Filtración de claves de CISA: 844 MB expuestos en GitHub

Filtración de claves de CISA en GitHub: un contratista de Nightwing subió por error 844 MB de datos al repositorio público equivocado. Además, entre los archivos expuestos había contraseñas en texto plano, tokens de credenciales y, lo más grave, claves de administrador para entornos AWS GovCloud que la agencia federal estadounidense de ciberseguridad utiliza para operaciones sensibles.

Lo que se sabe sobre la filtración de claves de CISA

Por su parte, el repositorio permaneció accesible durante meses antes de la notificación a la agencia, según el reporte original de Krebs on Security. Una vez avisada, CISA tardó cerca de 48 horas en rotar las credenciales comprometidas y, en ese intervalo, las claves seguían funcionando. Asimismo, un senador estadounidense ha solicitado un briefing clasificado para entender el alcance real del incidente.

No obstante, el detalle clave no es solo que las claves se filtraron, sino que sobrevivieron a la notificación. De hecho, la ventana entre «sabemos que están expuestas» y «ya no son válidas» es donde un atacante con monitorización de GitHub puede ganar acceso permanente vía cuentas IAM secundarias, roles asumidos o snapshots de datos.

Por qué la filtración de claves de CISA importa para cualquier empresa

Aun así, la lección no es sobre CISA. Es sobre cualquier organización que confíe en contratistas, repositorios públicos y procesos manuales de revisión. En este sentido, la filtración de claves de CISA simplemente expone, en formato titular, lo que ocurre todos los días en miles de empresas más pequeñas y con menor visibilidad.

Además, el patrón se repite: un contratista clona un repositorio interno en su cuenta personal, sube cambios sin revisar el contenido y un archivo de configuración con credenciales reales viaja con él. Por lo tanto, los sistemas de detección de secretos detectan el problema, pero ya es tarde. Para profundizar, explora más artículos sobre seguridad cloud en nuestro blog.

Controles que sí evitan este tipo de incidente

En consecuencia, estos controles son aplicables tanto a equipos pequeños como a organizaciones reguladas:

• Push protection de GitHub habilitado a nivel organización para bloquear el push de patrones de secretos antes de que salgan del laptop.
• Credenciales efímeras con OIDC y roles asumibles en lugar de claves de acceso de larga vida en AWS, GCP o Azure.
• Bóvedas centralizadas (Vault, AWS Secrets Manager, GCP Secret Manager) en lugar de archivos .env versionados.
• Auditoría continua de repositorios con herramientas como TruffleHog o Gitleaks, integrada en CI y con escaneo retroactivo.
• Plan de rotación medido en minutos, no en días, con automatización para invalidar credenciales en cuanto se detecte la exposición.

Finalmente, que la propia agencia estadounidense de ciberseguridad caiga en este patrón es un recordatorio incómodo: la higiene de secretos no es un problema técnico difícil, es un problema operativo. Por ello, la filtración de claves de CISA debería ser la última alerta antes de revisar tu propio inventario de credenciales.

Recuerda que estaremos publicando constantemente en nuestro blog más contenido sobre tecnología.

Puedes encontrarnos en Facebook y LinkedIn para más contenido relacionado con seguridad en internet y muchos temas más.

Fuentes: Krebs on Security, SC World — Briefing clasificado.