Supremo Tribunal Federal (STF) em 2011; os ministros decidiram suspender a medida até o julgamento de mérito. Isso ocorreu em 2013 quando, por unanimidade, a opção foi excluída. Segundo a decisão do STF, a impressão do voto fere o artigo 14 da Constituição Federal, que garante o voto secreto.

Fonte: G1, UOL, Tribunal Superior Eleitoral (TSE)