El voto electrónico y la caja negra del chip RFID: Un análisis integral de las vulnerabilidades estructurales (Por qué la confianza no puede reemplazar a la verificación independiente)

I. El laboratorio prohibido y el laboratorio permitido

En ciencia experimental, los hechos se evalúan en el laboratorio. Se controlan variables. Se aíslan causas. Se replican resultados. La comunidad científica no acepta una afirmación por el solo hecho de que alguien la describa. Exige poder comprobarla por sí misma.

Nosotros quisimos llevar el software de las máquinas de votación al laboratorio. Solicitamos acceso al código fuente, la posibilidad de copiarlo, la contraseña root del sistema operativo, tiempo suficiente para ejecutar pruebas propias. El TSJE y MSA nos negaron todo. No pudimos hacer ciencia experimental. No nos dejaron.

Pero hay otro laboratorio que nadie puede clausurar. Es el laboratorio de la mente racionalizadora. Allí, sin necesidad de permiso, podemos construir experimentos mentales, probar hipótesis, deducir consecuencias, y someter las afirmaciones del TSJE al escrutinio de la lógica. La ciencia no comenzó en el laboratorio húmedo de los tubos de ensayo. Comenzó en la cabeza de quienes se atrevieron a pensar contra lo evidente.

Nosotros no podemos abrir la máquina. Pero podemos abrir el pensamiento. Y en ese laboratorio, el TSJE no tiene llaves que nos puedan negar.

II. El experimento mental como herramienta de la ciencia

La historia de la ciencia está llena de experimentos mentales famosos. Ninguno requirió permiso de ninguna autoridad.

Galileo, antes de subir a la Torre de Pisa, ya había imaginado el experimento: dos esferas de diferente peso atadas por una cuerda. En su mente, demostró que la hipótesis aristotélica de que los cuerpos más pesados caen más rápido era autocontradictoria. No necesitó dejar caer las esferas. Necesitó pensar.

Newton imaginó un cañón en la cima de una montaña tan alta que sobrepasara la atmósfera. Disparó mentalmente el proyectil a diferentes velocidades y dedujo la órbita circular. No necesitó construir el cañón. Necesitó pensar.

Einstein imaginó un ascensor acelerando en el espacio vacío. Se preguntó si el hombre dentro del ascensor podría distinguir si estaba siendo tirado hacia arriba por una cuerda o si estaba siendo atraído por la gravedad de un planeta. De ese experimento mental nació la teoría de la relatividad general. No necesitó construir el ascensor. Necesitó pensar.

Schrödinger imaginó un gato encerrado en una caja con un dispositivo que, al activarse por un proceso cuántico aleatorio, liberaría un veneno. Demostró que, según la interpretación de la mecánica cuántica de su época, el gato sería simultáneamente vivo y muerto hasta que se abriera la caja. No necesitó encerrar a un gato. Necesitó pensar.

La ciencia avanza con experimentos reales. Pero también avanza con experimentos mentales. Y los experimentos mentales tienen una ventaja decisiva sobre los reales: nadie puede prohibirlos.

III. Anticipatio mentis vs. experiencia bruta

Galileo distinguía dos caminos hacia el conocimiento. Uno era la anticipatio mentis, la anticipación de la mente, el razonamiento que se adelanta a los hechos y los organiza. Otro era la mera experiencia bruta, la acumulación de observaciones sin un hilo conductor.

Los defensores del sistema electoral actual parecen adherir a una versión caricaturesca del método baconiano. Creen que la experiencia bruta —"no encontramos fraude", "los auditores no vieron nada", "los partidos están satisfechos"— es suficiente. No entienden que la experiencia sin teoría es ciega.

La anticipatio mentis, en cambio, nos permite formular hipótesis, deducir consecuencias observables, y diseñar experimentos (mentales o reales) para contrastarlas. Es lo que hemos hecho a lo largo de este análisis. No nos hemos limitado a describir lo que el TSJE dice. Hemos pensado contra lo que dice. Hemos imaginado escenarios que el TSJE no ha considerado. Hemos formulado preguntas que el TSJE no ha respondido.

Esa es nuestra ventaja. Ellos tienen el laboratorio real cerrado. Nosotros tenemos el laboratorio mental abierto. Y en ese laboratorio, no hay restricciones que valgan.

IV. El objeto de la discordia: El chip RFID

En el centro del sistema de votación electrónica paraguayo se encuentra un pequeño dispositivo: el chip RFID. El TSJE describe que este componente almacena el voto en una memoria no volátil, lo encripta y lo bloquea de forma irreversible contra cualquier modificación posterior.

La pregunta molestosa es: ¿cómo sabemos que eso es así? ¿Cómo podemos verificar, por nosotros mismos, que el chip realmente se bloquea, que los datos están encriptados y que nadie puede modificarlos después de la votación? El TSJE lo describe. Nosotros queremos saberlo por cuenta propia. Y hasta ahora, no nos han dejado.

V. La verificación que no verifica: el lector RFID

El TSJE describe que el elector puede verificar su voto acercando el boletín impreso a un lector RFID. La máquina lee el chip y muestra un mensaje en pantalla: "Su voto es correcto". El elector, confiado, deposita el boletín.

La pregunta molestosa es: ¿cómo sabemos que ese lector no está mintiendo? El lector es parte del mismo sistema que se quiere auditar. Si el software es malicioso, nada impide que muestre el mensaje tranquilizador mientras el chip registra otra cosa. El TSJE describe que el sistema es seguro. Nosotros queremos comprobarlo. Pero no podemos, porque el código del lector no es accesible para una auditoría independiente.

La única verificación que realmente podría detectar un desvío es la lectura directa del texto impreso en el papel antes de doblarlo. El TSJE describe que el elector puede hacerlo, pero no lo incentiva. No hay carteles en los cuartos oscuros. No hay instrucción verbal sistemática.

La pregunta molestosa es: ¿por qué el TSJE no pone carteles que digan "Lea su boletín antes de doblarlo"? Si realmente quisiera que verifiquemos, ¿no sería lo más sencillo? El silencio del TSJE al respecto es, cuando menos, llamativo.

VI. El dato que el TSJE no difunde: la baja verificación ciudadana

Los datos empíricos de TEDIC (2023) son elocuentes y no han sido refutados. En Asunción, solo el 23,9% de los electores verificó su voto utilizando el lector RFID. En Ciudad del Este, solo el 14%. En más del 75% de las mesas, los miembros de mesa no alertaron a los electores sobre la necesidad de verificar.

La pregunta molestosa es: si el TSJE sabe que la verificación es baja, ¿por qué no hace campañas masivas para aumentarla? ¿Por qué no capacita mejor a los miembros de mesa? ¿Por qué no exige que se alerte a cada elector? El TSJE describe que el sistema es transparente. Pero los datos muestran que los ciudadanos no están verificando. Y nosotros, como ciudadanos, queremos saber por qué.

VII. La paradoja de la buena fe y la verdad

El sistema enfrenta una contradicción lógica que es estructural a su diseño. El TSJE describe que el elector puede confiar en la máquina porque el voto es secreto y nadie puede ver lo que toca en la pantalla.

