Por Canuto  

La agencia de ciberseguridad de Estados Unidos enfrenta preguntas incómodas luego de que un repositorio público administrado por un contratista dejara expuestas contraseñas, tokens y claves de AWS GovCloud con altos privilegios, en un incidente que especialistas califican como uno de los más graves de los últimos años.

***

  • Un repositorio público en GitHub llamado “Private-CISA” expuso credenciales, tokens, claves de nube y contraseñas en texto plano.
  • Investigadores dijeron que algunas claves seguían siendo válidas y permitían autenticarse en tres cuentas de AWS GovCloud con altos privilegios.
  • CISA aseguró que investiga el caso y afirmó que, por ahora, no hay indicios de compromiso de datos sensibles derivados del incidente.

 

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos, conocida como CISA, quedó en el centro de una controversia tras la exposición pública de credenciales sensibles que daban acceso a sistemas internos y recursos de nube gubernamental.

El incidente habría sido detectado por un investigador de seguridad que encontró tokens, claves y contraseñas en texto plano dentro de un repositorio abierto en GitHub.

La revelación resulta especialmente delicada porque CISA es el organismo encargado de coordinar y fortalecer la ciberseguridad en la red civil federal de Estados Unidos. También es una de las entidades que más insiste en buenas prácticas como el uso de gestores de contraseñas, la rotación de credenciales y la prohibición de almacenar secretos críticos en archivos sin protección.

De acuerdo con lo reportado por TechCrunch y por el periodista de seguridad Brian Krebs, el repositorio estaba administrado por un empleado que trabajaba para un contratista de CISA. Aunque el error se atribuye a un tercero, la responsabilidad final sobre la seguridad de los sistemas y los entornos de trabajo asociados recae sobre la propia agencia.

Qué fue lo que quedó expuesto

El repositorio señalado se llamaba “Private-CISA” y, según los investigadores que revisaron el contenido, almacenaba una gran cantidad de materiales sensibles. Entre ellos figuraban claves de nube, tokens de acceso, contraseñas en texto plano, registros internos y archivos relacionados con el desarrollo, prueba y despliegue de software dentro de CISA y del Departamento de Seguridad Nacional, o DHS.

Guillaume Valadon, investigador de GitGuardian, dijo que detectó la exposición mientras su empresa escaneaba repositorios públicos en busca de secretos filtrados. Según explicó, decidió elevar la alerta debido a que la información visible era altamente sensible y el responsable del entorno de GitHub no respondió a los avisos iniciales enviados por la firma.

Valadon describió el caso como un ejemplo extremo de mala higiene de seguridad. Según su relato, en el historial de commits del repositorio aparecía incluso que el administrador había desactivado una configuración predeterminada de GitHub que ayuda a impedir la publicación de claves SSH y otros secretos en repositorios públicos.

Entre los archivos expuestos se mencionó uno llamado “importantAWStokens”, que incluía credenciales administrativas de tres servidores de Amazon AWS GovCloud. Otro archivo, “AWS-Workspace-Firefox-Passwords.csv”, listaba nombres de usuario y contraseñas en texto plano para decenas de sistemas internos de CISA.

Investigadores validaron parte de las claves

La gravedad del caso aumentó porque algunos especialistas comprobaron que varias de las credenciales no eran meramente históricas o de prueba. Valadon indicó que verificó algunas claves para confirmar que seguían siendo válidas, antes de intentar que la exposición fuera atendida por los responsables.

Philippe Caturegli, fundador de la consultora Seralys, también revisó parte del material y dijo que pudo autenticar las credenciales filtradas en tres cuentas de AWS GovCloud con un alto nivel de privilegios. En su análisis, el repositorio no parecía un proyecto corporativo ordenado, sino más bien un espacio usado por una sola persona como bloc de trabajo o mecanismo de sincronización.

Caturegli indicó además que los metadatos del repositorio mostraban el uso tanto de una dirección de correo asociada a CISA como de una dirección personal. Aun así, advirtió que esos metadatos, por sí solos, no permiten demostrar qué endpoint o dispositivo fue utilizado para subir el material al repositorio.

Otro elemento que encendió las alarmas fue la presencia de credenciales para el “artifactory” interno de CISA, que funciona esencialmente como repositorio de los paquetes de código usados para construir software. Según Caturegli, ese tipo de activo podría ser especialmente valioso para un actor malicioso interesado en insertar puertas traseras y conseguir persistencia en futuros despliegues internos.

