1 puntos por GN⁺ 2025-04-23 | 1 comentarios | Compartir por WhatsApp
  • El arquitecto de seguridad de la NLRB, Daniel J. Berulis, afirma que personal de DOGE transfirió gigabytes de datos sensibles desde archivos de casos de la agencia a inicios de marzo y usó cuentas de corta duración que casi no dejaban rastro
  • Esas cuentas se crearon con privilegios de tenant admin en los sistemas de la NLRB, lo que les habría permitido leer, copiar y modificar datos de gestión de casos de NxGen, además de limitar la visibilidad de logs o incluso borrarlos
  • Tras un fuerte aumento del tráfico saliente de la agencia en la madrugada del 4 de marzo, se determinó que una de las nuevas cuentas transfirió aproximadamente 10 GB, pero Berulis y sus colegas no tenían permisos para verificar qué archivos salieron ni a dónde fueron
  • Dentro de los 15 minutos posteriores a la creación de las nuevas cuentas de DOGE, se registraron más de 20 intentos de inicio de sesión desde direcciones de internet de Rusia usando nombres de cuenta y contraseñas válidos, aunque fueron bloqueados por una política que impide accesos desde fuera de EE. UU.
  • Aunque la NLRB dijo a NPR que no hubo intrusión, Berulis compartió alertas de Microsoft y capturas de correos internos, y afirma que decidió hacerlo público tras la suspensión del reporte a US-CERT; después, también se le restringieron privilegios administrativos

Puntos clave de la denuncia interna en la NLRB

  • El arquitecto de seguridad de la NLRB, Daniel J. Berulis, envió el 14 de abril una carta de denuncia interna al Senate Select Committee on Intelligence
  • La acusación central de Berulis es que, desde el 3 de marzo y durante alrededor de un mes, personas vinculadas a DOGE exigieron la creación de potentes cuentas administrativas dentro de los sistemas de la NLRB, y que esas cuentas fueron exceptuadas para no dejar registros normales de red
  • La NLRB es una pequeña agencia federal independiente que investiga y resuelve quejas por prácticas laborales injustas, y almacena datos sensibles como información confidencial de empleados que buscan sindicalizarse y datos propietarios de empresas

Creación de cuentas DOGE y exigencia de privilegios

  • Según Berulis, el 3 de marzo empleados de DOGE llegaron a la sede de la NLRB en el sureste de Washington D.C. en una SUV negra y con escolta policial
  • Estas personas no hablaron con Berulis ni con el personal de TI de la NLRB, sino que se reunieron con la dirección de la agencia
  • Tras la reunión, el acting CIO de la NLRB ordenó no seguir los procedimientos operativos estándar para crear las cuentas de DOGE y no generar logs ni registros sobre las cuentas destinadas al personal de DOGE, según declaró Berulis
  • Ya existían roles que podían usar los auditores, pero estaban diseñados para no otorgar permisos de modificación ni acceso a subsistemas sin aprobación
    • Berulis dijo que ni siquiera se consideró la posibilidad de proponer a DOGE el uso de esas cuentas
  • Las nuevas cuentas habrían tenido privilegios ilimitados para leer, copiar y modificar información de la base de datos de la NLRB
    • Limitación de visibilidad de logs
    • Retraso en la conservación de logs
    • Redirección de logs a otros destinos
    • Eliminación total de logs
    • Privilegios de máximo nivel que ni Berulis ni su jefe tenían

