Campo de Ia invención La presente invención concierne a un método para gestión y protección de procesos electorales que se implementa en asociación a un terminal de votación electrónica, es decir, a partir de información digital procedente de dicho terminal de votación. Dicho método comprende una interfaz de presentación de las opciones de voto a seleccionar así como unos medios interactivos para realizar dicha selección. Tras Ia selección del voto, éste puede ser enviado a un sitio remoto donde será procesado. La invención también se refiere a un módulo operativo de verificación que conectado a un terminal de votación computerizado permite llevar a cabo las operaciones del método propuesto.

Antecedentes de Ia invención Un método de votación electrónica, un votante o una pluralidad de ellos emiten sus votos desde un terminal de votación. Es en dicho terminal donde los votantes realizan Ia totalidad o parte de los procesos de selección de las opciones de voto, verificación de que dichas opciones seleccionadas son las que desea, emisión del voto (previa confirmación) y, dependiendo del tipo de terminal de votación, almacenamiento de los votos y posterior recuento. Tanto Ia seguridad de estos terminales como su correcto funcionamiento son claves para el desarrollo de un proceso electoral por Io que es imprescindible que dichos terminales incorporen medidas de seguridad y auditoría que faciliten Ia verificación de su correcto funcionamiento. Las máquinas de votación electrónica fueron introducidas en los Estados Unidos en los años 70 (US-B1 -3.934.793) como una versión análoga, aunque considerablemente más sofisticada, de los esquemas de votación mediante el uso de palancas (voting lever machines). En ellas, el votante selecciona sus opciones de voto, y dependiendo del equipamiento utilizado por el terminal, emite su voto u opinión mediante Ia pulsación de un botón o presionando una pantalla táctil. Como sucede en las elecciones tradicionales, los votantes acuden al lugar de votación correspondiente a su distrito electoral y prueban que están autorizados a emitir su voto en dicho lugar, generalmente mediante Ia presentación de un documento que corrobore su identidad. Tras este proceso, el votante procede a Ia emisión del voto en el terminal de votación. Nótese que este tipo de sistemas de votación electrónica debe incorporar una serie de medidas de seguridad. Votar mediante el uso de papeletas físicas en urnas transparentes, convenientemente selladas, se realiza con confianza debido al uso de medidas de seguridad física que permiten corroborar de manera visual que el sobre que contiene el voto queda efectivamente recogido, de manera anónima, junto al resto de los votos, por Io que formará parte del posterior proceso de recuento. No obstante, este tipo de medidas de protección física dejan de ser útiles en sistemas que utilizan terminales de votación electrónica. La mayoría de los terminales de votación electrónica existentes en el mercado son dispositivos complejos, combinación de una arquitectura hardware y software, y que generalmente se encuentran protegidos por derechos de propiedad intelectual o utilizan componentes (p.e. software) que se encuentran sujetos a estos derechos. Todo ello provoca una gran opacidad respecto a cómo se lleva a cabo interiormente el proceso electoral en los terminales de votación y, por consiguiente, hace incrementar Ia incertidumbre sobre Ia posibilidad de una manipulación de los votos emitidos desde el terminal de votación. Además, los procesos de auditoría destinados a verificar el cumplimiento de los requisitos necesarios para garantizar Ia seguridad de una elección y detectar posibles prácticas fraudulentas son, en general, costosos y poco transparentes. De hecho, habitualmente se realizan en laboratorios independientes que deben firmar contratos de confidencialidad muy estrictos. Estos son los principales motivos por los que todavía existe un gran número de escépticos al uso de dichos métodos de votación electrónica. De entre los diferentes tipos de terminales de votación electrónica que han generado más controversia recientemente, encontramos los denominados DRE (del inglés, Direct Recording Electronic). De hecho, en julio de 2003, investigadores de las universidades John Hopkins y Rice hicieron público un informe (Khono T., Stubblefield A. y Rubín A. Analysis of an Electronic Voting System. Johns Hopkins Information Security Institute Technical Report TR-2003- 19) en el que se ponía en entredicho Ia seguridad de uno de los mayores fabricantes de DRE, Diebold. Pese a las réplicas realizadas por los expertos de Ia empresa, todavía existen algunos aspectos sin esclarecer que no