SEMANA: ¿Existe riesgo digital en unas elecciones como las de Colombia?
MANUEL HUERTA: Sí, existe riesgo digital, como existe en cualquier proceso electoral moderno. Hoy unas elecciones no son solo urnas y papeletas; también hay comunicaciones, bases de datos, sistemas de preconteo, publicación de resultados, identificación, transmisión de información y un entorno digital donde circulan narrativas, filtraciones, rumores y desinformación.
Pero hay que ser muy precisos: que exista riesgo no significa que exista fraude. En ciberseguridad distinguimos entre vulnerabilidad potencial, incidente acreditado e impacto real. Son tres cosas distintas. Una elección debe analizarse con metodología forense, no con intuición política.
La pregunta seria no es si un sistema puede ser atacado, porque cualquier sistema puede ser atacado. La pregunta seria es si existen controles suficientes para detectar, contener, auditar y reconstruir cualquier intento de manipulación.
SEMANA: ¿Se puede hackear una elección?
M. H.: Depende de qué entendamos por “hackear una elección”. Se pueden atacar componentes de un proceso electoral: una web de consulta, un sistema de publicación de resultados, una infraestructura de comunicaciones, una base de datos auxiliar, una campaña informativa o incluso la percepción pública mediante desinformación.
Pero alterar jurídicamente el resultado de una elección es otra cosa. Para eso habría que superar controles físicos, documentales, humanos, tecnológicos y legales. Por eso hay que evitar hablar de “hackeo electoral de forma genérica.
La pregunta correcta siempre debe ser: qué sistema fue atacado, en qué fase, con qué privilegios, con qué impacto, qué trazas dejó y si ese ataque pudo alterar el resultado legalmente válido.
SEMANA: ¿Cuál es la diferencia entre preconteo y escrutinio?
M. H.: Es una diferencia esencial. El preconteo es una herramienta de divulgación informativa. Sirve para ofrecer una aproximación rápida de los resultados, pero no tiene valor jurídico definitivo.
El escrutinio, en cambio, es el proceso con valor legal. Es donde se revisan los formularios, las actas, las reclamaciones y la documentación física correspondiente. En términos sencillos: el preconteo informa; el escrutinio valida.
Confundir ambos planos genera mucho ruido. Un problema en el preconteo puede afectar la percepción pública, pero no necesariamente altera el resultado jurídico de la elección. Por eso hay que ser extremadamente cuidadosos al hablar de manipulación electoral.
SEMANA: Si el preconteo no tiene valor jurídico, ¿por qué es tan importante protegerlo?
M. H.: Porque aunque el preconteo no proclame legalmente al ganador, sí tiene un enorme valor político, comunicacional y psicológico.
La noche electoral es un momento muy sensible. Si el preconteo falla, se retrasa, se cae, se comunica mal o genera resultados contradictorios, puede producirse una crisis de confianza aunque el escrutinio legal posterior sea correcto.
Por eso el preconteo debe protegerse mucho. No porque sea el resultado jurídico definitivo, sino porque condiciona la percepción pública durante las horas más delicadas de la elección.
Una democracia no solo necesita resultados correctos; necesita que esos resultados puedan ser comprendidos y confiados por la ciudadanía.
SEMANA: ¿Hay que publicar el código fuente del sistema electoral?
M. H.: La transparencia en infraestructura crítica no siempre significa publicación abierta e indiscriminada. Muchas veces significa acceso controlado, auditoría trazable, control de versiones, congelamiento criptográfico, cadena de custodia y verificación por partes legitimadas.
Publicar abiertamente un código sensible puede aumentar la superficie de ataque. Una cosa es auditar y otra cosa es entregar a cualquier actor, incluidos actores malintencionados, un mapa detallado de cómo funciona la infraestructura.
No se trata de ocultar. Se trata de auditar sin convertir la auditoría en una filtración de capacidades ofensivas.
La transparencia útil es la que permite verificar integridad. La transparencia ingenua puede acabar facilitando el ataque.
SEMANA: ¿Entonces el código fuente debe ser secreto?