Contenedor y transferencia de datos de NxGen

  • Berulis determinó que el 3 de marzo una de las cuentas de DOGE creó un contenedor (container), un entorno virtual opaco
  • Los contenedores pueden usarse para construir y ejecutar programas o scripts sin exponer externamente su actividad
  • Tras consultar con colegas, concluyó que no había antecedentes del uso de contenedores dentro de la red de la NLRB
  • Al día siguiente, el 4 de marzo entre las 3 y 4 a. m., el tráfico saliente de la agencia aumentó de forma importante
  • Después de varios días de investigación, Berulis y sus colegas concluyeron que una de las nuevas cuentas transfirió unos 10 GB de datos desde el sistema de gestión de casos NxGen de la NLRB
    • La base de datos de NxGen contiene información sensible sobre sindicatos, procesos legales en curso y secretos empresariales
    • Berulis y sus colegas no tenían el nivel de acceso de red necesario para verificar qué archivos fueron consultados o transferidos ni a dónde fueron enviados los datos
    • Berulis informó al Senado que no sabe si los 10 GB corresponden al total de datos o si fueron agregados y comprimidos antes de la transferencia, y que pudo haberse filtrado incluso más información
    • Dijo que es muy poco común que datos salgan directamente de la base de datos de la NLRB al exterior, por lo que ese pico fue altamente inusual

Intentos de inicio de sesión desde IP rusa y cuentas sospechosas

  • Berulis y sus colegas detectaron más de 20 intentos de inicio de sesión desde la dirección de internet rusa 83.149.30.186 usando credenciales válidas de una cuenta de empleado de DOGE
  • Todos esos intentos fueron bloqueados por una regla que prohíbe inicios de sesión desde fuera de Estados Unidos
  • Berulis dijo que, por el flujo de autenticación, parecía que quien intentó ingresar tenía el nombre de usuario y la contraseña correctos
  • El hecho de que muchos de esos intentos ocurrieran dentro de los 15 minutos posteriores a la creación de las cuentas por parte de ingenieros de DOGE elevó aún más la preocupación
  • Uno de los nombres de cuenta de usuario de Microsoft asociados con la actividad sospechosa era DogeSA_2d5c3e0446f9@nlrb.microsoft.com, y Berulis cree que se trataba de una cuenta creada y luego eliminada para uso de DOGE dentro del sistema en la nube de la NLRB
  • Otras nuevas cuentas administrativas en la nube de Microsoft incluían nombres de usuario no estándar como Whitesox, Chicago M. y Dancehall, Jamaica R

Falta de logs y bibliotecas de código externas

  • El 5 de marzo, Berulis documentó que había desaparecido una gran parte de los logs relacionados con recursos de red creados recientemente, y que el network watcher de Microsoft Azure estaba configurado en estado “off”, por lo que no recopilaba ni registraba datos con normalidad
  • También descubrió que alguien descargó desde GitHub tres bibliotecas de código externas que ni la NLRB ni sus contratistas usaban
  • El archivo readme de uno de esos paquetes de código describía un uso para rotar conexiones a través de grandes pools de direcciones de internet en la nube
    • Esos pools de direcciones se describían como proxies de “pseudo-infinite IPs” usados para web scraping y ataques de fuerza bruta
    • Un ataque de fuerza bruta es un intento automatizado de inicio de sesión que prueba rápidamente muchas combinaciones de credenciales

Suspensión del reporte a US-CERT y decisión de hacerlo público

  • Según la denuncia de Berulis, hacia el 17 de marzo ya era evidente que la NLRB no contaba con los recursos ni con el acceso de red necesarios para investigar por completo la actividad anómala de las cuentas de DOGE
  • El 24 de marzo, el associate CIO de la agencia aceptó que el asunto debía reportarse a US-CERT
  • US-CERT es operado por CISA, dependiente del Department of Homeland Security, y brinda capacidad de respuesta in situ a incidentes cibernéticos para agencias federales y estatales
  • Berulis dijo que entre el 3 y 4 de abril tanto él como el associate CIO recibieron la instrucción de suspender el reporte y la investigación ante US-CERT, y también de no elaborar ni continuar con un informe oficial
  • En ese momento, Berulis decidió hacer públicos los hallazgos de su investigación

