Credenciales CISA filtradas en repositorio público de GitHub

En un importante incidente de seguridad que subraya la importancia crítica de una gestión adecuada de las credenciales, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de Estados Unidos ha sufrido una importante violación de credenciales administrativas confidenciales. El investigador de seguridad Brian Krebs informó recientemente que la agencia federal expuso inadvertidamente una colección sustancial de contraseñas de texto plano, claves privadas SSH, tokens de autenticación y otros activos confidenciales de CISA a través de un repositorio GitHub de acceso público. La exposición ha estado activa durante un período prolongado, y la evidencia sugiere que el repositorio permaneció visible al público desde al menos noviembre de 2025.

El descubrimiento de este incidente de exposición de credenciales resalta una brecha preocupante entre las responsabilidades de seguridad que se esperan de una agencia gubernamental de ciberseguridad y las prácticas operativas reales que se emplean. El repositorio en cuestión se denominó "Privado-CISA", lo que demuestra una desconexión irónica entre el propósito previsto (mantener los materiales privados) y el resultado real de hacer que la información confidencial esté disponible públicamente. Desde entonces, el repositorio se desconectó, pero no antes de que actores maliciosos lo descubrieran y lo explotaran durante los meses que permaneció accesible.

La alerta sobre el repositorio comprometido se originó en GitGuardian, una empresa especializada en soluciones de detección de secretos y seguridad de códigos. Guillaume Valadon, investigador de GitGuardian, descubrió el repositorio expuesto a través de las continuas operaciones de escaneo de código público de la compañía. El mecanismo de descubrimiento de Valadon representa el tipo de vigilancia automatizada que identifica fallas de seguridad antes de que los administradores humanos se den cuenta de ellas. Después de descubrir la infracción, Valadon intentó ponerse en contacto directamente con el propietario del repositorio, pero no recibió respuesta de los representantes de CISA con respecto a las credenciales expuestas.

Según la correspondencia entre Valadon y Krebs, la situación se volvió significativamente más preocupante al examinar el historial de confirmaciones del repositorio. La evidencia de los registros de git demuestra que los mecanismos de protección secreta integrados en GitHub (características diseñadas específicamente para evitar que los desarrolladores envíen accidentalmente información confidencial) habían sido desactivados deliberadamente por el administrador del repositorio. Esto sugiere que la violación no fue simplemente un descuido sino más bien una elusión deliberada de las mismas salvaguardas que GitHub proporciona para proteger exactamente contra este tipo de falla de seguridad.

Las implicaciones de esta violación de credenciales de AWS GovCloud son sustanciales para la infraestructura de seguridad federal. Las credenciales expuestas incluían tokens de autenticación para los servicios de AWS GovCloud, lo que significa un posible acceso no autorizado a la infraestructura de la nube utilizada por el gobierno federal. Las claves privadas SSH, si se ven comprometidas, podrían permitir a los atacantes acceder directamente a sistemas remotos. Las contraseñas de texto sin formato almacenadas en repositorios de código fuente representan una violación fundamental de las mejores prácticas de seguridad y crean múltiples vías para el acceso no autorizado a sistemas críticos.

Este incidente plantea serias dudas sobre la cultura de seguridad y las prácticas de capacitación dentro de CISA, una organización que tiene una responsabilidad importante de asesorar a otras agencias federales y entidades del sector privado en asuntos de ciberseguridad. Las propias fallas de seguridad de la organización socavan su credibilidad como autoridad confiable en prácticas de seguridad de infraestructura. Cuando la agencia encargada de proteger la infraestructura crítica de Estados Unidos no puede obtener sus propias credenciales, genera preocupación sobre la eficacia de su orientación a otras organizaciones.

El cronograma de la exposición es particularmente preocupante, ya que las credenciales permanecieron accesibles durante meses antes de ser descubiertas y reportadas. Durante esta ventana, existieron múltiples oportunidades para que diversos actores de amenazas, desde piratas informáticos individuales hasta sofisticadas entidades de estados-nación, accedieran y explotaran los secretos expuestos. El alcance real de la infracción sigue sin estar claro, ya que es muy difícil determinar si las credenciales fueron descubiertas y utilizadas por partes no autorizadas.

Las funciones de protección secreta de GitHub, que se desactivaron en este caso, funcionan como una última línea de defensa crítica contra errores de credenciales de desarrollador. Estas protecciones alertan a los usuarios cuando intentan cometer ciertos patrones comúnmente asociados con secretos, como claves de AWS, claves criptográficas privadas o tokens de autenticación. Al deshabilitar estas protecciones, el administrador del repositorio eliminó una protección fundamental diseñada específicamente para escenarios donde la vigilancia humana podría fallar.

El incidente ejemplifica un patrón más amplio de fallas de seguridad en las prácticas tecnológicas gubernamentales. A pesar de una importante inversión en infraestructura de ciberseguridad y el establecimiento de agencias especializadas como CISA, a veces se pasan por alto o se eluden activamente las medidas de seguridad operativas básicas. Esta brecha entre las responsabilidades de seguridad y las prácticas de seguridad reales representa un desafío continuo para los programas federales de seguridad de la información.

En respuesta a la divulgación, CISA ha eliminado el repositorio comprometido del acceso público. Sin embargo, la naturaleza prolongada de la exposición significa que cualquier credencial contenida en ella puede estar ya comprometida y requerir una rotación inmediata. Las organizaciones que manejan credenciales de manera similar enfrentan riesgos comparables, y este incidente sirve como advertencia sobre los peligros de deshabilitar las protecciones de seguridad diseñadas para prevenir exactamente este tipo de fallas.

La comunidad de seguridad en general ha enfatizado la importancia de tratar la gestión de secretos con la mayor seriedad. Se deben utilizar variables de entorno, archivos de configuración y sistemas de gestión secretos para mantener las credenciales separadas del código fuente. Además, los principios de privilegio mínimo garantizan que, incluso si las credenciales se ven comprometidas, el daño potencial se minimice mediante permisos de acceso restringido.

Este incidente refuerza la necesidad crítica de que las organizaciones en todos los niveles de gobierno e industria mantengan prácticas de seguridad rigurosas, incluidas auditorías periódicas de los controles de acceso al repositorio, desactivación de mecanismos de protección de seguridad y prácticas de gestión de credenciales. Las consecuencias de no seguir estas prácticas básicas de higiene de seguridad pueden ser graves, especialmente para las organizaciones responsables de proteger intereses críticos de seguridad de infraestructura nacional.