La paradoja de la verdad y la buena fe (El elector dice la verdad, la máquina dice la verdad, pero uno de los dos miente)

 

Lo que ya se sabe y lo que aún no se podrá saber (Sobre la nueva verificación técnica de la ANR y el PLRA, a la luz de los informes de auditoría)

 

I. Una verificación que llega tarde y con las mismas reglas

Los partidos políticos —la ANR, el PLRA, y el resto de las organizaciones con representación parlamentaria— ya realizaron, entre el 2 y el 27 de febrero de 2026, una auditoría técnica de las máquinas de votación electrónica convocada por el Tribunal Superior de Justicia Electoral. Esa auditoría concluyó. Los equipos técnicos de cada partido elaboraron informes. Esos informes existen. Están documentados. Y en ellos, todos los auditores coincidieron en algo fundamental, no se les permitió auditar con la profundidad necesaria para garantizar una verificación independiente.

Ahora, a fines de mayo de 2026, la ANR y el PLRA realizan una nueva "verificación técnica". Los titulares hablan de "desarme de máquinas", de "explicación componente por componente", de "preguntas respondidas al cien por ciento". Se respira un aire de satisfacción. Los presidentes de los tribunales electorales partidarios declaran su confianza en el sistema.

Pero conviene recordar lo que ya se sabe. Y conviene preguntarse qué es lo que esta nueva verificación —con los mismos actores, bajo el mismo control del TSJE y la misma empresa MSA— podrá realmente esclarecer.

II. Lo que los auditores de los partidos ya informaron

Los informes técnicos de los auditores de los partidos políticos —no solo del PLRA, sino de todas las fuerzas que participaron en el proceso de febrero— documentaron, sin ambages, un conjunto de restricciones que cualquier persona de buena fe debería considerar graves:

Sobre el acceso al código fuente: se permitió revisar el código, pero únicamente en las computadoras del laboratorio del TSJE, sin conexión a internet, sin posibilidad de imprimir, sin capacidad de copiar fragmentos o tomar el código para analizarlo fuera de ese entorno controlado. El tiempo resultó manifiestamente insuficiente: cualquier período medido en días, dijeron los auditores, resulta insuficiente frente a la enormidad del código por investigar.

Sobre la contraseña root: los auditores la solicitaron, siguiendo las normas básicas de ciberseguridad. La respuesta de MSA fue que el sistema es un "appliance cerrado", que no ofrece interfaces de autenticación interactivas y que, en consecuencia, no existe contraseña que entregar. Técnicamente, esa respuesta puede ser coherente con el diseño de un sistema embebido. Pero también implica, por definición, que ningún auditor independiente podrá nunca acceder al sistema a nivel de kernel, y por lo tanto no podrá verificar lo que realmente ocurre en su interior.

Sobre las pruebas de escenarios de fraude: se probaron múltiples escenarios con USBs, credenciales y chips RFID. Pero no se probó —porque no se permitió o no se pudo— el escenario más elemental y más temido: aquel en el que la pantalla muestra una opción y el software suma otra distinta. Ese escenario, documentado en los informes, es el corazón de cualquier posible fraude electrónico. Y no fue probado.

Sobre la cadena de custodia del código: los informes consignan que no existe ningún mecanismo documentado que garantice que el código auditado en el laboratorio sea el mismo que se cargará en los USB que llegarán a las mesas el día de la elección. La escritura del código, la compilación, la firma digital, la custodia de las claves privadas, la definición del protocolo de auditoría, el control del laboratorio —todo, absolutamente todo— está en manos del TSJE y de MSA. Los partidos auditores no tienen control compartido sobre ninguna función crítica.

Sobre la auditoría postelectoral: los informes documentan que la máquina, una vez apagada, no retiene ningún estado. No existe memoria permanente. Por lo tanto, cualquier intento de auditoría después del cierre de la mesa es lógicamente imposible por diseño. No hay registro independiente que pueda ser auditado.

Sobre los boletines electrónicos: los chips RFID que contienen la información del voto —la única prueba independiente que permitiría verificar el resultado— son legalmente inaccesibles. El TSJE argumenta que no está estipulado su recuento. Así, la única evidencia que podría confrontarse con el acta firmada por los veedores duerme para siempre en un sobre que nadie abrirá.

Eso es lo que los auditores de los partidos ya informaron. No son especulaciones. Son hechos documentados, firmados, presentados.

III. La ironía técnica de la máquina "auditable pero inaccesible" (O cómo explicar Python y JavaScript no es lo mismo que permitir auditarlos)

La documentación técnica de las máquinas de votación Vot.Ar revela una arquitectura que, en apariencia, fue diseñada para ser transparente. El sistema operativo es un kernel Linux minimalista. El código de la lógica de votación está escrito en Python —para el control del hardware, la gestión del RFID, la impresión térmica y la criptografía— y en JavaScript —para la interfaz táctil, el renderizado de candidaturas y la navegación del elector. Son lenguajes de alto nivel, legibles, no ofuscados. En teoría, esta arquitectura debería facilitar la auditoría.