M. H.: No hablaría de secreto. Hablaría de acceso controlado.
En sistemas críticos, especialmente electorales, lo razonable es que el código pueda ser revisado por auditores, partidos, organismos de control y expertos legitimados, pero dentro de un entorno seguro, con reglas claras, sin extracción no autorizada y con trazabilidad de qué se revisa, cuándo y por quién.
La clave está en el equilibrio: suficiente transparencia para generar confianza, pero suficiente control para no debilitar la seguridad del sistema.
Semana: ¿Puede un proveedor privado controlar una elección?
M. H.: Hay que distinguir muy bien entre proveedor tecnológico y autoridad electoral.
Un proveedor puede suministrar infraestructura, software, comunicaciones, soporte o servicios tecnológicos. Pero eso no significa necesariamente que controle jurídicamente el resultado electoral.
El control legal del resultado debe estar en las autoridades electorales, en los jueces, en las comisiones escrutadoras, en los formularios físicos, en los procedimientos de revisión y en la cadena de custodia.
Desde una perspectiva técnica y forense, no basta con decir que un proveedor participa en el sistema. Hay que analizar qué permisos tiene, qué funciones ejecuta, qué capacidad real de modificación posee, qué controles existen sobre su actuación y qué evidencias quedan registradas.
SEMANA: ¿Se puede afirmar que un proveedor concreto es vulnerable?
M. H.: No sin una auditoría técnica delante.
Como perito, no puedo afirmar que un proveedor o un sistema sea vulnerable solo por sospecha, por controversia política o por percepción pública. Para hablar de vulnerabilidad real necesitamos evidencias: informes técnicos, pruebas de explotación, logs, hashes, cambios de versión, trazas de acceso, análisis de arquitectura y cadena de custodia.
La sospecha política puede abrir una pregunta, pero no puede sustituir una evidencia técnica.
SEMANA: ¿Hay indicios de fraude electoral digital?
M. H.: Yo no puedo afirmar que exista fraude digital sin evidencia técnica verificable.
Lo responsable es separar tres niveles: primero, la existencia de riesgos; segundo, la existencia de incidentes; y tercero, la capacidad de esos incidentes para alterar el resultado jurídico.
Que un sistema tenga riesgos no significa que haya sido comprometido. Que haya una incidencia operativa no significa que exista fraude. Y que exista una denuncia política no significa que exista una manipulación técnica acreditada.
En materia electoral hay que ser especialmente prudentes, porque una afirmación irresponsable puede erosionar la confianza pública tanto como un ataque real.
SEMANA: ¿Puede una denuncia política ser útil?
M. H.: Sí, puede ser útil si abre una revisión seria, documentada y técnica. En una democracia, cuestionar los sistemas no es ilegítimo. Lo importante es que la revisión se haga con método, con evidencias y con respeto al procedimiento.
El problema aparece cuando la denuncia sustituye a la prueba. Una cosa es pedir auditorías, trazabilidad y explicaciones técnicas. Otra muy distinta es afirmar manipulación sin acreditar cómo, dónde, cuándo, por quién y con qué impacto.
La ciberseguridad electoral no se defiende con fe institucional, pero tampoco con sospechas sin evidencia. Se defiende con verificación.
SEMANA: ¿Qué evidencia haría falta para hablar seriamente de manipulación?
M. H.: Haría falta evidencia técnica y forense: accesos no autorizados, alteraciones de código, inconsistencias de hash, cambios de versión no justificados, logs anómalos, trazas de privilegios indebidos, modificaciones de datos, ruptura de cadena de custodia o diferencias no explicadas entre sistemas y soportes físicos.
Y, además, habría que demostrar impacto. No basta con decir que algo pudo ocurrir. Hay que demostrar que ocurrió y que tuvo capacidad real de afectar al resultado.
En forense digital trabajamos con una idea básica: posibilidad no es prueba.
SEMANA: ¿Qué papel juega la cadena de custodia en una elección?
