2 puntos por GN⁺ 2025-04-16 | 1 comentarios | Compartir por WhatsApp
  • Material presentado por el empleado de TI de la NLRB, Daniel Berulis, ante el Congreso y organismos de supervisión sostiene que, después de que ingenieros de DOGE accedieran a sistemas internos, datos laborales sensibles podrían haber salido al exterior y que hubo indicios de encubrimiento en los logs
  • Del lado de DOGE se habría solicitado acceso con el máximo nivel de privilegios, tenant owner level, y en los materiales públicos y registros de conversaciones internas aparecen indicios de que accedieron sin dejar rastro de actividad, o desactivando herramientas de monitoreo y borrando registros de acceso
  • Berulis afirmó haber detectado en el sistema de gestión de casos NxGen y en la red un pico de transferencia externa de unos 10 GB, además de una cuenta de DOGE eliminada, uso de contenedores, creación y eliminación de un SAS token, desactivación de MFA y un fuerte aumento de solicitudes DNS
  • La NLRB negó que DOGE hubiera pedido acceso o accedido a sus sistemas, y dijo que no hubo intrusión, pero los materiales divulgados incluyen datos forenses y registros de conversaciones, y varios expertos en ciberseguridad y derecho laboral consideran necesaria una investigación adicional
  • Si se expusieran actividades de organización sindical, casos en curso, testimonios e información comercial de empresas, podrían verse perjudicados trabajadores, sindicatos y compañías por igual; además, como Musk y SpaceX están involucrados en casos ante la NLRB, crece la preocupación por un conflicto de interés

Sospechas sobre el acceso de DOGE a la NLRB

  • La National Labor Relations Board (NLRB) es una agencia federal independiente que investiga y resuelve denuncias por prácticas laborales injustas, y almacena datos sensibles, incluyendo información confidencial sobre sindicalización de empleados e información empresarial propietaria
  • A inicios de marzo llegó a la sede de la NLRB, en el sureste de Washington D.C., un equipo asesor de la iniciativa Department of Government Efficiency (DOGE) del presidente Trump
  • Los empleados de DOGE, una organización encabezada de facto por Elon Musk, asesor de la Casa Blanca y CEO tecnológico, han dicho que revisan datos de agencias para verificar cumplimiento con políticas del Ejecutivo y maximizar ahorro de costos y eficiencia
  • Según la divulgación oficial de denunciante de Berulis, entrevistas y registros de comunicaciones internas, el personal técnico de la NLRB se alarmó al ver un aumento repentino en los datos que salían de la agencia después de que ingenieros de DOGE obtuvieran acceso
  • Es posible que esos datos incluyeran información sobre sindicatos, casos legales en curso y secretos empresariales; cuatro expertos en derecho laboral consideran que ese tipo de información no debería salir de la NLRB y que además no tiene relación con eficiencia gubernamental ni reducción de gasto

Método de acceso e indicios de ocultamiento de logs

  • Los ingenieros de DOGE preguntaron con antelación por el software, hardware, lenguajes de programación y aplicaciones de la NLRB, y determinaron que la agencia usaba infraestructura comercial en la nube conectada con sistemas gubernamentales en la nube
  • Según la divulgación de Berulis, el personal de DOGE solicitó cuentas con privilegios de máximo nivel, tenant owner level, dentro de los sistemas informáticos internos de esta agencia independiente
    • Ese nivel equivale a un acceso prácticamente sin restricciones para leer, copiar y modificar datos
    • Un empleado de TI propuso habilitar las cuentas de una forma que permitiera rastrear actividades conforme a la política de seguridad de la NLRB, pero en la divulgación se indica que le dijeron que no obstaculizara a DOGE
  • Expertos en ciberseguridad consideran que un método de acceso que no deje logs de actividad entra en conflicto con el NIST Cybersecurity Framework y con recomendaciones de CISA, el FBI y la NSA
  • Jake Braun señaló que el gobierno compra tecnologías de monitoreo de amenazas internas para detectar y frenar con anticipación fugas de datos sensibles
  • Según Berulis, durante años el presupuesto de la NLRB no fue suficiente para adquirir ese tipo de herramientas de detección de amenazas internas

