Un funcionario de la Administración del Seguro Social (SSA) alegó en una denuncia de denunciador que los oficiales de DOGE crearon “una copia en vivo de la información del Seguro Social del país en un entorno en la nube que elude la supervisión”.
Chuck Borges, el Director de Datos de la SSA, “ha tomado conocimiento a través de informes de serias fallas en la seguridad de los datos, evidentemente orquestadas por funcionarios de DOGE, actualmente empleados de la SSA, que ponen en riesgo la seguridad de los datos del Seguro Social de más de 300 millones de estadounidenses”, indicó el Proyecto de Responsabilidad del Gobierno en una carta enviada hoy a miembros del Congreso y a la Oficina de Consejería Especial de EE. UU. La organización sin fines de lucro representa a Borges.
Aunque se ha informado ampliamente que DOGE buscó y obtuvo acceso a registros del Seguro Social en su intento de encontrar evidencia de fraude, la carta a los legisladores indicó que la copia en vivo de la base de datos de la SSA no había sido divulgada anteriormente. Las acciones de DOGE se realizaron “bajo la autoridad del Director de Información de la SSA, Aram Moghaddassi”, y violan los protocolos y políticas de la SSA, según la carta.
Podría haber consecuencias severas si la copia de la base de datos es vulnerada, advirtió la carta:
Este entorno en la nube vulnerable es efectivamente una copia en vivo de toda la información del Seguro Social del país del sistema de identificación numérica (NUMIDENT), que aparentemente carece de cualquier supervisión de seguridad por parte de la SSA o de seguimiento para determinar quién está accediendo o ha accedido a esta copia de datos. NUMIDENT contiene todos los datos presentados en una solicitud de tarjeta de Seguro Social de EE. UU., incluyendo el nombre del solicitante, lugar y fecha de nacimiento, ciudadanía, raza y etnia, nombres y números de Seguro Social de los padres, número de teléfono, dirección y otra información personal. Si actores malintencionados acceden a este entorno en la nube, los estadounidenses podrían ser susceptibles a un robo de identidad generalizado, podrían perder beneficios vitales de salud y alimentación, y el gobierno podría ser responsable de reemitir a cada estadounidense un nuevo número de Seguro Social a un gran costo.
SSA niega problema de seguridad
En una declaración proporcionada a Ars hoy, la SSA negó almacenar datos en un entorno inseguro y afirmó que no tiene conocimiento de ninguna violación.
“El Comisionado [Frank] Bisignano y la Administración del Seguro Social toman en serio todas las quejas de denunciadores”, indicó la agencia. “La SSA almacena todos los datos personales en entornos seguros que cuentan con robustas medidas de protección para salvaguardar información vital. Los datos mencionados en la queja están almacenados en un entorno de larga data utilizado por la SSA y aislado de Internet. Funcionarios de carrera de alto nivel de la SSA tienen acceso administrativo a este sistema con supervisión del equipo de Seguridad de la Información de la SSA. No tenemos conocimiento de ninguna violación de este entorno y seguimos dedicados a proteger datos personales sensibles”.
La carta del Proyecto de Responsabilidad del Gobierno citó un correo electrónico del 15 de julio en el que Moghaddassi supuestamente autorizó el proyecto de la nube de NUMIDENT. “He determinado que la necesidad comercial es mayor que el riesgo de seguridad asociado con esta implementación y acepto todos los riesgos asociados con esta implementación y operación”, se cita a Moghaddassi.
Borges alegó que la autorización fue un “abuso de autoridad” y “mala gestión”, y que la creación del entorno en la nube potencialmente violó múltiples leyes federales. “Al colocar conscientemente un Activo de Alto Valor que contiene datos de más de 450 millones de personas en un entorno descontrolado, los solicitantes, aparentemente Moghaddassi y posiblemente otros, violaron deberes estatutarios bajo la Ley de Modernización de la Seguridad de la Información Federal [FISMA]”, indicó la carta.
Moghaddassi trabajó anteriormente para empresas lideradas por Elon Musk, como Neuralink y X, y trabajó para DOGE en el Departamento de Trabajo, según la carta. Se convirtió en CIO de la SSA en junio.
La carta del Proyecto de Responsabilidad del Gobierno también argumenta que la SSA puede haber violado la Ley de Fraude y Abuso de Computadoras “al facilitar el acceso no autorizado a sistemas informáticos protegidos. Además, la auto-autorización de Moghaddassi para la aceptación de riesgos podría haber violado 44 U.S.C. § 3554(b), los requisitos de FISMA para monitoreo continuo y gestión de riesgos, al aceptar formalmente riesgos que exceden las pautas federales para proteger información sensible del gobierno”.
Borges, veterano de la Marina, ha trabajado para varias agencias federales y se convirtió en CDO de la SSA en enero de este año. Como CDO, “Borges es responsable de la seguridad, integridad y protección de los datos públicos en la SSA”, y su “posición requiere total visibilidad sobre el acceso a datos, intercambio de datos y entornos basados en la nube utilizados para sistemas de producción de la SSA”, según la carta.
Se insta al Congreso a investigar
Borges “realizó divulgaciones internas a sus superiores” sobre sus preocupaciones el 6 de agosto. “En esa discusión, el Sr. Borges comentó que la reemisión de números de Seguro Social a todos los que poseen uno era un posible peor escenario, y uno de sus superiores notó esa posibilidad, subrayando el riesgo para el público”, indicó la carta.
Borges expuso sus preocupaciones a numerosos otros funcionarios en los días siguientes, según la carta. Borges no ha recibido información que solicitó sobre la seguridad del entorno en la nube, dejándolo “con la creencia razonable de que los datos de NUMIDENT están en riesgo de exposición, y sin la información necesaria para llevar a cabo sus responsabilidades como CDO”, se indicó en la carta.
“Además, el Sr. Borges es consciente de que la Oficina de Asesoría General ha aconsejado a los empleados no responder a sus consultas. Tal restricción de información al CDO coloca al Sr. Borges en una posición insostenible que inhibe su capacidad para llevar a cabo las responsabilidades de su rol”, se mencionó en la carta. Borges está dispuesto a reunirse con legisladores y entidades de supervisión e instó al Congreso y a la Oficina de Consejería Especial a “investigar las divulgaciones del Sr. Borges y asegurar que la seguridad de los datos de millones de estadounidenses se salvaguarde de inmediato”.
El acceso a los datos del Seguro Social es uno de los diversos problemas relacionados con DOGE que han sido litigados en los tribunales federales. A principios de junio, la Corte Suprema falló que “la SSA puede proceder a otorgar a los miembros del equipo de DOGE de la SSA acceso a los registros de la agencia en cuestión para que esos miembros puedan realizar su trabajo”. Una disidencia escrita por la jueza Ketanji Brown Jackson indicó que la decisión mayoritaria otorgó “a DOGE acceso sin restricciones a esta información personal, no anonimizada, en este momento—antes de que los tribunales tengan tiempo para evaluar si el acceso de DOGE es legal”.
Fuente original: ver aquí
