Los operativos que trabajan para Elon Musk han obtenido un acceso sin precedentes a una amplia variedad de departamentos del gobierno de EE. UU., incluidas agencias encargadas de gestionar datos sobre millones de empleados federales y un sistema que maneja $6 billones en pagos a los estadounidenses.
En las últimas dos semanas, el grupo de representantes de Musk, un consejo asesor presidencial dentro de la administración Trump conocido como el Departamento de Eficiencia Gubernamental, o DOGE, ha tomado el control de los principales departamentos federales y conjuntos de datos, a pesar de las dudas sobre sus autorizaciones de seguridad, sus prácticas de ciberseguridad y la legalidad de las actividades de Musk.
Ya sea un logro o un golpe (lo cual depende completamente de su punto de vista), un pequeño grupo de empleados del sector privado, en su mayoría jóvenes, de las empresas y asociados de Musk, muchos de ellos sin experiencia previa en el gobierno, ahora pueden ver y, en algunos casos, controlar los datos más sensibles del gobierno federal sobre millones de estadounidenses y los aliados más cercanos de la nación.
El acceso del equipo de DOGE de Musk representa la mayor conocida vulneración de datos mantenidos por el gobierno federal por un grupo privado de individuos, y poco ha impedido su camino.
DOGE ha reconocido pocos detalles sobre sus actividades en curso. Esa tarea ha quedado en manos de los medios de comunicación, que han informado sobre prácticas cuestionables de ciberseguridad y la ruptura de normas de ciberseguridad de larga data que ponen en riesgo que datos gubernamentales sensibles sean accedidos por actores malintencionados.
Gran parte del trabajo de DOGE es evitar la supervisión y la transparencia, dejando preguntas abiertas sobre si se siguen las prácticas de ciberseguridad y privacidad. No está claro si los miembros del personal de DOGE están siguiendo los procedimientos para evitar que estos datos sean accedidos por otras personas, o si se están tomando otras medidas para proteger los datos sensibles sobre los estadounidenses.
Hasta ahora, la evidencia sugiere que la seguridad no es una prioridad.
Por ejemplo, un miembro del personal de DOGE supuestamente usó una cuenta de Gmail personal para acceder a una llamada del gobierno, y una demanda recientemente presentada por denunciantes federales afirma que DOGE ordenó conectar un servidor de correo electrónico no autorizado a la red del gobierno, lo que viola la ley federal de privacidad.
Si los miembros del personal de DOGE son o no actores malintencionados es solo parte del punto. Actos de subterfugio, espionaje o ignorancia podrían producir el mismo resultado subóptimo: la exposición o pérdida de conjuntos de datos sensibles de la nación.
Por ahora, vale la pena examinar cómo llegamos a este punto.
Autorizaciones de seguridad cuestionables
La facilidad con la que DOGE se hizo cargo de los departamentos y sus vastos almacenes de datos de los estadounidenses tomó por sorpresa a funcionarios de carrera y legisladores de EE. UU., quienes continúan buscando respuestas por parte de la administración Trump.
Los esfuerzos de Musk para tomar el control de los almacenes de datos de la nación también alarmaron en privado a profesionales de la ciberseguridad, algunos de los cuales han dedicado sus carreras en el gobierno a garantizar la seguridad de los sistemas y datos más sensibles de los estadounidenses.
Quedan preguntas sobre qué nivel de autorización de seguridad tienen los miembros del personal de DOGE y si su autorización de seguridad provisional les da la autoridad para exigir acceso a sistemas federales restringidos. Al regresar a su cargo, Trump firmó una orden ejecutiva que permite a los funcionarios de la administración otorgar autorizaciones de seguridad 'top secret' y compartimentadas de forma interina con poco o ningún examen sustancial, un marcado contraste con los protocolos establecidos desde hace mucho tiempo.
