Código de ingeniero de DOGE respalda afirmaciones de denunciante de la NLRB
(krebsonsecurity.com)- Daniel J. Berulis, arquitecto de seguridad de la NLRB, afirmó que una cuenta de DOGE extrajo más de 10 GB de datos de archivos sensibles de casos a principios de marzo, y se confirmó que uno de los paquetes de código de GitHub descargados era muy similar al código de Marko Elez, empleado de DOGE
- Berulis afirmó que las cuentas creadas para DOGE tenían permisos de tenant admin y que se les pidió excluirlas del registro de red; según él, tenían un nivel de acceso que permitía acceder, copiar y modificar datos, además de limitar la visibilidad de los logs
- La descripción del código en cuestión habla de crear “pseudo-infinite IPs” usando un gran pool de IP de AWS API Gateway para web scraping y fuerza bruta; está vinculada con requests-ip-rotator en GitHub y con async-ip-rotator, que Elez hizo fork en enero de 2025
- El archivo de GitHub descargado junto con ese código también incluía Integuru, una herramienta para ingeniería inversa de APIs de sitios web, y Browserless, un navegador headless para automatizar tareas web, todos relacionados con scraping y automatización
- Los archivos de casos de la NLRB contienen información sobre empleados que buscan formar sindicatos y documentos propietarios de empresas, por lo que Berulis teme que, si estos datos llegan a compañías, podrían dar a la parte demandada una ventaja injusta en disputas laborales en curso
Afirmaciones del denunciante de la NLRB
- Daniel J. Berulis, arquitecto de seguridad de la NLRB, afirmó que personal vinculado a DOGE extrajo gigabytes de datos de archivos sensibles de casos de la agencia a principios de marzo
- Según la denuncia de Berulis, el 3 de marzo representantes de DOGE se reunieron con la dirección de la NLRB y exigieron la creación de varias cuentas tenant admin con amplios privilegios
- Se pidió que estas cuentas quedaran excluidas del registro de red, que normalmente deja registros detallados de actividad
- Según la denuncia, las nuevas cuentas de DOGE tenían permisos irrestrictos para leer, copiar y modificar información en las bases de datos de la NLRB
- También habrían tenido permisos para limitar la visibilidad de los logs, retrasar su retención, redirigirlos a otro lugar o eliminarlos por completo
- Berulis afirma que a las cuentas de DOGE se les otorgaron privilegios de usuario de máximo nivel que ni él ni su superior tenían
Descarga de código de GitHub y herramientas de rotación de IP
- Berulis dice que descubrió que una de las cuentas de DOGE descargó tres bibliotecas externas de código de GitHub que ni la NLRB ni sus contratistas habían usado antes
- El README de uno de esos paquetes de código explica que usa como proxy el gran pool de IP de AWS API Gateway para crear “pseudo-infinite IPs” para web scraping y fuerza bruta
- Al buscar la misma frase descriptiva aparece el repositorio requests-ip-rotator, del usuario de GitHub Ge0rg3, una biblioteca que se presenta como capaz de eludir límites de solicitudes basados en IP
- Esa descripción indica que es una “biblioteca de Python que aprovecha el large IP pool de AWS API Gateway como proxy para generar pseudo-infinite IPs para web scraping y bruteforcing”
- El código de Ge0rg3 se presenta como código open source que cualquiera puede copiar y reutilizar con fines no comerciales
Conexión con async-ip-rotator de Marko Elez
- Existe un nuevo proyecto derivado de requests-ip-rotator de Ge0rg3 llamado async-ip-rotator, al que Marko Elez, empleado de DOGE, hizo commits en GitHub en enero de 2025
- El texto del README del archivo de GitHub que, según el denunciante, descargó el usuario de DOGE comparte la misma descripción que el código basado en el fork de Elez
- Elez es presentado como una de las principales personas de DOGE que accedió al sistema central de pagos del Treasury Department
- Tiene antecedentes laborales en varias empresas de Musk, incluidas X, SpaceX y xAI
- The Wall Street Journal vinculó a Elez con publicaciones en redes sociales que defendían el racismo y la eugenesia
- Elez renunció tras la controversia, pero fue recontratado después del apoyo del presidente Donald Trump y del vicepresidente JD Vance