La pregunta molestosa es: si nadie puede ver lo que toco en la pantalla, ¿cómo puedo probar que la máquina me mintió si el papel impreso no coincide con mi intención? El TSJE describe que el lector RFID resuelve el problema. Pero el lector puede ser programado para mentir. El secreto del voto, que es un derecho fundamental, se convierte en este diseño en la coartada perfecta de la máquina. El TSJE describe que no hay fraude. Nosotros queremos verificarlo. Pero no podemos, porque la única prueba de nuestra intención es nuestra palabra contra la máquina.

VIII. Las hipótesis del fraude: experimentos mentales sobre la caja negra

A continuación, presentamos formalmente las hipótesis que hemos desarrollado a lo largo de este análisis. No afirmamos que sean verdaderas. Afirmamos que son lógicamente posibles, técnicamente concebibles y que el TSJE no ha proporcionado ninguna evidencia que las falsee.

Hipótesis 1 (Fraude en dos tiempos): El software de votación puede estar diseñado para mostrar una opción en la pantalla durante la votación, grabar otra en el chip RFID, imprimir la primera en el papel, y luego, durante el escrutinio, mostrar en la pantalla del lector la primera opción mientras acumula internamente la segunda.

El escenario es simple: el software marca ciertos boletines durante la votación. Al elector le muestra A en pantalla, pero graba B en el chip. El papel imprime A. El lector RFID, reconociendo la marca, muestra A. El elector deposita confiado. Durante el escrutinio, el software reconoce la marca nuevamente. Muestra A en la pantalla del escrutinio, pero acumula B. El acta final refleja B. El fiscal, que no llevó su propia planilla, no puede probar nada.

Hipótesis 2 (Fraude por flag en memoria): El software puede grabar correctamente la opción del elector en el chip, pero almacenar un flag invisible en la memoria RAM (volátil) asociado a ese boletín. Durante el escrutinio, el software reconoce el flag y desvía el voto acumulando una opción distinta a la que el chip contiene. Al apagar la máquina, la RAM se borra y no queda ningún rastro del desvío.

Esta variante es más difícil de detectar que el fraude en dos tiempos original. Porque en el original, el chip decía B y el papel decía A. Había una inconsistencia que, en teoría, un elector atento podría detectar. En esta variante, no hay ninguna inconsistencia visible. El papel dice A. El chip dice A. El lector RFID muestra A. Todo es consistente. La mentira no está en los datos almacenados. Está en la interpretación que el software hace de esos datos durante el escrutinio. Y esa interpretación ocurre dentro de la caja negra que los auditores no pudieron abrir.

Hipótesis 3 (Inconsistencia del lector RFID): El lector RFID que el TSJE ofrece como mecanismo de verificación puede ser programado para mostrar en pantalla lo que el elector espera ver, independientemente de lo que realmente contenga el chip.

Hipótesis 4 (Baja verificabilidad por diseño): El TSJE no incentiva la lectura del papel impreso (única verificación efectiva) porque hacerlo aumentaría la probabilidad de detección de cualquier posible fraude.

Hipótesis 5 (Neutralización de las copias partidarias): En el juzgamiento de actas, un tribunal parcializado puede argumentar que la discrepancia entre el acta del TSJE y la copia del partido es motivo para anular la mesa, en lugar de corregirla, o puede aplicar reglas de preclusión de manera draconiana para desestimar las impugnaciones.

Hipótesis 6 (El TREP como arma de distracción): El TSJE difunde resultados preliminares del TREP con gran pompa, a pesar de su falta de validez jurídica, para instalar una narrativa de victoria en la opinión pública mientras ocurren acciones clave (ajuste de actas, extravío de sobres, dilación de plazos) fuera del foco mediático.

Hipótesis 7 (El Sobre N° 4 como prueba inútil por diseño): El sobre N° 4 contiene la única prueba independiente, pero el TSJE ha resuelto (Acordada N° 91/2023) que no se puede abrir porque la ley no lo prevé, garantizando así que nunca pueda ser utilizado para verificar los resultados.

IX. La falsación como criterio: Popper en el laboratorio mental

Karl Popper enseñó que una hipótesis científica no se caracteriza por poder ser verificada, sino por poder ser falsada. Una hipótesis que no admite ninguna observación que la contradiga no es científica. Es una creencia.

Nuestras hipótesis son falsables. Cualquiera de ellas podría ser refutada si el TSJE permitiera las pruebas necesarias:

- Si nos dieran acceso al código fuente y pudiéramos demostrar que no contiene instrucciones para desviar votos, la Hipótesis 1 caería.

- Si nos permitieran monitorear la memoria RAM durante la votación y el escrutinio, y no encontráramos flags ni comportamientos anómalos, la Hipótesis 2 caería.

- Si pudiéramos auditar el lector RFID de manera independiente y demostrar que siempre lee y muestra lo mismo, la Hipótesis 3 caería.

- Si el TSJE implementara campañas masivas de lectura del papel y los datos de verificación aumentaran significativamente, la Hipótesis 4 caería.

- Si el TSJE modificara las reglas del juzgamiento para garantizar que la copia del partido prevalece sobre el acta del TSJE en caso de discrepancia, la Hipótesis 5 caería.

- Si el TSJE advirtiera constantemente, en cada difusión del TREP, que los resultados son preliminares y no vinculantes, y si no permitiera que los periodistas declaren ganadores basándose en ellos, la Hipótesis 6 caería.

- Si el TSJE permitiera la apertura del Sobre N° 4 en una muestra estadísticamente significativa de mesas, la Hipótesis 7 caería.

El TSJE no ha hecho ninguna de estas cosas. No ha falsado nuestras hipótesis. Pero la carga de la prueba, según Popper, no recae en quien formula la hipótesis. Recae en quien afirma la teoría establecida.

El TSJE afirma que el sistema es seguro. Esa es su teoría. Nosotros hemos formulado hipótesis alternativas. Corresponde al TSJE diseñar experimentos (reales, no solo mentales) que las falseen. Si no puede o no quiere, entonces sus afirmaciones de seguridad no son científicas. Son dogmas.

X. El error de invertir la carga de la prueba

El TSJE y sus defensores incurren sistemáticamente en el error de invertir la carga de la prueba. Exigen que los escépticos demuestren que hay fraude. Pero la lógica del método científico es exactamente la inversa.

Cuando alguien afirma que un sistema es seguro, debe proporcionar las pruebas. No puede limitarse a decir "no se ha demostrado que sea inseguro". Porque esa misma lógica justificaría afirmar que cualquier sistema no auditado es seguro. Un avión sin inspección sería seguro hasta que alguien demuestre que tiene fallas. Un medicamento sin ensayos clínicos sería seguro hasta que alguien demuestre que es tóxico.

No. La carga de la prueba recae sobre quien afirma la seguridad. Recae sobre quien construye el sistema y lo pone en funcionamiento. Recae sobre el TSJE.

Nosotros no tenemos que probar que hay fraude. El TSJE tiene que probar que no puede haberlo. Y no lo ha hecho. No nos dejó auditar el software. No nos dejó acceder a los chips. No nos dejó abrir los sobres. No nos dejó verificar nada por nosotros mismos.

La inversión de la carga de la prueba es, en sí misma, una confesión de debilidad. Si el sistema fuera realmente seguro, el TSJE no tendría nada que temer de una auditoría independiente. Su negativa a permitirla es la evidencia más elocuente de que algo no está bien.