M. H.: La cadena de custodia es esencial. En un proceso electoral, no basta con que los datos sean correctos; hay que poder demostrar que han permanecido íntegros desde su origen hasta su validación final.
Eso implica saber quién tuvo acceso, cuándo, con qué permisos, sobre qué sistema, qué cambios se realizaron, qué versiones estaban activas y qué mecanismos de verificación se aplicaron.
La confianza no nace de pedir a la ciudadanía que crea. Nace de poder demostrar.
SEMANA: ¿Qué significa congelar el código mediante hash?
M. H.: Significa generar una huella criptográfica del código en un momento determinado. Esa huella permite verificar después si el código ha cambiado o no.
Es parecido a precintar digitalmente una versión. Si alguien modifica el código, aunque sea mínimamente, el hash cambia. Por eso es una herramienta muy útil para acreditar integridad.
Pero el hash por sí solo no lo resuelve todo. Debe ir acompañado de custodia, control de accesos, documentación, auditoría y supervisión independiente.
SEMANA: ¿Un sistema electoral puede ser completamente seguro?
M. H.: No existe el riesgo cero. Ningún sistema conectado, operado por personas y sometido a presión pública puede considerarse absolutamente invulnerable.
La seguridad seria no consiste en prometer sistemas perfectos. Consiste en diseñar sistemas robustos, auditables, trazables y capaces de resistir o detectar intentos de manipulación.
La cuestión no es vender infalibilidad. La cuestión es poder demostrar integridad.
SEMANA: ¿Cuál es el mayor riesgo digital en una segunda vuelta electoral?
M. H.: El mayor riesgo no tiene por qué estar únicamente en el software electoral. Puede estar también en el ecosistema informativo que rodea la elección.
En una segunda vuelta polarizada, la ventana crítica se produce entre el cierre de urnas, la publicación de resultados preliminares, las declaraciones políticas y la consolidación del escrutinio. En ese intervalo pueden aparecer audios falsos, vídeos manipulados, supuestas filtraciones, falsas instrucciones de voto o narrativas de fraude fabricadas.
Hoy no hace falta hackear una urna para atacar una elección. A veces basta con hackear la confianza pública.
SEMANA: ¿Qué papel pueden jugar los deepfakes?
M. H.: Los deepfakes pueden ser especialmente peligrosos en una jornada electoral porque atacan la percepción inmediata.
Un vídeo falso de un candidato reconociendo una derrota, denunciando fraude, llamando a movilizaciones o desconociendo resultados puede circular en minutos y generar un impacto enorme antes de que sea desmentido.
El problema de la desinformación no es solo que sea falsa. Es que muchas veces llega en el momento exacto en el que la sociedad todavía no tiene elementos suficientes para contrastarla.
En elecciones, el tiempo de reacción es parte de la seguridad.
SEMANA: ¿La inteligencia artificial cambia el riesgo electoral?
M. H.: Sí. La inteligencia artificial reduce el coste de fabricar contenido falso convincente.
Antes, producir una manipulación audiovisual sofisticada requería medios, tiempo y conocimiento. Hoy se puede generar contenido falso de forma mucho más rápida, más barata y más creíble.
Esto cambia el escenario. La seguridad electoral ya no puede limitarse a proteger sistemas informáticos. También debe proteger el entorno de confianza: identidad, autenticidad, canales oficiales, trazabilidad de comunicaciones y respuesta rápida frente a manipulación informativa.
SEMANA: ¿Qué debe hacer un país para protegerse frente a deepfakes electorales?
M. H.: Debe actuar antes, durante y después de la jornada electoral.
Antes, informando a la ciudadanía sobre canales oficiales y posibles manipulaciones. Durante, monitorizando narrativas, verificando contenidos críticos y respondiendo con rapidez. Después, preservando evidencias, identificando origen, trazabilidad y posibles responsables.
No basta con desmentir. Hay que poder atribuir, documentar y, si procede, perseguir jurídicamente.
La desinformación electoral no es solo un problema de comunicación. Puede ser un problema de seguridad nacional.
SEMANA: La regulación colombiana está avanzando en esta materia?