- Según Politico, Elez actualmente es asesor del Labor Department y ha sido asignado a varias agencias, entre ellas el Department of Health and Human Services
- Politico informó, citando documentos judiciales, que Elez violó políticas de seguridad de la información al enviar, durante sus primeros días en el Treasury, una hoja de cálculo con nombres e información de pagos a funcionarios de la General Services Administration
Otras herramientas descargadas junto con el código
- Berulis identificó Integuru y Browserless como los otros dos archivos de GitHub que empleados de DOGE descargaron en los sistemas de la NLRB
- Integuru es un framework de software diseñado para hacer ingeniería inversa de las interfaces de programación de aplicaciones (API) que usan los sitios web para obtener datos
- Browserless es un navegador headless para automatizar tareas basadas en la web
- Web scraping
- Pruebas automatizadas
- Tareas que pueden requerir pools de múltiples navegadores
Críticas a la calidad del código y eliminación del repositorio
- El 6 de febrero, alguien publicó una larga crítica en la página de issues de GitHub de async-ip-rotator de Elez y calificó el código como “insecure, unscalable and a fundamental engineering failure”
- La crítica señaló que, si este código era solo un proyecto paralelo, se quedaba en mal código, pero que si una implementación similar se había desplegado en un entorno que maneja datos sensibles, debía auditarse de inmediato
- Después de la publicación del artículo, el repositorio de código de Elez fue eliminado
- Una versión archivada del repositorio eliminado permanece disponible aquí
Sensibilidad de los datos de la NLRB e impacto en disputas laborales
- La denuncia de Berulis afirma que una cuenta de DOGE descargó más de 10 GB de la base de datos de archivos de casos de la NLRB
- Esta base de datos contiene numerosos registros sensibles, incluida información relacionada con empleados que buscan formar sindicatos y documentos empresariales propietarios de compañías
- Berulis dice que decidió hacerlo público porque sus superiores le dijeron que no reportara el asunto a US-CERT, en contra de un acuerdo previo
- A Berulis le preocupa que, si la transferencia no autorizada de datos es real, podría dar a los demandados una ventaja injusta en varias disputas laborales pendientes ante la NLRB
- Dice que cualquier compañía que obtuviera datos de casos tendría una ventaja injusta
- Dice que las empresas podrían identificar a empleados y organizadores sindicales y despedirlos sin explicar el motivo
Situación legal alrededor de la NLRB
- La NLRB quedó efectivamente limitada después de que el presidente Trump destituyera a tres miembros de su junta, lo que le hizo perder el quorum necesario para funcionar
- Amazon y SpaceX, de Musk, mantienen demandas contra la NLRB por complaints presentadas por la agencia en disputas relacionadas con derechos laborales y organización sindical
- Ambas compañías sostienen, en esencia, que la existencia misma de la NLRB es inconstitucional
- El 5 de marzo, una corte de apelaciones de EE. UU. rechazó por unanimidad el argumento de Musk de que la estructura de la NLRB viola la Constitución
- KrebsOnSecurity solicitó comentarios tanto a la NLRB como a DOGE y dijo que actualizará la nota si recibe respuesta
1 comentarios
Opiniones de Hacker News
El código de Ge0rg3 era open source en el sentido de que cualquiera podía copiarlo y reutilizarlo con fines no comerciales, y “async-ip-rotator”, subido a GitHub en enero de 2025 por Marko Elez de DOGE, parece ser un fork derivado de ese código.
Código original: https://github.com/Ge0rg3/requests-ip-rotator
Fork: https://github.com/markoelez/async-ip-rotator
El código es casi igual; básicamente le quitaron los comentarios, le espolvorearon un poco de
asyncy le hicieron cambios menores, así que parece que lo pegaron en un LLM y le pidieron que lo convirtiera en asíncrono. Pero desapareció la licencia GPL3 original, algo que no parece que la gente de DOGE vaya a entender ni respetar.Página archivada del repositorio: https://archive.ph/LI7tt; copia archivada del conteo anterior de repositorios: https://archive.ph/tgkg5
0. https://arstechnica.com/tech-policy/2025/04/i-no-longer-hack...