XI. El juzgamiento de actas: la última trinchera (y la más frágil)

El TSJE describe que los partidos reciben una copia del acta de escrutinio y que, en el juzgamiento definitivo, pueden impugnar si hay discrepancias. El acta física es, según esta descripción, el "testigo de hierro" de la verdad electoral.

La pregunta molestosa es: ¿qué impide que un tribunal parcializado valide un acta adulterada argumentando que la discrepancia entre el acta del TSJE y la copia del partido es motivo para anular la mesa, en lugar de corregirla? El TSJE describe que la justicia electoral es independiente. Nosotros queremos verificarlo. Pero la independencia de los jueces no es algo que podamos comprobar con un acta.

Primera vulnerabilidad: la invalidación por discrepancia. Un tribunal parcializado podría argumentar que la simple existencia de dos documentos oficiales con resultados distintos vicia el proceso. En lugar de aceptar la copia del partido como prueba de la adulteración, podría dictaminar que, al haber "irregularidades formales" o "falta de coincidencia", los resultados de esa mesa no son fiables y, por lo tanto, se anula. El voto de los ciudadanos de esa mesa se pierde. La copia legítima del partido, que debería ser su salvoconducto para impugnar, se convierte en la excusa perfecta para anular la mesa.

Segunda vulnerabilidad: la trampa procesal. El juzgamiento está sujeto a reglas de preclusión. El Artículo 228 del Código Electoral establece que las reclamaciones deben consignarse en el acta en el momento del escrutinio. Un tribunal hostil podría aplicar esta norma de manera draconiana: rechazar la impugnación de la oposición argumentando que la discrepancia no fue reclamada "inmediatamente" o "por escrito" el día de la elección. Validar el acta adulterada del TSJE porque, al no haber sido oportunamente impugnada, la copia del partido pierde su valor como prueba.

El presidente del TSJE, advirtió que "pasa esta etapa y el sector político que no tiene su representante a la hora del cierre de las votaciones para presentar sus reclamos corre peligro de ser 'devorado por los cuervos'". La pregunta molestosa es: ¿y si los representantes están, pero el tribunal no los escucha? ¿Y si los reclamos se presentan, pero se desechan por "cuestiones de forma"? El TSJE describe que la justicia es independiente. Nosotros queremos verificarlo. Pero la independencia no se demuestra con declaraciones. Se demuestra con acciones. Y el TSJE no ha dado ninguna acción que nos permita confiar.

XII. El TREP como arma de distracción masiva

El TSJE describe que el TREP (Transmisión de Resultados Electorales Preliminares) no tiene validez jurídica. Es un instrumento meramente informativo, insisten. Y sin embargo, la noche de las elecciones, todos los ojos están pegados a la pantalla del TREP. Los periodistas anuncian ganadores. La ciudadanía se va a dormir con la idea de que ya sabe quién ganó.

La pregunta molestosa es: si el TREP no tiene validez jurídica, ¿por qué se difunde con tanta pompa? ¿Por qué el TSJE permite que los periodistas declaren ganadores basándose en datos que él mismo sabe que pueden ser inexactos? ¿Por qué no advierte constantemente, en cada pantalla, en cada gráfico, que estos resultados son preliminares y no vinculantes?

El problema no es que el TREP mienta. El problema es que su existencia desvía la atención del único proceso que realmente importa: el juzgamiento definitivo de actas. Mientras el público debate si el TREP es confiable, mientras los periodistas discuten si la muestra es representativa, mientras los fiscales de la oposición se concentran en impugnar los datos del TREP, ocurren acciones clave fuera del foco mediático:

- Se "ajustan" actas en el juzgamiento definitivo.

- Se "pierden" o "extravían" sobres N° 4.

- Se entorpece la fiscalización sobre el terreno.

- Se dilatan los plazos para la presentación de impugnaciones.

La pregunta molestosa es: ¿cómo sabemos que esto no está ocurriendo mientras todos miran la pantalla del TREP? El TSJE describe que el proceso es transparente. Pero la transparencia no puede medirse por lo que se ve en una pantalla. Se mide por lo que ocurre en el silencio de los juzgados, en el tránsito de las actas, en la custodia de los sobres. Y allí, los ciudadanos no tenemos acceso.

XIII. El sobre N° 4: la prueba que duerme para siempre

El sobre N° 4 contiene los boletines electrónicos —los chips RFID con los votos originales—. Es, según cualquier estándar razonable, la única prueba independiente que podría resolver cualquier controversia sobre los resultados.

El TSJE describe que el sobre N° 4 está resguardado. Pero también describe, mediante la Acordada N° 91/2023, que no se puede abrir porque "un recuento de votos en un acto privado con algunos participantes, es un procedimiento no previsto en nuestro ordenamiento positivo".

La pregunta molestosa es: ¿cómo puede ser que la única prueba que podría verificar la verdad del voto sea, al mismo tiempo, jurídicamente inaccesible? El TSJE describe que la ley no lo prevé. Nosotros preguntamos: ¿y por qué la ley no lo prevé? ¿Quién diseñó una ley que impide abrir la única prueba que podría resolver una impugnación? El silencio del TSJE sobre esta pregunta es ensordecedor.

La paradoja es perfecta: los boletines electrónicos existen por mandato legal. Están resguardados por mandato legal. Pero no pueden ser utilizados para verificar nada. Están ahí, pero como si no estuvieran. Son la prueba que prueba nada. El testigo condenado al silencio perpetuo.

XIV. El almacenamiento del sistema: la contradicción que nadie explica

Los técnicos del TSJE describen que la máquina de votación no tiene almacenamiento permanente y que, al apagarse, todo lo que quedaba en la memoria RAM se pierde. El único registro que persiste es el de los votos, grabado en los chips RFID.

La pregunta molestosa es: si el sistema operativo (Linux) y el software (Python, JavaScript) se cargan desde un USB maestro, ese USB es almacenamiento. ¿Cómo podemos verificar que ese USB contiene el mismo software que fue auditado? El TSJE describe que el software está lacrado. Nosotros queremos copiarlo y analizarlo. No nos dejaron.

Otra pregunta molestosa: ¿cómo podemos verificar que la RAM realmente se borra al apagar la máquina? Para eso, necesitaríamos acceso al sistema con privilegios de root. El TSJE describe que es así. Nosotros queremos comprobarlo. No nos dieron la contraseña.

Una pregunta más, a la luz de la Hipótesis 2 (flag en memoria): si el software puede almacenar flags en la memoria RAM durante la votación, esos flags se pierden al apagar la máquina. Eso significa que no quedaría rastro del desvío planificado. El fraude sería perfecto: los chips dicen la verdad, los papeles dicen la verdad, los lectores muestran la verdad, pero el software, durante el escrutinio, habría sumado maliciosamente basándose en flags que luego desaparecieron. No habría ninguna prueba. El TSJE describe que la RAM se borra. Nosotros queremos saber qué se escribió en esa RAM antes de que se borrara. No podemos.

XV. La fuerza del argumento: la convergencia de las evidencias

La fortaleza del caso que aquí se presenta no reside en ninguna de estas líneas de evidencia por separado. Reside en su convergencia.

- La Ley de Benford muestra una anomalía estadística. El TSJE describe que no significa nada. Nosotros queremos saber por qué los números del ganador se desvían tanto de lo esperado. El TSJE no explica.

