A menos de 35 días de las elecciones presidenciales del 31 de mayo de 2026, la decisión de la Registraduría Nacional de exponer el código fuente de sus sistemas electorales en una ventana de dos semanas enciende alarmas entre expertos en ciberseguridad y en derechos humanos. Una medida que, presentada como escudo democrático, puede convertirse en su principal vulnerabilidad.
I. El Escenario: Una Decisión que Llega Tarde y Bajo Presión Política
Colombia se aproxima al 31 de mayo de 2026 con una controversia técnica y política que debería preocupar a cualquier ciudadano comprometido con la integridad del sufragio. La Registraduría Nacional del Estado Civil, encabezada por el registrador Hernán Penagos, anunció un Plan General de Auditorías que contempla, entre otras medidas, la exposición del código fuente de los cuatro softwares electorales clave —preconteo, sorteo de jurados, escrutinio y consolidación de resultados— durante ventanas de catorce días calendario, iniciadas el 27 de abril.
La medida, que se presenta institucionalmente como un avance sin precedentes en transparencia electoral, merece una lectura crítica despojada de triunfalismos. Porque entre la transparencia genuina y el espectáculo de transparencia existe una diferencia que, en materia de democracia y derechos humanos, puede resultar fatal.
Según el calendario oficial publicado por la Registraduría, los sistemas de escrutinio y consolidación —considerados los componentes más sensibles de la arquitectura electoral— estarán disponibles para revisión apenas entre el 11 y el 24 de mayo, a siete días de la jornada electoral. Esta asimetría temporal no es un detalle menor: es el corazón del problema.
II. El Derecho al Voto y sus Amenazas Digitales: Lo que Dicen los Estándares Internacionales
El derecho al sufragio libre y transparente no es solo una aspiración política: es una obligación de derecho internacional. El artículo 23 de la Convención Americana sobre Derechos Humanos establece que todo ciudadano tiene derecho a votar en «elecciones auténticas, realizadas por sufragio universal e igual y por voto secreto que garantice la libre expresión de la voluntad de los electores». Esta disposición, vinculante para Colombia, implica que el Estado tiene la obligación positiva de garantizar no solo la existencia del voto, sino su integridad técnica.
Por su parte, el Centro de Asesoría y Promoción Electoral (IIDH/CAPEL) —la misma entidad convocada por la Registraduría como auditor internacional— ha establecido en sus documentos técnicos que la auditabilidad de los sistemas electorales debe ser un proceso continuo, planificado y con tiempo suficiente para implementar correctivos. Ningún estándar internacional de buenas prácticas en tecnología electoral contempla la apertura del código fuente a menos de un mes del evento comicial como una medida robusta de seguridad; la contempla, en el mejor de los casos, como una medida simbólica.
Cabe señalar que CAPEL, en su balance de las elecciones del 8 de marzo de 2026, certificó que la infraestructura electoral colombiana bloqueó más de 30 millones de solicitudes maliciosas. Esto no es un indicador de fortaleza: es un mapa de la magnitud de la amenaza que enfrenta el sistema. Exponer el código fuente en ese contexto equivale, en términos de seguridad digital, a publicar los planos de una fortaleza que sabe que está siendo asediada.
III. Los Cuatro Riesgos Reales para el Derecho Democrático
Desde una perspectiva técnico-jurídica, la exposición tardía del código fuente configura al menos cuatro amenazas concretas contra el derecho democrático:
El mapa para el atacante (Blueprinting Electoral): Al revelar la arquitectura interna del software, cualquier actor —estatal o no estatal— puede identificar con precisión quirúrgica las bibliotecas de código utilizadas, los métodos de validación de datos y los puntos de entrada a las bases de datos. Cuando el propio registrador Penagos reconoció que en las elecciones de marzo se registraron cerca de 3 millones de intentos de ataques cibernéticos, la pregunta que la ciudadanía debe formular es: ¿cuántos de esos atacantes verán en esta apertura una oportunidad que antes no tenían?
La carrera de los zero-days electorales: En ciberseguridad, una vulnerabilidad descubierta y no reportada se denomina «zero-day». Si un auditor malintencionado —y en un país con la polarización política de Colombia no es un escenario inverosímil— encuentra una falla crítica en el código expuesto, no existe ningún mecanismo que lo obligue a reportarla. Por el contrario, tiene todos los incentivos para guardarla y explotarla el día de la votación, cuando la Registraduría ya no tendrá tiempo material de desplegar un parche sin comprometer la integridad del sistema.
La desinformación armada (Weaponized Code): Este es, desde la perspectiva de los derechos humanos, el riesgo más grave. El código fuente es por naturaleza opaco para el ciudadano común. Una función legítima que limpia registros duplicados puede ser presentada por un actor político inescrupuloso como un «algoritmo para borrar votos». La complejidad técnica del software se convierte así en un arma de desinformación masiva, capaz de minar la confianza popular en el resultado electoral con independencia de que este sea completamente íntegro. El derecho a unas elecciones auténticas no solo exige que el proceso sea íntegro: exige que la ciudadanía pueda percibirlo como tal.