Decía algo como: “si fuera un side project, solo sería mal código; pero si esta es la forma en que se construyen sistemas de producción, hay motivos mucho más serios de preocupación. Esta implementación está fundamentalmente rota, y si se desplegó algo parecido en un entorno que maneja datos sensibles, debería auditarse de inmediato”.
Borrar la licencia en una copia personal es totalmente posible bajo los términos de la licencia, y subirla a un repositorio privado de GitHub tampoco tiene problema. Pero si lo subió a un repositorio público sin intención de distribuirlo, quizá por restricciones como las de repositorios privados gratuitos, ahí la cosa se vuelve ambigua.
Esta parte de la denuncia interna parece mucho más grave.
Alrededor del 11 de marzo de 2025, las métricas de NxGen mostraron uso anómalo en un momento específico de la semana anterior, con tiempos de respuesta muy por encima de la línea base y un aumento de salida de red más alto que en cualquier momento anterior. Eso casi coincidió con un evento de exfiltración de datos, y también aumentaron los inicios de sesión desde el extranjero bloqueados por la política de acceso.
Por ejemplo, pocos días después de que DOGE accediera a los sistemas de la NLRB, un usuario con una dirección IP de Primorskiy Krai, Rusia, empezó a intentar iniciar sesión. Los intentos fueron bloqueados, pero resultaban especialmente preocupantes. En esos inicios se usó una de las cuentas nuevas utilizadas en la actividad relacionada con DOGE, y como el flujo de autenticación solo se detuvo por la política de bloqueo de inicios de sesión desde el extranjero, parece que tenían el nombre de usuario y la contraseña correctos. Hubo más de 20 intentos de este tipo, y es especialmente preocupante que muchos ocurrieran dentro de los 15 minutos posteriores a que los ingenieros de DOGE crearan las cuentas.
La peor interpretación es más simple: que estaban trabajando como agentes de Rusia y dejaron entrar a Rusia, o instalaron el keylogger para Rusia.
Es evidencia que sugiere con fuerza que personal de DOGE estaba haciendo scraping usando varias direcciones IP de cloud.
Según la denuncia interna, el 3 de marzo funcionarios de DOGE se reunieron con la dirigencia de la NLRB y exigieron que se crearan varias cuentas “tenant admin” con todos los privilegios, excluidas del registro de red que deja constancia detallada de toda la actividad de esas cuentas.
Por la navaja de Ockham, la situación parece bastante clara, pero me pregunto si podría haber alguna razón legítima para una solicitud así.
Como no hay registros de auditoría, tampoco pueden presentar pruebas de que no manipularon sus hallazgos. La próxima vez que afirmen que una persona de 170 años recibe cheques del Seguro Social, no habrá forma de demostrar que no restaron 100 años a las fechas de nacimiento en alguna tabla.
Parece bastante claro que empleados de DOGE accedieron a datos a los que no deberían haber accedido
Según el artículo, DOGE tuvo acceso a una cuenta con permisos muy amplios de consulta y modificación, y alguien de DOGE podría haber descargado 10 GB de datos. La forma en que se usó podría ser ilegal, o el acceso en sí podría haber sido ilegal desde el principio. Tampoco está claro si el presidente puede otorgar ese tipo de acceso; personalmente, creo que no
Además, un empleado de DOGE descargó código que podía eludir restricciones usando el enorme pool de IP de AWS; ese código estaba pésimamente escrito, y esa persona también hizo comentarios racistas
Dicho eso, no entiendo bien qué beneficio habría aportado usar direcciones IP “ilimitadas” de AWS para hacer screen scraping automatizado de páginas web a la hora de copiar datos extremadamente sensibles de la base de datos interna de la NLRB. Si un sistema con datos ultrasensibles es accesible desde IP externas y permite iniciar 10 mil sesiones simultáneas con una sola cuenta para raspar la base de datos interna, entonces el sistema está gravemente roto. O quizá quieren decir que modificaron este código para usar 100 o 10 mil IP internas de la NLRB; tampoco queda claro. La automatización mencionada más adelante tiene más sentido como apoyo para tareas
Parece que el CEO de Tesla y SpaceX, una persona que presume tener un IQ alto y es conocida como programador, básicamente contrató a un script kiddie para una fuerza Delta de élite destinada a reducir la tecnología del gobierno