- TEDIC muestra que la verificación ciudadana es baja. El TSJE describe que el sistema es transparente. Nosotros queremos saber por qué no se incentiva la lectura del papel.

- Los auditores documentaron que no les dejaron verificar. El TSJE describe que la auditoría fue satisfactoria. Nosotros queremos saber por qué negaron el acceso root.

- El análisis lógico muestra una paradoja irresoluble. El TSJE describe que el lector RFID resuelve todo. Nosotros queremos saber cómo puede resolver algo que puede ser programado para mentir.

- Las Hipótesis 1 y 2 muestran escenarios de fraude técnicamente posibles. El TSJE describe que no ocurren. Nosotros queremos comprobarlo. No nos dejaron.

- El TREP muestra cómo se construye una narrativa de victoria antes del juzgamiento. El TSJE describe que no tiene validez. Nosotros queremos saber por qué se difunde con tanta pompa si no la tiene.

- El juzgamiento de actas muestra cómo las copias legítimas de los partidos pueden ser neutralizadas. El TSJE describe que la justicia es independiente. Nosotros queremos saber cómo podemos verificar esa independencia.

- El Sobre N° 4 muestra cómo la única prueba independiente es jurídicamente inaccesible. El TSJE describe que la ley no lo prevé. Nosotros preguntamos: ¿quién diseñó esa ley?

Por separado, cada una de estas preguntas podría ser desestimada. Juntas, forman un caso sólido que exige respuestas.

XVI. Conclusiones

De este análisis epistemológico se desprenden varias conclusiones que deberían ser aceptables para cualquier persona de buena fe, independientemente de su posición política.

Primera: En ciencia, una afirmación que no puede ser puesta a prueba no es conocimiento. Es creencia. El TSJE nos pide que creamos. Nosotros exigimos saber.

Segunda: La ausencia de evidencia de fraude no es evidencia de ausencia de fraude. Especialmente cuando la búsqueda de evidencia fue impedida.

Tercera: La carga de la prueba recae sobre quien afirma la seguridad del sistema. No sobre quien la cuestiona. El TSJE invierte esta carga sistemáticamente. Ese es un error lógico, no una diferencia de opinión.

Cuarta: Nuestras hipótesis son falsables. El TSJE podría refutarlas permitiendo el acceso independiente al código, a los chips, a la memoria RAM, a los sobres N° 4. No lo hace. Esa negativa es, en sí misma, un dato.

Quinta: El experimento mental es una herramienta científica legítima. No necesitamos permiso para pensar. No necesitamos permiso para formular hipótesis. No necesitamos permiso para señalar contradicciones.

Sexta: El sistema electoral no es científico porque no permite la falsación de sus hipótesis centrales. Es dogmático. Se basa en la autoridad del TSJE, no en la evidencia accesible de manera independiente.

Séptima: La democracia no es compatible con un sistema electoral inverificable. Porque la democracia se basa en la confianza de los ciudadanos. Y la confianza no puede ser decretada. Debe ser construida sobre la base de procedimientos verificables.

Octava: El TSJE tiene el poder de cambiar esta situación. Puede abrir el Sobre N° 4. Puede permitir una auditoría independiente. Puede entregar la contraseña root. Puede permitir copiar el código. No lo hace. Esa es una decisión política, no técnica. Y como decisión política, debe ser discutida públicamente.

XVII. La pregunta final (Epistemológica)

Después de recorrer todas estas aristas —el laboratorio prohibido, los experimentos mentales, las hipótesis falsables, la inversión de la carga de la prueba, el fraude en dos tiempos, los flags en memoria, la paradoja de la verificación, la baja fiscalización ciudadana, la anomalía de Benford, el TREP como distracción, el juzgamiento como trampa, el Sobre N° 4 como prueba inútil—, la pregunta no es si hemos demostrado la existencia de un fraude.

La pregunta es: ¿por qué el TSJE se niega a permitir que sometamos sus afirmaciones al escrutinio del método científico?

El chip RFID, ese pequeño dispositivo que contiene la verdad del voto, es la metáfora perfecta del sistema entero. El TSJE describe que es seguro, que está bloqueado, que es inalterable. Nosotros no podemos verificarlo. No porque sea técnicamente imposible. Sino porque el TSJE no nos deja.

En ciencia, cuando alguien dice "esto es así" pero impide que otros lo comprueben, no se le llama científico. Se le llama dogmático. El TSJE puede describir todo lo que quiera. Nosotros seguiremos preguntando: ¿cómo lo sabemos? ¿Cómo podemos saberlo por nosotros mismos?

Mientras no podamos responder con hechos, y no con descripciones, la única certeza que tenemos es la incertidumbre. Y en una democracia, la incertidumbre sobre la integridad del voto es, por sí misma, una derrota. No del candidato perdedor, sino de la confianza que hace posible el juego democrático.

El lobo no necesita ocultar el rebaño. Le basta con describir cómo funciona el corral. Nosotros queremos verificar el corral por nosotros mismos. Pero el lobo tiene las llaves. Y hasta ahora, no nos las ha dado. Porque, sospechamos, el lobo sabe que si abrimos la caja, quizás no nos guste lo que encontremos. O quizás, simplemente, no quiere que miremos. Y esa negativa a mirar, en ciencia y en democracia, es siempre la prueba más elocuente de que algo se esconde.

El método científico nos enseña que no hay conocimiento sin posibilidad de error. Pero también nos enseña que no hay conocimiento sin posibilidad de verificación independiente. El TSJE nos ha negado la segunda. Por eso no podemos otorgarle la primera. La confianza que no se puede verificar no es confianza. Es un acto de fe. Y la democracia, para sobrevivir, necesita más que fe. Necesita hechos. Y los hechos, en este caso, están encerrados en una caja que el TSJE se niega a abrir.

 

 

La paradoja resuelta: por qué un fraude detectable por Benford no generó denuncias masivas (Respuesta a la objeción central basada en datos empíricos y análisis previos)

 Nota preliminar sobre las fuentes

El presente análisis se basa en una serie de estudios independientes y fuentes documentales. En primer lugar, el análisis de la Ley de Benford aplicado a los resultados oficiales del TSJE para las elecciones de 2023, publicado en "Inconsistencias distribucionales en los votos por mesa de las elecciones paraguayas de 2023" (Oxley, 2026a), demostró que la distribución de primeros dígitos de la Asociación Nacional Republicana (ANR) presenta un exceso masivo del dígito 1 (57% frente al 30,1% esperado), confirmado por seis pruebas estadísticas independientes. En segundo lugar, el estudio "Sobre la auditoría de máquinas de votación electrónica del TSJE" (Oxley, 2026b) documentó las restricciones impuestas a los auditores partidarios durante el proceso de febrero de 2026: sin acceso root, sin posibilidad de copiar el código, sin tiempo suficiente, lo que impidió una verificación independiente del software. En tercer lugar, el análisis "El fraude en dos tiempos: cómo el sistema puede mentir sin dejar rastro" (Oxley, 2026c) describió el escenario técnico mediante el cual un software malicioso podría desviar votos de manera indetectable, mostrando una cosa en pantalla mientras graba otra en el chip y luego mintiendo nuevamente durante el escrutinio. Adicionalmente, "El error del TSJE al aplicar la preclusión al voto electrónico" (Oxley, 2026d) demostró el error categorial de aplicar al escrutinio electoral una regla propia de los juicios (la preclusión) para negar la apertura del Sobre N° 4. A estos análisis se suman los datos empíricos de verificación ciudadana publicados por TEDIC (2024), las fuentes académicas sobre la Ley de Benford (Benford, 1938) y sobre métodos cuantitativos de detección de fraudes electorales (Lacasa & Fernández-Gracia, 2019), así como la Acordada N° 91/2023 del Tribunal Superior de Justicia Electoral (TSJE, 2023). Las referencias completas se presentan al final del documento en formato APA.

