Empleado de DOGE presuntamente robó datos de Seguro Social en una unidad USB

Vigilante Federal Revela Violación de Datos

Un miembro del personal que trabaja bajo el Departamento de Eficiencia Gubernamental supostamente copió datos sensibles de la Administración del Seguro Social a una unidad USB personal, según un nuevo informe que ha intensificado el escrutinio sobre el acceso de DOGE a los sistemas federales. La revelación llega cuando múltiples agencias gubernamentales han expresado preocupaciones sobre el amplio acceso a datos otorgado al personal de DOGE desde la creación de la iniciativa.

El incidente fue señalado por una revisión de vigilancia interna que encontró que el empleado había accedido a bases de datos que contienen información de identificación personal para millones de estadounidenses. Los datos supostamente incluyeron números de Seguro Social, registros de pagos y otros detalles sensibles que normalmente están sujetos a controles de acceso estrictos dentro del gobierno federal.

Cómo Ocurrió la Violación

Según el informe, al empleado de DOGE se le otorgó acceso a nivel administrativo a los sistemas SSA como parte del mandato de la iniciativa de eficiencia para auditar el gasto federal e identificar desperdicios. Sin embargo, el alcance de ese acceso parece haber superado con creces lo que era necesario para la misión establecida de reducir los gastos generales del gobierno.

Las fuentes familiarizadas con el asunto indican que los protocolos estándar de ciberseguridad fueron eludidos en la prisa por otorgar a los empleados de DOGE acceso a las bases de datos de la agencia. Normalmente, acceder a los registros de SSA requiere múltiples capas de autenticación, verificaciones de antecedentes específicas para la agencia y monitoreo continuo de transferencias de datos. Varios de estos protecciones fueron aparentemente relajados o renunciados para el personal de DOGE.

El uso de una unidad USB personal es particularmente alarmante para los expertos en ciberseguridad. Los dispositivos de almacenamiento removible se encuentran entre los vectores más comunes de violaciones de datos tanto en entornos gubernamentales como corporativos, ya que pueden perderse fácilmente, robarse o usarse para transferir datos a sistemas no protegidos.

Respuesta del Congreso y Cuestiones Legales

Los legisladores de ambos lados de la aisle han exigido respuestas. El Comité de Finanzas del Senado anunció que celebraría audiencias sobre las prácticas de acceso a datos de DOGE, con miembros clasificados llamando al incidente una violación potencial de la Privacy Act de 1974, que rige cómo las agencias federales recopilan, mantienen y difunden información personal.

Los expertos legales dicen que el empleado podría enfrentar cargos penales según la Computer Fraud and Abuse Act si la transferencia de datos fue no autorizada o excedió el alcance de su acceso aprobado. La Privacy Act también conlleva sanciones civiles y penales para la divulgación impropia de registros.

Varios grupos de defensa de la privacidad han presentado solicitudes de la Freedom of Information Act buscando detalles sobre qué datos han accedido los empleados de DOGE en todas las agencias federales, no solo la SSA. La Electronic Frontier Foundation llamó al incidente una consecuencia predecible de otorgar acceso amplio al sistema sin supervisión adecuada.

Implicaciones Más Amplias para la Seguridad de Datos Gubernamental

La violación destaca una tensión que ha existido desde el inicio de DOGE: el mandato de la iniciativa para auditar rápidamente las operaciones gubernamentales a menudo choca con el enfoque deliberado y centrado en la seguridad que las agencias utilizan para proteger datos sensibles. Los sistemas de TI federales fueron diseñados con acceso compartimentalizado por una buena razón, y eludir esas protecciones introduce riesgo sistémico.

Los profesionales de ciberseguridad han advertido que incluso el acceso a datos bien intencionado puede crear vulnerabilidades. Una vez que los datos dejan un entorno seguro en un dispositivo portátil, se vuelve casi imposible rastrear o proteger. Los datos de SSA en cuestión podrían usarse para robo de identidad, fraude u otros propósitos maliciosos si caen en manos equivocadas.

La Administración del Seguro Social sirve a más de 70 millones de estadounidenses que reciben beneficios mensuales, y sus bases de datos se encuentran entre las más sensibles del gobierno federal. Un compromiso de estos datos podría tener efectos en cascada en sistemas financieros, proveedores de atención médica y otras instituciones que dependen de los números de Seguro Social como verificación de identidad.

Qué Sucede Ahora

Se informó que la SSA ha lanzado su propia investigación interna junto con la oficina del inspector general. El liderazgo de DOGE no ha comentado públicamente sobre las alegaciones específicas, pero previamente ha defendido sus prácticas de acceso a datos como necesarias para identificar miles de millones de dólares en desperdicio y fraude.

El incidente probablemente alimentará los desafíos legales continuos a las operaciones de DOGE. Múltiples jueces federales ya han emitido sentencias cuestionando la legalidad del acceso de DOGE a ciertos sistemas de agencias, y esta última revelación podría fortalecer esos casos. Por ahora, la unidad USB y su contenido permanecen como tema de una investigación federal activa.

Este artículo se basa en reportajes de TechCrunch. Lea el artículo original.