Una nueva denuncia de un informante sostiene que el Departamento de Eficiencia Gubernamental (DOGE) de la Administración del Seguro Social (SSA) creó secretamente una réplica completa de la base de datos nacional del Seguro Social en un entorno de nube no seguro. Según el director de datos, Charles Borges, esta acción pone en riesgo a más de 300 millones de estadounidenses, quienes podrían sufrir robo de identidad, pérdida de beneficios esenciales y la difícil tarea de reemitir sus números de Seguro Social si la información es accedida por ciberdelincuentes.
Acusaciones de almacenamiento inseguro en la nube
La denuncia, presentada ante la Oficina del Asesor Especial de EE. UU., acusa a los funcionarios del DOGE de haber evadido los protocolos de seguridad de la información, como el cifrado de datos, el control de acceso y el registro de auditoría, para almacenar los registros de números de Seguro Social (SSN) en una instancia en la nube.
Borges señala que este repositorio en Amazon Web Services (AWS) carecía de evaluaciones de vulnerabilidad y pruebas de penetración. Además, no se implementaron políticas de gestión de identidad y acceso (IAM) ni se utilizaron medidas de seguridad básicas como la autenticación multifactor (MFA) o un servicio de gestión de claves seguro (KMS), lo que dejaba los datos expuestos a ataques de relleno de credenciales o filtraciones de claves API.
A pesar de una orden judicial temporal en marzo de 2025 que prohibía el acceso a los sistemas de producción, registros internos indican que los ingenieros del DOGE continuaron sincronizando los datos, creando una copia de la base de datos fuera del Centro de Operaciones de Seguridad (SOC) de la SSA.
Según Borges, las acciones del DOGE constituyen un grave abuso de autoridad y una mala gestión, ya que ignoraron la Junta de Gestión de Cambios (CMB) de la SSA y violaron las directrices federales de seguridad en la nube (NIST SP 800-144). Borges afirmó en un memorando interno que esta operación «no solo viola la Ley de Privacidad, sino que también expone al público a una importante superficie de ciberataque».
Una abogada que representa al denunciante, Andrea Meza, ha solicitado una supervisión inmediata por parte del Congreso y la Oficina del Asesor Especial, e instó a que se apliquen sin demora medidas de seguridad como una arquitectura de confianza cero, la rotación de claves de acceso y la implementación de sistemas de detección de intrusiones (IDS) para proteger la información más sensible de los ciudadanos.