Negación de la NLRB y materiales aportados por Berulis

  • El acting press secretary de la NLRB, Tim Bearese, dijo a NPR que DOGE nunca pidió ni recibió acceso a los sistemas de la NLRB
  • Añadió que, después de que Berulis expresó sus preocupaciones, la agencia investigó y concluyó ante NPR que “no hubo intrusión en los sistemas de la agencia”
  • La NLRB no respondió a las preguntas de KrebsOnSecurity
  • Berulis compartió discusiones internas por correo sobre actividad inexplicable atribuida a las cuentas de DOGE, así como capturas de alertas de seguridad de la NLRB relacionadas con anomalías de red observadas por Microsoft durante ese periodo

Contexto adicional alrededor de la NLRB

  • CNN informó el mes pasado que el presidente Trump destituyó a tres integrantes de la junta de la NLRB, lo que dejó a la agencia sin el quórum necesario para funcionar y la paralizó de hecho
  • CNN escribió que, pese a sus limitaciones, la NLRB había sido un dolor de cabeza para personas ricas y poderosas en Estados Unidos, incluido Elon Musk
  • Amazon y SpaceX de Musk han demandado a la NLRB por denuncias presentadas por el organismo en disputas relacionadas con derechos laborales y organización sindical
    • Ambas compañías sostienen que la propia existencia de la NLRB es inconstitucional
    • El 5 de marzo, una corte federal de apelaciones de Estados Unidos rechazó por unanimidad el argumento de Musk de que la estructura de la NLRB viola la Constitución

Restricciones de acceso después de la denuncia

  • Berulis dijo que el mismo 14 de abril, cuando NPR publicó sus acusaciones, el deputy CIO de la NLRB envió un correo indicando que se había retirado el control administrativo de todas las cuentas del personal
  • Como resultado, el personal de TI de la NLRB ya no pudo hacer bien su trabajo, según Berulis
  • Un correo institucional enviado el 16 de abril por la directora de la NLRB, Lasharn Hamilton, indicó que representantes de DOGE habían solicitado una reunión y repitió la afirmación de que la agencia no había tenido antes contacto “oficial” con personal de DOGE
  • Ese mismo correo también informó al personal que dos representantes de DOGE serían asignados a la NLRB a tiempo parcial durante varios meses
  • Berulis dijo que, mientras preparaba un ticket de soporte con Microsoft para pedir más información sobre las cuentas de DOGE, se le restringió su acceso de administrador de red
  • Espera que legisladores soliciten a Microsoft más detalles sobre lo que realmente ocurrió con esas cuentas

Acusación de amenazas y situación actual

  • El abogado de Berulis, Andrew P. Bakaj, informó a legisladores que el 7 de abril, mientras Berulis y el equipo legal preparaban la documentación de la denuncia, alguien pegó una nota amenazante en la puerta de su casa
  • Según dijo, la nota incluía una foto tomada por dron de Berulis caminando por su vecindario
  • El abogado afirmó que la nota amenazante mencionaba claramente la misma divulgación que planeaban presentar ante órganos de supervisión del Senado
  • No se sabe quién fue, pero el abogado solo especuló con que podría estar involucrada alguna persona con acceso a los sistemas de la NLRB
  • Berulis dijo que la reacción de amigos, colegas y del público ha sido en general de apoyo y que no se arrepiente de haberlo hecho público
  • Actualmente, Berulis está de licencia familiar pagada en la NLRB, y dijo que el personal de DOGE tomó el control administrativo total, dejó a todos fuera del sistema y que en adelante se asignarán privilegios restringidos según sea necesario
  • Material adicional: Documento de denuncia interna de Berulis

1 comentarios

 
GN⁺ 2025-04-23
Opiniones de Hacker News
  • Una semana antes ya había habido mucha discusión relacionada
    https://news.ycombinator.com/item?id=43691142

