Una campaña de reconocimiento masivo ha estado explotando la API de GitHub durante meses mediante cuentas fantasma, escáneres automatizados y, en algunos casos, tokens expuestos de usuarios legítimos. Aunque gran parte del tráfico apunta a datos públicos, el patrón detectado por Datadog encendió alertas por su escala, persistencia y por episodios que derivaron en clonación de repositorios y exfiltración de datos.
***
- Datadog identificó más de 50 cuentas fantasma usadas desde al menos octubre de 2025 para enumerar organizaciones, usuarios y repositorios en GitHub.
- La actividad se mezcló con tráfico normal de la API, usando principalmente GraphQL y rutas REST para mapear relaciones, proyectos y accesos.
- En algunos casos, los atacantes también aprovecharon tokens expuestos de usuarios legítimos y lograron exfiltrar datos de organizaciones objetivo.
🚨 Detectan campaña masiva en GitHub 🚨
Más de 50 cuentas fantasma han estado abusando de la API de GitHub desde octubre de 2025.
Utilizan escáneres automatizados y tokens expuestos para recopilar datos de organizaciones y usuarios.
La exfiltración se intensificó,… pic.twitter.com/XXCJDWB70Q
— Diario฿itcoin (@DiarioBitcoin) July 11, 2026
Una campaña prolongada que explotó la visibilidad pública de GitHub
Una campaña de reconocimiento masivo ha estado abusando de la API de GitHub para enumerar de forma sistemática organizaciones, repositorios y cuentas de usuario. La actividad fue reportada por Datadog, que vinculó el patrón con actores de amenazas que operaron durante varios meses.
El núcleo del esquema consistió en el uso de cuentas fantasma registradas hace entre dos y cinco años, pero mantenidas inactivas hasta su reactivación. Según el análisis, estas cuentas fueron integradas en múltiples campañas superpuestas junto con escáneres automatizados, abuso de credenciales filtradas y redes coordinadas de perfiles dormidos.
Aunque las solicitudes observadas estuvieron dirigidas a datos disponibles públicamente, el problema no fue menor. La razón es que ese tráfico se confundía con actividad normal de la plataforma, lo que redujo las señales obvias de alerta para muchos equipos defensivos.
La investigación señaló que una parte importante de la superficie de la API de GitHub puede consultarse sin autenticación. Eso incluye listar repositorios públicos de una organización, revisar seguidores y seguidos de un usuario, enumerar gists, repositorios destacados, membresías de organizaciones y ejecutar consultas GraphQL sobre objetos públicos.
Ese diseño permite que un operador malicioso construya un mapa muy detallado de una organización sin necesidad de vulnerar una cuenta al inicio. En la práctica, puede identificar miembros, proyectos, conexiones y rutas potenciales de acceso antes de intentar una intrusión más agresiva.
El detalle técnico relevante es que esas consultas públicas devuelven respuestas HTTP 200 y no generan señales de fallo de autenticación. Eso hace que el reconocimiento se vea limpio, válido y difícil de distinguir del uso cotidiano que hacen desarrolladores, integraciones y herramientas empresariales.
Cómo operaron las cuentas fantasma y por qué el patrón preocupa a los defensores
Datadog indicó que, desde al menos octubre de 2025, más de 50 cuentas fantasma enviaron tráfico de API como parte de estas tareas de enumeración. La actividad se distribuyó en ráfagas de entre una y tres semanas y alcanzó a múltiples organizaciones.
Las cuentas usaron agentes de usuario con nombres diseñados para parecer herramientas de exfiltración de datos, analítica o paneles de control. Ese detalle importa porque los nombres de agentes de usuario pueden servir como pista para diferenciar actividad administrativa legítima de operaciones encubiertas.
La mayoría de las solicitudes estuvo dirigida al endpoint de GraphQL, mientras que otras se enviaron a rutas REST. Esa combinación ofreció flexibilidad para consultar distintos tipos de objetos públicos y relacionarlos entre sí con menos fricción operativa.
Por sí sola, esta enumeración rara vez concede acceso significativo dentro de una organización. Sin embargo, sí cumple una función crítica de reconocimiento, porque ayuda a priorizar objetivos, descubrir superficies expuestas y perfilar usuarios que podrían ser útiles en fases posteriores.
Para lectores menos familiarizados con el tema, el reconocimiento es la etapa en la que un atacante recopila información antes de intentar comprometer sistemas o cuentas. En ecosistemas de desarrollo como GitHub, ese mapeo puede revelar patrones de colaboración, dependencias internas y activos de alto valor.
El riesgo también crece cuando los atacantes pueden comparar lo que ven en público con otros datos obtenidos por filtraciones previas. Una organización puede no haber expuesto un repositorio privado, pero sí mostrar suficiente contexto público como para facilitar ataques dirigidos contra cuentas con acceso privilegiado.
Del mapeo a la exfiltración: cuando los tokens expuestos abren otra puerta
La investigación también detectó una campaña que estaba usando, de manera inadvertida, tokens expuestos de usuarios legítimos de GitHub. Ese componente cambió la gravedad del caso, porque trasladó el foco desde la observación de datos públicos hacia posibles rutas de compromiso de repositorios privados.
