Daniel Berulis, un técnico de informática de la Junta Nacional de Relaciones Laborales (NLRB, por sus siglas en inglés) de EE.UU., acusó al Departamento de Eficiencia Gubernamental (DOGE), liderado por Elon Musk, de provocar una grave brecha de ciberseguridad al permitir acceso no autorizado a sistemas gubernamentales sensibles.
Berulis, con casi dos décadas de experiencia en ciberseguridad y una antigua autorización de seguridad de alto nivel, detalló en una entrevista con NPR y luego una declaración jurada al Congreso que personal de DOGE accedió a sistemas de la NLRB a principios de marzo de 2025, eludiendo protocolos de seguridad. Alegó que extrajeron aproximadamente diez gigabytes de datos sensibles, equivalentes a una enorme pila de documentos, y desactivaron medidas de seguridad críticas, como registros de acceso y herramientas de monitoreo, acciones que se asemejan a tácticas de ciberdelincuentes.
La brecha genera preocupación debido al rol de la NLRB en almacenar datos confidenciales sobre actividades sindicales, identidades de filtradores y propiedad intelectual, especialmente considerando los conflictos legales entre las empresas de Musk, SpaceX y Tesla, y la NLRB.
Las acusaciones de Berulis señalan un incidente particularmente alarmante: minutos después de que DOGE obtuviera acceso, un usuario con una dirección IP rusa intentó iniciar sesión en los sistemas de la NLRB usando una cuenta de correo electrónico recién creada por DOGE. Aunque el acceso fue bloqueado por la ubicación extranjera, Berulis sugiere que esto indica un posible aprovechamiento del acceso de DOGE por parte de adversarios extranjeros, aunque no está claro si el usuario estaba físicamente en Rusia, ya que los hackers suelen ocultar su ubicación.
El denunciante rastreó una cantidad significativa de datos saliendo del sistema de gestión de casos de la NLRB, “nucleus”, y señaló que los ingenieros de DOGE usaron métodos secretos para ocultar sus actividades, como eliminar registros y emplear software para enmascarar transferencias de datos. Estas acciones, según Berulis, violaron la Ley Federal de Modernización de Seguridad de la Información y la Ley de Privacidad, representando enormes riesgos para la seguridad nacional.
Las revelaciones de Berulis vinieron acompañadas de una carta de su abogado, Andrew Bakaj, de Whistleblower Aid, quien informó que Berulis enfrentó intimidación tras expresar sus preocupaciones internamente. El 7 de abril de 2025, una nota amenazante, que incluía fotos tomadas por un dron de Berulis paseando a su perro, fue pegada en su puerta, haciendo referencia a su intención de denunciar la brecha.
Este incidente, bajo investigación policial, subraya un clima de miedo para los filtradores, con Bakaj sugiriendo que tal intimidación se asemeja más a regímenes autoritarios que a normas democráticas. Informes indican preocupaciones similares en otras agencias federales, con DOGE presuntamente accediendo a datos sensibles en todo el gobierno, incluyendo el Departamento de Energía, donde bases de datos regulatorias nucleares críticas podrían haber quedado expuestas en internet, intensificando temores de vulnerabilidades generalizadas.
El secretario de prensa interino de la NLRB, Tim Bearese, negó que DOGE accediera a los sistemas de la agencia, afirmando que una investigación interna no encontró ninguna brecha. Sin embargo, un comunicado de la Casa Blanca contradijo esto, reconociendo las actividades de intercambio de datos de DOGE en la NLRB como parte de su misión para eliminar desperdicio, fraude y abuso.
Las pruebas forenses de Berulis, incluyendo capturas de pantalla de transferencias de datos, y los informes de NPR sobre incidentes similares en otras agencias federales desafían la negación de la NLRB. La controversia se ve agravada por el doble rol de Musk como supervisor de DOGE y líder de empresas bajo escrutinio de la NLRB, lo que genera preocupaciones sobre conflictos de interés.
Expertos, como el exfuncionario de ciberseguridad de la Casa Blanca Jake Braun, destacan sanitaria la desactivación de herramientas de seguridad como un “pecado capital” en ciberseguridad, y Berulis ha pedido una investigación adicional por parte de agencias como el FBI o la Agencia de Seguridad de Infraestructura y Ciberseguridad para abordar lo que describe como un problema “aterrador” y potencialmente sistémico.