permiten asegurar Ia completa seguridad de sus terminales. Cabe tener en cuenta que a mayor complejidad del terminal de votación que debe ser auditado, el coste tanto de tiempo como económico, se incrementa hasta márgenes en ocasiones inviables. Si además añadimos que estos terminales son susceptibles de cambios y actualizaciones (revisiones de software, substitución de componentes defectuosos, etc.) durante su ciclo de vida, el problema se hace todavía mayor, puesto que cada cambio implica una nueva revisión de todos y cada uno de los terminales que han sido sujetos a cambio. Con el principal objetivo de reducir Ia desconfianza existente en los actuales terminales de votación, recientemente se ha propuesto introducir medidas de seguridad que permitan verificar al votante que el voto que será registrado electrónicamente corresponderá exactamente con su intención de voto. Las soluciones propuestas hasta el momento se pueden resumir en aquellas que proporcionan al votante votos impresos, que permiten un posterior recuento manual, y en las que proporcionan al votante cierta información digital criptográfica relacionada con el voto y que permitirán al votante verificar a postehori que su voto ha sido registrado correctamente. Las medidas verificables basadas en Ia impresión de votos en papel implementadas (Mercury, R. Facts About Voter Verified Paper Ballots) permiten al votante verificar su voto antes de ser emitido y, en caso de ser requerido, pueden ser utilizadas posteriormente como medidas de auditoría de Ia honestidad del proceso. Este proceso se conoce comúnmente como verificación del recuento de los terminales de voto. Pese a que dicha verificación garantiza Ia corrección del proceso electoral en gran medida, presenta el inconveniente de ser bastante costosa, puesto que el tiempo de revisión manual de los votos es bastante elevado. Además, implica Ia utilización de componentes mecánicos susceptibles de fallos (como son las impresoras) y de errores o fraudes humanos. Con el fin de agilizar el proceso de recuento, se han propuesto algunos terminales de votación, como los Accupoli, que utilizan códigos o tintas especiales en el momento de impresión del voto. Pese a las mejoras que introducen dichos terminales, no proporcionan todavía una solución completamente fiable frente a los problemas de fraude. Además, añaden un nuevo factor de complejidad a Ia auditoría, al tener que verificar también Ia corrección de los dispositivos de recuento. Los esquemas o protocolos criptográficos con medidas de verificación para terminales de votación, como los descritos en (EP-B1-1 224 767, WO-A3- 02/077754, WO-A2-03/071491 , W0-A1 -03/050771) , garantizan Ia honestidad del proceso electoral mediante Ia generación de una prueba de autenticidad o recibo que permite al votante verificar Ia corrección del proceso en su totalidad. Aún así, el uso de estos protocolos en terminales de votación no reduce Ia complejidad de Ia auditoría, puesto que tanto Ia implementación de estos protocolos como el entorno donde se ejecutan (que suele ser el propio terminal), deben ser auditados para verificar que los protocolos han sido implementados correctamente. Bruck y otros investigadores, propusieron en 2001 (Bruck S., Jefferson D. y Rivest R. A modular voting architecture ("Frogs"), Actas de WOTE, agosto de 2001) una nueva aproximación para simplificar el proceso de auditoría de terminales de voto basada en Ia modulación de Ia arquitectura de los sistemas de votación. Esta propuesta introduce Ia utilización de un terminal específico que visualiza el voto almacenado en un dispositivo de memoria (p.e. tarjeta). El citado voto que ha sido previamente generado de forma independiente desde un terminal de votación, es guardado en el dispositivo de memoria, el cual se deposita en una urna física al igual que los tradicionales votos de papel. La principal ventaja de este sistema reside en el hecho de que el terminal de voto no necesita ser auditado. Por el contrario, presenta las desventajas de no poder ser utilizado para Ia emisión de votos remotos, ni permitir Ia verificación de los resultados de Ia elección sin tener que guardar todos los dispositivos de memoria empleados con votos emitidos, esto es, el recuento implica Ia lectura de todos y cada uno de los dispositivos de memoria. El sistema citado tampoco aporta medidas complementarias, como recibos de voto, que faciliten Ia verificación de los resultados de Ia elección por parte de los votantes. Existe, pues, una necesidad evidente de introducir un nuevo método que aporte unos medios eficaces de verificación a los votantes a Ia vez que facilite un proceso de auditoría de los terminales de votación.