Según Datadog, esa actividad apuntó a rutas de compromiso de repositorios privados desde decenas de cuentas legítimas durante un lapso de varios minutos. Ese patrón sugiere un uso rápido y coordinado de credenciales o tokens que ya habían sido filtrados en otro contexto.
En casos raros, los atacantes fueron más allá del reconocimiento y lograron exfiltrar datos de organizaciones objetivo. También se observó que, en algunos incidentes, la actividad escaló hasta la clonación de repositorios descubiertos durante la fase previa de mapeo.
La clonación de repositorios puede parecer rutinaria dentro de un flujo de desarrollo, pero fuera de contexto se convierte en una señal sensible. Si el repositorio contiene código propietario, configuraciones internas o secretos mal gestionados, el impacto potencial puede ser considerable.
Este punto es especialmente relevante para empresas vinculadas a infraestructura digital, servicios financieros, blockchain o inteligencia artificial. En esos sectores, un repositorio puede contener piezas de software críticas, documentación operativa o integraciones que luego sirven para ataques más amplios.
El hallazgo refuerza una lección repetida en seguridad moderna. Incluso cuando el punto de entrada visible parece limitado a datos públicos, la combinación con credenciales expuestas puede convertir una campaña de reconocimiento en un incidente real de fuga de información.
Qué señales deben buscar las organizaciones en sus registros
Datadog recomendó a los defensores vigilar de cerca posibles eventos de exfiltración desde repositorios privados. También sugirió revisar registros en busca de comportamientos anómalos relacionados con agentes de usuario, así como patrones extraños en su nomenclatura y versionado.
La lógica de esta recomendación es sencilla. Los agentes de usuario, la actividad de eventos y los nombres de los actores pueden ofrecer pistas valiosas sobre actividad no autorizada dentro del entorno de GitHub de una organización.
El problema es que esas pistas solo resultan útiles si el equipo sabe cómo luce el comportamiento normal dentro de su propio entorno. Sin una línea base de uso legítimo, resulta más difícil distinguir entre una integración habitual y una operación de reconocimiento silenciosa.
Por eso se recomienda habilitar la transmisión de registros de auditoría de GitHub y construir una referencia interna de agentes de usuario esperados. Esa práctica facilita la caza proactiva de amenazas y el desarrollo de reglas de detección adaptadas a cada organización.
La firma también planteó que las detecciones genéricas no siempre bastan frente a campañas que se mezclan con tráfico normal. Cuando las solicitudes generan respuestas válidas y consultan objetos públicos, la defensa depende más del contexto acumulado que de una sola alerta evidente.
En términos operativos, esto obliga a mirar secuencias, frecuencia, origen y consistencia del comportamiento. Una sola consulta pública puede ser irrelevante, pero una cadena sostenida de consultas coordinadas desde cuentas antiguas y con agentes de usuario sospechosos merece investigación inmediata.
Implicaciones más amplias para la seguridad del desarrollo
El caso vuelve a poner sobre la mesa una tensión estructural de plataformas como GitHub. La apertura de datos públicos favorece colaboración, visibilidad y reutilización de código, pero también ofrece insumos valiosos para actores maliciosos que saben explotar esa transparencia.
No se trata de un fallo puntual de autenticación en el sentido clásico, sino de un abuso de funciones legítimas a gran escala. Esa diferencia explica por qué la actividad puede mantenerse durante meses sin disparar alarmas comparables a las de un intento de acceso fallido o un exploit conocido.
Para compañías tecnológicas, startups, proyectos Web3 y equipos de infraestructura, la lección es práctica. La superficie pública de desarrollo también es una superficie de inteligencia para potenciales atacantes, y debe ser gestionada con el mismo rigor que otros activos expuestos en internet.
Eso incluye reducir la exposición accidental de tokens, revisar qué metadatos públicos revelan los repositorios y entender cómo se relacionan los miembros de una organización en canales visibles. También implica asumir que el reconocimiento avanzado ya forma parte del ciclo normal de amenaza.
La noticia no afirma que toda organización observada haya sido comprometida, ni que la enumeración pública equivalga por sí misma a una brecha. Lo que sí deja claro es que esta clase de campañas puede preparar el terreno para ataques posteriores con un costo bajo y una huella discreta.
En ese sentido, el informe citado por SecurityWeek ofrece una advertencia concreta para administradores y equipos de seguridad. La visibilidad pública, los tokens expuestos y las cuentas antiguas que parecen olvidadas pueden converger en una misma cadena de riesgo si no existe monitoreo sostenido.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Energía
Acuerdo en EE. UU. busca 3.000 MW con pipeline nuclear de USD $22.500 millones
Energía
Irán rechaza diálogo con EE. UU. y exige garantías sobre Ormuz y sus exportaciones petroleras
Biohacking
Vivani apuesta por un implante de semaglutida para frenar el abandono de los GLP-1
Brasil