Pero la teoría se estrella contra una realidad tozuda, explicar cómo funcionan Python y JavaScript no es lo mismo que permitir auditarlos. Y lo que los auditores de los partidos documentaron es que, en la práctica, el acceso a ese código fue tan restringido que la ventaja teórica de la legibilidad se convirtió en una ironía amarga.

El rol de Python: el motor interno que nadie pudo inspeccionar

Python, en esta arquitectura, controla la lógica de bajo nivel, se comunica con los puertos de la placa madre, lee el chip RFID cuando se introduce el boletín, da la orden de grabación, traduce la selección del elector en comandos para la impresora térmica y ejecuta los algoritmos de firma digital de las actas de escrutinio. Es, literalmente, el núcleo de la decisión electoral. Lo que Python haga con el voto es lo que realmente cuenta.

Ahora bien, para auditar ese código Python, no basta con mirarlo en una pantalla. Hace falta poder ejecutarlo en un entorno controlado, introducir casos de prueba, modificar variables, verificar que las funciones de suma no contienen instrucciones condicionales ocultas. Hace falta, sobre todo, poder comparar el código Python que se mostró en el laboratorio con el código Python que efectivamente se carga en el USB maestro y se ejecuta el día de la elección.

Nada de eso fue posible. El código se revisó en computadoras del TSJE, sin posibilidad de copiarlo. No se pudo tomar ningún fragmento para analizarlo fuera del laboratorio. No se pudo ejecutar una prueba propia que verificara, por ejemplo, si la función `sumar_voto(candidato)` realmente suma al candidato que la pantalla mostró. El motor Python quedó, así, como un libro cerrado dentro de una vitrina: visible, pero intocable.

El rol de JavaScript: la interfaz que muestra pero no garantiza

JavaScript, por su parte, es el encargado de la experiencia del elector. Corre en un navegador ligero en modo kiosco —probablemente Chromium Embedded Framework— y se comunica con el backend de Python mediante llamadas internas. El elector toca la pantalla; JavaScript captura la coordenada, la traduce a una opción de candidato y envía esa opción a Python.

La pregunta que ningún auditor pudo responder —porque no se le permitió probar— es la siguiente ¿qué impide que JavaScript muestre en pantalla "Candidato A" pero envíe a Python "Candidato B"? La respuesta es: nada. Absolutamente nada, si el auditor no puede inspeccionar el código JavaScript real que se ejecuta y no puede inyectar su propio código de prueba para verificar la correspondencia entre lo que se muestra y lo que se envía.

Esta es la vulnerabilidad fundamental de cualquier sistema que separa la interfaz de usuario de la lógica de negocio. En una aplicación bancaria, eso se controla con auditorías continuas y trazabilidad. En una máquina de votación, donde el voto es secreto y no hay registro independiente accesible, esa separación es una puerta abierta a un fraude perfectamente indetectable para cualquier testigo humano.

La paradoja de la legibilidad sin acceso

La arquitectura basada en Python y JavaScript se presenta como una ventaja para la auditoría: al ser lenguajes de alto nivel, el código es más legible que un binario compilado en C o C++. Eso es cierto en abstracto. Pero en concreto, la legibilidad no sirve de nada si el auditor no puede copiar el código que se le muestra; ejecutarlo en su propio entorno; compararlo con el código que realmente se cargará en las máquinas; modificarlo para probar escenarios de fraude y verificar en tiempo de ejecución que el código que corre es el mismo que se auditó.

La ironía, entonces, es doble. Por un lado se usan tecnologías abiertas y transparentes para construir un sistema que se administra como si fuera un secreto de estado. Y por otro lado se celebra la legibilidad del código como garantía de transparencia, pero se impiden todas las acciones que harían efectiva esa legibilidad.

Es como si un bibliotecario le mostrara un libro a través de un vidrio blindado y le dijera, "Mire, está escrito en un idioma que usted entiende, puede leer el lomo. ¿No es maravilloso? Ahora confíe en que el contenido es el que dice ser, porque no le voy a dar el libro para que lo abra."

 IV. Lo que la nueva verificación técnica puede y no puede aportar

Ahora, en mayo de 2026, la ANR y el PLRA realizan una nueva verificación técnica. La noticia informa que se desarmó la máquina, que se explicaron las antenas, los sistemas físicos de seguridad, los componentes uno por uno. Que todos quedaron satisfechos. Que no hubo observaciones asentadas en actas.

Todo eso es, sin duda, útil. Verificar la integridad física del hardware —que no hay dispositivos ocultos de transmisión, que las soldaduras son las correctas, que los puertos USB están limitados como se declaró— es una condición necesaria. Nadie sensato podría objetarlo.