Por qué este incidente es tan sensible

En el ámbito de ciberseguridad, la exposición de secretos en repositorios públicos es un riesgo conocido. Sin embargo, el impacto potencial se multiplica cuando los accesos comprometidos pertenecen a una agencia gubernamental que protege infraestructura crítica y coordina respuesta ante incidentes en todo el aparato civil federal.

Los sistemas mencionados en los archivos incluyen uno identificado como “LZ-DSO”, que aparentemente alude a “Landing Zone DevSecOps”, un entorno seguro para desarrollo de código. Si esa interpretación es correcta, la filtración no solo habría expuesto credenciales operativas, sino también pistas relevantes sobre la arquitectura interna y los procesos con que la agencia construye y despliega herramientas de software.

Especialistas consultados por Krebs on Security llegaron a calificar la exposición como una de las filtraciones de datos gubernamentales más graves de la historia reciente. Esa apreciación se apoya no solo en el volumen del material, sino en la combinación de accesos privilegiados, contraseñas en texto plano y documentación interna que podría facilitar movimientos laterales dentro de la infraestructura tecnológica afectada.

Hasta ahora, no está claro si alguien más, aparte de los investigadores que dieron la alerta, llegó a encontrar o utilizar las credenciales expuestas. Ese punto es crucial porque los repositorios públicos pueden ser indexados, replicados o monitoreados por actores automatizados en cuestión de minutos, lo que dificulta descartar por completo un abuso previo.

La respuesta de CISA y el contexto institucional

Ante consultas de prensa, un portavoz de CISA dijo que la agencia está al tanto de la exposición y que sigue investigando la situación. Según esa declaración, por ahora no existen indicios de que datos sensibles hayan sido comprometidos como resultado del incidente, aunque la revisión continuaba al momento de publicarse los reportes.

La agencia añadió que exige a los miembros de su equipo los más altos estándares de integridad y conocimiento operativo, y que trabaja para implementar salvaguardas adicionales con el fin de evitar hechos similares en el futuro. Sin embargo, no hubo una respuesta pública inmediata sobre si todas las credenciales ya habían sido revocadas y reemplazadas tras la exposición.

El episodio también ocurre en un momento complejo para CISA desde el punto de vista organizacional. TechCrunch recordó que la agencia no cuenta con un director permanente desde el 20 de enero de 2025, cuando la entonces directora Jen Easterly dejó el cargo antes del inicio de la administración entrante de Donald Trump.

Además, CISA habría perdido alrededor de un tercio de su fuerza laboral debido a recortes, licencias y despidos desde la llegada de Trump al poder. Aunque los reportes no establecen un vínculo directo entre esa situación y la exposición en GitHub, el contexto alimenta preguntas sobre supervisión, continuidad operativa y capacidad interna para aplicar controles rigurosos en toda la cadena de contratistas.

Lecciones para el ecosistema de seguridad

El caso vuelve a poner sobre la mesa un problema recurrente en organizaciones públicas y privadas: la brecha entre las políticas de seguridad escritas y las prácticas reales de los equipos. Desactivar controles automáticos de detección de secretos, usar repositorios públicos como almacenamiento improvisado y guardar contraseñas en archivos CSV son fallos básicos, pero sus consecuencias pueden ser enormes cuando afectan entornos críticos.

Para sectores como blockchain, fintech e infraestructura digital, el incidente ofrece una advertencia clara. La seguridad no depende solo de cifrado, firewalls o controles de acceso avanzados. También exige disciplina operativa cotidiana, inventario de credenciales, monitoreo de repositorios y una gestión estricta de terceros con acceso a sistemas sensibles.

En este caso, la ironía resulta difícil de ignorar. La agencia que asesora a otras entidades sobre cómo proteger sus sistemas terminó expuesta por una cadena de malas prácticas que justamente busca prevenir. Aunque CISA sostiene que no hay evidencia actual de daño derivado del incidente, la mera posibilidad de acceso no autorizado ya representa un revés reputacional considerable.

Queda por ver si la investigación interna logra determinar cuánto tiempo permanecieron visibles las credenciales, quién pudo haber accedido a ellas y qué cambios concretos aplicará la agencia para reducir el riesgo de repetición. Por ahora, el incidente se perfila como un recordatorio incómodo de que incluso las instituciones encargadas de la defensa digital pueden fallar en lo más elemental.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público

Este artículo fue escrito por un redactor de contenido de IA

 


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín

Artículos Relacionados