NxGen y el nombre de un repositorio en GitHub

  • Berulis encontró en la cuenta pública de GitHub del ingeniero de DOGE Jordan Wick un repositorio llamado NxGenBdoorExtract
    • Wick puso ese repositorio en privado antes de que Berulis pudiera investigar más
    • NPR no pudo recuperar el código del repositorio
  • Varios especialistas en ciberseguridad consideran que el nombre del repositorio por sí solo sugiere la posible creación de una puerta trasera, “Bdoor”, para extraer archivos desde NxGen, el sistema interno de gestión de casos de la NLRB
  • NxGen es un sistema de gestión de casos diseñado internamente para la NLRB
    • Aunque muchos registros de la NLRB terminan haciéndose públicos, NxGen contiene datos propietarios de competidores empresariales, información personal de miembros de sindicatos o empleados que votan sobre sindicalización, y testimonios de casos en curso
    • El acceso a esos datos está protegido por varias leyes federales, incluida la Privacy Act
  • Uno de los ingenieros que creó NxGen evaluó que la combinación de eliminación de logs y acceso a nivel de tenant es lo más preocupante

Indicios forenses que apuntan a una fuga de datos

  • Según la divulgación de Berulis, después de que DOGE dejó la NLRB se creó y luego se eliminó al menos una cuenta de DOGE dentro del sistema en la nube de la NLRB basado en Microsoft
    • El nombre de la cuenta fue presentado como DogeSA_2d5c3e0446f9@nlrb.microsoft.com
  • Los ingenieros de DOGE instalaron contenedores
    • Los contenedores en sí no son una tecnología sospechosa, pero pueden ejecutar programas sin dejar rastros de actividad una vez eliminados y sin exponer su contenido a otras partes de la red
  • Berulis dijo que, tras ver datos saliendo del “nucleus” del sistema de gestión de casos NxGen, también confirmó un gran pico de tráfico externo desde la propia red
  • Berulis explicó que casi todos los datos enviados al exterior eran archivos de texto y que sumaban unos 10 GB
    • El histórico completo de datos de la NLRB supera los 10 TB
    • No está claro qué archivos fueron copiados y extraídos, si fueron comprimidos o consolidados, o si solo se consultaron y obtuvieron archivos específicos
  • Berulis confirmó que esa semana no hubo en la NLRB proyectos de almacenamiento de respaldos ni migraciones de datos
  • En la divulgación se indica que desaparecieron los logs de monitoreo del tráfico externo y que algunas tareas de red y extracciones de datos no tenían información de atribución más allá de “deleted account”

Controles de seguridad desactivados y sospecha de DNS tunneling

  • Berulis dijo que un usuario desconocido emitió y luego eliminó un SAS token, una clave de alto nivel para acceder a cuentas de almacenamiento
    • Señaló que después ya no había forma de rastrear qué se hizo con ese token
  • Otras anomalías detectadas incluyeron el debilitamiento de varios controles de seguridad
    • Se desactivó el control que bloquea inicios de sesión desde dispositivos móviles inseguros o no autorizados
    • Una interfaz quedó expuesta a internet pública
    • Se apagó manualmente el sistema interno de alertas y monitoreo
    • Se desactivó la autenticación multifactor (MFA)
    • Se exportó un “user roster” con contactos de abogados externos que trabajaron con la NLRB
  • Berulis confirmó cinco descargas de PowerShell en el sistema y también destacó bibliotecas de código que podrían usarse para automatizar y ocultar extracción de datos
    • requests-ip-rotator fue descrita como una herramienta para generar una gran cantidad de direcciones IP
    • browserless fue descrita como una herramienta de automatización usada por desarrolladores web
    • Ambos repositorios aparecían marcados con estrella en archivos de la cuenta de GitHub de Jordan Wick
  • Berulis planteó la posibilidad de DNS tunneling basándose en que, en paralelo con la extracción de datos, las solicitudes DNS aumentaron 1,000 veces respecto de lo normal
    • El DNS tunneling es un método para enviar datos al exterior en pequeños fragmentos usando consultas y respuestas DNS
  • Un investigador de inteligencia de amenazas dijo que actores rusos ya han usado métodos similares contra sistemas del gobierno de EE. UU., aunque advirtió que sin acceso completo al sistema de la NLRB es difícil verificar totalmente el incidente
  • Russ Handorf, exresponsable de ciberseguridad en el FBI, considera preocupante el panorama general, pero cree que no se puede afirmar quién fue hasta que concluya la investigación