Pero una condición necesaria no es una condición suficiente. Y aquí reside el límite infranqueable de esta nueva verificación, especialmente a la luz de la arquitectura Python/JavaScript que acabamos de describir.

Lo que esta verificación puede hacer es mostrar que la placa madre no tiene componentes extraños. Demostrar que las antenas RFID están correctamente instaladas. Explicar cómo la pantalla táctil traduce el toque en coordenadas —algo que, dicho sea de paso, no dice nada sobre lo que JavaScript hace con esas coordenadas. Verificar que los puertos USB no aceptan dispositivos no autorizados. Comprobar que el sistema arranca desde un USB firmado.

Lo que esta verificación no puede hacer, bajo las mismas reglas de febrero, y especialmente considerando la arquitectura Python/JavaScript, no puede garantizar que el código Python que se ejecutará el día de la elección sea el mismo que se auditó en febrero, porque no se permitió copiar ese código para una comparación posterior. No puede garantizar que el código JavaScript que muestra la interfaz no contiene instrucciones que desvíen el voto antes de enviarlo a Python, porque ese código sigue siendo inaccesible para una auditoría independiente. No puede probar el escenario de divergencia entre pantalla (JavaScript) y suma (Python), porque para probarlo se necesita ejecutar código propio en la máquina, y eso sigue sin estar permitido. No puede acceder al kernel del sistema operativo, porque la contraseña root sigue sin entregarse bajo el mismo argumento del "appliance cerrado". No puede verificar la cadena de custodia desde la compilación del código Python/JS hasta el USB de mesa, porque esa cadena sigue siendo controlada exclusivamente por el TSJE y MSA. No puede garantizar que el software no contiene instrucciones internas de desviación escritas en Python o JavaScript, porque sin acceso al código final y sin capacidad de ejecutar pruebas independientes, esa garantía es lógicamente imposible. No puede convertir los boletines electrónicos en evidencia accesible, porque la ley y el reglamento siguen sin estipular su recuento.

En otras palabras, esta nueva verificación opera exactamente bajo el mismo protocolo que los auditores de los partidos ya denunciaron como insuficiente. El hardware se desarma y se explica. El software —ese software escrito en Python y JavaScript que, por su propia naturaleza, debería ser el más fácil de auditar— sigue siendo una caja negra a la que nadie puede entrar.

Y esa es la ironía más fina de todas, se eligieron lenguajes transparentes para un sistema opaco, y ahora se celebra la transparencia de los lenguajes mientras se mantiene la opacidad del acceso.

V. La falacia de la "satisfacción" sin acceso completo

Que los representantes técnicos de la ANR y el PLRA declaren estar "sumamente satisfechos" es, por supuesto, su derecho. Pero conviene recordar que la satisfacción declarada no es lo mismo que la verificación independiente.

Un auditor puede estar satisfecho porque, dentro de las reglas que le impusieron, no encontró irregularidades evidentes. Eso es técnicamente cierto. Pero también es técnicamente cierto que esas reglas le impidieron buscar donde un fraude sofisticado podría esconderse —por ejemplo, en una función Python que suma correctamente 999 de cada 1000 votos, y desvía uno, o en una llamada de JavaScript que envía a Python una opción distinta a la que el elector vio en la pantalla.

La diferencia es crucial. Y puede formularse del siguiente modo:

- Afirmación A (verdadera): "En lo poco que nos dejaron ver, no vimos nada raro."

- Afirmación B (no demostrada): "No existe fraude posible."

La primera es una declaración de ausencia de hallazgos. La segunda es una declaración de ausencia de problemas. Son dos cosas lógicamente distintas. Y la primera no implica la segunda, como los propios auditores de los partidos se encargaron de señalar en sus informes.

Cuando un presidente de tribunal partidario declara que "desde las máquinas de votación es prácticamente nula la posibilidad de fraude", está haciendo la afirmación B. Pero la evidencia disponible —los informes de los auditores, con todas sus restricciones documentadas, y la imposibilidad de auditar el código Python/JavaScript en ejecución— solo respalda la afirmación A.

La diferencia entre una y otra es la diferencia entre una auditoría real y una auditoría teatral.

VI. Lo que aún falta para que una verificación sea creíble

Si el TSJE, MSA y los partidos políticos quisieran realmente generar confianza ciudadana, no bastaría con desarmar la máquina y explicar sus componentes. Haría falta, como mínimo, y atendiendo específicamente a la arquitectura Python/JavaScript:

Primero: permitir que los auditores copien el código fuente auditado —tanto el Python del backend como el JavaScript del frontend— y lo guarden bajo su propia custodia, para poder compararlo después con el código que se cargue en los USB.