Breve exposición de Ia invención La presente invención describe un método para Ia gestión y protección de procesos electorales que se llevan a cabo en un terminal de votación electrónica. La invención también se refiere a las características de un módulo operativo que, asociado a un terminal de votación, permite Ia implementación de dicho método. Por ello, un primer objetivo de Ia presente invención es definir un método para implementar un entorno seguro y fácilmente auditable, asociado a un terminal de votación que permita garantizar el correcto funcionamiento de una elección independientemente de Ia seguridad del terminal de votación al que se encuentre asociado. La protección de Ia privacidad y Ia integridad de los votos electrónicos una vez emitidos desde dicho entorno es otro de los objetivos de Ia presente invención. De esta manera dichos votos pueden ser procesados de forma segura por terceros. Con el objetivo de ofrecer a los votantes Ia posibilidad de verificar que sus votos han sido correctamente registrados de manera electrónica, Ia presente invención introduce también una etapa de verificación que recoge estas propiedades. Otro objetivo de Ia invención es proporcionar un mecanismo de auditoría de los resultados de una elección sencilla, basada en medidas digitales. Por último, pero no menos importante, Ia presente invención tiene como objetivo permitir una implementación tanto en entornos de votación electrónica presencial como remota. El método propuesto se caracteriza por comprender las siguientes etapas básicas: recibir información digital relacionada con las opciones de voto elegibles por los votantes; proporcionar una interfaz para que el votante pueda verificar las opciones de voto previamente seleccionadas; proporcionar unos medios para que el votante confirme las opciones verificadas; y generar, en caso de ser aceptadas dichas opciones de voto, un registro digital que protege Ia integridad de dicha información digital. Asimismo, el método puede comprender una etapa adicional de envío al terminal de votación asociado, de unos datos digitales informativos que contienen como mínimo el resultado de dicha confirmación y más en particular conteniendo información digital relacionada con dicha una o más opción/es de voto elegida/s. El método propuesto permite realizar una auditoría del proceso electoral, iniciado desde dicho terminal de votación, a través de una auditoría del citado módulo de verificación. Por su parte, el módulo operativo o de verificación utilizado para Ia implementación del método propuesto, comprende en su versión más básica los siguientes elementos: una unidad de entrada que permite Ia interacción con dicho terminal de votación para recibir una información digital relacionada con la/s opción/es de voto elegida/s en dicho terminal de votación; una interfaz para verificar por parte del votante dicha/s opción/es de voto previamente seleccionada/s; unos medios de confirmación; y una unidad de procesamiento que genera un registro digital para proteger Ia integridad de todas las informaciones digitales previamente y que han sido posteriormente confirmadas. Dicho módulo de verificación comprende además, en una variante de ejecución preferida, una unidad de salida para enviar una información digital resultado del proceso de verificación. Otras características de Ia invención y, en concreto, características particulares de las etapas del método y elementos constitutivos del módulo de verificación, serán descritos con mayor detalle a continuación, ilustrada además con unas láminas de dibujos.

Breve descripción de los dibujos La Figura 1 muestra de manera simplificada los principales elementos sobre los que se implementa el método de votación electrónica descrito en Ia presente invención: un terminal de votación (101) a través del cual el votante (103) realiza la selección de las opciones de voto y un módulo de verificación (102) que permite al votante (103) verificar las opciones de voto que ha seleccionado en el terminal de votación (101). La Figura 2 ilustra de forma esquemática las principales etapas que caracterizan el método de votación propuesto. Tras realizar Ia selección (201) de la/s opción/es de voto en el terminal de votación (101), el módulo de verificación (102) recibe (202) una información digital relacionada con dicha/s opción/es de voto. A continuación, el votante (103) verifica (203) la/s opción/es de voto previamente seleccionada/s y confirma (204), en caso de que así sea, Ia selección de su voto mediante los medios adecuados (como mínimo un par de botones del módulo de verificación en Ia Figura 2). Finalmente, y en caso de que se confirme que el voto se ha registrado digitalmente de manera correcta, se procede a Ia emisión (205) del voto. Las Figuras 3a, 3b, 3c, 3d y 3e describen cada una de las etapas anteriores con más detalle. En Ia Figura 3a los datos digitales informativos que contienen Ia selección (301) de la/s opción/es de voto, son recibidos en el módulo de verificación (102), donde tendrá lugar el proceso de verificación (302). La verificación (302) de cada una de la/s opción/es de voto previamente seleccionada/s se realizará a través de una interfaz adecuada, en Ia Figura 3b una interfaz visual (303) o una interfaz audible (304). En Ia Figura 3c se procede a confirmar (204) Ia selección del voto (201) (en caso de que el proceso de verificación se haya realizado de manera satisfactoria), mediante un par de botones (305) que forman parte del módulo de verificación (102). La emisión del voto (306) se describe en Ia Figura 3d, mientras que finalmente, en Ia Figura 3e se representa Ia generación de un registro digital (307) que protege Ia integridad de dicha información digital.