Intento de inicio de sesión desde una IP rusa y superficie de ataque externa

  • Según la divulgación de Berulis, a los pocos minutos de que DOGE accediera a los sistemas de la NLRB hubo un intento de inicio de sesión desde una dirección IP rusa
    • Berulis afirmó que ese intento usó una de las cuentas recién creadas para DOGE y que el nombre de usuario y la contraseña eran correctos
    • El intento de acceso fue bloqueado
  • Expertos en ciberseguridad consideran que algunos intentos fallidos de inicio de sesión desde una IP rusa por sí solos no constituyen prueba concluyente
  • Sin embargo, al combinarse con la secuencia completa de actividad, surge la preocupación de que actores extranjeros hostiles ya pudieran estar buscando vías de entrada a sistemas gubernamentales expuestas potencialmente por ingenieros de DOGE
  • Handorf explicó que si los ingenieros de DOGE dejaron abierto un punto de acceso a la red, espías o delincuentes podrían entrar detrás de ellos con mayor facilidad y robar datos
  • Ann Lewis, exdirectora de Technology Transformation Services en la GSA, señaló que el principio de mínimo privilegio es un concepto básico de ciberseguridad para proteger datos de alto valor y activos críticos, y para reducir errores de usuarios o conductas maliciosas

La negativa de la NLRB y la postura de la Casa Blanca

  • Tim Bearese, portavoz interino de la NLRB, afirmó que la agencia no permitió a DOGE acceder a sus sistemas y que DOGE tampoco solicitó acceso
  • Bearese dijo que, tras las preocupaciones planteadas por Berulis, la agencia realizó una investigación y concluyó que no hubo intrusión en sus sistemas
  • La portavoz de la Casa Blanca Anna Kelly dijo que ya era sabido que el presidente Trump firmó una orden ejecutiva para contratar personal de DOGE en agencias y coordinar el intercambio de datos
    • Kelly sostuvo que el equipo de DOGE ha trabajado de forma abierta y transparente para eliminar desperdicio, fraude y abuso en todo el Ejecutivo
  • La divulgación de Berulis incluye datos forenses y registros de conversaciones con colegas, y fue revisada por 11 expertos técnicos de otras agencias y del sector privado
  • NPR contactó a más de 30 fuentes de gobierno, sector privado, movimiento laboral, ciberseguridad y fuerzas del orden; de ellas, 11 con conocimiento directo del funcionamiento interno de agencias y del Congreso compartieron preocupación por la posible extracción de datos sensibles por parte de DOGE

Impacto de la exposición de datos laborales

  • El sistema de gestión de casos de la NLRB contiene casos laborales en curso, listas de activistas sindicales, notas internas de casos, información personal como números de Social Security y direcciones, y datos empresariales propietarios no públicos
  • Expertos en derecho laboral dicen no ver una razón legítima para que DOGE tuviera que sacar esos datos de gestión de casos fuera de la agencia con el fin de resolver problemas de eficiencia
  • Kate Bronfenbrenner advirtió que el solo hecho de que se haya accedido a los datos podría hacer que trabajadores duden en testificar ante la NLRB
  • Sharon Block dijo que si una copia de los datos llegara a empresas, podría usarse indebidamente para despedir a empleados que participaron en organización sindical o para crear listas negras de organizadores
    • Ese tipo de conductas es ilegal bajo la ley laboral federal que aplica la NLRB
  • Las empresas también podrían resultar perjudicadas
    • Durante casos por prácticas laborales injustas, los materiales de investigación pueden incluir planes internos de negocio, estructuras organizativas y secretos comerciales
    • Esa información puede tener valor para competidores, reguladores y otros actores externos