Aun así, después me sorprendió escuchar valoraciones de que, en los primeros años de SpaceX, Musk era un líder competente y hábil. Tal vez haya sido producto del culto a la personalidad, pero también sonaba plausible. En ese momento parece que no actuaba como si fuera el mejor ingeniero, sino que entendía cuál era su lugar como gerente de ingeniería. Podría haber sido parecido a esos buenos gerentes que, aunque no saben programar, entienden bien el software y distinguen cuándo conviene codificar directamente y cuándo empujar mediante diseño
Al final, la fama es como una droga potente. No creo que Musk haya sido especialmente de “alto IQ”, y por su primer matrimonio parece que siempre fue un perdedor misógino, pero ser venerado como el “Tony Stark de la vida real” parece haberle arruinado el cerebro. La ketamina tampoco debe ayudar
Esas personas buscan a los “mejores de los mejores” de su imaginación y los mantienen cerca, y para su ego se vuelve muy importante que esa creencia no sea cuestionada. Se vuelven ciegas ante la evidencia contraria, y las personas que “descubrieron” tienen que ser extraordinarias para justificar su capacidad de selección de talento
Parece que aquí está pasando algo así. La gente alrededor de Elon no parece particularmente destacada y su competencia es muy dudosa, pero para sostener su propio mito necesita un harén de “Super Coders”
El mensaje es que unos cuantos jóvenes promedio de Ciencias de la Computación, que ni siquiera tienen edad para rentar un auto, pueden ahorrar miles de millones de dólares con solo revisar la información financiera más básica de los departamentos gubernamentales. La idea es que no deberían ser una “fuerza Delta”, sino pasantes
No intento defender los medios por el fin, pero sí me gustaría que los impuestos se usaran de manera más eficiente. Al mismo tiempo, el nivel de acceso que se les está dando es extremadamente preocupante y, en la práctica, no hay rendición de cuentas
Incluso ignorando quién es Marko, resulta raro que una persona al azar haya publicado un ataque público así en el repositorio. Nunca me ha pasado ver por casualidad un repositorio y querer atacarlo, y esa crítica también huele a generada por IA
Enlace citado: https://github.com/markoelez/async-ip-rotator/issues/1
Los comentarios posteriores también son una interacción bastante extraña e interesante como para pensar que fue casualidad
Es muy probable que, por eso, alguien se haya preguntado qué tan buenas eran realmente sus habilidades de programación y haya revisado los repositorios que creó. Después, Musk hizo una “votación” en X sobre si volver a contratar a Elez en DOGE; el 20 de febrero, Elez volvió a tener una dirección de correo del gobierno de EE. UU., y el 21 de febrero se reportó que estaba trabajando para DOGE en la Administración del Seguro Social
El solo hecho de que hayan dejado estos paquetes públicos en GitHub es raro. ¿Será que no saben que pueden hacerlos privados? Sinceramente, muestra lo tonta que es esta gente.
Basta ver la lista de indultos que ha emitido esta administración. Ni siquiera los van a acusar.
Alguien debería ir a la cárcel por esto. No es un simple malentendido, sino un ataque deliberado contra todos los ciudadanos estadounidenses.
El Estado profundo que les preocupaba es precisamente esto, y también es la bota que los va a pisotear.
Edit: ¿el comentario padre era el mejor posicionado en este artículo y ahora está hasta abajo?
Si el indulto no es el medio para impedir que el próximo Congreso y la próxima administración arreglen esto, la alternativa es demasiado sombría como para pensarla.
Tener acceso total a bases de datos del gobierno de una forma imposible de rastrear hace que sea difícil siquiera imaginar sus efectos en cadena.
Solo espero que haya suficientes pruebas para que la gente lo tome en serio. Cuántos casos más habrá con posibilidad de hacerse públicos queda a criterio del lector.
No entiendo exactamente qué se está alegando. ¿Que la gente de DOGE escribió y usó código de “hackers” de GitHub para eludir las restricciones de seguridad de los datos de la NLRB? Si ya tenían una cuenta de superusuario en el sistema, me pregunto por qué necesitarían hacer algo así.
Recomiendo leer el documento de la denuncia: https://whistlebloweraid.org/wp-content/uploads/2025/04/2025...
https://whistlebloweraid.org/wp-content/uploads/2025/04/2025...