DOGE subió una copia en vivo de la base de datos de Seguridad Social a un servidor 'vulnerable' en la nube, según un informante.
Créditos de la imagen: Douglas Rissing / Getty Images
Un alto funcionario de la Administración de Seguridad Social que se convirtió en un informante dice que miembros del equipo de la administración Trump, el Departamento de Eficiencia del Gobierno (DOGE), subieron a un servidor en la nube vulnerable cientos de millones de registros de Seguridad Social, poniendo en riesgo la información personal de la mayoría de los estadounidenses.
Charles Borges, el jefe de datos de la Administración de Seguridad Social, dijo en una denuncia de informante recientemente publicada que otros altos funcionarios de la agencia aprobaron una decisión en junio para subir “una copia en vivo de la información de Seguridad Social del país en un entorno en la nube que elude el control,” a pesar de que Borges expresó sus preocupaciones.
La base de datos, conocida como el Sistema de Identificación Numérica, contiene más de 450 millones de registros que incluyen toda la información presentada como parte de una solicitud de Seguridad Social, como el nombre del solicitante, lugar de nacimiento, ciudadanía y los números de Seguridad Social de sus familiares, así como otra información personal y financiera sensible.
Borges dijo que los miembros del DOGE, el equipo de antiguos empleados de Elon Musk nombrados para el gobierno bajo el pretexto de reducir el fraude y el desperdicio, copiaron la base de datos sensible a un servidor en la nube administrado por la agencia y alojado por Amazon “aparentemente careciendo de controles de seguridad independientes,” como quién estaba accediendo a los datos y cómo los estaba utilizando.
La falta de protecciones de seguridad violó los controles de seguridad internos de la agencia y las leyes federales de privacidad, según la denuncia.
Borges dijo que al permitir que el DOGE fuera administrador de la nube de la agencia, los operadores del DOGE podrían crear “servicios accesibles públicamente,” lo que significa que podrían permitir el acceso público al sistema en la nube y a cualquier dato sensible almacenado dentro.
Borges advirtió en la denuncia que si esta información fuera comprometida, “es posible que la información personalmente identificable de cada estadounidense, incluyendo diagnósticos de salud, niveles de ingresos y datos bancarios, relaciones familiares y datos biográficos personales, se exponga públicamente y se comparta ampliamente.”
La denuncia dijo que cualquier compromiso o acceso no autorizado a la base de datos tendría “un impacto catastrófico” en el programa de Seguridad Social de EE.UU., describiendo una peor de las peores como la posible reasignación de todos los números de Seguridad Social.
Aunque una orden judicial federal en marzo inicialmente bloqueó a los empleados del DOGE de acceder a la base de datos de registros de Seguridad Social del país, la Corte Suprema levantó la orden el 6 de junio, allanando el camino para el acceso del DOGE.
En los días siguientes, el DOGE supuestamente trabajó para buscar aprobaciones internas de los altos mandos de la agencia, según la denuncia de Borges.
El jefe de información de la agencia Aram Moghaddassi aprobó el movimiento de copiar la base de datos a la nube de la agencia, diciendo que “determinó que la necesidad del negocio es mayor que el riesgo de seguridad,” y que acepta “todos los riesgos” con el proyecto. La denuncia también dice que Michael Russo, un operativo senior del DOGE que anteriormente sirvió como jefe de información de la agencia antes de Moghaddassi pero sigue en la agencia, también aprobó el movimiento de datos en vivo de Seguridad Social a la nube.
Borges dijo que primero planteó problemas internamente en la agencia, pero luego sopló el silbato para instar a los miembros del Congreso a “engañarse en una supervisión inmediata para abordar estos serios problemas,” según un comunicado de su abogado, Andrea Meza, en el Proyecto de Cuenta del Gobierno.
Esta es la última acusación de prácticas de ciberseguridad deficientes por parte de la administración y sus representantes, incluyendo al DOGE, desde que el presidente Trump asumió el cargo al inicio de enero. Desde enero, los miembros del DOGE han tomado el control de la mayoría de los departamentos federales de EE.UU. y sus conjuntos de datos de la información de los ciudadanos.
Cuando se contactó con TechCrunch, Elizabeth Huston, una portavoz de la Casa Blanca, no dijo si la administración estaba al tanto de la denuncia y se desvió el comentario a la Administración de Seguridad Social.
En una respuesta por correo electrónico, el portavoz de la Administración de Seguridad Social, Nick Perrine, dijo que la agencia “almacena datos personales en entornos seguros que tienen medidas robustas en su lugar para proteger la información vital.”
“Los datos referenciados en la denuncia se almacenan en un entorno de larga data utilizado por SSA y aislado de Internet. Los altos funcionarios de carrera de SSA tienen acceso administrativo a este sistema con supervisión por parte del equipo de Seguridad de la Información de SSA,” dijo el portavoz.
El portavoz dijo que la agencia “no estaba al tanto de ningún compromiso a este entorno.”
Las violaciones de datos que involucran datos del gobierno federal almacenados en la nube son raras pero no inexistentes. En 2023, TechCrunch informó que el Departamento de Defensa de EE.UU. expuso públicamente miles de correos electrónicos sensibles en línea debido a un error de seguridad. Aunque los datos de correo electrónico se almacenaban en una nube separada dedicada a clientes gubernamentales de Amazon, una configuración incorrecta permitió que el contenido de los correos electrónicos de una unidad militar se derramara públicamente en línea.