1.- CAFAR utilizó una pagina insegura para llevar a cabo la primer parte del proceso electoral, donde su responsabilidad era informar a los farmacéuticos que actualizaran sus datos, informen sus mails y creen una contraseña. Estos datos fueron cargados en una página HTTP.

La web que usa CAFAR (www.cafar.org.ar) es HTTP y las WEB consideradas seguras son HTTPS.

2.-  CAFAR envió las contraseñas a los farmacéuticos a través de mail, sin garantizar la seguridad de las mismas.

Las claves utilizadas por organizaciones bancarias jamás son informadas por mail. Las contraseñas fueron enviadas por mail en texto plano, sin cifrar.

Este método de transferencia no es seguro, siendo fácilmente detectado por algún intruso.

3.- CAFAR  admitió una contraseña de como  mínimo seis (6)  dígitos. Una contraseña segura tiene ocho (8) caracteres de longitud como mínimo.

4.- CAFAR no aplicó criterios de seguridad. Forzar el cambio de contraseña luego del primer login es una de las políticas de seguridad que deben ser configuradas en todos los sistemas informáticos.

El LIDII permitía acceder al sistema de votación con la contraseña que los votantes recibieron por mail

5.- CAFAR no certificó la veracidad de las “direcciones de mail de los votantes”. las mismas no fueron  corroboradas ni actualizadas.

CAFAR era el organismo encargado de certificar los mail de cada votante antes de exhibir los padrones.

6.- CAFAR no homologó el proceso de escrutinio, por ejemplo, con una certificación ISO que acredite que el sistema fue auditado y es confiable. El sistema provisto por el LIDII en conjunto con CAFAR no posee ningún tipo de certificación de una entidad certificante.

7.- No se  realizaron pruebas reales, “Real-Tests” del sistema antes de hacerlo oficial, para comprobar la integridad, disponibilidad y confidencialidad de un sistema de información,

8- Los padrones parciales que se fueron remitiendo en forma semanal, para que los fiscales pudiesen realizar el proceso de la fiscalización, no fueron correctamente actualizados, generando dudas sobre la veracidad del sistema.

Los desvíos detectados durante la ejecución del sistema también originaron numerosas quejas por parte de los  votantes ya que:

a.- En caso de olvidar la contraseña, los votantes recibían una nueva clave por mail la cual llegaba a la casilla de correo no deseado, haciendo imposible emitir el voto al no poder recuperar la contraseña.
Esta particularidad no fue testeada y no le fue advertido a los votantes que ello podría ocurrir.

b.- Una vez emitido el voto –en algunos casos- no se recibía ningún tipo de confirmación del voto emitido pudiendo el mismo haber ingresado a la bandeja de correo no deseado.

c.- El sistema tuvo varias caídas, durante el período de la votación  impidiendo el normal desarrollo

d.- Algunos votantes no pudieron emitir sus votos, a  pesar de que estaban registrados en los padrones.

e.-Algunos votantes no recibieron la información necesaria para poder votar debido a que sus casillas de mails estaban  desactualizadas.

f.- La implementación de un proceso de votación, completamente diferente al proceso de votación convencional, que  requiere de un cierto conocimiento de nuevas tecnologías, no debería haber sido puesto en marcha como única forma de votación, entendiendo lo heterogéneo del electorado.
Debería haberse implementado esta nueva metodología en forma paralela con el método habitual, de manera que todos los colegas hubiesen podido ejercer su derecho a votar.