I. El hallazgo que incomoda

El 30 de abril de 2023, Paraguay celebró elecciones generales. Los resultados oficiales del Tribunal Superior de Justicia Electoral (TSJE) otorgaron la victoria a la Asociación Nacional Republicana (ANR) con un amplio margen. Sin embargo, un análisis estadístico independiente aplicó la Ley de Benford a los datos de votación por mesa de las 12.252 mesas electorales habilitadas (Oxley, 2026a).

La Ley de Benford, ampliamente utilizada en la literatura de detección de fraudes electorales (election forensics) como herramienta cuantitativa para identificar anomalías en grandes conjuntos de datos (Lacasa & Fernández-Gracia, 2019; Benford, 1938), establece que la probabilidad de que el primer dígito de un número sea d (donde d = 1, ..., 9) sigue una distribución logarítmica:

P(d) = log10(1 + 1/d)

Los resultados del análisis arrojaron un hallazgo contundente. La ANR obtuvo el 57% de sus votos por mesa con el dígito 1 como primer dígito, cuando la Ley de Benford esperaba un 30,1%. La diferencia es de 26,9 puntos porcentuales, lo que representa un "alarmante abuso en la utilización del número 1 como primer dígito" (Oxley, 2026a, p. 3). La prueba de rangos con signo de Wilcoxon arrojó un valor W = 20, muy por encima del valor crítico de 5 para p < 0,05, confirmando que la diferencia no es atribuible al azar (Oxley, 2026a, p. 8).

Para la Concertación Nacional (Lista 3), el patrón fue exactamente el opuesto: déficit del dígito 1 y exceso en los dígitos 5, 6 y 7. En contraste, las candidaturas de Euclides Acevedo y José Luis Chilavert cumplieron cabalmente con la distribución esperada por la Ley de Benford (Oxley, 2026a, p. 5). Esta asimetría sistemática —exceso en el ganador, déficit en los principales perdedores, normalidad en los candidatos con menor votación— constituye, en la literatura especializada, una "firma estadística" que, si bien no prueba intencionalidad, sí justifica una auditoría independiente (Lacasa & Fernández-Gracia, 2019).

Sin embargo, como se documentó en "Sobre la auditoría de máquinas de votación electrónica del TSJE" (Oxley, 2026b), la auditoría técnica del software se realizó en condiciones restrictivas: sin acceso root, sin posibilidad de copiar el código, sin tiempo suficiente, y sin poder probar el escenario de divergencia entre pantalla y suma. Los apoderados técnicos de los partidos opositores calificaron el proceso de "ficción" e identificaron al menos 16 puntos críticos no resueltos (Oxley, 2026b, p. 2).

II. La objeción previsible y sus limitaciones

Ante este hallazgo, surge una objeción que ha sido formulada por defensores de la corrección de los resultados. Si realmente hubo una manipulación, ¿dónde están las denuncias ciudadanas? ¿Dónde están los electores que se quejaron? ¿Por qué las calles no se llenaron de protestas? El TSJE ha utilizado un argumento similar en su Acordada N° 91/2023 para negar el recuento de votos, señalando que "un recuento de votos en un acto privado con algunos participantes, es un procedimiento no previsto en nuestro ordenamiento positivo" (Tribunal Superior de Justicia Electoral, 2023, considerando 4).

El argumento es simple y aparentemente razonable. Sin embargo, descansa sobre una presunción que los datos empíricos no corroboran: que los electores verifican su voto de manera efectiva y que, en caso de fraude, existiría un número masivo de denuncias. Esta presunción debe ser contrastada con los datos disponibles.

Como se analizó en "El error del TSJE al aplicar la preclusión al voto electrónico" (Oxley, 2026d), el Tribunal Superior de Justicia Electoral comete un error categorial al aplicar al escrutinio electoral una regla —la preclusión— que por su propia naturaleza pertenece al ámbito de los juicios contradictorios. Adicionalmente, el TSJE presupone falsamente que el escrutinio ocurrió como debía ocurrir, cuando en realidad las autoridades de mesa solo certificaron un número proporcionado por la máquina sin verificar los votos uno por uno. El artículo demuestra que, si el escrutinio real no ocurrió, la preclusión no puede ser invocada para negar la apertura del Sobre N° 4 (Oxley, 2026d, p. 5).

III. El dato que el TSJE no difunde: la baja verificación ciudadana según TEDIC

En 2023, la organización TEDIC (Tecnología, Educación, Desarrollo e Investigación para la Ciudadanía) realizó un estudio empírico sobre el comportamiento de los electores durante las elecciones generales. Se recolectaron 836 encuestas en 30 colegios electorales de Asunción y Ciudad del Este (TEDIC, 2024).

Los resultados son elocuentes. En Asunción, solo el 23,9% de los electores verificó su voto utilizando el lector RFID siguiendo el procedimiento sugerido por el TSJE. En Ciudad del Este, solo el 14% realizó esta verificación. En el 76% de las mesas de Asunción, y en el 83% de las de Ciudad del Este, los miembros de mesa no alertaron ni recordaron a los electores la importancia de verificar su voto (TEDIC, 2024, p. 12).

TEDIC calificó esta situación como una "gestión ineficaz del control del voto", señalando que "muchos votantes omiten la doble verificación visual y del chip RFID", lo que "plantea interrogantes sobre la efectividad de la comunicación y capacitación previa al voto que las autoridades electorales deben necesariamente abordar" (TEDIC, 2024, p. 15).

IV. El problema del lector RFID como mecanismo de verificación

El procedimiento que el TSJE denomina "verificación" consiste en acercar el boletín impreso a un lector RFID. La máquina lee el chip y muestra un mensaje en pantalla. El elector, confiado, deposita el boletín. Sin embargo, como se documentó en "El fraude en dos tiempos" (Oxley, 2026c), el lector RFID es parte del mismo sistema que se quiere auditar. Si el software es malicioso, nada impide que el lector muestre el mensaje tranquilizador mientras el chip registra otra cosa.

El escenario descrito en dicho análisis es particularmente revelador: el software marca ciertos boletines en el momento de la votación. Durante la verificación del elector, el lector RFID, reconociendo la marca, muestra en pantalla lo que el elector espera ver, no lo que realmente contiene el chip. Durante el escrutinio, el software vuelve a reconocer la marca y muestra en la pantalla del escrutinio lo mismo que mostró al elector, mientras acumula internamente el voto desviado (Oxley, 2026c, p. 4). El fiscal, exhausto después de doce horas de jornada, confía en lo que ve. La máquina le muestra una cosa, pero suma otra. Al final, el acta refleja la suma interna, no lo que los fiscales observaron.