    • Un texto en el que un denunciante detalla la posibilidad de que DOGE se haya llevado datos sensibles de la NLRBhttps://news.ycombinator.com/item?id=43691142
      Hace 7 días, 1139 puntos, 528 comentarios
    • Me alegra que esta discusión siga. Ahora mismo hay como cuatro grandes corrientes que la sociedad tiene que abordar al mismo tiempo, y cada una es tan grave que no hay tiempo para tratarlas de a una
      1. Colapso del Estado de derecho y del sistema político: el Ejecutivo se apoderó del Congreso y ahora está invadiendo incluso a SCOTUS; ambos partidos están muertos, MAGA reemplazó al Partido Republicano y el Partido Demócrata está perdido
      2. El tema de este hilo: la destrucción del gobierno federal mediante DOGE
      3. La tendencia a arruinar la economía con aranceles y con la toma de control de la Reserva Federal mediante la destitución de su presidente, convirtiendo a Estados Unidos, en la práctica, en una economía controlada
      4. La destrucción de instituciones no gubernamentales, como estudios jurídicos y el mundo académico, que son centros de poder capaces de resistir a 1~3
  • Artículo relacionado: declaración jurada de un denunciante sobre señales anómalas cuando DOGE trabajaba en la NLRB [pdf] - hace 16 horas, 13 comentarios - https://news.ycombinator.com/item?id=43755298

  • Todo este artículo se lee como una comedia. Cuentas ocultas, intentos de inicio de sesión desde Rusia, e incluso este pasaje:
    “Berulis le dijo a KrebsOnSecurity que, mientras creaba un ticket de soporte con Microsoft para pedir más información sobre las cuentas de DOGE, se restringieron sus privilegios de administrador de red. Ahora espera que los legisladores le exijan a Microsoft más información sobre lo que realmente ocurrió con las cuentas”
    ¿Por qué Microsoft tiene información de inicios de sesión y cuentas de una agencia gubernamental? Mejor sería un mainframe en un sótano, sin Windows ni internet.

    • Sin duda debe ser Office365. Es difícil operar una burocracia sin Word ni Outlook.
      Los gobiernos de Francia/Alemania están invirtiendo en alternativas por este motivo: https://www.techspot.com/news/107225-france-germany-unveil-d...
    • “IP rusa” ofrece negación plausible para la gente que reacciona de forma pavloviana apenas oye esa expresión. Pero en una administración donde miembros influenciados por el Kremlin parecen estar a la vista, ya ni siquiera parece hacer falta esa negación plausible.
    • Parece que tanto Azure como AWS tienen al gobierno como una base de usuarios bastante grande. Me surgen varias dudas.
    • Los servicios de inteligencia rusos tienen precedentes de actuar aquí de forma bastante descarada. Probablemente haya sido una manera deliberada de enviar un mensaje.
      Si recordamos a Guccifer 2.0, esa persona no solo usó una dirección IP rusa, sino una IP asignada al edificio de la sede del GRU.
    • Es la nube de Azure.
  • Es interesante que Edward Coristine sea alguien que en 2022 fue “despedido de la empresa de ciberseguridad Path Network por sospechas de haber filtrado información interna de la compañía a un competidor” [1]. Parece el candidato ideal para que lo reclute una agencia de inteligencia extranjera. Además, también usó una cuenta en una red social de ciberdelincuencia [2].
    No entiendo cómo alguien así puede seguir trabajando cerca del gobierno.
    [1] https://en.wikipedia.org/wiki/Edward_Coristine
    [2] https://krebsonsecurity.com/2025/02/teen-on-musks-doge-team-...

