La mayor brecha de datos del gobierno de EE.UU. está en curso.
Operativos que trabajan para Elon Musk han obtenido acceso sin precedentes a una amplia gama de departamentos del gobierno de EE.UU. — incluyendo agencias responsables de gestionar datos sobre millones de empleados federales y un sistema que maneja $6 billones en pagos a estadounidenses.
Durante las últimas dos semanas, el equipo de representantes de Musk — un consejo asesor presidencial dentro de la administración Trump conocido como el Departamento de Eficiencia del Gobierno, o DOGE — han tomado el control de los principales departamentos federales y conjuntos de datos, a pesar de las preguntas sobre sus permisos de seguridad, sus prácticas de ciberseguridad y la legalidad de las actividades de Musk.
Ya sea un logro o un golpe — lo cual depende de tu punto de vista — un pequeño grupo de empleados mayormente jóvenes del sector privado de las empresas y asociados de Musk — muchos sin experiencia previa en el gobierno — ahora pueden ver y, en algunos casos, controlar los datos más sensibles del gobierno federal sobre millones de estadounidenses y los aliados más cercanos del país.
El acceso por parte del equipo de DOGE representa el mayor compromiso conocido de datos del gobierno federal por un grupo privado de individuos — y poco ha impedido su avance.
DOGE ha reconocido pocos detalles sobre sus actividades en curso. Esta tarea ha sido dejada a los medios de comunicación, que han informado sobre prácticas cuestionables de ciberseguridad y la ruptura de normas de ciberseguridad establecidas que ponen en riesgo que datos sensibles del gobierno sean accesibles por actores malintencionados.
La mayor parte del trabajo de DOGE es evitar el control y la transparencia, dejando preguntas abiertas sobre si se siguen las prácticas de ciberseguridad y privacidad. No está claro si los empleados de DOGE están siguiendo los procedimientos para mantener este dato fuera del alcance de otras personas, o si se están tomando otras medidas para proteger los datos sensibles de los estadounidenses.
Hasta ahora, parece que la seguridad no está en la mente de los responsables.
Por ejemplo, un empleado de DOGE reportedly usó una cuenta de Gmail personal para acceder a una llamada del gobierno; y una demanda recientemente presentada por denunciantes federales alega que DOGE ordenó la conexión de un servidor de correo electrónico no autorizado a la red del gobierno en violación de la ley de privacidad federal.
Ya sea que los empleados de DOGE sean malintencionados o no, el punto es que actos de subterfugio, espionaje o ignorancia pueden producir el mismo resultado subóptimo: la exposición o pérdida de los conjuntos de datos más sensibles del país.
Por ahora, es útil ver cómo hemos llegado hasta aquí.
Permisos de seguridad cuestionables
La facilidad con la que DOGE tomó el control de los departamentos y sus vastos almacenes de datos de los estadounidenses tomó por sorpresa a los funcionarios de carrera y a los legisladores de EE.UU., quienes continúan buscando respuestas de la administración Trump.
Los esfuerzos de Musk para tomar el control de los almacenes de datos del país también alarmaron a los profesionales de ciberseguridad, algunos de los cuales han dedicado sus carreras al gobierno para asegurar los sistemas y datos más sensibles de los estadounidenses.
Quedan preguntas sobre el nivel de permisos de seguridad que tienen los empleados de DOGE y si sus permisos de seguridad interinos les dan la autoridad para exigir acceso a sistemas federales restringidos. Al volver al cargo, Trump firmó una orden ejecutiva que permite a los funcionarios de la administración conceder “secreto” y permisos de seguridad compartimentados a individuos de manera interina con poco o ningún veteo sustancial, una desviación significativa de los protocolos establecidos.
