Una reciente purga de personal y liderazgo de TI en el Departamento de Salud y Servicios Humanos (HHS) ha dejado la infraestructura de TI y ciberseguridad del sistema de salud de EE. UU. vulnerable a un posible colapso, según cuatro trabajadores actuales y anteriores de la agencia. Esta situación pone en riesgo importantes cantidades de datos de salud pública, incluidos registros de salud sensibles e información de ensayos clínicos.
El sistema de salud de EE. UU. enfrenta un posible colapso de la ciberseguridad y la infraestructura de TI, según múltiples empleados actuales y anteriores del Departamento de Salud y Servicios Humanos (HHS) que hablaron con WIRED. Esta crisis se deriva de una reducción significativa de la fuerza laboral (RIF) dentro de la Oficina del Director de Información (OCIO), lo que genera preocupaciones sobre la seguridad de los datos de salud confidenciales.
Específicamente, la RIF ha resultado en la salida de personal responsable de supervisar y renovar contratos críticos de servicios empresariales. Estos contratos son esenciales para mantener la seguridad de vastos conjuntos de datos de salud pública, incluidos los registros de salud confidenciales de millones de estadounidenses y datos de ensayos clínicos. La pérdida de esta experiencia, combinada con un vacío de liderazgo, ha hecho sonar las alarmas entre el personal restante.
Una de las consecuencias más inmediatas de la RIF es la posible interrupción de la gestión de contratos. Un equipo purgado del HHS administraba más de cien contratos por valor de cientos de millones de dólares, incluidas licencias cruciales de ciberseguridad. Este equipo también se encargaba de la renovación de contratos para cientos de contratistas especializados que realizan tareas críticas para el departamento. Los contratos de contratistas críticos de ciberseguridad, incluidos los del Centro de Respuesta a Incidentes de Seguridad Informática (CSIRC), vencen el 21 de junio, y existe incertidumbre sobre quién está autorizado para renovarlos.
El CSIRC, el centro neurálgico de ciberseguridad del departamento, es particularmente vulnerable. Es el componente principal del programa general de ciberseguridad del departamento y es responsable de prevenir, detectar, informar y responder a incidentes de ciberseguridad. El CSIRC, con sede en Atlanta, monitorea toda la red del HHS y tiene enlaces directos con el Departamento de Seguridad Nacional, la Agencia de Ciberseguridad y Seguridad de la Infraestructura, la Agencia de Salud de la Defensa y la comunidad de inteligencia. Los contratistas brindan cobertura las 24 horas del día, los siete días de la semana, en tres turnos de ocho horas todos los días, monitoreando la red en busca de posibles interrupciones o ataques desde dentro o fuera de la red.
Además, la decisión de la Administración de Servicios Generales de rescindir el contrato de arrendamiento del CSIRC en Atlanta, con vigencia el 31 de diciembre de 2025, se suma a la creciente amenaza. Muchas de las herramientas de ciberseguridad y monitoreo que los contratistas utilizan para monitorear las redes también deben renovarse en los próximos meses.
El impacto potencial de esta situación es grave. Según fuentes, el departamento podría volverse completamente vulnerable a actores externos, exponiendo potencialmente las bases de datos más grandes del mundo que contienen información de salud pública, información confidencial de ensayos clínicos de pruebas de drogas y registros de salud mental. Las fuentes advierten que si la situación no se aborda, las consecuencias podrían ser catastróficas.
A las preocupaciones se suma la percibida falta de liderazgo y orientación de la nueva dirección. En las semanas previas a la RIF, algunos miembros del personal administrativo tuvieron interacciones con los llamados operativos del Departamento de Eficiencia Gubernamental (DOGE) de Elon Musk, incluido Clark Minor, un ingeniero de software que trabajó en Palantir durante más de una década y que recientemente fue nombrado director de información del departamento. Un empleado declaró que Minor parecía abrumado por la gran escala del HHS. Según dos fuentes que aún trabajan en la agencia, Minor no ha proporcionado orientación al personal restante del HHS sobre la transición.
Los trabajadores actuales del HHS informan que los sistemas internos ya están comenzando a fallar. Un empleado, que facilita los viajes de los empleados del HHS, dice que la RIF “retrasó los viajes federales a procesos que estaban vigentes antes del primer contrato del Sistema de Viajes Electrónicos en 2004”.
El portavoz del HHS, sin embargo, niega las afirmaciones. Afirman que las operaciones esenciales, incluida la gestión de contratos y la supervisión de la ciberseguridad, permanecen dotadas de personal y son funcionales. También descartan las preocupaciones como “rumores infundados” difundidos por exempleados.
A pesar de las afirmaciones del portavoz del HHS, múltiples fuentes, tanto empleados actuales como anteriores, coinciden en que, sin intervención, la infraestructura de TI y ciberseguridad del departamento podría colapsar en las próximas semanas. Las fuentes enfatizan la falta de un plan de transición y la ausencia de liderazgo tanto de los designados políticos como de los operativos de DOGE. Una fuente declaró: “Este barco no tiene capitán en absoluto, y yo estoy tocando en la banda mientras el Titanic se hunde”. Otra fuente advirtió que si el sistema de salud de EE. UU. perdiera la funcionalidad de CMS, FDA, NIH y CDC indefinidamente sin previo aviso, y no hubiera sistemas de respaldo disponibles, esto sería un choque sistémico sin precedentes.
El Departamento de Salud y Servicios Humanos enfrenta un posible colapso de TI y ciberseguridad debido a recientes purgas de personal, lo que deja vulnerables sistemas críticos y vastos conjuntos de datos de salud sensibles. Con contratos clave que expiran y falta de liderazgo, los expertos advierten sobre consecuencias catastróficas para el sistema de salud estadounidense, exigiendo una intervención inmediata para evitar el desastre.
Leave a Reply