La Oficina de Responsabilidad Gubernamental (GAO) está auditando el llamado Departamento de Eficiencia Gubernamental (DOGE) de Elon Musk.
La investigación, que ha estado en curso desde marzo, cubre el manejo de datos por parte de DOGE en varias agencias de nivel de gabinete, incluidos los Departamentos de Trabajo, Educación, Seguridad Nacional, Salud y Servicios Humanos, el Tesoro y la Administración del Seguro Social, así como el Servicio DOGE de EE. UU. (USDS) en sí, según fuentes y registros revisados por WIRED.
Los registros muestran que la GAO (una agencia independiente de auditoría, investigación e investigación del Congreso) parece estar solicitando información completa a las agencias en cuestión, incluidos informes de incidentes sobre “mal uso potencial o real de los sistemas o datos de la agencia” y documentación de políticas y procedimientos relacionados con los sistemas a los que han accedido los agentes de DOGE, así como documentación de políticas para las evaluaciones de riesgos de la agencia, registros de auditoría, programas de amenazas internas y más.
En los últimos meses, agentes de DOGE, muchos de ellos con conexiones con las empresas de Musk, pero con poca o ninguna experiencia gubernamental , se han infiltrado en docenas de agencias federales como parte del plan de Musk para expulsar a decenas de miles de empleados públicos. También han obtenido acceso inicial a cantidades incalculables de datos confidenciales, desde sistemas de pago del Tesoro hasta registros fiscales, y parecen estar intentando conectar deliberadamente sistemas de datos dispares.
Si bien varios funcionarios demócratas han hecho sonar la alarma sobre las actividades de DOGE, esta auditoría es una de las primeras señales reales de posible rendición de cuentas y supervisión.
Se espera que la revisión de la GAO concluya a finales de la primavera, según los registros consultados por WIRED. Fuentes del Congreso afirman que se elaborará un informe que se hará público.
“La GAO ha recibido solicitudes para revisar las medidas adoptadas por el DOGE en varias agencias”, declaró Sarah Kaczmarek, portavoz de la GAO, a WIRED. “Lo primero que hace la GAO al iniciar cualquier trabajo es determinar el alcance total de lo que cubriremos y la metodología que se utilizará. Hasta que esto se complete, no podemos proporcionar más detalles ni estimaciones sobre la fecha de finalización del trabajo”.
La auditoría, según los registros revisados por WIRED, se centra principalmente en el cumplimiento de DOGE con las leyes y regulaciones de privacidad y protección de datos.
Más específicamente, según los registros que detallan las interacciones de la GAO con el Departamento de Trabajo (DOL), la agencia realizará una revisión detallada de todos los sistemas a los que DOGE —definidos en estos registros como los trabajadores del USDS y los miembros de los equipos de DOGE que una orden ejecutiva ordena a cada agencia federal establecer— ha tenido acceso en las agencias que está examinando. El DOL no respondió a las solicitudes de comentarios.
Las notas obtenidas por WIRED detallan una reunión propuesta entre los examinadores de la GAO y los representantes del DOL para solicitar que los funcionarios del DOL compartan registros de los privilegios del sistema proporcionados a los afiliados de DOGE, incluidas “cualquier modificación a las cuentas”, así como registros de auditoría que muestren su actividad.
Además, se pidió a los funcionarios del DOL que se prepararan para una reunión en persona en la que los funcionarios de la GAO pudieran observar las configuraciones de seguridad en las computadoras portátiles que la agencia había proporcionado a los agentes de DOGE y revisar todos los sistemas que rastrean el trabajo de DOGE en el DOL, incluida una herramienta de prevención de pérdida de datos y sistemas utilizados para rastrear incidentes de ciberseguridad y privacidad.
Las notas de una reunión del 18 de marzo, marcadas como “Internas/Confidenciales”, muestran que un abogado del DOL presentó a sus colegas un resumen de las interacciones del DOL con DOGE. “Hasta ahora”, dicen las notas, “no tienen acceso de escritura. Lo han solicitado; los hemos mantenido a raya. Hemos intentado que nos digan qué quieren y luego lo hacemos. Solo tienen acceso de lectura”. DOGE parece estar principalmente interesado, según las notas, en los sistemas de pago y las subvenciones, y ha firmado un acuerdo que detalla una “larga lista de cosas que no harán”.
Las notas también detallan las interacciones entre la GAO y el DOL en relación con el trabajo de DOGE. Se incluye un conjunto específico de solicitudes que la GAO presentó a los representantes del DOL:
Por favor, identifique los sistemas e información a los que el personal del equipo DOGE de USDS o de la agencia tuvo acceso. Al hacerlo, identifique todas las cuentas creadas, incluyendo las de aplicaciones, servidores, bases de datos, mainframes o equipos de red.
“Describa el tipo de acceso que el personal del equipo DOGE de USDS y/o la agencia tiene a los sistemas e información de la agencia (por ejemplo, leer, escribir, ejecutar).
“Describa cómo el personal del equipo DOGE de USDS y/o la agencia accede a los sistemas e información de la agencia (por ejemplo, en las instalaciones o de forma remota, equipo proporcionado por la agencia u otro equipo).
“Describa las medidas de seguridad implementadas para determinar que el personal del equipo DOGE de USDS y/o la agencia proteja la confidencialidad, integridad y disponibilidad de los sistemas y la información de la agencia de conformidad con las leyes y directrices pertinentes.
Describa los procesos que la agencia ha implementado para garantizar que los equipos de USDS y DOGE protejan adecuadamente la confidencialidad, integridad y disponibilidad de los sistemas y la información de la agencia, según lo exigen las leyes y directrices aplicables.
