A votação pela internet não é segura e não deve ser usada em eleições públicas

 (blog.citp.princeton.edu)
6 pontos por GN⁺ 2026-01-23 | 4 comentários | Compartilhar no WhatsApp
  • A votação pela internet é um sistema que não pode ser implementado com segurança do ponto de vista técnico, e décadas de pesquisa não encontraram uma solução
  • Malware em smartphones e computadores, invasões de servidores e comprometimento de servidores de administração eleitoral podem permitir a manipulação de votos, e um único atacante pode realizar fraude em larga escala
  • Até mesmo a E2E-VIV (votação pela internet verificável de ponta a ponta) tem vulnerabilidades fundamentais, devido à confiabilidade do aplicativo de verificação, à ausência de proteção contra recibos e à falta de mecanismos de resolução de disputas
  • O VoteSecure, da Mobile Voting Foundation, carrega todos esses problemas, e até seus desenvolvedores reconhecem que não há segurança completa nem protocolo de resolução de disputas
  • Cientistas enfatizam que a confiabilidade da votação pela internet deve ser validada apenas por meio de pesquisas revisadas por pares, e não por reportagens ou materiais promocionais

A instabilidade fundamental da votação pela internet

  • A votação pela internet tem um risco de manipulação muito maior do que a votação em papel
    • Malware pode alterar o voto escolhido no dispositivo do eleitor
    • Também é possível haver manipulação por insiders em servidores ou sistemas de administração eleitoral
    • Ataques pela internet podem ser executados em larga escala de qualquer lugar do mundo
  • A votação em papel não é perfeita, mas há maior chance de detectar e punir fraudes em larga escala
    • Já na votação pela internet, um único ataque pode alterar um grande número de votos

Limites da E2E-VIV (votação pela internet verificável de ponta a ponta)

  • A E2E-VIV foi projetada para permitir que o eleitor verifique se seu voto foi contabilizado corretamente, mas tem os seguintes problemas estruturais
    • Se o aplicativo de verificação estiver infectado por malware, ele pode mostrar informações falsas
    • Sem a funcionalidade receipt-free, torna-se possível a compra de votos em larga escala
    • É muito difícil projetar um aplicativo que satisfaça ao mesmo tempo confiabilidade e proteção contra recibos
    • É necessário executar o aplicativo de verificação separadamente, mas na prática pouquíssimos eleitores fazem isso
    • Mesmo que alguns eleitores descubram manipulação, não há como prová-la, o que impede a invalidação da eleição
  • Portanto, a função de “verificação” da E2E-VIV não produz efeito real de reforço de segurança
    • Na comunidade científica, essas limitações já são reconhecidas há anos como consenso

Análise do caso VoteSecure

  • A Mobile Voting Foundation de Bradley Tusk anunciou que desenvolveu, junto com a Free and Fair, um SDK de votação pela internet chamado VoteSecure
    • No comunicado à imprensa, afirmou-se que “a votação móvel segura e verificável se tornou possível”
  • No entanto, vários especialistas em segurança apontaram vulnerabilidades graves no VoteSecure
    • Pesquisadores da própria desenvolvedora Free and Fair também reconheceram que “os problemas apontados são reais, e não sabemos um método melhor”
    • O VoteSecure não tem proteção contra recibos, possui protocolo insuficiente de resolução de disputas e, em caso de infecção por malware, a verificação perde o sentido
    • Além disso, existe a possibilidade de ataques automatizados de compra de votos em larga escala e de roubo de votos (clash attack)
  • A Free and Fair explicou que “o VoteSecure não é um sistema de votação completo, mas sim um núcleo criptográfico”

Consenso científico e recomendações

  • Após décadas de pesquisa, não existe tecnologia capaz de tornar a votação pela internet segura
    • A pesquisa sobre E2E-VIV também não conseguiu resolver os problemas fundamentais
  • Autoridades eleitorais e a imprensa devem ter cuidado com a ‘ciência baseada em comunicados de imprensa’
    • A verificação de confiabilidade só é possível por meio de pesquisa acadêmica revisada por pares
    • Comunicados de imprensa ou promoção corporativa não podem servir de base para julgar a confiabilidade de sistemas eleitorais

Grupo de especialistas signatários

  • Esta declaração foi assinada conjuntamente por 21 cientistas da computação da área de segurança eleitoral
    • Entre os signatários estão pesquisadores de destaque como Andrew Appel (Princeton), Ronald Rivest (MIT) e Bruce Schneier (Harvard)
    • As assinaturas foram feitas em caráter pessoal, e não representam a posição oficial de suas instituições

Leituras relacionadas

4 comentários

 
bbulbum 2026-01-23

E se blockchain fosse usada??
 
bbulbum 2026-01-23

Ah, como é uma questão de confiança de ponta a ponta, acho que não tem muita relação.
 