Descripción detallada de Ia invención La presente invención se refiere a un método para Ia gestión y protección de procesos electorales que utilizan terminales de votación electrónica 101 como plataforma de captación de las preferencias de voto de los votantes 103 y emisión de los votos. Para poner en práctica dicha invención se propone Ia utilización de un módulo operativo de verificación 102 asociado a un terminal de votación electrónica 101 , de estructura y funcionalidad bien conocida. Dicho módulo 102, además de aportar mejorar sustanciales en Ia seguridad del proceso de elección, también facilita e incluso simplifica Ia auditoría de dichos procesos electorales. El módulo operativo de verificación 102, según Ia presente invención, comprende los elementos básicos descritos a continuación. Una unidad de entrada que permite Ia recepción de una información, en formato digital, relacionada con las opciones de voto elegidas en el terminal de votación 101 asociado al módulo. Una ¡nterfaz 303 y 304 (Fig. 3b) que permite al votante 103 verificar las opciones de voto relacionadas con Ia información recibida por Ia unidad de entrada. Unos medios de confirmación 305 que permitirán al votante confirmar si las opciones presentadas en Ia interfaz son las deseadas. Y por último una unidad de procesamiento que ejecutará, en caso de que el votante Io haya confirmado, los procesos de generación de un registro digital 307 (Fig. 3e) destinados a proteger Ia integridad de Ia información, que había sido recibida mediante Ia unidad de entrada. En una implementación preferida, dicho módulo operativo de verificación 102 también incorpora una unidad de salida para enviar cierta información digital fuera del módulo, que sería resultado del proceso de verificación 302 realizado en él. Para facilitar Ia interconectividad del módulo operativo de verificación 102 con el terminal de votación 101 , se ha previsto Ia posibilidad de que dicha unidad de entrada y dicha unidad de salida sean Ia misma unidad. De esta manera se podría utilizar un mismo canal para el envío y recepción de datos, tal como sería un único cable de transmisión de datos. Asociado al módulo operativo de verificación 102 se ha previsto además una unidad de almacenamiento (tal como un dispositivo de sólo una escritura) con el objetivo de almacenar Ia información necesaria para Ia generación del citado registro digital 307. Debido a que los datos almacenados pueden ser necesarios durante Ia elección, esta unidad de almacenamiento puede ser persistente y así evitar Ia pérdida de datos debido a un fallo de energía eléctrica. Para facilitar Ia integración con un terminal de votación 101 , este dispositivo puede disponer de una fuente de alimentación de energía autónoma. De este modo puede obtener Ia energía para su funcionamiento de una célula de energía propia o conectándose directamente a Ia red eléctrica. También se ha previsto Ia obtención que Ia obtención de dicha energía provenga del terminal de votación 102 al que se encuentra asociado. El método de gestión y protección de procesos electorales objeto de Ia presente invención se implementa, según Io explicado anteriormente, en asociación a un terminal de votación 101. El terminal de votación 101 esencialmente posee a! menos una interfaz 104 de presentación de las opciones de voto a seleccionar, y unos medios para realizar dicha selección 201 , con los que interactúa un votante 103 para realizar una etapa de selección de una o más opciones de voto. Tras dicha etapa, las opciones de voto seleccionadas son facilitadas a un sitio de procesado local o remoto para su posterior recuento. El citado método se caracteriza esencialmente porque tras Ia etapa de selección 201 de las opciones de voto, comprende realizar mediante el módulo de verificación 102 asociado a dicho terminal 101 las siguientes etapas: - recibir 202 una información digital relacionada con las opciones de voto seleccionadas por un votante 103 en el terminal de votación 101 ; - verificar 203 las opciones seleccionadas por el votante 103 y que se encuentran codificadas de alguna manera en Ia información recibida en Ia fase anterior, para Io cual el método contempla Ia implementación de una interfaz 303 y 304 para facilitar Ia verificación 302 de dichas opciones de voto por parte del votante 103; - confirmar 204, por parte del votante 103, las opciones de voto presentadas en Ia etapa anterior. Para esta confirmación se contempla que el método disponga al votante 103 de unos medios de confirmación 305; y - finalmente generar, en caso de que el votante 103 haya aceptado en Ia etapa anterior las opciones de voto, un registro digital 307 que protege Ia integridad de Ia información digital 301 que ha sido recibida en Ia etapa de recepción. El método contempla que Ia información recibida 301 comprenda al menos las opciones seleccionadas