Las preocupaciones sobre el acceso de DOGE a los sistemas de la agencia no son infundadas. En febrero, WIRED informó que a Marko Elez, un exingeniero de 25 años, se le concedió la capacidad no solo de leer el código en los sistemas del Tesoro, sino también de escribirlo o modificarlo. Con ese nivel de acceso, existía la preocupación de que pudiera haber interrumpido los pagos autorizados por el Congreso o simplemente provocado el fallo de los sistemas. “Es como saber que tienes hackers en tu red, pero nadie te permite hacer nada al respecto”, declaró un empleado del Tesoro a WIRED en aquel momento.
Elez, según las notas de la reunión del 18 de marzo y reportajes previos de WIRED , también tiene acceso al Departamento de Trabajo (DOL) y ha sido vinculado con la Administración del Seguro Social (SSA). Su acceso, así como el de otros afiliados de DOGE, a los datos de la SSA está actualmente restringido debido a una orden judicial. Elez no respondió de inmediato a una solicitud de comentarios.
Desde entonces, los informes de WIRED y otros medios han seguido exponiendo los intentos generalizados de DOGE de acceder a datos confidenciales y sus posibles consecuencias . La orden ejecutiva del presidente Donald Trump, del 20 de marzo, ordena a las agencias que comiencen a “eliminar los silos de información”, supuestamente para combatir el fraude y el despilfarro. Estas acciones también podrían amenazar la privacidad al consolidar datos personales alojados en diferentes sistemas en un repositorio central, según informó WIRED anteriormente.
Un registro que detalla una solicitud inicial de la GAO para obtener documentos del DOL, con fecha límite para finales de marzo, muestra que se le solicitó a la agencia que demostrara cómo protegía sus sistemas. La documentación solicitada abarcaba, entre otros aspectos, sus políticas de gestión del acceso a las cuentas del sistema, la capacitación, los principios de separación de funciones y privilegio mínimo , el uso de dispositivos de almacenamiento portátiles, los registros de auditoría y su programa contra amenazas internas. Estas solicitudes hacen referencia a la publicación del Instituto Nacional de Estándares y Tecnología (NIST) ” Controles de Seguridad y Privacidad para Sistemas y Organizaciones de Información” , que sirve como un conjunto de directrices de seguridad de la información para sistemas federales no relacionados con la seguridad nacional.
También se solicitó al DOL que proporcionara registros que documentaran las evaluaciones de riesgos y los memorandos de entendimiento relacionados con DOGE; documentación de cada cuenta del sistema creada para DOGE que muestre la aprobación de las solicitudes de acceso a las cuentas, su autorización de acceso y cualquier modificación posterior; todas las comunicaciones de octubre de 2024 a marzo de 2025 relacionadas con el acceso a los sistemas o información de la agencia por parte de DOGE; e información detallada sobre la situación laboral de cada afiliado de DOGE, su relación con el USDS, la estructura de supervisión bajo la que trabajan y la capacitación en seguridad que han recibido. (La estructura de gestión de DOGE ha sido bastante opaca, e incluso los empleados de DOGE desconocían quién estaba técnicamente al mando un mes después de la investidura de Donald Trump).
Los examinadores de la GAO también buscaron información que incluyera casos e informes de incidentes relacionados con “mal uso potencial o real de los sistemas o datos de la agencia”, información detallada sobre quién supervisa sistemas específicos y diccionarios de datos, registros de arquitectura de datos y documentos de control de interfaz para sistemas específicos, así como documentación de los registros de auditoría de cada sistema.
La auditoría de la GAO se está llevando a cabo en respuesta a solicitudes de los líderes del Congreso.
En una carta del 6 de febrero , el representante Bobby Scott, demócrata de Virginia y miembro de mayor rango del comité de Educación y Fuerza Laboral de la Cámara de Representantes, citó informes de WIRED y otros medios sobre las intrusiones de DOGE en los sistemas federales al solicitar a la agencia que investigara lo que él llamó “una emergencia constitucional” relacionada con el acceso a DOGE.
El 24 de febrero, en una carta obtenida por WIRED, el representante Richard Neal, demócrata de Massachusetts y miembro de mayor rango del Comité de Medios y Arbitrios, solicitó una revisión de lo que DOGE está haciendo en agencias como el Departamento del Tesoro y la Administración del Seguro Social.
“Los estadounidenses esperan que cuando comparten información personal con el gobierno, ya sea para pagar impuestos o acceder a prestaciones sanitarias o del Seguro Social, esta esté protegida”, declara Neal a WIRED. “Eso no es lo que ha sucedido con DOGE, y por eso, a petición mía, la Oficina de Responsabilidad Gubernamental (GAO) está trabajando para arrojar luz sobre el acceso y uso de información personal y confidencial. No debería haber llegado a esto; si no hay nada que ocultar, DOGE debería querer que el público comprenda su trabajo; pero precisamente por eso son tan importantes las medidas de rendición de cuentas en todo el gobierno”.
Según un asistente del Congreso, que habló con WIRED bajo condición de anonimato porque no está autorizado a ser citado en los medios, las solicitudes siguieron a los informes de los medios sobre las incursiones de DOGE en los sistemas federales.
“El gobierno federal, y de hecho también la mayoría de las empresas privadas, operan bajo el principio de que los datos deben estar protegidos”, afirman. “Deben estar protegidos del robo, del acceso por parte de personas sin un propósito o razón legítima para acceder a ellos. Por eso, los informes sobre personas sin formación que hurgaban en bases de datos, modificando código y extrayendo datos —¿quién sabe lo que hacen?— fueron bastante alarmantes”.
“¿Se han exportado estos datos fuera de las agencias?”, añaden. “¿Están accediendo a ellos o utilizándolos hackers o particulares, o quizá se estén utilizando para entrenar modelos de IA? No lo sé”.