GN⁺ 2026-01-23
Comentários do Hacker News

  • Moro na Austrália. Aqui votamos com papel e lápis, em cabines de papelão. O custo cresce linearmente, mas em termos de confiança da comunidade ainda acho a votação em papel muito melhor do que máquinas
    No Reino Unido, já recebi uma proposta de voto remoto, e acho que eu teria aceitado se fosse uma votação online segura baseada em criptografia homomórfica. Já enviei KYC ao governo, então não vejo problema de verificação de identidade
    Na Austrália, todas as cédulas são revisadas por pessoas, e os partidos têm o direito de fiscalizar. Quase não há dúvidas sobre a integridade das eleições, e isso é verificado regularmente. No caso dos EUA, acho que a pergunta central é: “quanto isso pode realmente ser melhor do que o método atual?”

    • Eu também faço voto por correspondência com caneta. A contagem é feita com scanner óptico, e fica um registro legível por humanos. É muito econômico e difícil de fraudar em grande escala. Nunca confiaria em votação pela internet. Caneta e papel bastam
    • O problema é que, se o eleitor consegue provar que seu voto foi contado corretamente, então também consegue provar isso a quem o esteja coagindo. Ou seja, há o risco de quebrar o princípio do voto secreto
    • Um dos maiores motivos de “simplesmente funcionar bem” é que a Comissão Eleitoral Australiana (AEC) é independente do governo. Somado a isso, há o voto obrigatório e o voto preferencial, o que mantém a democracia saudável
    • Ouvi dizer que a Comissão Eleitoral da Índia também leva isso muito a sério. O sistema de administração eleitoral da Índia é bastante impressionante
    • Sistemas de papel falham localmente e de forma barulhenta, enquanto sistemas pela internet falham silenciosamente e em grande escala

  • Os métodos de fraude em votação em papel são conhecidos há séculos. Por isso, os procedimentos de mitigação contra eles também estão bem estabelecidos. Urnas lacradas, observadores neutros e apuração pública garantem confiança
    Já na votação pela internet, os métodos de fraude não são bem conhecidos pelo público em geral. Mesmo que fosse perfeitamente segura, a confiança inevitavelmente seria baixa. Enquanto o voto secreto for indispensável, a votação em papel continua sendo a melhor opção

    • Como referência, o caso da Battle of Athens de 1946, no Tennessee, mostra o que pode acontecer com uma apuração fraudulenta em espaço fechado. Link da Wikipédia
    • Se a eleição estiver tão polarizada que não existam observadores neutros, basta colocar observadores de cada partido e gravar a apuração com câmeras
    • Outro caso é o escândalo da Box 13. Link da Wikipédia. Há suspeitas de que houve manipulação de votos em papel quando LBJ conquistou uma vaga no Senado
    • O voto em papel é simples, então qualquer pessoa consegue verificá-lo. O voto eletrônico é opaco, e no voto remoto é difícil garantir a liberdade de escolha, enquanto só o voto secreto permite evitar compra de votos. No fim, a confiança vem de “qualquer um poder verificar diretamente”
    • Eu penso o contrário. Se o sistema for suficientemente transparente e verificável, dá para confiar. Mas a preservação da privacidade é o desafio central

  • O elemento mais importante de uma eleição é a confiança; eficiência é secundária. Ao migrar para o voto eletrônico, a confiança foi enfraquecida, e ficou mais fácil para agentes hostis manipularem o processo. A votação pela internet só pioraria isso. Precisamos voltar ao voto em papel

    • Os EUA já usam majoritariamente o modelo de voto em papel + apuração eletrônica. Não há necessidade de voltar atrás
    • Já usamos voto em papel. Voltar ao processo totalmente manual provavelmente aumentaria os erros e votos inválidos. É irônico que os mesmos grupos que fizeram as pessoas desconfiarem das máquinas de votação tenham antes tentado impedir recontagens
    • Mais de 95% dos eleitores dos EUA votam com base em papel. Estatísticas do Verified Voting
    • Na Geórgia, quando você vota no computador, é emitido um recibo em papel, que depois é inserido no scanner para a contagem. As antigas máquinas da Diebold tinham vulnerabilidades a invasão
    • Na Califórnia, a verificação de identidade no voto por correio se baseia apenas na semelhança da assinatura. Na prática, é um sistema de honra. Dispositivo legal relacionado