Un guardia de seguridad se encuentra en la entrada de la sede de USAID el 3 de febrero de 2025 en Washington, DC
La confusión sobre los permisos de seguridad de los empleados de DOGE ha llevado a enfrentamientos breves entre varios funcionarios de carrera en los departamentos federales en los últimos días. En la Agencia de los Estados Unidos para el Desarrollo Internacional, o USAID, funcionarios senior fueron puestos en licencia después de interponerse en el camino de los empleados de DOGE para proteger la información clasificada, según la Associated Press. DOGE posteriormente obtuvo acceso al centro clasificado de USAID, que supuestamente contenía informes de inteligencia.
Katie Miller, una asesora de DOGE, dijo en una publicación en X que ningún material clasificado fue accedido por DOGE “sin los permisos de seguridad adecuados”, aunque los detalles del equipo de permisos de seguridad permanecen sin especificar, incluyendo cuántas personas fueron concedidas los permisos de seguridad interinos.
Varios senadores senior del Comité de Inteligencia del Senado dijeron el miércoles que aún están buscando respuestas sobre DOGE y qué permisos tienen sus miembros.
“No se ha proporcionado información al Congreso ni al público sobre quiénes han sido formalmente contratados bajo DOGE, bajo qué autoridad o regulaciones opera DOGE, o cómo DOGE está veteando y monitoreando a sus empleados y representantes antes de proporcionarles lo que parece ser acceso sin restricciones a materiales clasificados y la información personal de los estadounidenses,” escribieron los senadores.
Toma de control de DOGE del gobierno
Dentro de una semana de la toma de posesión del presidente Trump — y su orden ejecutiva estableciendo DOGE — los empleados de Musk comenzaron a infiltrarse en una variedad de agencias federales. El sistema de pagos sensibles del Tesoro de EE.UU., que contiene información personal de millones de estadounidenses que reciben pagos del gobierno, desde reembolsos de impuestos hasta cheques de seguridad social, fue uno de los primeros.
DOGE también obtuvo acceso a la Oficina de Personal, el departamento de recursos humanos del gobierno que incluye bases de datos sobre la información personal de todos los empleados federales, y USAJOBS, que tiene datos sobre solicitantes que aplicaron para un empleo federal.
Los funcionarios de la OPM dijeron que no tenían visibilidad ni control sobre el acceso de Musk a sus sistemas. “Esto crea implicaciones reales de ciberseguridad y hacking,” dijeron a Reuters.
La actividad de DOGE ha generado una amplia oposición, incluyendo algunos republicanos.
El senador Ron Wyden (D-OR), que sirve como el más senior demócrata del Comité de Finanzas del Senado, llamó el acceso de Musk a los sistemas de pagos federales sensibles un riesgo para la seguridad nacional, dado el conflicto de intereses sobre sus operaciones comerciales extensas en China. Un grupo de senadores demócratas dijo en una carta posterior al Tesoro que el acceso de DOGE a los datos del gobierno podría causar un daño irreparable a la seguridad nacional.
En una publicación en Bluesky, el ex estratega republicano Stuart Stevens llamó la toma del sistema del Tesoro “la mayor filtración de datos en la historia de la ciberseguridad”, añadiendo: “Los individuos privados en el negocio de los datos ahora tienen acceso a tu información de Seguridad Social”.
Varios senadores demócratas y otras personas fuera del Departamento del Tesoro de EE.UU. para protestar contra Elon Musk.
El Tesoro defendió su movimiento para conceder acceso a los sistemas de pagos sensibles del departamento, confirmando en una respuesta no atribuida a los legisladores demócratas que el equipo de DOGE de Musk tiene acceso a las bases de datos del Tesoro con la información personal de los estadounidenses. La carta confirma que Tom Krause, el director ejecutivo de Cloud Software Group, que posee Citrix y varias otras empresas tecnológicas, ahora es un empleado del Tesoro. Krause no ha respondido a una solicitud de comentario.
DOGE ha obtenido acceso a múltiples sistemas internos sensibles en el Departamento de Educación, incluyendo conjuntos de datos que contienen la información personal de millones de estudiantes matriculados en ayudas financieras. Los empleados de DOGE también exigieron “acceso a todo” en el Small Business Administration, incluyendo contratos, pagos y información de recursos humanos.