La confusión sobre las autorizaciones de seguridad del personal de DOGE ha llevado a breves enfrentamientos entre varios funcionarios de carrera en departamentos federales en los últimos días. En la Agencia de EE. UU. para el Desarrollo Internacional (USAID), altos funcionarios fueron suspendidos después de interponerse en el camino del personal de DOGE para proteger información clasificada, según Associated Press. Posteriormente, DOGE obtuvo acceso a las instalaciones clasificadas en USAID, que al parecer contenían informes de inteligencia.
Katie Miller, asesora de DOGE, dijo en una publicación en X que no se accedió a material clasificado por DOGE 'sin las autorizaciones de seguridad adecuadas', aunque los detalles de las autorizaciones del equipo siguen sin especificarse, incluido cuántas personas recibieron las autorizaciones secretas provisionales.
Varios legisladores de alto rango del Comité de Inteligencia del Senado dijeron el miércoles que todavía estaban buscando respuestas sobre DOGE y qué autorizaciones tienen sus miembros.
'No se ha proporcionado información al Congreso ni al público sobre quién ha sido contratado formalmente bajo DOGE, en qué autoridad o regulaciones está operando DOGE, o cómo DOGE está evaluando y supervisando a su personal y representantes antes de proporcionarles acceso aparentemente sin restricciones a materiales clasificados e información personal de los estadounidenses', escribieron los senadores.
La toma de control de DOGE sobre el gobierno
En una semana después de la inauguración del presidente Trump, y su orden ejecutiva estableciendo DOGE, los empleados de Musk comenzaron a infiltrarse en una variedad de agencias federales. Los sistemas de pagos sensibles del Tesoro de EE. UU., que contienen información personal de millones de estadounidenses que reciben pagos del gobierno, desde reembolsos de impuestos hasta cheques de Seguro Social, fue uno de los primeros.
DOGE también ha obtenido acceso a la Oficina de Administración de Personal, el departamento de recursos humanos del gobierno que incluye bases de datos sobre la información personal de todos los trabajadores federales, y USAJOBS, que tiene datos sobre los solicitantes que se postularon para un trabajo federal.
Los funcionarios de la OPM dijeron que no tenían visibilidad ni control sobre el acceso del equipo de Musk a sus sistemas. 'Esto ocasiona verdaderas implicaciones de ciberseguridad y piratería', dijeron a Reuters.
La actividad de DOGE ha generado una oposición generalizada, incluida de algunos republicanos.
El senador Ron Wyden (D-OR), quien sirve como el demócrata más antiguo en el Comité de Finanzas del Senado, calificó el acceso de Musk a los sistemas de pagos federales sensibles como un riesgo para la seguridad nacional, dado el conflicto de intereses por sus extensas operaciones comerciales en China. Un grupo de demócratas de alto rango luego dijo en una carta al Tesoro que el acceso de DOGE a datos gubernamentales sensibles 'podría dañar irreparablemente la seguridad nacional'.
En una publicación en Bluesky, el ex estratega republicano Stuart Stevens llamó a la toma de control de los sistemas del Tesoro 'la filtración de datos más significativa en la historia de la ciberseguridad', agregando: 'Personas privadas en el negocio de los datos ahora tienen acceso a su información del Seguro Social'.
El Tesoro defendió su decisión de otorgar acceso a los sistemas de pagos sensibles del departamento, confirmando en una respuesta no atribuida a los legisladores demócratas que el equipo de DOGE de Musk tiene acceso a los bancos de información personal del Tesoro sobre los estadounidenses. La carta confirma que Tom Krause, director ejecutivo de Cloud Software Group, propietario de Citrix y varias otras empresas tecnológicas, ahora es empleado del Tesoro. Krause no ha respondido a una solicitud de comentarios.
DOGE ha obtenido acceso a múltiples sistemas internos sensibles en el Departamento de Educación, incluidos conjuntos de datos que contienen información personal sobre millones de estudiantes inscritos en ayuda financiera. El personal de DOGE también exigió 'acceso total' a todos los sistemas en la Administración de Pequeñas Empresas, incluidos contratos, pagos e información de recursos humanos.