  • A observação de que malware pode alterar votos no dispositivo do eleitor é válida. Mas smartphones já são usados na maior parte das transações seguras do dia a dia.
    Também existe o risco de invasão de servidores, mas o motivo de governos armazenarem dados pessoais no fim das contas é uma análise de risco versus recompensa.
    Hoje, o retorno da votação online é menor que o risco, mas se imaginarmos um modelo de democracia participativa em tempo real, a conversa pode mudar. Ainda assim, o maior problema é a apatia e a baixa participação

  • A votação pela internet facilita fraudes em grande escala. Mas o internet banking também é arriscado do mesmo jeito. No fim, o essencial é o equilíbrio entre prós e contras. Será que as vantagens da votação online podem compensar as desvantagens?

    • Hackear bancos é quase impossível. Sistemas como o SWIFT permitem rastrear e reverter transações. Eleições não têm essa margem para falhas. Invadir uma eleição significa colapso da democracia
    • Fraudes bancárias podem ser recuperadas por seguro, mas a confiança na eleição não pode ser restaurada
    • No internet banking não existe anonimato, mas o voto precisa ser anônimo

  • O custo e a ineficiência do voto em papel são, na verdade, uma vantagem. Isso dificulta manipulações e faz com que os cidadãos participem diretamente do processo eleitoral, aumentando a sensação de peso da decisão

  • A votação é composta por três etapas: votar, apurar e armazenar. As três precisam ser transparentes e auditáveis para gerar confiança.
    O caso do México é um bom exemplo.

    1. Todos votam em papel em sua seção eleitoral local
    2. Voluntários e fiscais dos partidos fazem a apuração no local
    3. Os resultados são transmitidos eletronicamente, e o resultado em papel fica afixado por uma semana
      O sistema central apenas consolida os totais, e qualquer pessoa pode comparar o resultado local com o online.
      Graças a essa estrutura distribuída, os resultados saem rápido e com alto grau de confiança. Ainda assim, práticas coercitivas como o “voto de carrossel” continuam existindo
    • Não entendo por que só os EUA transformam o processo de votação em algo tão controverso. Se você exige voto em papel, dizem que isso é racismo; se limita o prazo de apuração, dizem que é xenofobia. A Europa opera de forma muito mais racional
    • Em Idaho, usa-se voto em papel com apuração eletrônica e, se necessário, recontagem manual. É a combinação ideal: rápida, auditável e sem conexão com a internet
    • Se você abrir mão do voto secreto, grande parte do problema de transparência desaparece. Mas isso abalaria os fundamentos da democracia
    • O voto eletrônico também pode atingir um nível semelhante de confiança se tiver várias camadas de verificação
    • A França funciona quase do mesmo jeito

  • O vídeo do Tom Scott “por que o voto eletrônico é ruim” é material obrigatório
    Vídeo parte 1 / Vídeo parte 2

  • O problema não é a tecnologia, mas sim atores não confiáveis. Como votação não dá lucro, é difícil investir em segurança no nível dos bancos.
    Além disso, já existe manipulação de informação e atividade de bots distorcendo a opinião pública. O voto em papel é melhor, mas a realidade já está em um estado de confusão digital

    • Minha previsão é que, em 2026, o governo Trump tentará permitir apenas voto eletrônico em nome da “segurança eleitoral”. Empresas politicamente favorecidas fornecerão o sistema, ações judiciais vão se acumular e a confusão vai se prolongar. No fim, há um grande risco de que os dois partidos passem a desconfiar do resultado

  • Sou coautor deste texto e professor na Georgia Tech. Pesquiso segurança, privacidade e políticas públicas. Dá para consultar meu CV. Se tiverem perguntas, responderei

    • Gostaria de saber se você já analisou o método de verificação do sistema de e-voting da Swiss Post
    • A votação precisa ser diretamente verificável por todos os eleitores. Qualquer sistema mais complexo do que contar à mão vai perder a confiança
 
brilliant08 2026-01-23

Acredito que sistemas de votação eletrônica não conseguem resolver o problema da verificação aleatória de confiabilidade pelo grande público.
A verificação do código do sistema só é possível por uma camada especial selecionada, e também não dá para confiar se o código verificado é mesmo o código usado na prática.
Se olharmos para que tipo de controvérsias surgiram e que confusão social foi gerada na Coreia do Sul, onde apenas o processo de coletar em um sistema eletrônico os resultados da votação em papel foi informatizado, parece possível inferir, em linhas gerais, que tipo de confusão social ocorreria se um sistema de votação totalmente eletrônico fosse adotado.