V. La ausencia de incentivos para la lectura del papel

Ante la insuficiencia del lector RFID, surge una pregunta obligada. Si el lector puede ser manipulado, ¿qué debería hacer el elector para verificar realmente su voto?

La respuesta es simple, pero incómoda para el diseño institucional: leer el texto impreso del boletín antes de doblarlo. Esa lectura permite al elector comparar directamente lo impreso con su memoria de lo que seleccionó en la pantalla. Si hay una discrepancia, puede denunciarla antes de depositar.

Sin embargo, el procedimiento oficial del TSJE no incentiva esta lectura. Las instrucciones oficiales se centran en el lector RFID. No hay carteles visibles en los cuartos oscuros. No hay instrucción verbal sistemática por parte de los miembros de mesa. El informe de TEDIC (2024) señala explícitamente esta carencia y recomienda "capacitar a los miembros de mesa para recordar y exhortar a los votantes sobre la necesidad de una verificación visual y del chip RFID de las boletas de votación", así como "lanzar campañas de comunicación efectivas para educar a los votantes sobre las máquinas de votación electrónica" (p. 18). No existe evidencia documentada de que estas campañas se hayan implementado.

El resultado es previsible y fue anticipado en "El fraude en dos tiempos" (Oxley, 2026c): la mayoría de los electores no lee el papel. Confían. Depositan. Y nunca saben si su voto fue a parar al candidato que eligieron o a otro.

VI. Lo que los datos empíricos permiten afirmar

Antes de continuar, es necesario ser preciso sobre lo que los datos disponibles permiten afirmar y lo que no permiten afirmar.

Lo que TEDIC (2024) midió fue la tasa de uso del lector RFID: 14-24% dependiendo de la ciudad. TEDIC no midió cuántos electores leen el texto impreso del boletín antes de doblarlo. Esa información no existe en el informe. Por lo tanto, cualquier afirmación sobre la "tasa de verificación efectiva" debe ser presentada como una inferencia razonable, no como un dato empírico.

Lo que sí podemos afirmar, con respaldo documental, es lo siguiente:

1. La tasa de uso del lector RFID es baja (14-24% según TEDIC, 2024).

2. El lector RFID no es un mecanismo de verificación confiable contra un software malicioso, porque es parte del mismo sistema. El escenario de fraude en dos tiempos (Oxley, 2026c) demuestra técnicamente esta vulnerabilidad.

3. El TSJE no ha implementado campañas visibles y sistemáticas para incentivar la lectura del papel, según lo recomendado por TEDIC (2024).

4. La literatura especializada (Lacasa & Fernández-Gracia, 2019; Benford, 1938) establece que la Ley de Benford es una herramienta válida para detectar anomalías estadísticas que justifican auditorías independientes.

5. El análisis de Benford aplicado a los datos paraguayos de 2023 mostró anomalías significativas y sistemáticas, con un patrón opuesto entre el ganador y los principales perdedores (Oxley, 2026a).

6. La auditoría técnica del software se realizó en condiciones restrictivas que impidieron una verificación independiente (Oxley, 2026b).

7. La Acordada N° 91/2023 del TSJE declaró improcedente el recuento de votos argumentando que "no está previsto en nuestro ordenamiento positivo", pero como se señala en "El error del TSJE al aplicar la preclusión al voto electrónico" (Oxley, 2026d), esta interpretación es un error categorial porque aplica al escrutinio una regla propia de los juicios.

VII. El cálculo de las denuncias esperadas (ilustrativo)

Con base en lo anterior, podemos construir un escenario ilustrativo. No se presenta como una afirmación empírica, sino como un ejercicio lógico para mostrar la consistencia interna del argumento.

Supongamos, a los efectos del razonamiento, que la anomalía de Benford refleja una manipulación real del orden de magnitud sugerido por el exceso de dígito 1 (Oxley, 2026a). Supongamos, además, que la tasa de verificación efectiva —los electores que leen el papel— es baja, aunque no tenemos un porcentaje exacto. El propio diseño del sistema, que no incentiva esta lectura (TEDIC, 2024), sugiere que dicha tasa es reducida.

En ese escenario, el número de electores que detectarían el fraude sería proporcional a esa tasa. Si la tasa de verificación efectiva es baja, el número de denuncias sería bajo, disperso y fácilmente desestimable. El informe de TEDIC (2024) confirma que la única verificación promovida (lector RFID) tiene una tasa de uso del 14-24%, y que la alerta por parte de los miembros de mesa es incluso menor (76-83% no alerta).

Por lo tanto, la ausencia de denuncias masivas no contradice la existencia de un fraude estadísticamente detectable. Es, por el contrario, la consecuencia esperada de un sistema que no incentiva la verificación ciudadana y que ofrece un mecanismo de verificación que puede ser programado para mentir (Oxley, 2026c).

VIII. La coartada perfecta

 El sistema electoral paraguayo ha creado, sin necesidad de postular intencionalidad, una coartada perfecta para un posible fraude. Esta coartada opera en varios niveles, como se ha documentado en la serie de análisis previos.

En "El fraude en dos tiempos" (Oxley, 2026c) se describe el nivel técnico: el software puede mentir en la pantalla de votación, en el lector RFID y en el escrutinio, mientras acumula otra cosa. En "El error del TSJE al aplicar la preclusión al voto electrónico" (Oxley, 2026d) se describe el nivel jurídico: el TSJE argumenta que la ley no prevé el recuento postelectoral basándose en un error categorial, por lo que no abre el sobre N° 4.

En conjunto, estos niveles forman un sistema donde:

- Si el fraude existe, es estadísticamente visible (la anomalía de Benford lo detecta, como se documentó en Oxley, 2026a).

- Pero es socialmente invisible (no hay denuncias masivas).

- ¿Por qué? Porque el mecanismo de verificación ciudadana es ineficaz por diseño institucional: se promueve un método que no es confiable (lector RFID) y se omite el método que sí funcionaría (lectura del papel).

- Además, si los partidos solicitan una auditoría, el TSJE responde con la Acordada N° 91/2023, que aplica indebidamente la preclusión (Oxley, 2026d).

El resultado es un callejón sin salida lógico. En el centro del círculo hay dos hechos objetivos, documentados y no disputados: (a) los datos electorales presentan anomalías estadísticas significativas (Oxley, 2026a); (b) la verificación ciudadana es baja y el mecanismo ofrecido no es confiable (TEDIC, 2024; Oxley, 2026c); y (c) el TSJE ha erigido un obstáculo jurídico mediante una interpretación categorialmente errónea de la preclusión (Oxley, 2026d).

IX. La pregunta que sigue sin respuesta

El Tribunal Superior de Justicia Electoral tiene en sus manos la única herramienta que podría resolver la controversia de una vez por todas: la apertura y el recuento independiente del Sobre N° 4 en una muestra estadísticamente significativa de mesas.

No es necesario abrir todas las urnas. Una muestra del 5% de las mesas —unas 600—, seleccionadas aleatoriamente, sería suficiente para verificar si los totales electrónicos coinciden con el recuento manual de los boletines impresos. La literatura especializada en election forensics respalda este tipo de auditoría como estándar en casos de detección de anomalías (Lacasa & Fernández-Gracia, 2019).