Segundo: entregar la contraseña root o, en su defecto, proporcionar un método alternativo de acceso de bajo nivel que permita a los auditores verificar el estado interno del sistema operativo y, crucialmente, que el intérprete de Python y el motor de JavaScript que se ejecutan son los mismos que se declararon.

Tercero: diseñar y ejecutar pruebas específicas para el escenario de divergencia entre pantalla (JavaScript) y suma (Python), permitiendo a los auditores ejecutar su propio código de prueba en la máquina, inyectar eventos táctiles simulados y verificar qué llega realmente al backend.

Cuarto: documentar públicamente la cadena de custodia completa —desde la compilación del código Python/JS hasta la carga en los USB de mesa— con participación de los partidos en cada paso.

Quinto: modificar la normativa para que los boletines electrónicos (chips RFID) sean accesibles para una verificación posterior independiente, como única prueba que permitiría confrontar el acta firmada con el registro electrónico.

Nada de esto se ha hecho. Nada de esto se anuncia en la noticia. Y mientras no se haga, cualquier declaración de "satisfacción absoluta" será, cuanto menos, prematura.

VII. Conclusión: la verificación que no verifica lo que importa

La nueva verificación técnica de la ANR y el PLRA es, sin duda, un gesto político. Muestra que los partidos están presentes, que hacen preguntas, que desarman máquinas. Eso tiene valor en términos de imagen. Pero no tiene el valor que se le atribuye en términos de garantía técnica.

Porque la pregunta central —la que los ciudadanos harían si alguien se tomara el trabajo de explicársela con claridad— no es si la máquina tiene antenas bien soldadas o si la pantalla responde al tacto. La pregunta central es "¿Alguien que no sea el TSJE y MSA puede garantizar, con pruebas, que el software escrito en Python y JavaScript —ese software que controla el RFID, la impresora, la criptografía y la interfaz que el elector toca— es honesto, que suma lo que muestra, que no contiene instrucciones ocultas para desviar votos, y que el código que se ejecutará el día de la elección es exactamente el mismo que se mostró en la auditoría?"

La respuesta, a la luz de los informes de los auditores de los partidos y de la arquitectura técnica ahora conocida, es no.

Y esta nueva verificación —con las mismas reglas, las mismas limitaciones, el mismo control exclusivo del auditado, la misma imposibilidad de tocar el código Python/JavaScript en ejecución— no cambia esa respuesta.

El hardware se desarma. El software —ese software que, por estar escrito en Python y JavaScript, debería ser el más fácil de auditar— permanece cerrado. Las preguntas se responden. Las pruebas decisivas no se hacen. Los auditores declaran su satisfacción. Los informes previos documentan lo contrario.

El ciudadano, mientras tanto, solo puede esperar que esta vez —a diferencia de todas las veces en que la confianza ciega ha resultado traicionada— el lobo realmente esté cuidando el rebaño. O que alguien, algún día, le permita a los auditores abrir la caja negra de verdad. Porque mientras el código Python y JavaScript siga siendo un espectáculo que se mira sin tocar, la transparencia será solo eso: un espectáculo.

De la verificabilidad a la corroboración: una lección epistemológica para la controversia sobre las auditorías electorales en Paraguay

                                                                                 Dr. Victor Oxley

Análisis Filosófico y Metodológico

 

Resumen

Este artículo examina, desde la filosofía de la ciencia, la controversia surgida en Paraguay en torno a la exigencia de una auditoría a las máquinas de votación y la respuesta del Tribunal Superior de Justicia Electoral (TSJE), que ofrece una "verificación técnica" en lugar de reabrir el proceso de auditoría. Se contrastan tres concepciones epistemológicas: el verificacionismo del Círculo de Viena, el falsacionismo popperiano y el confirmacionismo carnapiano. Mediante formalizaciones lógicas y un análisis de los criterios de severidad y confirmación probabilística, se demuestra que la "verificación técnica" resulta insuficiente según los estándares científicos contemporáneos. Se concluye que la democracia no exige certeza absoluta, sino transparencia y la posibilidad de someter las hipótesis a intentos severos de falseamiento.

Palabras clave: verificabilidad, falsacionismo, corroboración, auditoría electoral, filosofía de la ciencia, Karl Popper, Rudolf Carnap.

1. Introducción: la pregunta por la verdad de las máquinas

Cuando los partidos políticos paraguayos exigen una auditoría a las máquinas de votación, y el Tribunal Superior de Justicia Electoral (TSJE) responde ofreciendo una "verificación técnica", no están disputando meros plazos administrativos. Están, sin saberlo quizás, enfrentando dos concepciones profundamente distintas sobre qué significa validar una hipótesis. En el fondo, la pregunta es una sola: ¿bajo qué condiciones podemos afirmar que el sistema de votación computarizado es íntegro?