    • Como operación psicológica, es excelente. Basta con crear cuentas, intentar acceder a registros, no preocuparse por si se logra o no, y esperar a que las noticias en Estados Unidos generen división.
      Uno de los objetivos de las operaciones de influencia rusas es debilitar la cohesión de Estados Unidos, algo que ya vimos en casos donde apoyaron anuncios de organizaciones civiles de distintas tendencias.
      También es sospechoso que esto ocurriera justo cuando Estados Unidos negociaba con Rusia la paz en Ucrania. Porque pone en aprietos al gobierno que está negociando y fomenta la discordia con Rusia. Es una señal de que quizá no sea algo simple.
      El espionaje es complejo.
    • Así como un graduado de Harvard contrata a otro graduado de Harvard, los criminales contratan a otros criminales.
    • El camino para responder “¿cómo puede alguien así seguir trabajando cerca del gobierno?” es largo, pero más o menos va así:
      1. SCOTUS eliminó las restricciones al financiamiento electoral, permitiendo que los multimillonarios compraran elecciones
      2. Elon Musk, el hombre más rico del mundo, compró las elecciones presidenciales de Estados Unidos de 2024 y se puso a sí mismo al frente de una organización de “eficiencia gubernamental”
      3. Elon Musk eligió a Edward Coristine y nadie dijo “no”. Quienes se habrían opuesto ya habían sido despedidos o apartados, y como a otras personas de la White House también les sería difícil pasar una verificación estricta de antecedentes del FBI, simplemente están dando autorización a todos por orden directa
  • DOGE será un caso de estudio interesante durante los próximos años. A un amigo lo contactaron para reclutarlo y ayudar a reconstruir desde cero el sistema nacional de aviación, en la modalidad de contratista 1099 que reporta directamente a Sean Duffy.
    El reclutador lo presentó como un trabajo secundario para hacer por las noches y los fines de semana, y la paga por hora era pésima. Cuando mi amigo dijo que la compensación era mucho más baja que lo que gana actualmente, le respondieron que ganaría el prestigio de haber trabajado en DOGE.

    • Ese prestigio parece una moneda muy frágil. Si la situación sigue empeorando, una futura administración podría incluso montar sus propios juicios de represalia contra empleados de DOGE.
    • Es un prestigio que no vas a poder poner en tu currículum si quieres volver a trabajar.
    • Es un excelente caso de estudio de alguien que no sabe nada sobre algo, llega diciendo “podemos ahorrar la mitad del presupuesto” y luego, al darse cuenta del problema, quizá admite que apenas podría lograr alrededor del 5% de lo prometido originalmente.
      Me pregunto cuánto terminará gastando DOGE. Espero que no sean literalmente decenas de miles de millones de dólares; si aun considerando costos legales, etc., logran ahorrar entre 100.000 y 200.000 millones de dólares, el efecto neto podría ser positivo.
    • Reconstruir algo tan crítico como el sistema nacional de aviación con 1099 mal pagados trabajando por las noches y los fines de semana definitivamente no es la forma de crear sistemas robustos y resilientes a fallas. Es una estupidez.
    • ¿Sería más honorable encargar el mismo trabajo a consultores de las Big Four, pagando 10 veces más, con 3 veces más reuniones y avanzando 5 veces más lento?
  • Sería una lástima que este post muriera por duplicado.
    Es cierto que la historia se publicó dos veces. El primer envío[0] es unas 10 horas más antiguo y solo tiene 3 comentarios. Este post tiene 348 comentarios al momento de escribir esto. Si valoran la discusión interesante, claramente este es el centro.
    [0] https://news.ycombinator.com/item?id=43758392

    • Qué raro. Normalmente el detector de duplicados funciona realmente bien. Cuando publico algo, 9 de cada 10 veces ya existe y me redirige a ese.
      Por eso puedo enviar cosas con tranquilidad y libertad: o se fusionan con el post existente o empieza uno nuevo. ¿Esta vez no funcionó? La URL también es la misma. A veces engañan al detector de duplicados con una cadena de consulta aleatoria, pero en este caso es exactamente igual. Raro.
    • Y eso fue exactamente lo que pasó. Una locura.
  • “Berulis descubrió el 3 de marzo que una de las cuentas de DOGE había creado un entorno virtual opaco llamado ‘contenedor’. Este puede usarse para compilar y ejecutar programas o scripts sin exponer la actividad al exterior. Berulis dijo que el contenedor le llamó la atención porque, al consultar con sus colegas, nadie había usado contenedores dentro de la red de la NLRB”.
    Esta parte se siente extraña al leerla, por varias razones.

    • Está escrita para sonar maliciosa, pero en realidad parece más bien revelar ignorancia técnica.
  • Me sorprende que esto no entre claramente en el terreno de la traición.

