Denunciante: DOGE extrajo datos de casos de la NLRB
(krebsonsecurity.com)- El arquitecto de seguridad de la NLRB, Daniel J. Berulis, afirma que personal de DOGE transfirió gigabytes de datos sensibles desde archivos de casos de la agencia a inicios de marzo y usó cuentas de corta duración que casi no dejaban rastro
- Esas cuentas se crearon con privilegios de tenant admin en los sistemas de la NLRB, lo que les habría permitido leer, copiar y modificar datos de gestión de casos de NxGen, además de limitar la visibilidad de logs o incluso borrarlos
- Tras un fuerte aumento del tráfico saliente de la agencia en la madrugada del 4 de marzo, se determinó que una de las nuevas cuentas transfirió aproximadamente 10 GB, pero Berulis y sus colegas no tenían permisos para verificar qué archivos salieron ni a dónde fueron
- Dentro de los 15 minutos posteriores a la creación de las nuevas cuentas de DOGE, se registraron más de 20 intentos de inicio de sesión desde direcciones de internet de Rusia usando nombres de cuenta y contraseñas válidos, aunque fueron bloqueados por una política que impide accesos desde fuera de EE. UU.
- Aunque la NLRB dijo a NPR que no hubo intrusión, Berulis compartió alertas de Microsoft y capturas de correos internos, y afirma que decidió hacerlo público tras la suspensión del reporte a US-CERT; después, también se le restringieron privilegios administrativos
Puntos clave de la denuncia interna en la NLRB
- El arquitecto de seguridad de la NLRB, Daniel J. Berulis, envió el 14 de abril una carta de denuncia interna al Senate Select Committee on Intelligence
- La acusación central de Berulis es que, desde el 3 de marzo y durante alrededor de un mes, personas vinculadas a DOGE exigieron la creación de potentes cuentas administrativas dentro de los sistemas de la NLRB, y que esas cuentas fueron exceptuadas para no dejar registros normales de red
- La NLRB es una pequeña agencia federal independiente que investiga y resuelve quejas por prácticas laborales injustas, y almacena datos sensibles como información confidencial de empleados que buscan sindicalizarse y datos propietarios de empresas
Creación de cuentas DOGE y exigencia de privilegios
- Según Berulis, el 3 de marzo empleados de DOGE llegaron a la sede de la NLRB en el sureste de Washington D.C. en una SUV negra y con escolta policial
- Estas personas no hablaron con Berulis ni con el personal de TI de la NLRB, sino que se reunieron con la dirección de la agencia
- Tras la reunión, el acting CIO de la NLRB ordenó no seguir los procedimientos operativos estándar para crear las cuentas de DOGE y no generar logs ni registros sobre las cuentas destinadas al personal de DOGE, según declaró Berulis
- Ya existían roles que podían usar los auditores, pero estaban diseñados para no otorgar permisos de modificación ni acceso a subsistemas sin aprobación
- Berulis dijo que ni siquiera se consideró la posibilidad de proponer a DOGE el uso de esas cuentas
- Las nuevas cuentas habrían tenido privilegios ilimitados para leer, copiar y modificar información de la base de datos de la NLRB
- Limitación de visibilidad de logs
- Retraso en la conservación de logs
- Redirección de logs a otros destinos
- Eliminación total de logs
- Privilegios de máximo nivel que ni Berulis ni su jefe tenían
Contenedor y transferencia de datos de NxGen
- Berulis determinó que el 3 de marzo una de las cuentas de DOGE creó un contenedor (container), un entorno virtual opaco
- Los contenedores pueden usarse para construir y ejecutar programas o scripts sin exponer externamente su actividad
- Tras consultar con colegas, concluyó que no había antecedentes del uso de contenedores dentro de la red de la NLRB
- Al día siguiente, el 4 de marzo entre las 3 y 4 a. m., el tráfico saliente de la agencia aumentó de forma importante
- Después de varios días de investigación, Berulis y sus colegas concluyeron que una de las nuevas cuentas transfirió unos 10 GB de datos desde el sistema de gestión de casos NxGen de la NLRB
- La base de datos de NxGen contiene información sensible sobre sindicatos, procesos legales en curso y secretos empresariales
- Berulis y sus colegas no tenían el nivel de acceso de red necesario para verificar qué archivos fueron consultados o transferidos ni a dónde fueron enviados los datos