Musk, SpaceX y preocupación por conflicto de interés

  • Expertos en derecho laboral consideran evidente el conflicto de interés cuando Elon Musk, sus empresas y exempleados o asociados suyos obtienen cargos en el gobierno y acceso a datos
  • Trump y Musk dijeron en una entrevista con Fox News que Musk se abstendría en asuntos relacionados con sus propias compañías
  • Sin embargo, a DOGE se le permitió acceso de alto nivel a muchos datos que podrían beneficiar a Musk, y no hay evidencia de que existan cortafuegos para impedir un uso indebido de esa información
  • Hay varios casos en curso entre SpaceX y la NLRB
    • Después de que ex empleados de SpaceX presentaran denuncias ante la NLRB, abogados de SpaceX demandaron a la NLRB
    • Alegan que la estructura de la NLRB es inconstitucional
  • Sharon Block, de Harvard Law, advirtió que si DOGE realmente obtuvo todos los datos, Musk podría haber accedido a información sobre casos que el gobierno preparaba en su contra
  • El experto en ciberseguridad Bruce Schneier ha planteado preocupación por la posibilidad de que xAI de Musk use datos recopilados por DOGE para entrenar algoritmos

Patrones similares observados en otras agencias

  • En más de 10 demandas en tribunales federales, jueces han pedido que DOGE explique por qué necesita un acceso tan amplio a datos sensibles de estadounidenses, incluyendo registros de Social Security, historiales médicos e información fiscal
  • En el caso del sistema de pagos del Treasury Department, la jueza federal de distrito Jeannette Vargas bloqueó el acceso de DOGE el 21 de febrero al considerar que existía una posibilidad real de que información sensible ya hubiera sido compartida fuera del Treasury
  • Un asesor del bloque demócrata minoritario del House Oversight Committee dijo que el comité posee múltiples reportes verificables de que DOGE extrajo datos gubernamentales sensibles de varias agencias con fines desconocidos
  • Erie Meyer, ex CTO de la CFPB, dijo que al personal de DOGE se le otorgó acceso “God-tier” a los sistemas de la CFPB, se apagaron logs de auditoría y eventos, y se puso en licencia administrativa a expertos en ciberseguridad encargados de detectar amenazas internas
  • Un empleado de una agencia del Interior Department dijo que, incluso cuando sonaban alertas de amenaza interna, al equipo de ciberseguridad se le ordenó esperar y no bloquear accesos de nuevos usuarios
  • Cuarenta y seis ex altos funcionarios de la GSA dijeron en una carta pública del 13 de marzo que sistemas de TI altamente sensibles estaban siendo puestos en riesgo y que información sensible se estaba descargando a fuentes externas no verificadas

Orden ejecutiva y expansión del intercambio de información

  • Semanas después de que personal de DOGE entrara a edificios federales, Trump emitió una orden ejecutiva que impulsa una mayor compartición de datos mediante la “eliminación de silos de información”
  • Kel McClanahan, de National Security Counselors, dijo que esa orden parece un intento de dar una justificación adicional para que ingenieros de DOGE accedan y combinen datos federales sensibles
  • McClanahan señaló que la Privacy Act se creó hace 50 años para responder al problema de que el gobierno federal retenía demasiada información sobre ciudadanos comunes, y que por eso existen los silos de información
  • Una fuente gubernamental retirada dijo saber que DOGE ha seguido visitando agencias federales en todo el país, incluida recientemente la Securities and Exchange Commission
  • No está claro cuántos datos sensibles han sido retirados, recolectados y combinados en todo el gobierno