por el votante 103 en el terminal de votación 101 , permitiendo incluir otra información adicional que pueda ser de utilidad, tal como datos descriptivos de Ia elección. Para facilitar Ia accesibilidad de los votantes 103 con discapacidades, el proceso de verificación 302 contempla diferentes interfaces para Ia presentación de las opciones de voto 301 recibidas. Con este fin se contempla Ia posibilidad de que dicha interfaz pueda ser visual 303, auditiva 304 o táctil (no representada gráficamente pero implementable mediante un dispositivo Braille). Con referencia al módulo operativo de verificación 102 anteriormente descrito, se contempla una implementación acorde a dichas interfaces como sería, si se trata de una interfaz visual, de una pantalla de video (tal como una pantalla LCD) o una impresora. Si se trata de una interfaz auditiva, se contempla su implementación mediante un dispositivo de audio, tal como unos auriculares. Otra propuesta adicional es Ia utilización de una interfaz basada en un dispositivo táctil, tal como sería un dispositivo generador de caracteres Braille. Dentro de Ia etapa de confirmación, el método descrito en Ia presente invención prevé el soporte de medios de confirmación que permitan al votante 103 decidir entre un mínimo de dos opciones, que a modo de ejemplo serían Ia aceptación o el rechazo de las opciones presentadas en Ia etapa de verificación 203. Aunque se traten de dos o más opciones diferentes no tienen que estar relacionadas con componentes distintos del propio interfaz (por ejemplo un botón diferente por opción). De esta manera puede existir una opción por defecto que se ejecute automáticamente en caso de que se cumplan unas ciertas condiciones, como sería al cabo de un tiempo establecido de inactividad. Para facilitar Ia accesibilidad de votantes, las opciones pueden estar representadas por: dos botones de dicha interfaz (eventualmente sustituibles por uno solo operativo conforme a una determinada secuencia) o, en una realización alternativa, podrían responder a un mínimo de dos órdenes (intraducibies p.e. a través de un micrófono) audibles a través de dicha interfaz. Todas estas características se recogen en el módulo operativo de verificación 102 mediante un dispositivo táctil, tal como un botón o utilizando una pantalla, o un dispositivo de audio tal como un micrófono, que permitirá recoger comandos de voz para que puedan ser interpretados. El método propuesto comprende, según una implementación preferida, una etapa adicional de envío desde dicho módulo operativo de verificación 102 hacia dicho terminal de votación 101 de unos datos digitales informativos que contienen como mínimo el resultado de dicha confirmación. Dichos datos digitales informativos pueden contener adicionalmente información digital relacionada con las opciones de voto seleccionadas. De esta manera se pueden almacenar las opciones de voto confirmadas en el propio terminal de votación 101 o incluso en otra máquina, facilitando el uso de dicho método en entornos de votación remota donde los votos se almacenan remotamente. En una implementación preferida del método que se está describiendo, se propone realizar asimismo una auditoría de todo el proceso electoral asociado a dicho terminal de votación 101 a través de una única auditoría de dicho módulo de verificación 102. Los datos generados en dicho. registro digital 307 pueden ofrecer diferentes niveles de seguridad y auditoría, dependientes del entorno en el que se está desarrollando Ia elección. Con el fin principal de verificar Ia integridad del recuento de las opciones de voto seleccionadas en el terminal de votación 101 , el método permite consultar el registro digital 307 del módulo de verificación 102. En una implementación preferida, dicho registro digital 307 se guarda en dicho módulo de verificación 102, permitiendo su consulta en caso de una auditoría de dicho módulo. Dicho registro digital es una pieza clave para Ia seguridad del proceso electoral. Se contemplan diferentes aproximaciones de implementación del método de registro digital, cada uno cumpliendo diferentes requisitos de seguridad. En una primera aproximación, el método contempla un conjunto de implementaciones que no incorporan medidas criptográficas de seguridad, aunque detectan posibles manipulaciones de los votos emitidos. Para ello, dicho registro digital 307 puede comprender una copia de dicha información digital recibida y confirmada, proceso que sería equivalente a disponer de una copia de las opciones de voto seleccionadas en un terminal de voto 101 y confirmadas en su módulo de verificación asociado 102. Como medida adicional, este registro digital se puede complementar con un contador que registre a su vez el número de confirmaciones realizadas para cada una de las distintas opciones de voto posibles. Como alternativa simplificada, el