Una divulgación de denunciantes presentada hoy alega que el Departamento de Eficiencia del Gobierno (DOGE) dentro de la Administración del Seguro Social (SSA) creó encubierta una copia en vivo de todo el conjunto de datos del Seguro Social de la nación en un entorno en la nube no garantizado.
El director de datos Charles Borges advirtió que, si los actores maliciosos obtienen acceso, más de 300 millones de estadounidenses podrían enfrentar el robo de identidad, la pérdida de beneficios críticos y la tarea monumental de volver a emitir cada número de seguro social.
Control de llave
1. Doge copió 300 m SSN en una nube de AWS no segura.
2. Una tubería ETL automatizada sincronizó datos Live SSN a pesar de una orden judicial.
3. El lapso arriesga el robo de identidad masiva y exige seguridad de la confianza cero.
Acusaciones de almacenamiento en la nube no garantizado
Según la divulgación protegida enviado Para la Oficina de Asesor Especial de los Estados Unidos, los funcionarios de DOGE pasaron por alto los controles de seguridad y cumplimiento de la información estándar (ISC), incluidos el encriptación en el inicio, el control de acceso basado en roles (RBAC) y el registro continuo de auditorías, al aprovisionar una instancia en la nube que contiene registros de número de seguro social en vivo (SSN).
Borges señala que ni las evaluaciones de vulnerabilidad independientes ni las pruebas de penetración se realizaron antes de hacer girar las políticas de Gestión de Identidad y Access Services S3 de Amazon (AWS), ni las políticas de gestión de acceso y acceso estricto (IAM) se aplicaron.
El entorno en la nube carecía de autenticación multifactor (MFA) en los puntos finales de API y no empleó un servicio seguro de gestión de claves (KMS), lo que hace que el repositorio SSN sea vulnerable al relleno de credenciales o la fuga de claves API.
Los registros judiciales muestran que una demanda presentada en marzo de 2025 dio como resultado una orden de restricción temporal que impide que DoGe acceda a los sistemas SSN de producción hasta el 6 de junio de 2025.
Sin embargo, los registros internos revisados por Borges indican que los ingenieros de DoGe continuaron sincronizando los datos a través de una tubería ETL automatizada, utilizando scripts de Python y las API costeras internas de la SSA, clonando efectivamente la base de datos en vivo fuera del Centro de Operaciones de Seguridad (SOC) de SSA.
Borges afirma que las acciones de Doge constituyen una mala gestión y abuso de autoridad al pasar por alto la Junta de Gestión de Cambios (CMB) de la SSA y violar el asesoramiento federal de seguridad en la nube (NIST SP 800-144).
“Esta operación no solo infringe la Ley de Privacidad, sino que también expone al público a una superficie significativa de ataque cibernético”, escribió Borges en su memorando interno.
Según los informes, un ejecutivo de la SSA reconoció el riesgo, afirmando que la agencia podría necesitar volver a emitir SSNS en masa en caso de que los datos se vean comprometidos.
Andrea Meza, abogada del denunciante, instó al Congreso y a la Oficina de Asesor Especial a lanzar una supervisión inmediata.
Ella enfatizó que las medidas de mitigación, como hacer cumplir la arquitectura de la confianza cero, las claves de acceso giratorias y la implementación de sistemas de detección de intrusos en tiempo real (ID) deben implementarse sin demora para proteger los identificadores más delicados de los estadounidenses.
.webp?w=1600&resize=1600,900&ssl=1){kind=link}