La divulgación de Berulis y el pedido de investigación

  • Berulis decidió hablar públicamente al sentir que los intentos de investigación interna fueron bloqueados y que hubo intentos de silenciarlo
  • Según una carta adjunta de su abogado Andrew Bakaj, en la puerta de la casa de Berulis apareció pegado un impreso con mensajes amenazantes, datos personales sensibles y fotos de sus caminatas que parecían tomadas con dron
    • No está claro quién lo envió
    • Las fuerzas del orden están investigando la carta
  • Berulis considera que organismos con más recursos, como CISA o el FBI, deberían investigar la actividad sospechosa
  • La NLRB dijo que cooperará con cualquier investigación derivada de la divulgación de Berulis ante el Congreso
  • Berulis exigió transparencia a los ingenieros de DOGE: si no tienen nada que ocultar, que no borren logs ni actúen en secreto, y si todo es un malentendido, que lo demuestren

1 comentarios

 
GN⁺ 2025-04-16
Opiniones de Hacker News
  • Esta parte es realmente crítica: si fuera una verdadera auditoría de eficiencia, podría necesitar muchos permisos de acceso para buscar rastros de actividad oculta, pero no habría ninguna necesidad de ocultar los rastros de lo que ellos mismos hicieron.

    Mientras tanto, según materiales públicos y registros de comunicaciones internas, los integrantes del equipo DOGE pidieron que sus actividades no quedaran registradas en los sistemas y, posteriormente, parecen haber intentado cubrir sus huellas apagando herramientas de monitoreo y borrando manualmente registros de acceso. Varios expertos en ciberseguridad entrevistados por NPR compararon este comportamiento evasivo con el de hackers criminales o hackers respaldados por un Estado.
    El mensaje de actividad rusa que apareció después podría ser una coincidencia o ruido de fondo de Internet, pero considerando que no son técnicamente hábiles y que se mueven muy rápido en sistemas que no entienden, no sería nada sorprendente que hayan expuesto algo sin querer o que alguien ya haya sido comprometido.

  • Desde la perspectiva de alguien que no es estadounidense, si aún no lo han hecho, las empresas privadas, los investigadores de seguridad y el público en general deberían empezar a tratar a las agencias del gobierno de EE. UU. como una amenaza para la privacidad y la seguridad, igual que a phishers o estafadores.
    Si una agencia gubernamental fue comprometida mediante backdoors de software u otros mecanismos, debe asumirse que todos los datos y sistemas a los que esa agencia puede acceder también quedaron comprometidos.

    • Todo esto suena exactamente a que ese es el objetivo.
    • Neoliberalismo → corporativismo → fascismo/autocracia
      Las personas son solo recursos humanos para comercializar. La tecnología publicitaria se convierte en una agencia de inteligencia privada. Las personas no son personas y no tienen derechos. Si no puedes liberarte a ti y a tus seres queridos del adoctrinamiento neoliberal.
  • La triste realidad es que la mitad de la población de EE. UU. ve a la NLRB como una carga para los pequeños negocios. Como las políticas cambian con frecuencia, aumentan los costos de cumplimiento y la complejidad para quienes no cuentan con abundantes recursos legales [1].
    Y esa misma mitad no cree nada de lo que diga npr.org. Hay que entender esta dinámica para comprender el estado actual del discurso en EE. UU.
    [1] https://edworkforce.house.gov/news/documentsingle.aspx?Docum...

    • Considero que NPR es un medio de propaganda puramente de izquierda, dirigido por una exagente de la CIA que ve la verdad como algo incómodo.
    • También podría haber quien diga que es una represalia porque a NPR le recortaron el presupuesto para los próximos 2 años.
  • No es sorprendente, pero lo más frustrante quizá sea que probablemente no pase nada. No tengo ninguna confianza en que esto se vaya a arreglar, y al final parece que terminará igual, con gritos de fake news.
    Se siente como si el zorro ya estuviera dentro del gallinero.