El equipo de Musk también tiene acceso a los sistemas de pagos en el Departamento de Salud y Servicios Humanos de EE. UU., y acceso a datos en la agencia estadounidense que administra Medicare y Medicaid. DOGE también está accediendo a sistemas de personal en la Administración Nacional Oceánica y Atmosférica (NOAA) y planea acceder a sistemas en el Departamento de Transporte.
Ramas nacionales y globales
Existen riesgos de seguridad incalculables que surgen al otorgar acceso al núcleo de datos interno del gobierno de EE. UU. a un grupo de individuos no elegidos y privados con una evaluación dudosa. Nombrar solo un par de cosas que podrían salir mal: Acceder a la red del gobierno desde una computadora no aprobada que alberga malware puede comprometer otros dispositivos en la red federal y permitir el robo de información gubernamental sensible, independientemente de si está clasificada. Y el manejo indebido de información personal en dispositivos o entornos en la nube que no han cumplido con los estándares de seguridad más altos del gobierno, o que no utilizan los controles de seguridad más fuertes, pone esos datos en riesgo de más compromisos o filtraciones.
Estos no son escenarios improbables; este tipo de violaciones ocurren todo el tiempo.
Solo el año pasado se produjeron algunas de las mayores violaciones de datos de la historia causadas por el acceso malintencionado obtenido a través de los dispositivos personales de empleados de empresas, quienes instalaron accidentalmente malware al descargar software de imitación en sus computadoras personales y no utilizaron protecciones de seguridad adecuadas como la autenticación de múltiples factores. Cualquier compromiso de las credenciales o el acceso del equipo, o cualquier manejo indebido de bases de datos sensibles podría resultar en la pérdida irrecuperable, el robo o el extravío de datos gubernamentales sensibles.
Pero tal vez lo más preocupante es que DOGE, y sus actividades, operan fuera de la escrutinio público.
Los funcionarios y legisladores encargados de la supervisión gubernamental, según se informa, no tienen idea de qué datos tiene acceso DOGE dentro del gobierno o cuáles son sus controles o protecciones de ciberseguridad, si es que las hay. Los profesionales departamentales que han pasado gran parte de sus carreras protegiendo el acceso a los datos almacenados en estos sistemas no pueden hacer mucho más que quedarse mirando mientras personas privadas con poca o ninguna experiencia previa en el gobierno saquean sus conjuntos de datos más sensibles.
Cathy Gellis, abogada de tecnología y privacidad, escribiendo en Techdirt, argumenta que Musk y su equipo de DOGE probablemente son 'personalmente responsables' bajo la ley federal de hackeo de EE. UU., conocida como el Acta de Fraude y Abuso Informático, que cubre el acceso a sistemas federales sin la autorización adecuada. Una corte tendría que determinar en última instancia que la actividad de DOGE es 'acceso no autorizado' y, por lo tanto, ilegal, escribió Gellis.
También está la pregunta sobre cómo responderán los gobiernos estatales de EE. UU. a la vulneración de los datos de sus residentes a nivel federal. Los estados de EE. UU. tienen leyes de violación de datos que requieren la protección de los datos de sus ciudadanos, incluso si el gobierno federal no lo hace. Si el acceso del equipo de Musk a los sistemas federales provoca acciones legales por parte de los estados, sigue siendo una incógnita.
El acceso también pone en peligro las relaciones con los Estados Unidos y sus aliados diplomáticos. Las naciones aliadas pueden no querer compartir inteligencia con el gobierno de EE. UU. si creen que la información podría filtrarse, divulgarse en el dominio público o de alguna manera perderse como resultado de la ruptura en las prácticas de ciberseguridad destinadas a proteger información sensible.
En realidad, las consecuencias en ciberseguridad del acceso continuo de DOGE a departamentos y conjuntos de datos federales pueden no ser conocidas por algún tiempo.
Contacta a Zack Whittaker en Signal y WhatsApp al +1 646-755-8849. También puedes compartir documentos de forma segura con TechCrunch a través de SecureDrop.