Para responderla, la filosofía de la ciencia ha desarrollado durante el siglo pasado un conjunto de criterios sutiles, a menudo incompatibles entre sí, que delimitan el territorio de lo que cuenta como evidencia suficiente. Recorrerlos no es un ejercicio académico ocioso: cada criterio lleva implícita una respuesta diferente a la controversia que hoy divide al Paraguay electoral.

2. El verificacionismo y su imposibilidad práctica

La escuela más antigua y, paradójicamente, la más exigente, es el verificacionismo del Círculo de Viena. Este movimiento científico y filosófico, fundado en 1921 por Moritz Schlick en Viena, se centró en la lógica de la ciencia y consideraba a la filosofía como una disciplina encargada de distinguir entre lo que es ciencia y lo que no. Sus miembros —Rudolf Carnap, Moritz Schlick, Otto Neurath— sostenían que una proposición solo es significativa si puede ser verificada empíricamente de manera completa y definitiva. Publicaron en 1929 su manifiesto programático, La visión científica del mundo, donde propusieron utilizar un lenguaje común basado en el lenguaje de la física, defendiendo el empirismo de David Hume, John Locke y Ernst Mach, el método de la inducción, la búsqueda de la unificación del lenguaje de la ciencia y la abolición de la metafísica en el ámbito científico (Círculo de Viena, 2024).

Aplicado a nuestro caso, esto equivaldría a exigir:

"Verifíquese que ninguna de las diez mil máquinas de votación contiene mecanismos ocultos capaces de alterar el resultado."

El problema es que dicha verificación es físicamente imposible. Para verificar completamente la integridad del sistema habría que examinar cada transistor de cada máquina, probar todas las combinaciones posibles de entradas —una tarea que requeriría tiempos mayores que la edad del universo— y descartar la existencia de cualquier comando oculto, backdoor o temporizador malicioso. Las hipótesis universales del tipo "ninguna máquina tiene fraude" no son verificables; solo son falsables.

El Círculo de Viena se disolvió en 1936 debido a la presión política y el ascenso del nazismo en Austria (Círculo de Viena, 2024). Pero su fantasma persiste en el debate público: cuando alguien exige una "verificación total", pide lo imposible. El TSJE podría escudarse en esta imposibilidad para negar cualquier control. Sin embargo, nadie serio —ni siquiera los partidos más críticos— demanda una verificación en este sentido absoluto. Lo que piden es otra cosa: algo más cercano a lo que Karl Popper denominó corroboración.

3. El falsacionismo popperiano: la severidad como virtud epistémica

Karl Popper, filósofo austriaco de la ciencia, nació en Viena en 1902 y se doctoró en filosofía por la universidad de su ciudad natal en 1928 (Herrera de Reyes, 2025). Aunque no fue miembro de la llamada Escuela de Viena, simpatizó con su actitud científica, pero criticó algunos de sus postulados. Su contribución más significativa a la filosofía de la ciencia fue su caracterización del método científico, publicada en su obra fundamental La lógica de la investigación científica (1934) (Popper, 1934/1980).

Popper dio la vuelta al problema. Para él, la ciencia no verifica hipótesis —no puede hacerlo— sino que intenta falsearlas. Propuso un criterio de comprobación que denominó falsabilidad (o falsacionismo), para determinar la validez científica, y subrayó el carácter hipotético-deductivo de la ciencia (Herrera de Reyes, 2025). Una hipótesis es científica si especifica las condiciones bajo las cuales sería refutada. Y una hipótesis es confiable —o, en su vocabulario, está corroborada— si ha sobrevivido a intentos rigurosos y severos de falseamiento.

Formalicemos esto lógicamente. Sean:

- H₁: "El sistema de votación computarizado es íntegro (no contiene mecanismos ocultos que puedan alterar el resultado)".

- ¬H₁: "El sistema contiene mecanismos ocultos que pueden alterar el resultado (hipótesis nula)".

Popper observó una asimetría fundamental:

Si existe al menos un contraejemplo (una máquina que modifica un voto en una prueba controlada), entonces H₁ es falsa. 

Si no existe ningún contraejemplo, esto no prueba que H₁ sea verdadera; solo la corrobora provisionalmente.

Es decir: basta una sola máquina que modifique un voto en una prueba controlada para falsear H₁. Pero ninguna cantidad de pruebas exitosas puede verificar H₁; solo puede corroborarla, y el grado de corroboración depende de cuán severas hayan sido esas pruebas. Si una hipótesis supera los esfuerzos por demostrar su falsedad, puede ser aceptada, al menos con carácter provisional.

La noción de severidad es aquí central. Una prueba es severa si pone en riesgo real la hipótesis nula. Por el contrario, una prueba es trivial si cualquier sistema —incluso uno fraudulento— la supera sin dificultad. El racionalismo crítico de Popper consiste precisamente en hacer una crítica a las teorías establecidas por la ciencia, y se opone expresamente al positivismo lógico (Popper, 1997).