M. H.: Colombia está avanzando en varios frentes: delitos informáticos, protección de datos, respuesta a incidentes, infraestructura crítica, inteligencia artificial, suplantación de identidad y carga probatoria en procesos digitales.
Ese avance es importante, pero las normas por sí solas no bastan. Una norma necesita capacidades: equipos técnicos, laboratorios forenses, protocolos, formación, cooperación internacional y mecanismos de respuesta real.
La regulación crea el marco. La capacidad operativa determina si ese marco funciona.
SEMANA: Qué conexión existe entre elecciones, banca, telcos e identidad digital?
M. H.: La conexión es la identidad digital y la trazabilidad.
En elecciones, en banca, en telecomunicaciones o en contratación digital, el problema de fondo es poder demostrar quién hizo qué, cuándo, desde dónde, con qué credenciales y bajo qué controles.
Cada vez más, las entidades van a tener que probar que sus procesos de identificación funcionaron correctamente. Eso convierte la ciberseguridad en algo más que una defensa técnica: la convierte en una herramienta probatoria.
No se trata solo de proteger sistemas. Se trata de poder acreditar la verdad técnica cuando hay una controversia.
SEMANA: ¿Qué debería reforzar Colombia en materia de ciberseguridad electoral?
M. H.: Yo hablaría de tres capas.
La primera es técnica: auditorías independientes, control de versiones, hashes, segregación de accesos, monitorización, pruebas controladas y protección de infraestructuras críticas.
La segunda es forense: preservación de logs, cadena de custodia, capacidad de reconstrucción, análisis de incidentes y protocolos de evidencia digital.
La tercera es comunicacional: explicar claramente qué es preconteo, qué es escrutinio, qué valor tiene cada fase, qué se publica, qué no se publica y qué evidencia sería necesaria para hablar de manipulación.La ciberseguridad electoral no es solo tecnología. Es gobernanza, evidencia y confianza.
SEMANA: ¿Qué error se comete habitualmente al hablar de ciberseguridad electoral?
M. H.: El error más habitual es simplificar demasiado.
Se habla de “el sistema” como si fuera una sola cosa. Pero un proceso electoral está compuesto por muchas capas: personas, formularios, software, comunicaciones, auditorías, centros de datos, proveedores, autoridades, partidos, observadores y procedimientos legales.
También se confunde caída con ataque, ataque con fraude, sospecha con prueba y preconteo con resultado legal.
En seguridad electoral, las palabras importan. Un diagnóstico mal formulado puede crear más daño que el problema que pretende denunciar.
SEMANA: ¿Qué diferencia hay entre riesgo técnico y percepción de riesgo?
M. H.: El riesgo técnico se mide con evidencias: arquitectura, vulnerabilidades, accesos, controles, logs, pruebas, auditorías e impacto.
La percepción de riesgo se construye con mensajes, contexto político, desconfianza, rumores, experiencias previas y narrativas públicas.
Ambas importan, pero no son lo mismo. Puede haber percepción de riesgo sin que exista una manipulación técnica acreditada. Y también puede existir un riesgo técnico que la opinión pública no percibe.
El trabajo serio consiste en unir ambos planos sin confundirlos.
SEMANA: ¿Puede una campaña de desinformación hacer tanto daño como un ataque técnico?
M. H.: Sí, en determinados contextos puede hacer incluso más daño.
Un ataque técnico busca comprometer sistemas. Una campaña de desinformación busca comprometer la confianza. Y en una elección, la confianza es parte esencial del proceso.
Si una sociedad cree que el resultado fue manipulado, aunque no exista evidencia suficiente, el daño institucional ya se ha producido parcialmente.
Por eso la seguridad electoral debe contemplar tanto la infraestructura tecnológica como el entorno informativo.
SEMANA: ¿Cómo debe comunicar una autoridad electoral en un entorno de alta desconfianza?
M. H.: Con anticipación, precisión y pedagogía.
No basta con decir “el sistema es seguro”. Esa frase ya no funciona. Hay que explicar por qué, cómo, quién lo audita, qué controles existen, qué ocurre si falla algo, qué valor tiene cada fase y cómo se puede verificar la integridad del proceso.
