Empleado DOGE compartió datos del s.s. en servidor no autorizado

De Henry Ramírez Un empleado DOGE compartió datos del seguro social en un servidor externo no autorizado, y esta vez no es un rumor de pasillo ni una teoría de la conspiración: es una admisión formal del Departamento de Justicia en un documento judicial presentado este martes. Lo que parecía una disputa administrativa se ha transformado en una pesadilla de privacidad para millones de estadounidenses. Durante meses, la narrativa oficial fue que el Departamento de Eficiencia Gubernamental (DOGE) necesitaba acceso total para limpiar la burocracia. Pero la realidad técnica que emerge de los tribunales cuenta una historia muy distinta, una donde los protocolos de seguridad más básicos fueron ignorados deliberadamente. La confirmación que nadie quería leer El Departamento de Justicia reconoce que un empleado del DOGE movió datos sensibles de la Administración del Seguro Social (SSA) a un entorno no aprobado. Lo hicieron sin el conocimiento de los funcionarios de la agencia y violando, en el proceso, los protocolos de seguridad federales. Pero lo que realmente hiela la sangre no es solo la transferencia. La SSA admite, según el informe, que todavía es incapaz de determinar qué información específica se compartió a través de ese servidor de terceros. No saben si los datos siguen ahí. No saben quién más tuvo acceso. Hablamos de una infraestructura que no estaba aprobada para almacenar registros de la agencia y que, por definición, escapa a la auditoría tradicional. Es la primera vez que la administración Trump reconoce que el personal de DOGE manejó de manera inapropiada estos registros. Hasta ahora, la postura había sido defensiva, argumentando que el acceso masivo a los registros de los estadounidenses era vital para erradicar el fraude. Resulta irónico que, en la búsqueda de supuestas irregularidades, se hayan cometido violaciones de seguridad tangibles y documentadas. Charles Borges tenía razón (y le costó el puesto) Aquí es donde la historia toma un tinte de thriller corporativo. El verano pasado, Charles Borges, quien se desempeñó como director de datos (CDO) de la Seguridad Social entre enero y agosto, lanzó una advertencia clara. Presentó una denuncia de informante alegando que los empleados de DOGE estaban poniendo en riesgo los registros de más de 300 millones de estadounidenses. Su acusación era técnica y precisa: estaban creando una copia de los datos en un servidor de computación en la nube vulnerable. ¿Qué contenía esa base de datos? Nombres, números de Seguro Social, fechas de nacimiento, direcciones, estado de ciudadanía y nombres de los padres. Borges advirtió que esa copia «aparentemente carece de cualquier supervisión de seguridad por parte de la SSA o seguimiento para determinar quién está accediendo o ha accedido a la copia de estos datos». La respuesta de la agencia en ese momento fue negar la afirmación. Poco después, Borges fue forzado a «renunciar involuntariamente». Hoy, el documento del DOJ valida esencialmente sus temores. La vindicación llega tarde para su cargo, pero justo a tiempo para el escrutinio público. Conexiones políticas y la «caza de votos» Si la negligencia técnica ya es grave, el propósito sugerido detrás de este manejo de datos es aún más oscuro. El documento judicial del martes reveló otro detalle que ha encendido las alarmas en Washington: un empleado de DOGE acordó ayudar a un «grupo de defensa política» a revisar los padrones electorales. El objetivo declarado, según el expediente, era buscar fraude electoral como parte de un esfuerzo para «anular los resultados de las elecciones en ciertos estados». Cuesta ignorar la gravedad de esto. No estamos hablando de auditorías de eficiencia presupuestaria. Estamos ante el uso potencial de datos federales confidenciales para fines partidistas directos. Aunque el grupo político no fue identificado por nombre en la presentación judicial, la intención descrita viola flagrantemente el Hatch Act, la ley que prohíbe a los empleados federales usar sus cargos oficiales para participar en actividades electorales. Según información publicada por CNN, que tuvo acceso a los detalles del caso, «las comunicaciones por correo electrónico revisadas por la SSA sugieren que se podría haber pedido a los miembros del equipo DOGE que ayudaran al grupo de defensa accediendo a los datos de la SSA para compararlos con los padrones electorales». Aunque la presentación señala que la SSA «aún no ha visto evidencia» de que los datos se compartieran finalmente con ese grupo político, la mera existencia de un «Acuerdo de Datos de Votantes» firmado por el empleado de DOGE en marzo socava todas las justificaciones previas dadas ante el juez. Shadow IT en las altas esferas Desde una perspectiva tecnológica, esto es lo que llamamos «Shadow IT» (TI en la sombra), llevado al extremo más peligroso. Cuando un departamento decide operar fuera de la infraestructura sancionada, se pierden los registros de acceso (logs), la encriptación gestionada y la capacidad de respuesta ante incidentes. El juez Ellen Hollander, quien llevaba el caso presentado por Democracy Forward en nombre de los sindicatos, había bloqueado inicialmente el acceso de los miembros del equipo DOGE a los registros de la Seguridad Social. Sin embargo, la Corte Suprema restauró ese acceso posteriormente. Lo preocupante es que estas maniobras ocurrieron a espaldas del juez Hollander, quien estaba escrutando precisamente si el acceso de DOGE era legal. El Departamento de Justicia ha tenido que admitir estos ejemplos de manejo sensible de datos que no fueron revelados en su momento. La existencia del acuerdo de datos electorales solo se descubrió en noviembre, durante una revisión de registros internos de la SSA no relacionada con el caso principal. ¿Por qué esto aparece en Google Trends ahora? Porque la intersección entre privacidad digital, seguridad nacional y maniobras políticas rara vez es tan explícita. No es un hackeo externo; es una filtración interna por diseño o incompetencia. La Administración del Seguro Social no respondió a las solicitudes de comentarios inmediatos, pero el silencio es ensordecedor. Si la agencia encargada de proteger la identidad de cada ciudadano no sabe dónde están sus datos ni si fueron borrados del servidor no autorizado, la «eficiencia» prometida ha llegado a un costo de seguridad incalculable. La pregunta que queda flotando no es solo quién tuvo acceso, sino qué harán con esa información ahora que está fuera del perímetro seguro.