- Berulis informó al Senado que no sabe si los 10 GB corresponden al total de datos o si fueron agregados y comprimidos antes de la transferencia, y que pudo haberse filtrado incluso más información
- Dijo que es muy poco común que datos salgan directamente de la base de datos de la NLRB al exterior, por lo que ese pico fue altamente inusual
Intentos de inicio de sesión desde IP rusa y cuentas sospechosas
- Berulis y sus colegas detectaron más de 20 intentos de inicio de sesión desde la dirección de internet rusa 83.149.30.186 usando credenciales válidas de una cuenta de empleado de DOGE
- Todos esos intentos fueron bloqueados por una regla que prohíbe inicios de sesión desde fuera de Estados Unidos
- Berulis dijo que, por el flujo de autenticación, parecía que quien intentó ingresar tenía el nombre de usuario y la contraseña correctos
- El hecho de que muchos de esos intentos ocurrieran dentro de los 15 minutos posteriores a la creación de las cuentas por parte de ingenieros de DOGE elevó aún más la preocupación
- Uno de los nombres de cuenta de usuario de Microsoft asociados con la actividad sospechosa era DogeSA_2d5c3e0446f9@nlrb.microsoft.com, y Berulis cree que se trataba de una cuenta creada y luego eliminada para uso de DOGE dentro del sistema en la nube de la NLRB
- Otras nuevas cuentas administrativas en la nube de Microsoft incluían nombres de usuario no estándar como Whitesox, Chicago M. y Dancehall, Jamaica R
Falta de logs y bibliotecas de código externas
- El 5 de marzo, Berulis documentó que había desaparecido una gran parte de los logs relacionados con recursos de red creados recientemente, y que el network watcher de Microsoft Azure estaba configurado en estado “off”, por lo que no recopilaba ni registraba datos con normalidad
- También descubrió que alguien descargó desde GitHub tres bibliotecas de código externas que ni la NLRB ni sus contratistas usaban
- El archivo readme de uno de esos paquetes de código describía un uso para rotar conexiones a través de grandes pools de direcciones de internet en la nube
- Esos pools de direcciones se describían como proxies de “pseudo-infinite IPs” usados para web scraping y ataques de fuerza bruta
- Un ataque de fuerza bruta es un intento automatizado de inicio de sesión que prueba rápidamente muchas combinaciones de credenciales
Suspensión del reporte a US-CERT y decisión de hacerlo público
- Según la denuncia de Berulis, hacia el 17 de marzo ya era evidente que la NLRB no contaba con los recursos ni con el acceso de red necesarios para investigar por completo la actividad anómala de las cuentas de DOGE
- El 24 de marzo, el associate CIO de la agencia aceptó que el asunto debía reportarse a US-CERT
- US-CERT es operado por CISA, dependiente del Department of Homeland Security, y brinda capacidad de respuesta in situ a incidentes cibernéticos para agencias federales y estatales
- Berulis dijo que entre el 3 y 4 de abril tanto él como el associate CIO recibieron la instrucción de suspender el reporte y la investigación ante US-CERT, y también de no elaborar ni continuar con un informe oficial
- En ese momento, Berulis decidió hacer públicos los hallazgos de su investigación
Negación de la NLRB y materiales aportados por Berulis
- El acting press secretary de la NLRB, Tim Bearese, dijo a NPR que DOGE nunca pidió ni recibió acceso a los sistemas de la NLRB
- Añadió que, después de que Berulis expresó sus preocupaciones, la agencia investigó y concluyó ante NPR que “no hubo intrusión en los sistemas de la agencia”
- La NLRB no respondió a las preguntas de KrebsOnSecurity
- Berulis compartió discusiones internas por correo sobre actividad inexplicable atribuida a las cuentas de DOGE, así como capturas de alertas de seguridad de la NLRB relacionadas con anomalías de red observadas por Microsoft durante ese periodo
Contexto adicional alrededor de la NLRB
- CNN informó el mes pasado que el presidente Trump destituyó a tres integrantes de la junta de la NLRB, lo que dejó a la agencia sin el quórum necesario para funcionar y la paralizó de hecho
- CNN escribió que, pese a sus limitaciones, la NLRB había sido un dolor de cabeza para personas ricas y poderosas en Estados Unidos, incluido Elon Musk
- Amazon y SpaceX de Musk han demandado a la NLRB por denuncias presentadas por el organismo en disputas relacionadas con derechos laborales y organización sindical