    • Solo se convierte en traición si alguien con poder realmente presenta cargos por eso.
    • Visto desde lejos, Trump se ha acercado tanto a un poder casi absoluto que parece poder sacudirse incluso escándalos que deberían tener consecuencias reales. Todavía no entiendo cómo todos sobrevivieron al escándalo de Signal.
    • ¿A qué se refieren con “terreno de la traición”? ¿A la filtración o a la absorción de datos de casos?
    • Los intentos de impeachment fracasaron, la mayoría de los casos legales contra Trump fracasaron, la Corte Suprema lo inmunizó frente a nuevos procesamientos y fue reelegido.
      Todos los contrapesos y controles se usaron, pero fallaron.
  • “Rusia accede a datos de EE. UU. desde una IP rusa”.
    ¿Soy el único al que esto le suena a que alguien intenta crear un vínculo con Rusia? ¿Por qué una agencia de inteligencia rusa haría algo de forma tan amateur? Es como si quisieran que los atraparan. Cui bono?

    • Según el patrón, a ellos no parece importarles mucho que los atrapen. El objetivo no es ejecutar una misión específica, sino generar caos. Les gusta provocar al adversario para que cometa errores.
      Para empezar, ¿qué querrían hacer con datos de la NLRB? Puede que tengan una idea, o puede que no. El objetivo es “tomamos tus datos, así que ponte nervioso”. Que los atrapen también ayuda a ese objetivo.
    • No hace falta esforzarse por vincularlo con nadie: todo el asunto ya es bastante sospechoso.
      Por la IP, podría ser una conexión móvil. Aparece como Russia, MOW, Moscow, 144700, 55.7558, 37.6173, MegaFon.
      Por ejemplo, también es posible que una de las personas contratadas estuviera viajando por Rusia por algún motivo y usara su propio hotspot para probar el inicio de sesión.
      Dado el nivel de incompetencia que se ve aquí, no me sorprendería. Por eso se necesita un denunciante interno y por eso se abre una investigación. Ahora habrá que esperar meses o años de burocracia y batallas legales por cada solicitud de información necesaria antes de que la investigación pueda empezar en serio. Súper frustrante.
    • Solo se mencionó una dirección IP, ¿por qué asumir que se trata de una agencia de inteligencia rusa? Además, si fuera una agencia así, ¿por qué el supuesto filtrador/espía shiba-doge no les habría advertido que había un firewall con restricciones geográficas?
      Si buscamos el caso más probable, la laptop de uno de los aficionados de shiba-doge tenía un virus; después de crear la cuenta, esas credenciales fueron absorbidas automáticamente por una botfarm rusoparlante, y desde allí una botnet lanzó algunos ataques automáticos que fueron bloqueados por el firewall regional.
    • No parece que quisieran que los atraparan, sino que no les importa que los atrapen.
    • Es solo una hipótesis personal y podría estar totalmente equivocada, pero esto parece tratarse de caos, no de inteligencia.
      Para el público general, parece suficiente unir los puntos y llegar a una conclusión. Personas con algo de conocimiento técnico recibieron herramientas poderosas, pero aparentemente sin supervisión integral sobre las consecuencias de sus actos.
  • ¿Por qué este artículo desapareció de la portada de HN? Fue publicado hace 2 horas y tenía 649 puntos.

    • No fue marcado con flags. ¿Es un shadowban? ¿Existe eso en Hacker News?
    • En https://news.ycombinator.com/active es el post principal.
    • Yo también me estaba preguntando justo lo mismo.
    • Podría ser porque algunas startups del lado de Y ahora están involucradas con DOGE y otras actividades gubernamentales. Hay que recordar que muchas de las personas detrás de este sitio web o sus líderes ideológicos influyeron en que se pusiera en práctica la ideología anarcocapitalista de la industria tecnológica.
    • En HN, los posts pueden marcarse con algo como “flamebait”. No recuerdo el término exacto, pero parece que puede hacerse manualmente y también de forma automatizada, y que los moderadores pueden desactivarlo manualmente.
      Por el riesgo de iniciar una conversación no deseada, el post básicamente queda enviado al vacío.