El TSJE no ha dado este paso. Mediante la Acordada N° 91/2023, el Tribunal resolvió que "un recuento de votos en un acto privado con algunos participantes, es un procedimiento no previsto en nuestro ordenamiento positivo" (Tribunal Superior de Justicia Electoral, 2023, considerando 4). Sin embargo, como se señaló en "El error del TSJE al aplicar la preclusión al voto electrónico" (Oxley, 2026d), esta interpretación es un error categorial. La ley no prohíbe el recuento. Y la Constitución Nacional, en su Artículo 118, exige escrutinio público y fiscalizado. No hay mayor fiscalización que abrir las urnas y contar de nuevo.

Mientras el TSJE no tome esa decisión, las anomalías estadísticas seguirán siendo anomalías estadísticas. Y la pregunta del objetor —"¿dónde están las denuncias?"— seguirá funcionando como una cortina de humo que oculta la pregunta relevante: ¿por qué el TSJE no abre el Sobre N° 4?

X. Conclusión

La ausencia de denuncias masivas no es evidencia de ausencia de fraude. Es, según los datos disponibles y los análisis previos, la consecuencia previsible de un sistema de votación que no incentiva la verificación ciudadana efectiva.

TEDIC (2024) documentó que solo una minoría de electores utiliza el lector RFID, que los miembros de mesa no alertan sistemáticamente, y que el mecanismo ofrecido no es confiable. El análisis de Benford (Oxley, 2026a) documentó que los datos oficiales presentan anomalías estadísticas significativas, con un patrón opuesto entre el ganador y los perdedores. El escenario de fraude en dos tiempos (Oxley, 2026c) demostró técnicamente cómo un software malicioso podría explotar estas vulnerabilidades. La Acordada N° 91/2023 y su análisis (Oxley, 2026d) mostró el obstáculo jurídico basado en un error categorial que el TSJE ha interpuesto para evitar el recuento.

Una línea de evidencia sin las otras sería insuficiente. Juntas, forman un caso sólido que justifica una auditoría independiente. La paradoja se resuelve cuando se comprende que la falta de denuncias masivas no es un argumento en contra de la existencia de anomalías. Es, por el contrario, la consecuencia del diseño del sistema electoral y de la conducta documentada de los electores y los miembros de mesa.

El silencio ciudadano no es prueba de corrección. Es, en este contexto, el resultado de un sistema que no le da al ciudadano las herramientas para romper ese silencio. Y mientras el TSJE se niegue a abrir el Sobre N° 4, ese silencio seguirá siendo la única respuesta posible.

Referencias

Benford, F. (1938). The law of anomalous numbers. Proceedings of the American Philosophical Society, 78(4), 551-572.

Lacasa, L., & Fernández-Gracia, J. (2019). Election forensics: Quantitative methods for electoral fraud detection. arXiv, 1811.08502.

Oxley, V. M. (2026a). Inconsistencias distribucionales en los votos por mesa de las elecciones paraguayas de 2023. Liberalismo Radical Paraguay. https://liberalismoradicalparaguayo.blogspot.com/2026/05/inconsistencias-distribucionales-en-los.html

Oxley, V. M. (2026b). Sobre la auditoría de máquinas de votación electrónica del TSJE. Liberalismo Radical Paraguay. https://liberalismoradicalparaguayo.blogspot.com/2026/04/sobre-la-auditoria-de-maquinas-de.html

Oxley, V. M. (2026c). El fraude en dos tiempos: cómo el sistema puede mentir sin dejar rastro. Liberalismo Radical Paraguay. https://liberalismoradicalparaguayo.blogspot.com/2026/05/el-fraude-en-dos-tiempos-como-el.html

Oxley, V. M. (2026d). El error del TSJE al aplicar la preclusión al voto electrónico. Liberalismo Radical Paraguay. https://liberalismoradicalparaguayo.blogspot.com/2026/05/el-error-del-tsje-al-aplicar-la.html

TEDIC. (2024, febrero 21). Decoding electronic voting in Paraguay: Report on the use of electronic voting machines in the 2023 elections.

Tribunal Superior de Justicia Electoral. (2023, mayo 9). Acordada N° 91/2023.

 

El fraude en dos tiempos: cómo el sistema puede mentir sin dejar rastro

 I. La pregunta que nadie puede responder

¿Qué garantía tiene un ciudadano de que su voto fue contado como él lo emitió? ¿Qué certeza tiene un fiscal de que los resultados que firma son los que realmente ocurrieron? ¿Qué prueba tiene un partido político para impugnar una elección si sospecha que algo anduvo mal?

La respuesta, en el diseño actual del sistema de votación electrónica paraguayo, es inquietante: ninguna. No porque el sistema sea necesariamente fraudulento, sino porque las condiciones para verificar su honestidad nunca fueron concedidas.

Los auditores de todos los partidos políticos documentaron, en febrero de 2026, que no se les permitió auditar en condiciones auténticas. Sin acceso root, sin poder copiar el código, sin tiempo suficiente, sin poder probar el escenario más elemental de fraude. El TSJE y la empresa MSA controlaron todo: el código, la compilación, la firma, la custodia de las claves, el laboratorio, el protocolo. Los partidos fueron meros espectadores de una auditoría que nunca lo fue.

Y sin esa auditoría, no hay manera de descartar que exista posibilidad de fraude, hipotéticamente por lo menos en dos tiempos, perfectamente sincronizado, perfectamente indetectable.

II. El primer engaño: el elector vota A, la máquina registra B

El elector entra al cuarto oscuro. Toca la pantalla por el Candidato A. La pantalla, fiel a lo que el elector espera, le muestra "Candidato A". El elector confía. Confirma su decisión.

Pero el software, en ese instante, hace algo que el elector no puede ver. En lugar de grabar "A" en el chip del boletín, graba "B". Y no solo eso: marca ese boletín —inserta un flag invisible, un identificador único en el chip o en algún registro interno del sistema— para seguir con el plan. Este boletín queda señalado. El software sabe, de ahora en adelante, que este es uno de los votos que debe ser desviado.

Luego imprime el papel. El papel, para mantener la coherencia con lo que el elector espera, imprime "A". No "B". "A".

El elector toma el papel. Lee "A". Todo está en orden. Sigue las instrucciones del TSJE: acerca el boletín al lector RFID. El lector, que es parte del mismo sistema, lee el chip. El chip dice "B". Pero el software, reconociendo la marca que él mismo puso en ese boletín, decide mentir nuevamente. En la pantalla del lector, en lugar de mostrar "B", muestra "A". El mensaje aparece: "Su voto es correcto. Usted votó por A".

El elector está doblemente tranquilo. La pantalla original le dijo A. El papel dice A. El lector le confirma A. Deposita su boletín en la urna con la plena certeza de que ha votado por su candidato.

Pero el chip —ese pequeño dispositivo que nadie ve, que nadie puede leer sin la máquina— dice "B". Y el software sabe que es un voto marcado. El voto del elector ya fue desviado. Y él no lo sabe. Nadie lo sabe.

III. El segundo engaño: la fatiga del fiscal y la falsa confianza en la máquina

Son las últimas horas de la jornada electoral. La mesa ha recibido a cientos de electores. Los miembros de mesa, los veedores, los apoderados, todos están extenuados. Han pasado más de doce horas de pie, resolviendo incidencias, atendiendo a votantes, vigilando que todo salga bien. El cansancio no es un detalle menor. Es un factor estructural del proceso electoral.