Definición de severidad de una prueba:

Dada una evidencia E obtenida al someter el sistema a una prueba, definimos la severidad de la prueba como:

Severidad(E) = 1 - P(E | ¬H₁)

donde P(E | ¬H₁) es la probabilidad de que la evidencia E se observe si la hipótesis nula ¬H₁ (el sistema es fraudulento) fuera verdadera.

Si P(E | ¬H₁) es alta —esto es, si incluso un sistema fraudulento probablemente pasaría la prueba— entonces la severidad es baja. Y si la severidad es baja, la corroboración obtenida es epistemológicamente insignificante.

La ciencia, para Popper, comienza con teorías, prejuicios, supersticiones y mitos; comienza realmente cuando el mito es objeto de desafío (Herrera de Reyes, 2025). Un científico no parte de la observación directa del problema, sino del problema inicialmente dado por una teoría, y los problemas surgidos son producto de dificultades descubiertas por la refutación de dichas teorías (Herrera de Reyes, 2025).

¿Qué tipo de prueba ha ofrecido el TSJE? La denominada "verificación técnica" consiste en exhibir algunas máquinas, probar su funcionamiento en mesa, mostrar que los botones responden y que los votos se registran aparentemente bien. Desde la perspectiva popperiana, este es un intento de falseamiento débil, de baja severidad. Un intento severo de falseamiento incluiría, al menos: comparación hash por hash del código fuente auditado con el binario instalado en cada máquina; pruebas de caja blanca con acceso completo al código; inyección de comandos maliciosos conocidos para verificar que el sistema los rechaza; y muestreo aleatorio de máquinas, no solo aquellas que el tribunal elige exhibir.

La "verificación técnica" del TSJE no contiene ninguno de estos elementos. Por eso, desde el falsacionismo, es insuficiente.

4. El confirmacionismo carnapiano: la probabilidad como guía

Rudolf Carnap, uno de los miembros más destacados del Círculo de Viena, abandonó el verificacionismo absoluto en su etapa tardía y adoptó un enfoque probabilístico. Para él, la evidencia no verifica ni falsea, sino que confirma hipótesis en diversos grados. Carnap desarrolló esta posición en obras fundamentales como Testability and Meaning (1936-1937), publicada en Philosophy of Science, y Logical Foundations of Probability (1950) (Carnap, 1936-1937; Carnap, 1950).

Utilizando el teorema de Bayes:

P(H₁ | E) = [P(E | H₁) × P(H₁)] / P(E)

donde:

- P(H₁) es la probabilidad inicial (a priori) de que el sistema sea íntegro.

- P(E | H₁) es la probabilidad de obtener la evidencia E si el sistema es íntegro.

- P(E) es la probabilidad general de obtener la evidencia E.

- P(H₁ | E) es la probabilidad final (a posteriori) actualizada tras la evidencia.

El problema de la "verificación técnica" se vuelve aquí transparente. Si las pruebas E son triviales —como lo son las pruebas de funcionamiento superficial— entonces P(E) es alta, porque cualquier sistema, incluso uno fraudulento, las pasaría. Por lo tanto, el factor de actualización P(E | H₁) / P(E) es cercano a 1, y la probabilidad final P(H₁ | E) apenas difiere de la probabilidad inicial P(H₁).

Carnap habría dicho: "La verificación técnica no cambia casi nada nuestra confianza. Para aumentar significativamente la probabilidad de que el sistema sea íntegro, se necesitan pruebas con baja P(E) —es decir, pruebas que un sistema fraudulento difícilmente podría pasar". El requisito es idéntico al de Popper, aunque expresado en lenguaje probabilístico: la evidencia debe ser *sorpresiva* a la luz de la hipótesis nula.

5. Sobre el concepto de verificabilidad en la ciencia contemporánea

Más allá de estas escuelas clásicas, la filosofía de la ciencia actual ha refinado aún más la discusión. Un concepto clave es la verificabilidad en principio frente a la verificabilidad en la práctica. Una hipótesis puede ser teóricamente verificable —porque existe un procedimiento finito que, de ejecutarse, la confirmaría— pero prácticamente inverificable por limitaciones de tiempo, costo o tecnología. En nuestro caso, la hipótesis de integridad total es verificable en principio (podríamos, en un tiempo infinito y con recursos infinitos, examinar cada máquina) pero no en la práctica.

Es importante señalar que incluso dentro del propio Círculo de Viena existían tensiones respecto al principio de verificación. Autores como Sabine Knabenschuh de Porta han mostrado la incompatibilidad entre el principio de verificación neopositivista y las ideas de Wittgenstein acerca del método de verificación como criterio de significatividad (Knabenschuh de Porta, 2004). Para Wittgenstein, entender el sentido de una proposición significa saber cómo ha de encaminarse la decisión de si es verdadera o falsa. Sin embargo, su concepto de verificación apuntaba a un "saber moverse en un espacio lógico" que, en virtud de su multiplicidad, resulta pertinente para una proposición dentro de un contexto determinado, no a una estrategia deductiva que garantice un contacto decisivo con la realidad (Knabenschuh de Porta, 2004).