La confianza pública no se improvisa la noche electoral. Se construye antes, con transparencia técnica comprensible.
SEMANA: ¿Qué responsabilidad tienen los medios de comunicación?
M. H.: Una responsabilidad enorme.
Los medios deben informar sobre riesgos, denuncias y controversias, pero también deben evitar convertir sospechas no verificadas en certezas públicas.
En temas electorales y tecnológicos, un titular impreciso puede amplificar una crisis de confianza. Por eso es importante distinguir entre denuncia, evidencia, incidente, vulnerabilidad e impacto.
La crítica es sana. La alarma sin verificación puede ser destructiva.
SEMANA: ¿Qué puede aportar un experto forense en este debate?
M. H.: Puede aportar método.
Un experto forense no debe entrar a defender narrativas políticas. Debe ordenar los hechos, identificar evidencias, separar hipótesis de conclusiones y explicar qué sería necesario para acreditar una manipulación.
La mirada forense es especialmente útil porque obliga a formular preguntas concretas: qué ocurrió, cuándo, dónde, con qué sistema, con qué usuario, con qué privilegio, qué trazas dejó y qué impacto produjo.
Sin esas respuestas, no estamos ante una conclusión técnica, sino ante una hipótesis.
SEMANA: ¿Qué papel puede jugar Lazarus en este tipo de escenarios?
M. H.: Lazarus trabaja precisamente en la intersección entre ciberseguridad, evidencia digital, análisis forense, respuesta a incidentes e identidad.
En un escenario electoral, financiero o institucional, no basta con prevenir. También hay que detectar, responder, preservar evidencias y demostrar técnicamente qué ocurrió.
Ese es nuestro enfoque: no vender confianza abstracta, sino construir confianza verificable.
SEMANA: ¿La democracia digital necesita más tecnología o más control?
M. H.: Necesita tecnología, pero sobre todo necesita control sobre la tecnología.
Digitalizar procesos sin trazabilidad puede aumentar el riesgo. Pero digitalizar con auditoría, custodia, control de accesos, evidencia y supervisión puede reforzar enormemente la confianza.
El problema no es la tecnología. El problema es la tecnología sin gobernanza.
SEMANA: ¿Cuál sería el mensaje final para la ciudadanía colombiana?
M. H.: El mensaje sería de prudencia y rigor.
Ni alarmismo ni complacencia. Las elecciones modernas tienen riesgos digitales reales, pero esos riesgos deben analizarse con evidencia, no con miedo.
La confianza democrática no se protege prometiendo sistemas perfectos. Se protege diseñando sistemas auditables, trazables y jurídicamente verificables.
La ciudadanía no tiene por qué creer ciegamente. Tiene derecho a que el sistema pueda demostrar su integridad.
SEMANA: ¿Cuál sería el titular que resume nuestra posición?
M. H.: El mayor riesgo de una elección no siempre es que alteren el resultado; a veces es que consigan que la sociedad deje de creer en él sin pruebas suficientes.
SEMANA: Para finalizar, ¿cuál es el principal mensaje que le gustaría transmitir a la ciudadanía sobre la ciberseguridad electoral?
M. H.: La idea central es esta:
La seguridad electoral no se basa en afirmar que todo está bien. Se basa en poder demostrarlo.
Y para demostrarlo hacen falta arquitectura técnica, auditoría, cadena de custodia, evidencia digital, transparencia controlada y capacidad de respuesta.
“No me corresponde valorar posiciones políticas. Mi papel es explicar qué evidencia técnica sería necesaria para sostener una afirmación de manipulación y qué controles debe tener una infraestructura electoral crítica.”
“Una denuncia política puede abrir una investigación, pero no sustituye una prueba técnica.”
La democracia digital no se protege pidiendo confianza ciega. Se protege con sistemas que puedan ser auditados, trazados y explicados.
En ciberseguridad electoral, la confianza no es un eslogan: es una evidencia que debe poder reconstruirse.