registro digital puede comprender únicamente un contador con el número de confirmaciones realizadas para cada una de las distintas opciones de voto posibles, sin contemplar, como en Ia propuesta inicial, una copia de las opciones de voto seleccionadas. En una segunda aproximación, y conforme a un ejemplo de realización preferido del método propuesto en Ia presente invención, Ia etapa de generación de un registro digital 307 comprende realizar una operación criptográfica sobre al menos una parte de dicha información digital recibida del terminal de votación 101. Esta medida permite mejorar Ia implementación de las medidas del primer grupo e incluso en algunas implementaciones incrementar Ia seguridad del proceso electoral. Una primera propuesta de generación de registro digital con medidas criptográficas, consiste en utilizar una función resumen dependiente de los contenidos exactos de dichas informaciones digitales recibidas del terminal de votación 101 hasta el momento y que han sido confirmadas, tal como una función resumen de acumulación (OWA). Esta medida permite verificar Ia integridad de los votos emitidos sin necesidad de mantener una copia de todos ellos, por Io que los requisitos de espacio son menores y no dependientes del número de votos emitidos. Este método se puede complementar contabilizando el número de confirmaciones realizadas para cada una de las distintas opciones de voto posibles. Una segunda propuesta se basa en Ia utilización de claves asimétricas para Ia protección de las opciones de voto confirmadas. Estas medidas están principalmente ideadas para proteger el envío de las opciones de voto fuera del módulo de verificación 102. Como primera medida se provee al módulo de verificación 102 de al menos una clave asimétrica para Ia protección de Ia integridad del contenido del registro digital 307, mediante firmas digitales. Así, una realización preferida el registro digital 307 comprende una firma digital en base a unos datos de dicha información digital 301 de Ia etapa de recepción, utilizando el componente privado de dichas claves asimétricas que son al menos una. Una medida alternativa basada en proteger Ia privacidad del registro digital comprende un cifrado (tal como un sobre digital) generado en base a dicha información digital 301 de Ia etapa de recepción, utilizando al menos una clave pública de una autoridad. Esta medida permite únicamente a Ia autoridad que posee Ia clave privada el acceso a los contenidos del registro digital. Según una propuesta alternativa dicho registro digital tendrá asociada una firma digital de dicho cifrado, generada con el componente privado de dichas claves asimétricas que son al menos una. De esta manera se garantiza tanto Ia privacidad del contenido como su integridad. En los casos en los que se aplican las medidas de privacidad mediante el cifrado del contenido del registro digital (p.e. con sobres digitales), el método contempla una etapa adicional de descifrado de dicha información digital, mediante al menos una clave privada de una autoridad. Finalmente, el método también contempla medidas destinadas a Ia verificación de las elecciones por parte de los votantes. Una primera medida permite facilitar que el propio votante 103 pueda verificar Ia corrección del proceso electoral asociado al terminal de votación 101 , mediante una etapa adicional de entrega al votante 103 de un recibo de voto generado en base a un identificador único. En las características del módulo operativo 102, se contempla Ia posibilidad de que éste disponga de una unidad para Ia entrega de un recibo de voto al votante 103. En el caso de que se proceda a una impresión de los votos emitidos (p.e. como medida de verificación), el método prevé una etapa adicional que incorpora una representación gráfica de dicha firma digital a una impresión del contenido que representa dicha información digital 301 de Ia etapa de recepción con el fin de añadir una prueba de integridad a dichos votos impresos. En referencia al módulo operativo de verificación 102 anteriormente descrito, también se contemplan aspectos que faciliten al máximo una auditoría de éste. En este sentido, se contempla Ia capacidad de que dicha unidad de procesamiento se encuentre en un dispositivo extraíble con capacidad de computación, tal como una tarjeta inteligente. Para incrementar Ia seguridad del módulo, dicho dispositivo extraíble podría integrar funcionalidades criptográficas, tales como Ia gestión y Ia generación de claves asimétricas, Ia firma digital o el cifrado simétrico. De esta manera las operaciones criptográficas se implementan en un entorno aislado protegido contra ataques externos. Finalmente se facilita Ia auditoría si dicho dispositivo extraíble integra al menos una unidad de almacenamiento, tal como una memoria interna, en Ia que se podría almacenar el registro digital.