Es probable que el nombre de Daniel Berulis no les suene de nada, pero puede que su nombre sea recordado, en un futuro, como el de Edward Snowden.
Daniel Berulis trabaja en el departamento de tecnología de la información de la Junta Nacional de Relaciones Laborales (NLRB por sus siglas en inglés). Antes de unirse a la NLRB, ocupó cargos en el ámbito de la seguridad nacional, donde contaba con una autorización de alto secreto que le permitía acceder a información confidencial altamente sensible. Posee casi dos décadas de experiencia en la implementación de transformaciones digitales a gran escala.
Según el sitio web de la NLRB, esta agencia «está conformada por un equipo de profesionales que trabajan para asegurar que existan prácticas laborales justas y democracia en el lugar de trabajo a nivel nacional. Esta pequeña, muy respetada e independiente agencia federal ha tenido un impacto diario en la manera en que las compañías, industrias y uniones/sindicatos de los Estados Unidos conducen sus negocios, desde que fue creada por el Congreso en el año de 1935. Los miembros del personal de la agencia investigan y dan solución a prácticas laborales ilícitas por parte de los sindicatos y los empleadores».
La NLRB ha estado muchas veces bajo el punto de mira de grandes corporaciones que buscan desafiar su autoridad y declarar inconstitucionales algunos de sus poderes. Destaca la demanda interpuesta por SpaceX tras el despido de ocho trabajadores de la compañía que habían compartido una carta crítica contra Elon Musk. La NLRB acusó a la compañía de despedirlos ilegalmente. Elon Musk no solo defendió los despidos, sino que también impugnó la legalidad del proceso administrativo de la NLRB.
Si la demanda de SpaceX contra la NLRB llega a prosperar podría tener consecuencias significativas para el sistema laboral estadounidense. La NLRB, que actúa como un organismo cuasi judicial, podría ver su capacidad para regular las relaciones laborales debilitada. Este conflicto no solo pone en riesgo la capacidad de la NLRB para desempeñar sus funciones, sino que también plantea dudas sobre el futuro de los derechos laborales en un entorno empresarial cada vez más hostil.
En una declaración jurada dirigida al presidente del Comité de Inteligencia del Senado, el republicano Tom Cotton, y a su homólogo demócrata, Mark Warner, que se hizo pública por Whistleblower Aid, Berulis afirmó contar con pruebas de que el personal del Departamento de Eficiencia Gubernamental (DOGE) ha incumplido la Ley Federal de Modernización de la Seguridad de la Información (FISMA), así como las directrices establecidas por la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA), el Instituto Nacional de Estándares y Tecnología (NIST) y la Ley de Privacidad.
Los miembros del DOGE pidieron que, durante su inspección, sus actividades no se registraran en el sistema. No solo eso, parece que trataron de eliminar sus huellas, desactivando las herramientas de monitoreo y eliminando manualmente los registros de acceso, un comportamiento evasivo que va en contra de los protocolos de seguridad.
Berulis afirmó que el personal del DOGE obtuvo permisos prácticamente ilimitados para acceder a los sistemas de la NLRB, con capacidad para leer, copiar y modificar datos confidenciales. Según Berulis, este nivel de acceso superaba ampliamente lo necesario para extraer métricas, informes de eficiencia u otra información requerida para evaluar la eficacia de la agencia.
También denunció un aumento inusual en la transferencia de datos fuera de la NLRB y varios intentos de acceso al sistema de información desde una dirección IP rusa con credenciales válidas, bloqueados por las políticas de acceso basadas en ubicación. Berulis y su equipo intentaron investigar y notificar a las autoridades, pero enfrentaron obstáculos y amenazas, lo que motivó su denuncia pública.
Los ingenieros de DOGE tuvieron acceso al software, hardware, lenguajes de programación y aplicaciones de la NLRB. También recabaron información acerca de si la NLRB trabaja principalmente en la nube o almacena datos en servidores remotos a los que se puede acceder desde cualquier lugar con las credenciales adecuadas y una tarjeta de acceso de seguridad.
Conclusión
Las agencias gubernamentales tanto en Estados Unidos como en Europa recopilan una gran cantidad de información personal. Proteger nuestra privacidad es un derecho fundamental que puede verse fácilmente vulnerado bajo regímenes autoritarios.
