Controversias sobre la nube Microsoft GCC High en el Departamento de Justicia y las posteriores transiciones de personal

La polémica ha rodeado la implementación del servicio en la nube Microsoft Government Community Cloud (GCC) High dentro del Departamento de Justicia (DOJ). Esta situación se ha visto agravada por el posterior traslado de altos cargos del DOJ a puestos directivos dentro de Microsoft. Aunque la decisión inicial de desplegar GCC High se tomó a principios de 2020, los auditores federales ya habían manifestado en aquel momento serias dudas sobre la documentación de seguridad y los posibles conflictos de intereses que este despliegue podría generar.

La tensión alcanzó un punto crítico tras un incidente de seguridad en 2023, cuando piratas informáticos chinos, respaldados por el estado, lograron vulnerar el sistema y comprometer los correos electrónicos de altos funcionarios gubernamentales. Se ha informado que el proceso de autorización de GCC High, que representaba miles de millones de dólares en ingresos potenciales para Microsoft, estuvo marcado por fuertes presiones externas. Tanto representantes de Microsoft como líderes del DOJ habrían presionado a los auditores federales para obtener el visto bueno del sistema.

En una reunión clave celebrada en diciembre de 2023, John Bergin, representante de Microsoft, instó a los auditores a aceptar las credenciales de GCC, contando con el apoyo de Melinda Rogers, entonces Directora de Información (CIO) del DOJ, quien criticó abiertamente la labor de los auditores. Eric Mill, exejecutivo de la GSA, señaló que la actitud de Rogers hacia la posición de Microsoft planteaba serios interrogantes sobre el cumplimiento de las normas éticas. Los auditores federales denunciaron repetidamente que Microsoft no proporcionó información suficiente sobre sus protocolos de seguridad, destacando vulnerabilidades de red y conflictos de intereses con terceros.

Tras el hackeo de 2023, los auditores incluso amenazaron con detener el proceso de certificación. A pesar de que los revisores de FedRAMP concluyeron a finales de 2024 que existía una "falta de confianza" en la evaluación de la seguridad general del sistema, GCC High recibió la autorización final, debido a que varias agencias federales ya dependían de la plataforma. El programa FedRAMP es el estándar encargado de evaluar y autorizar la seguridad de los productos en la nube para las agencias federales, garantizando un marco de gestión de riesgos uniforme.

Las transiciones de carrera de los implicados han generado un intenso debate sobre la ética profesional. Melinda Rogers, tras dejar su cargo como CIO, se incorporó en 2025 como socia en la división de soluciones de nube corporativa de Microsoft. Por su parte, Lisa Monaco, ex fiscal general adjunta, asumió la presidencia de asuntos globales de Microsoft a mediados de 2025. Microsoft ha defendido estos nombramientos asegurando que ambas cumplieron con todos los estándares regulatorios y que no hubo relación entre sus funciones públicas y su contratación privada. Sin embargo, en 2025 se reveló que Microsoft empleó a ingenieros de China en sistemas del Departamento de Defensa (DoD), lo que obligó al DoD a endurecer sus requisitos de seguridad bajo la normativa DFARs 7012. Estos eventos coincidieron con la petición del expresidente Trump de destituir a Lisa Monaco a finales de 2025.

De cara a 2026, el Departamento de Justicia mantiene una postura agresiva en cuanto al cumplimiento de la ciberseguridad, utilizando herramientas legales como la Ley de Falsas Reclamaciones. Los hechos ocurridos subrayan la preocupación constante por la supervisión de los grandes proveedores de servicios en la nube que gestionan datos gubernamentales sensibles. Además, ponen de relieve el fenómeno de la "puerta giratoria", donde altos funcionarios pasan a trabajar para las mismas empresas que anteriormente regulaban. Cabe recordar que Microsoft ya se había enfrentado legalmente al DOJ en el pasado por la privacidad de los datos, acusando al gobierno de utilizar leyes obsoletas para investigaciones secretas.