El DOGE puso en peligro datos críticos del Seguro Social de EE. UU., según un denunciante

Miembros del equipo del DOGE subieron una base de datos con la información personal de cientos de millones de estadounidenses a un servidor vulnerable en la nube, según el director de datos de la agencia.

Miembros del Departamento de Eficiencia Gubernamental subieron en junio una copia de una base de datos crucial del Seguro Social a un servidor vulnerable en la nube, poniendo en riesgo de filtración o hackeo la información personal de cientos de millones de estadounidenses, según una denuncia presentada por el director de datos de la Administración del Seguro Social (SSA, por su sigla en inglés).

La base de datos contiene registros de todos los números del Seguro Social emitidos por el gobierno federal. Incluye los nombres completos de los individuos, sus direcciones y fechas de nacimiento, entre otros detalles que podrían utilizarse para robar sus identidades, lo que la convierte en uno de los depósitos de información personal más sensibles del país.

El relato del denunciante, Charles Borges, subraya las preocupaciones que han desencadenado las demandas judiciales que pretenden impedir que los jóvenes ingenieros de software de la agencia creada por Elon Musk tengan acceso a datos confidenciales del gobierno. En su denuncia, Borges dijo que los miembros del DOGE copiaron los datos a un servidor interno de la agencia al que solo el personal del DOGE podía acceder, renunciando al tipo de "control de seguridad independiente" que normalmente exige la política de la agencia para datos tan sensibles y creando "enormes vulnerabilidades".

Borges no indicó que la base de datos hubiera sido violada o utilizada de manera indebida.

Pero su revelación afirmaba que, a finales de junio, "no existían mecanismos verificados de auditoría o supervisión" para controlar para qué utilizaba el DOGE los datos o si se compartían fuera de la agencia. Ese tipo de supervisión correspondería normalmente a los profesionales de carrera de seguridad de la información de la agencia, dijo Borges.

Y su denuncia cita una evaluación de seguridad oficial de la agencia que describía el proyecto como de "alto riesgo" y que advertía de un "impacto catastrófico" para los beneficiarios y los programas del Seguro Social si la base de datos se viera comprometida.

"En caso de que agentes malintencionados accedieran a este entorno en la nube, los estadounidenses podrían ser víctimas de una usurpación de identidad generalizada, podrían perder prestaciones vitales de asistencia sanitaria y alimentación, y es posible que el gobierno tenga que volver a emitirles a todos los estadounidenses un nuevo número del Seguro Social a un costo elevado", decía la denuncia de Borges. Alegó que el DOGE no lo incluyó en las discusiones sobre el proyecto, a pesar de su papel como director de datos, lo que le obligó a reconstruir las pruebas de lo ocurrido a posteriori.

En su relato, del que The New York Times ha revisado una copia, se incluyen más de dos decenas de páginas de correos electrónicos internos, memorandos y otros registros que documentan sus afirmaciones. La denuncia de Borges decía que las acciones del DOGE "violaban potencialmente múltiples leyes federales" destinadas a proteger los datos gubernamentales.

El martes, los abogados del Proyecto de Responsabilidad Gubernamental, un grupo de protección de denunciantes, presentaron la denuncia de Borges ante la Oficina del Asesor Jurídico Especial, así como ante los legisladores del Congreso. Borges, de 49 años, se incorporó a la Administración del Seguro Social en enero, después de trabajar durante más de tres años en otros organismos públicos, como los Centros para el Control y la Prevención de Enfermedades, y de servir 22 años en la Marina, según su denuncia. Sus abogados se negaron a facilitarle una entrevista con el Times.

Un portavoz de la Administración del Seguro Social, Nick Perrine, dijo que la agencia se tomaba en serio los señalamientos de los denunciantes.

"La SSA almacena todos los datos personales en entornos seguros que cuentan con sólidas salvaguardias para proteger la información vital", dijo. "Los datos a los que se hace referencia en la denuncia se almacenan en un entorno que desde hace tiempo ha sido utilizado por la SSA y que está aislado de internet. Funcionarios de carrera de alto nivel de la SSA tienen acceso administrativo a este sistema con la supervisión del equipo de seguridad de la información de la SSA".

Perrine añadió que la agencia "no tenía conocimiento de que se hubiera puesto en peligro este entorno" y seguía "dedicada a proteger los datos personales sensibles".

Una portavoz de la Casa Blanca remitió las preguntas a la Administración del Seguro Social.

La denuncia incluye documentos que demuestran que los dirigentes del DOGE intentaron cargar los datos a pesar de las advertencias de que podrían estar exponiendo información personal de los estadounidenses. Los documentos no revelan por qué el DOGE impulsó el proyecto, aunque Borges dijo que más tarde le dijeron que el motivo era mejorar la forma en que la agencia intercambiaba datos con otras ramas del gobierno.

"He determinado que la necesidad empresarial es mayor que el riesgo de seguridad asociado a esta implementación y acepto todos los riesgos", escribió Aram Moghaddassi, quien trabajó en dos de las empresas de Musk, X y Neuralink, antes de convertirse en director de información del Seguro Social, en un memorándum del 15 de julio.

Moghaddassi no respondió inmediatamente a una solicitud de comentarios.