Otro concepto relevante es el de falsabilidad empírica. Una hipótesis es empíricamente falsable si existe al menos un enunciado de observación que la contradiga. La hipótesis "las máquinas son íntegras" es claramente falsable: el enunciado "en la máquina X, al votar por el candidato A, el registro interno mostró el candidato B" la contradiría. El problema no es la falsabilidad en abstracto, sino la accesibilidad de los potenciales falsadores. Si el diseño del sistema impide que los partidos accedan a los registros internos, entonces la hipótesis es falsable en teoría pero no en la práctica —un estado de cosas que Popper habría considerado profundamente antisientífico.

 6. Conclusión: ¿qué estándar es el adecuado para una democracia?

Recorrido este camino, podemos responder la pregunta inicial. El TSJE ofrece una "verificación técnica" que, a la luz de cualquier estándar epistemológico serio —excepto el verificacionismo imposible—, resulta insuficiente:

- Desde el falsacionismo popperiano: los intentos de falseamiento no son severos, por lo que la corroboración obtenida es insignificante. Popper propuso que las teorías científicas son hipótesis a partir de las cuales se pueden deducir enunciados comprobables mediante la observación; si las observaciones experimentales adecuadas revelan como falsos esos enunciados, la hipótesis es refutada (Herrera de Reyes, 2025). El TSJE no ha sometido su sistema a tales pruebas severas.

- Desde el confirmacionismo carnapiano: la evidencia es trivial (alta P(E)), por lo que la actualización probabilística es marginal. Carnap dedicó esfuerzos sustanciales a desarrollar una teoría de la probabilidad lógica que permitiera medir grados de confirmación (Carnap, 1950); su marco muestra por qué la "verificación técnica" no alcanza para aumentar significativamente la confianza racional.

Lo que los partidos políticos están pidiendo —aunque no lo expresen en este lenguaje— es un intento de falseamiento severo: acceso al código fuente, comparación hash con los binarios instalados, pruebas de caja blanca, muestreo aleatorio independiente. No piden la imposible verificación completa. Piden exactamente lo que la filosofía de la ciencia post-popperiana ha identificado como el único camino hacia la confianza racional: no la certeza, que es inalcanzable, sino la corroboración mediante pruebas arriesgadas.

El TSJE podría responder, legítimamente, que ninguna auditoría puede ofrecer certeza absoluta. Y tendría razón. Pero la democracia no exige certeza; exige transparencia y la posibilidad de que los desconfiados intenten refutar las hipótesis oficiales. Al cerrar la puerta a una auditoría completa y ofrecer en su lugar una mera "verificación técnica", el tribunal no está cometiendo un error técnico. Está, acaso sin saberlo, tomando partido en una de las disputas más profundas de la filosofía de la ciencia: la disputa entre quienes creen que la verdad se demuestra y quienes saben que solo se resiste a ser falseada.

Referencias

Carnap, R. (1936-1937). Testability and Meaning. Philosophy of Science, vol. 3 y 4.

Carnap, R. (1950). Logical Foundations of Probability. University of Chicago Press.

Círculo de Viena. (2024). Esto es Historia (publicación de Facebook). Recuperado de https://www.facebook.com/TodoEstoEsHistoria/posts/el-circulo-de-vienaesto-es-historiael-c%C3%ADrculo-de-viena-fue-un-importante-movimie/274218315405440/

Herrera de Reyes, E. (2025). El pensamiento de Karl Popper en la Lógica de la investigación científica. Reflexio Et Ratio, 2(2), 20-35. https://doi.org/10.69821/rer.v2i2.20

Knabenschuh de Porta, S. (2004). El mito de la "fase verificacionista" de Wittgenstein. Revista de Filosofía, 22(48). Recuperado de http://ve.scielo.org/scielo.php?script=sci_arttext&pid=S0798-11712004000300001

Popper, K. (1934/1980). La lógica de la investigación científica. Madrid: Editorial Tecnos.

Popper, K. (1997). El racionalismo crítico. (Citado en Universidad Autónoma del Estado de Hidalgo).

Inconsistencias distribucionales en los votos por mesa de las elecciones paraguayas de 2023

 

"Tu propia torpeza": el argumento del TSJE para proteger al fraude y castigar a la víctima

Los días 25 y 26 de mayo, el TSJE realizará una "verificación técnica" del hardware y software de las máquinas de votación. Han convocado exclusivamente a representantes del Partido Colorado (ANR).