- Ambas compañías sostienen que la propia existencia de la NLRB es inconstitucional
- El 5 de marzo, una corte federal de apelaciones de Estados Unidos rechazó por unanimidad el argumento de Musk de que la estructura de la NLRB viola la Constitución
Restricciones de acceso después de la denuncia
- Berulis dijo que el mismo 14 de abril, cuando NPR publicó sus acusaciones, el deputy CIO de la NLRB envió un correo indicando que se había retirado el control administrativo de todas las cuentas del personal
- Como resultado, el personal de TI de la NLRB ya no pudo hacer bien su trabajo, según Berulis
- Un correo institucional enviado el 16 de abril por la directora de la NLRB, Lasharn Hamilton, indicó que representantes de DOGE habían solicitado una reunión y repitió la afirmación de que la agencia no había tenido antes contacto “oficial” con personal de DOGE
- Ese mismo correo también informó al personal que dos representantes de DOGE serían asignados a la NLRB a tiempo parcial durante varios meses
- Berulis dijo que, mientras preparaba un ticket de soporte con Microsoft para pedir más información sobre las cuentas de DOGE, se le restringió su acceso de administrador de red
- Espera que legisladores soliciten a Microsoft más detalles sobre lo que realmente ocurrió con esas cuentas
Acusación de amenazas y situación actual
- El abogado de Berulis, Andrew P. Bakaj, informó a legisladores que el 7 de abril, mientras Berulis y el equipo legal preparaban la documentación de la denuncia, alguien pegó una nota amenazante en la puerta de su casa
- Según dijo, la nota incluía una foto tomada por dron de Berulis caminando por su vecindario
- El abogado afirmó que la nota amenazante mencionaba claramente la misma divulgación que planeaban presentar ante órganos de supervisión del Senado
- No se sabe quién fue, pero el abogado solo especuló con que podría estar involucrada alguna persona con acceso a los sistemas de la NLRB
- Berulis dijo que la reacción de amigos, colegas y del público ha sido en general de apoyo y que no se arrepiente de haberlo hecho público
- Actualmente, Berulis está de licencia familiar pagada en la NLRB, y dijo que el personal de DOGE tomó el control administrativo total, dejó a todos fuera del sistema y que en adelante se asignarán privilegios restringidos según sea necesario
- Material adicional: Documento de denuncia interna de Berulis
1 comentarios
Opiniones de Hacker News
Una semana antes ya había habido mucha discusión relacionada
https://news.ycombinator.com/item?id=43691142
Hace 7 días, 1139 puntos, 528 comentarios
Artículo relacionado: declaración jurada de un denunciante sobre señales anómalas cuando DOGE trabajaba en la NLRB [pdf] - hace 16 horas, 13 comentarios - https://news.ycombinator.com/item?id=43755298
Todo este artículo se lee como una comedia. Cuentas ocultas, intentos de inicio de sesión desde Rusia, e incluso este pasaje:
“Berulis le dijo a KrebsOnSecurity que, mientras creaba un ticket de soporte con Microsoft para pedir más información sobre las cuentas de DOGE, se restringieron sus privilegios de administrador de red. Ahora espera que los legisladores le exijan a Microsoft más información sobre lo que realmente ocurrió con las cuentas”
¿Por qué Microsoft tiene información de inicios de sesión y cuentas de una agencia gubernamental? Mejor sería un mainframe en un sótano, sin Windows ni internet.
Los gobiernos de Francia/Alemania están invirtiendo en alternativas por este motivo: https://www.techspot.com/news/107225-france-germany-unveil-d...
Si recordamos a Guccifer 2.0, esa persona no solo usó una dirección IP rusa, sino una IP asignada al edificio de la sede del GRU.
Es interesante que Edward Coristine sea alguien que en 2022 fue “despedido de la empresa de ciberseguridad Path Network por sospechas de haber filtrado información interna de la compañía a un competidor” [1]. Parece el candidato ideal para que lo reclute una agencia de inteligencia extranjera. Además, también usó una cuenta en una red social de ciberdelincuencia [2].
No entiendo cómo alguien así puede seguir trabajando cerca del gobierno.
[1] https://en.wikipedia.org/wiki/Edward_Coristine
[2] https://krebsonsecurity.com/2025/02/teen-on-musks-doge-team-...