Y en ese estado de fatiga, comienza el escrutinio. La tentación es hacerlo de la manera más rápida y automática: pasar los boletines por el lector RFID, mirar la pantalla, confiar. La mayoría hace eso. Algunos, los más diligentes, intentan llevar una cuenta manual, aunque sea de la manera más ágil posible, anotando rápido, sumando rápido, para no demorar el cierre.

Pero el software, que ya marcó ciertos boletines durante la votación, entra ahora en acción por segunda vez. Reconoce cada boletín marcado. Sabe cuáles deben ser desviados en el conteo. Entonces, cuando esos boletines pasan por el lector RFID durante el escrutinio, el software lee el chip (que dice "B") pero, al ver la marca que él mismo puso, decide mentir en la pantalla. Muestra "A" en lugar de "B". Los fiscales observan, anotan mentalmente, confían. Ven pasar boletín tras boletín. La mayoría parece votar por A. Están tranquilos. No saben que la pantalla les está mintiendo.

Entretanto, el software acumula internamente lo que el chip realmente dice: "B". Para los boletines no marcados, muestra y suma lo mismo. Para los marcados, muestra una cosa y suma otra.

Al final del escrutinio, la máquina imprime el acta. El fiscal que llevaba su propia cuenta, con todo el cuidado que la fatiga le permite, termina su cómputo. Mira su planilla. Mira el acta. No coinciden. Su planilla dice una cosa. El acta de la máquina dice otra. La diferencia no es pequeña. Es sustancial.

El fiscal protesta: "¡Pero nosotros vimos que la mayoría votó por A!". El presidente de mesa, también extenuado, también confiado en la infalibilidad de la máquina, responde: "La máquina muestra los resultados. Ustedes habrán visto mal. El acta es la que es."

El fiscal queda en silencio. No porque esté convencido. Sino porque la duda lo cavila. ¿Habrá contado mal? ¿Habrá anotado mal? ¿Habrá sumado mal? El cansancio le juega en contra. La máquina, en cambio, es fría, precisa, implacable. Su palabra contra el acta impresa. Su planilla manuscrita contra los chips grabados. No hay prueba concluyente. Solo su palabra. Y la palabra de un hombre exhausto, ante la contundencia de una máquina que nunca se cansa.

Al final, el fiscal firma el acta. No porque esté seguro. Sino porque no puede probar lo contrario. La duda cavilante se instala en su mente. Pero el acta está firmada. Los resultados están cargados. La elección sigue su curso.

IV. La coherencia del engaño con marca incluida

Lo que hace este escenario particularmente peligroso es su coherencia interna y su aprovechamiento de las condiciones humanas del proceso electoral, potenciado por el sistema de marcas invisibles:

- El software marca ciertos boletines en el momento de la votación. Esa marca puede ser un flag en el chip, un identificador en una base de datos interna, o cualquier otro mecanismo invisible.

- El papel que el elector lee dice A. No hay razón para que el elector desconfíe.

- El lector RFID, al reconocer la marca, muestra A en pantalla. El elector confía.

- Durante el escrutinio, el software vuelve a reconocer la marca. La pantalla del escrutinio muestra A. Los fiscales, cansados, confían en lo que ven.

- Si algún fiscal lleva una cuenta manual, la fatiga puede inducir errores. Y si su cuenta —basada en lo que vio en la pantalla— no coincide con la máquina, la duda recae sobre él, no sobre la máquina.

- El acta que se firma, sin embargo, refleja lo que el chip dice realmente: B. Y esa acta es la que cuenta.

El sistema es internamente consistente en cada paso. La mentira no se revela porque cada interfaz de usuario —pantalla de votación, lector RFID, pantalla de escrutinio— muestra A para los boletines marcados, mientras el chip guarda B. Solo una verificación independiente que compare el papel impreso (que dice A) con la lectura electrónica (que el software muestra como A pero acumula como B) podría detectar la discrepancia.

La fatiga del fiscal es el mejor aliado del software malicioso. Porque incluso el fiscal más diligente, en medio del agotamiento, puede dudar de sí mismo. Y esa duda, cultivada por la aparente infalibilidad de la máquina, es suficiente para que firme un acta que no refleja lo que sus ojos vieron.

V. El diseño estructural

El sistema, tal como está diseñado y bajo las condiciones de auditoría que se concedieron, permite este escenario. No se ha probado que el software sea honesto. No se ha probado que el software no contenga instrucciones para marcar boletines y desviar votos en dos tiempos. No se ha probado que la pantalla del escrutinio muestre lo mismo que el chip registra. No se ha probado que el acta refleje lo que los fiscales vieron.

Todo esto pudo haberse probado durante la auditoría. Los auditores de los partidos solicitaron las condiciones para hacerlo: copia del código, acceso root, tiempo suficiente, posibilidad de probar escenarios de fraude. Todo fue denegado.

Por lo tanto, el escenario descrito —el fraude en dos tiempos, con marcado de boletines, perfectamente sincronizado, perfectamente adaptado a la fatiga humana— es técnicamente posible. Y mientras no se realice una auditoría independiente en condiciones auténticas, nadie puede afirmar con certeza que no está ocurriendo.

VI. La responsabilidad de la prueba

El TSJE afirma que el sistema es seguro. Pero la carga de la prueba recae sobre quien afirma la seguridad. No es el ciudadano quien debe demostrar que hay fraude. Es el TSJE quien debe demostrar que no puede haberlo.

Esa demostración no se hizo. Los auditores no encontraron evidencia de fraude, pero esa ausencia de hallazgos no es equivalente a la evidencia de ausencia de fraude. Especialmente cuando la búsqueda se hizo con las manos atadas, en un laboratorio controlado por el auditado, sin las herramientas necesarias, sin el tiempo suficiente.

El escenario que hemos descrito —con marcado de boletines, doble mentira en la votación y en el escrutinio, aprovechamiento de la fatiga humana— es una posibilidad lógica. No se ha probado que exista. Pero tampoco se ha probado que no pueda existir. Y en una democracia, esa incertidumbre debería ser suficiente para exigir una auditoría independiente en condiciones auténticas.

VII. La pregunta final

Después de recorrer este escenario —elector que vota A, software que marca el boletín y graba B, papel que imprime A, lector que muestra A (mintiendo), escrutinio que muestra A (mintiendo de nuevo gracias a la marca), fiscal exhausto que duda de sí mismo, acta que suma B—, la pregunta no es si esto está ocurriendo.

La pregunta es ¿cómo podemos saber que no está ocurriendo, si nunca nos permitieron verificar?

El TSJE dice que confiemos. Los partidos dicen que están satisfechos. Los auditores dicen que no encontraron nada.

Pero la confianza no es una certeza. La satisfacción no es una prueba. Y la ausencia de hallazgos, cuando la búsqueda fue limitada, no es tranquilizadora.

El fiscal que firma un acta con la duda cavilante de no estar seguro de lo que vio no es un fiscal negligente. Es una víctima del diseño. Un diseño que aprovecha la fatiga humana, que se escuda en la aparente infalibilidad de la máquina, que utiliza marcas invisibles para coordinar la mentira en dos tiempos, y que impide cualquier verificación independiente en condiciones auténticas.

Esa es la verdad incómoda. El resto, como siempre, es silencio.