Lo que harán no es una auditoría independiente. Es un acto político con vestimenta técnica. Carece de los elementos mínimos que definirían un control serio, solo un partido, y funcionarios que pertenecen al sector oficialista, los mismos que controlan el TSJE, estarán presentes. Dos días son insuficientes para revisar código fuente, compiladores, binarios y hardware. Lo que allí ocurra no modificará el diseño del sistema ni abrirá el "sobre 4" para un recuento real. Este simulacro sirve para que el TSJE pueda declarar, después:  "Las máquinas ya fueron verificadas. No hay fraude." La disidencia interna del propio Partido Colorado fue la que denunció la falta de transparencia, y ni siquiera fue invitada directamente, deben acreditarse a través del Tribunal Electoral Partidario de la ANR.

En ese trágico-cómico número con guion de los más malos, lo que no se verificará será si el software compilado que corre en las máquinas es el mismo que el código fuente "auditado". Si el resultado de la máquina coincide con los votos depositados en la urna (porque las papeletas ya no valen legalmente). Si hay manipulación en tiempo real durante la votación. Si el "acta mata la papeleta" encubre un desajuste sistemático entre votos emitidos y votos registrados. Este simulacro no está diseñado para generar confianza. Está diseñado para poder decir que se hizo algo, sin hacer realmente lo único que generaría certeza, es decir, auditoría externa, participativa, sobre software y hardware, con recuento posterior de papeletas físicas (sobre 4) en una muestra estadísticamente significativa de mesas. Mientras el principio "el acta mata la papeleta" siga vigente, ninguna verificación técnica de dos días, hecha a puertas cerradas con un solo partido, merecerá el nombre de auditoría. Es teatro y de los de más mala calidad.

Pero vayamos a algo más básico y de carácter muy fundamental.

La premisa de la verdad electoral es que la veracidad del resultado electoral es la correspondencia exacta entre lo que el elector depositó en la urna (voto emitido) y lo que se registra como resultado oficial. El TSJE se atrinchera en el principio procedimental del que "el acta mata la papeleta", y esto se traduce en que una vez firmada el acta, la papeleta pierde todo valor legal. La verdad oficial ya no es la urna, es el papel firmado por los miembros de mesa. El TSJE ha desplazado el fundamento de la verdad electoral del acto material del voto (la papeleta en la urna) al acto administrativo de su registro (el acta firmada). Es como si un banco dijera que tu saldo real no es el dinero que depositaste, sino lo que el cajero anotó en un papel, y que ese papel no se puede verificar después. La consecuencia inevitable de todo esto es que se hace imposible verificar si el acta coincide con la urna. El sistema declara que la verdad es inverificable por diseño. El agravante viene, si luego se descubre un fraude, la víctima no puede reclamar, porque se le aplica el principio de que "nadie puede alegar su propia torpeza" (Nemo auditur propriam turpitudinem allegans). En este contexto, significa: "Usted, partido político o apoderado, tuvo la oportunidad de observar el escrutinio, impugnar las actas y defender sus votos en el momento exacto en que se contaban. Si no lo hizo, es por su culpa, por su negligencia, por su torpeza. Ahora no puede venir a reclamar. El daño que sufre es responsabilidad suya."

Este principio, que en el derecho civil tiene sentido para evitar abusos procesales (por ejemplo, no puedes reclamar daños por un accidente que tú mismo provocaste), se convierte en un escudo perverso para el fraude electoral cuando se aplica de esta manera.

Imaginemos el escenario en que el movimiento Fuerza Republicana no tiene apoderados en el 80% de las mesas del país en unas internas para elegir candidatos para las generales del 2028. Simplemente no tiene la estructura humana para cubrirlas. En una mesa sin su apoderado, los miembros de mesa (del movimiento oficialista) se adjudican 300 votos, más allá de la impresión del resultado de la urna electrónica. Firman el acta. El fraude está consumado. Días después, el partido afectado descubre, por un análisis estadístico o por un testigo, la anomalía masiva. Va al TSJE a reclamar. El TSJE responde: "Nemo auditur propriam turpitudinem allegans. Usted no puso apoderado en esa mesa. Es su propia torpeza. Reclamo rechazado."

La ley, en este caso, protege al defraudador y castiga a la víctima por no haber tenido los recursos para estar en todas partes.

Aplicarlo en un contexto donde la parte afectada no tuvo la capacidad real de evitar el daño convierte un principio de justicia procesal en un instrumento de impunidad para el fraude. Mientras no se abra el sobre 4, o se admitan recuentos posteriores estadísticamente significativos (como el 5-10% de las mesas seleccionadas al azar), auditorías externas e independientes del software y hardware, no "verificaciones" del propio TSJE, mientras esto no ocurra, la ley está blindada contra cualquier reclamo posterior, y la única protección real contra el fraude es... ninguna. Así que nuestra desconfianza es la única actitud racional ante todo esto.