Uno de los objetivos de las operaciones de influencia rusas es debilitar la cohesión de Estados Unidos, algo que ya vimos en casos donde apoyaron anuncios de organizaciones civiles de distintas tendencias.
También es sospechoso que esto ocurriera justo cuando Estados Unidos negociaba con Rusia la paz en Ucrania. Porque pone en aprietos al gobierno que está negociando y fomenta la discordia con Rusia. Es una señal de que quizá no sea algo simple.
El espionaje es complejo.
DOGE será un caso de estudio interesante durante los próximos años. A un amigo lo contactaron para reclutarlo y ayudar a reconstruir desde cero el sistema nacional de aviación, en la modalidad de contratista 1099 que reporta directamente a Sean Duffy.
El reclutador lo presentó como un trabajo secundario para hacer por las noches y los fines de semana, y la paga por hora era pésima. Cuando mi amigo dijo que la compensación era mucho más baja que lo que gana actualmente, le respondieron que ganaría el prestigio de haber trabajado en DOGE.
Me pregunto cuánto terminará gastando DOGE. Espero que no sean literalmente decenas de miles de millones de dólares; si aun considerando costos legales, etc., logran ahorrar entre 100.000 y 200.000 millones de dólares, el efecto neto podría ser positivo.
Sería una lástima que este post muriera por duplicado.
Es cierto que la historia se publicó dos veces. El primer envío[0] es unas 10 horas más antiguo y solo tiene 3 comentarios. Este post tiene 348 comentarios al momento de escribir esto. Si valoran la discusión interesante, claramente este es el centro.
[0] https://news.ycombinator.com/item?id=43758392
Por eso puedo enviar cosas con tranquilidad y libertad: o se fusionan con el post existente o empieza uno nuevo. ¿Esta vez no funcionó? La URL también es la misma. A veces engañan al detector de duplicados con una cadena de consulta aleatoria, pero en este caso es exactamente igual. Raro.
“Berulis descubrió el 3 de marzo que una de las cuentas de DOGE había creado un entorno virtual opaco llamado ‘contenedor’. Este puede usarse para compilar y ejecutar programas o scripts sin exponer la actividad al exterior. Berulis dijo que el contenedor le llamó la atención porque, al consultar con sus colegas, nadie había usado contenedores dentro de la red de la NLRB”.
Esta parte se siente extraña al leerla, por varias razones.
Me sorprende que esto no entre claramente en el terreno de la traición.
Todos los contrapesos y controles se usaron, pero fallaron.
“Rusia accede a datos de EE. UU. desde una IP rusa”.
¿Soy el único al que esto le suena a que alguien intenta crear un vínculo con Rusia? ¿Por qué una agencia de inteligencia rusa haría algo de forma tan amateur? Es como si quisieran que los atraparan. Cui bono?
Para empezar, ¿qué querrían hacer con datos de la NLRB? Puede que tengan una idea, o puede que no. El objetivo es “tomamos tus datos, así que ponte nervioso”. Que los atrapen también ayuda a ese objetivo.
Por la IP, podría ser una conexión móvil. Aparece como Russia, MOW, Moscow, 144700, 55.7558, 37.6173, MegaFon.
Por ejemplo, también es posible que una de las personas contratadas estuviera viajando por Rusia por algún motivo y usara su propio hotspot para probar el inicio de sesión.
Dado el nivel de incompetencia que se ve aquí, no me sorprendería. Por eso se necesita un denunciante interno y por eso se abre una investigación. Ahora habrá que esperar meses o años de burocracia y batallas legales por cada solicitud de información necesaria antes de que la investigación pueda empezar en serio. Súper frustrante.
Si buscamos el caso más probable, la laptop de uno de los aficionados de shiba-doge tenía un virus; después de crear la cuenta, esas credenciales fueron absorbidas automáticamente por una botfarm rusoparlante, y desde allí una botnet lanzó algunos ataques automáticos que fueron bloqueados por el firewall regional.
Para el público general, parece suficiente unir los puntos y llegar a una conclusión. Personas con algo de conocimiento técnico recibieron herramientas poderosas, pero aparentemente sin supervisión integral sobre las consecuencias de sus actos.
¿Por qué este artículo desapareció de la portada de HN? Fue publicado hace 2 horas y tenía 649 puntos.
Por el riesgo de iniciar una conversación no deseada, el post básicamente queda enviado al vacío.