Exposición de infraestructura crítica: El código fuente frecuentemente contiene o permite inferir datos sobre la arquitectura de servidores, protocolos de cifrado y nodos de conexión. Con esa información, un ataque de denegación de servicio (DDoS) puede diseñarse para colapsar los nodos más vitales del sistema precisamente en el momento de máxima carga: la transmisión de resultados en la noche del 31 de mayo. El caos informático que generaría semejante escenario es, en sí mismo, una forma de sabotear la expresión democrática.
IV. La Trampa de la Transparencia Aparente
La Registraduría ha establecido una distinción que merece reconocimiento: la diferencia entre exponer el código fuente y entregarlo. La exposición en salas controladas, con acompañamiento técnico y sin posibilidad de extracción, es técnicamente más prudente que la entrega irrestricta que reclama el Ejecutivo. Sin embargo, esta distinción, aunque válida, no resuelve el problema de fondo.
El problema no es solo quién puede llevarse una copia del código: es que cualquier auditor con capacidad técnica suficiente puede, durante horas de observación, memorizar o registrar mentalmente las vulnerabilidades que identifica. Las salas de auditoría son un filtro, no un escudo impenetrable. Y lo que es más preocupante: la Registraduría misma ha admitido que, si se descubriera una vulnerabilidad crítica en este período, el proceso de corregirla, probarla y volver a desplegar el sistema sin comprometer su integridad sería, en términos prácticos, imposible antes del 31 de mayo.
En otras palabras: se ha diseñado un mecanismo de auditoría que puede detectar problemas pero no puede solucionarlos. Desde una perspectiva de derechos humanos, eso no es transparencia: es la apariencia de transparencia con el costo real de la seguridad.
V. La Pregunta que Nadie Está Formulando
El debate público se ha centrado en la disputa entre el presidente Petro y el registrador Penagos, reduciendo una discusión técnica compleja a un enfrentamiento político. Mientras los dos funcionarios se lanzan dardos públicos, la pregunta sustantiva queda sin respuesta: ¿por qué Colombia no cuenta con una Ley Estatutaria que regule los estándares mínimos de auditoría continua de los sistemas electorales, con plazos técnicamente adecuados y procedimientos reglados de respuesta ante vulnerabilidades?
El contrato adjudicado a la unión temporal liderada por Thomas Greg & Sons —valorado en aproximadamente 2,1 billones de pesos colombianos para la solución integral logística y tecnológica de los procesos electorales de 2025 y 2026— gestiona uno de los activos más sensibles de la democracia colombiana. Y sin embargo, el marco normativo que regula la auditoría de ese activo es precario, reactivo y políticamente negociado en lugar de técnicamente blindado.
Que la Registraduría haya anunciado que esta es la primera vez en la historia electoral de Colombia que se realiza una auditoría internacional a las elecciones presidenciales no es motivo de celebración sin reservas: es el reconocimiento tácito de décadas de vacío en materia de control técnico democrático.
Fuentes Oficiales de Referencia
- Registraduría Nacional del Estado Civil de Colombia. Plan General de Auditorías para las elecciones presidenciales de 2026. Comunicado oficial del Registrador Hernán Penagos, 23 de abril de 2026. Disponible en: http://www.registraduria.gov.co
- Instituto Interamericano de Derechos Humanos / Centro de Asesoría y Promoción Electoral (IIDH/CAPEL). Informe técnico de auditoría sobre los sistemas de información electoral colombianos para las elecciones del 8 de marzo y 31 de mayo de 2026. Entidad especializada del IIDH creada en 1983. Disponible en: http://www.iidh.ed.cr/capel
Conclusión: La Democracia No Admite Improvisación Técnica
La apertura del código fuente electoral es, en términos de principios, el camino correcto. La democracia requiere que sus mecanismos sean verificables. Pero la democracia también requiere que sus mecanismos sean seguros. Y cuando la verificabilidad se implementa de forma apresurada, bajo presión política y sin capacidad real de respuesta ante lo que la auditoría pueda revelar, no estamos ante un avance democrático: estamos ante un riesgo democrático con apariencia de virtud.
Colombia necesita un régimen permanente, técnicamente robusto y jurídicamente blindado de auditoría continua a sus sistemas electorales. Un régimen que no nazca de la presión de un presidente ni de la reacción defensiva de un registrador, sino del mandato soberano de una ciudadanía que comprende que el código fuente de sus elecciones es tan importante como las urnas mismas.
Mientras ese régimen no exista, cada elección seguirá siendo una apuesta técnica. Y en democracia, apostar con los derechos políticos de 40 millones de votantes habilitados es una irresponsabilidad que ningún plan de auditorías de dos semanas puede redimir.
Nota del autor: Este artículo fue redactado con perspectiva crítica independiente, integrando análisis de derechos humanos internacionales y ciberseguridad electoral. Las fuentes citadas son de carácter oficial y público.
Deja un comentario