    • Que hayan entrado desde Rusia vía Starlink usando credenciales de inicio de sesión válidas sería difícil de creer incluso en una novela de ciencia ficción. Comparada con estos payasos, Reality Winner parece una heroína.
    • Lo único que temen los políticos es no ser reelegidos. Por eso creo que la única vía es que los votantes hagan responsables a sus representantes locales.
      Si inicias una campaña en tu estado, probablemente obtengas una respuesta bastante rápido. Son muy sensibles a la popularidad, y la competencia importa.
  • Leí esto en BSky
    Hay parte de un documento de divulgación protegida del denunciante
    https://bsky.app/profile/mattjay.com/post/3ln2dgoksce2e
    Parece que los empleados de Elon entraron y copiaron todo. En este caso es la NLRB, así que hay muchos materiales sensibles, pero cualquier dependencia del gobierno tendría una enorme cantidad de información sensible. Y parece que la enviaron a alguna parte. Antes de eso, al parecer apagaron todo el logging y muchas funciones de seguridad para intentar ocultar sus huellas
    Esto es grave. Estas personas parecen actores maliciosos con permisos a nivel estatal para acceder a todo
    Además, son personal joven y parece que no entienden bien de seguridad; también parece que fueron hackeados por un APT profesional operado por el Estado ruso

  • Creo que hay que intentar entender qué es NxGenBdoorExtract. NxGen es un sistema para la NLRB, y Bdoor evoca fuertemente a backdoor
    Bajó su Git o lo puso en privado. Tampoco se puede encontrar en archive.org

    • O también habría que ver quién tiene acceso a DogeSA_2d5c3e0446f9@nlrb.microsoft.com
      https://oversightdemocrats.house.gov/sites/evo-subsites/demo...
    • Por otro lado, hay un par de cosas un poco raras en la captura de pantalla de ese repositorio. Primero, el timestamp del repositorio está cortado, pero los elementos parecen estar en orden cronológico inverso, así que ese repositorio parece haber existido alrededor de 2021 o antes
      Si el propietario lo vuelve a hacer público o lo restaura, se acabarían todas las especulaciones
    • La referencia a Mission 2 es interesante. Sugiere que DOGE podría tener una Mission 1, es decir, el objetivo que presenta públicamente, y una Mission 2 oculta que solo conocen Musk y sus subordinados
    • archive.today tiene una captura del 28 de febrero de 2025, pero no se ve un repositorio con ese nombre
      https://archive.ph/fUa5Q
  • Según el contexto que entiendo, los empleados de DOGE son todos empleados gubernamentales temporales y sus contratos expiran más o menos en junio. Suponiendo que cumplan la ley —una gran suposición—, están revolviendo varias agencias con una urgencia enorme para complacer a Elon o a la gente en el poder
    Hay que resistir sí o sí teniendo en cuenta este plazo

    • Están usando tácticas coercitivas. Según el artículo, el denunciante fue amenazado, y en la SSA un empleado con 26 años de trayectoria fue sacado del edificio. En el IRS pasó algo similar
      DOGE cuenta con el apoyo de los US Marshals y del presidente. Se puede resistir, pero al final simplemente te bloquearán el acceso
  • Se dice que los empleados de DOGE exigieron permisos de acceso del máximo nivel, y que cuando el personal de TI propuso un procedimiento simplificado para activar cuentas de una forma que permitiera rastrear la actividad conforme a la política de seguridad de la NLRB, les dijeron que no se interpusieran en el camino de DOGE
    Pero ¿realmente apagaron el logging? No sé cómo se hace eso. ¿Alguien sabe de qué sistema de control de acceso están hablando?

    • Suena a que el sistema NxGen tiene logging a nivel de aplicación, y que DOGE obtuvo permisos para leer el underlying storage sin pasar por la aplicación
      Sin embargo, más adelante en el artículo se dice que también había sistemas concretos de control y monitoreo que Berulis descubrió que efectivamente estaban apagados
  • Si en el futuro vuelve a haber elecciones y asumen personas más normales y calificadas, el Departamento de Justicia va a estar tan ocupado que no dará abasto durante décadas

  • El denunciante y su abogado fueron entrevistados en CNN y MSNBC
    CNN: https://www.youtube.com/watch?v=TsqgXfrSksI