El acceso del DOGE a los datos del Seguro Social se convirtió en uno de los primeros puntos álgidos de la polémica etapa de Musk en Washington. El multimillonario y sus aliados presionaron para que el departamento tuviera acceso ilimitado a los datos de la agencia, que están estrictamente protegidos por la legislación federal, y expulsaron a los funcionarios de carrera que se interpusieron en su camino. Musk formuló afirmaciones falsas de fraude generalizado en el Seguro Social para justificar la urgencia del trabajo del DOGE.

Los defensores de la privacidad y los demócratas advirtieron que la confidencialidad de la información personal de los estadounidenses podría estar en peligro. Los datos del Seguro Social son muy codiciados por delincuentes y gobiernos extranjeros, quienes pueden utilizarlos para robar identidades o recabar información de inteligencia. En marzo, un juez federal bloqueó temporalmente el acceso del DOGE a datos sensibles del Seguro Social, pero la Corte Suprema anuló esa decisión el 6 de junio.

La agencia también ha compartido datos con las autoridades de inmigración, mientras el presidente Donald Trump intenta ejecutar su programa de deportaciones masivas.

Aunque Musk y muchos de sus aliados abandonaron Washington después de que el multimillonario se enemistara con Trump en mayo, miembros del DOGE aún ocupan cargos clave en la burocracia federal, incluido Moghaddassi.

Lo que está en juego en la denuncia de Borges es el llamado archivo Numident, una base de datos fundamental que contiene la información personal de todo aquel que haya tenido alguna vez un número de Seguro Social, vivo o muerto. La agencia ha emitido más de 548 millones de números.

En su denuncia, Borges aportó documentos que demuestran que John Solly, ingeniero de software que trabaja en el Seguro Social y miembro del DOGE, llamó el 10 de junio a un empleado de carrera de la agencia para iniciar conversaciones sobre la copia de los datos Numident a un servidor de "nube privada virtual" gestionado por el Seguro Social. Edward Coristine, ingeniero de software del DOGE de 19 años, también estaba implicado en el proyecto y tendría acceso al servidor, según muestran otros registros. La solicitud se produjo poco después de que la Corte Suprema permitiera a los miembros del DOGE acceder a los datos de la agencia.

Solly y Coristine no respondieron inmediatamente a las solicitudes de comentarios.

Al menos un alto funcionario empezó a expresar su preocupación, según los documentos revelados en la denuncia de Borges.

El 16 de junio, Joe Cunningham, jefe interino de seguridad de la información de la agencia, envió un correo electrónico a Moghaddassi y a otro alto funcionario, adjuntando una copia de una evaluación oficial de riesgos.

"Tras una revisión exhaustiva, hemos determinado que esta solicitud plantea un alto riesgo", escribió Cunningham, añadiendo que "nuestra política actual requiere la aprobación del director de información (CIO) para aceptar estos riesgos".

La evaluación de riesgos afirmaba que el DOGE quería un control "desinhibido" del servidor para "agilizar" su trabajo, pero no había aportado documentación sobre cómo mantendría la seguridad, y advertía que "podrían hacerse públicos datos sensibles", según una copia incluida en la denuncia de Borges.

En otro correo electrónico enviado a sus colegas el 23 de junio, Cunningham escribió: "Tenemos que abordar cómo podemos supervisar eficazmente los datos y los controles de seguridad que se aplicarán".

Dos días después, pidió a Michael Russo, un alto funcionario del Seguro Social alineado con el DOGE, que diera el visto bueno al proyecto, señalando que los datos personales que se estaban cargando no habían sido "saneados" o anonimizados, como sugería que se haría normalmente.

"Aprobado", respondió Russo menos de media hora después.

Otro empleado del Seguro Social escribió que un colega "transferiría en breve una copia de los datos Numident".

Russo no quiso hacer comentarios. Cunningham no respondió inmediatamente.

La denuncia de Borges afirmaba que no se le informó de la copia de los datos Numident y que sus superiores no atendieron sus preocupaciones cuando las planteó este mes.

Y dijo que, después de que empezara a hacer preguntas sobre el proyecto, la Oficina del Consejero General de la agencia dijo a los empleados "que no respondieran a sus preguntas".

"Borges pasó semanas presionando para que se hicieran arreglos adentro" de la agencia, dijo en un comunicado Andrea Meza, abogada del Proyecto de Responsabilidad Gubernamental. "Cuando nada cambió, utilizó los canales protegidos que proporciona la ley federal de denunciantes".

La denuncia de Borges también incluye documentos que, según dijo, respaldan otras dos acusaciones.

Dijo que en marzo funcionarios del DOGE se saltaron los procedimientos normales de seguridad y obtuvieron "acceso indebido y excesivo" a otras bases de datos que contenían información sensible sobre solicitantes del Seguro Social, incluida la posibilidad de editar datos.

Borges también dijo que los funcionarios del DOGE "parecían haber eludido brevemente" la orden judicial temporal del 20 de marzo que les impedía acceder a los datos del Seguro Social, recuperando el acceso a los datos durante el fin de semana siguiente antes de que se les volviera a cortar el acceso el 24 de marzo.

Aric Toler colaboró con reportería. Kirsten Noyes y Emily Powell colaboraron con investigación.

Nicholas Nehamas es corresponsal en Washington para el Times, y se centra en el gobierno de Trump y sus esfuerzos para transformar el gobierno federal.

Aric Toler colaboró con reportería. Kirsten Noyes y Emily Powell colaboraron con investigación.