El equipo de Musk también reportedly tiene acceso a los sistemas de pagos dentro del Departamento de Salud y Servicios Humanos, y acceso a datos en la agencia estadounidense que administra Medicare y Medicaid. DOGE también está accediendo a sistemas de personal en la Administración Nacional Oceánica y Atmosférica, o NOAA, y planea acceder a sistemas en el Departamento de Transporte.
Implicaciones domésticas y globales
Existen riesgos de seguridad sin precedentes que provienen de conceder acceso al núcleo de datos del gobierno de EE.UU. a un grupo de individuos no elegidos y del sector privado con veteo cuestionable.
Para nombrar solo un par de cosas que podrían salir mal: acceder a la red del gobierno desde una computadora no aprobada que alberga malware puede comprometer otros dispositivos en la red federal y permitir el robo de información sensible, independientemente de si es clasificada. Y, el manejo inadecuado de la información personal en dispositivos o entornos en la nube que no han cumplido con las especificaciones de seguridad más altas del gobierno, o que no utilizan los controles de seguridad más fuertes, pone ese dato en riesgo de ser comprometido o filtrado.
Estos no son escenarios improbables; estos tipos de brechas ocurren todo el tiempo.
El año pasado vio algunas de las mayores filtraciones de datos en la historia causadas por el acceso malintencionado a través de los dispositivos personales de los empleados de la empresa, quienes accidentalmente instalaron malware descargando software falsificado en sus computadoras personales y sin utilizar protecciones de seguridad adecuadas como la autenticación multifactor. Cualquier compromiso de las credenciales o acceso del equipo, o cualquier manejo inadecuado de las bases de datos sensibles podría resultar en la pérdida, robo o extravío irrecuperable de los datos más sensibles del gobierno.
Quizás lo más preocupante es que DOGE y sus actividades están operando fuera del escrutinio público.
Los funcionarios y legisladores encargados del control del gobierno, supuestamente no tienen visibilidad sobre qué datos tiene acceso DOGE dentro del gobierno, o qué controles de ciberseguridad o protecciones tiene — si es que las hay. Los profesionales del departamento que han dedicado gran parte de sus carreras a proteger el acceso a los datos almacenados en estos sistemas no pueden hacer mucho más que quedarse de brazos cruzados mientras los individuos privados con poca o ninguna experiencia previa en el gobierno asaltan sus conjuntos de datos más sensibles.
La abogada de tecnología y privacidad Cathy Gellis, escribiendo en Techdirt, argumenta que Musk y su equipo de DOGE probablemente sean “personalmente responsables” bajo la ley federal de hacking, conocida como la Ley de Fraude y Acceso a Computadoras, que cubre el acceso a sistemas federales sin la autorización adecuada. Un tribunal aún tendría que determinar si las actividades de DOGE son “acceso no autorizado” y, por lo tanto, ilegales, escribió Gellis.
También hay la pregunta de cómo responderán los gobiernos estatales a la filtración de los datos de sus residentes en el nivel federal. Los estados de EE.UU. tienen leyes de protección de datos que requieren la protección de la información personal de sus ciudadanos, incluso si el gobierno federal no lo hace. Si el acceso del equipo de Musk a los sistemas federales desencadena acciones legales de los estados, eso aún está por verse.
El acceso también pone en peligro las relaciones con los Estados Unidos y sus aliados diplomáticos. Los aliados quizás no quieran compartir inteligencia con el gobierno de EE.UU. si piensan que la información podría filtrarse, salir a la luz pública o perderse como resultado de la ruptura en las prácticas de ciberseguridad destinadas a proteger la información sensible.
En realidad, las consecuencias de ciberseguridad de la continua acceso de DOGE a los departamentos y conjuntos de datos federales pueden no ser conocidas durante algún tiempo.