Ciberseguridad

Filtración masiva: empleado de CISA expuso credenciales críticas en GitHub

EL Suinda

2 min read

Imaginá que alguien deja las llaves de tu casa en la puerta de entrada, expuestas a cualquiera que pase por la calle. Bueno, eso es exactamente lo que pasó con la Cybersecurity & Infrastructure Security Agency (CISA), la agencia de ciberseguridad más importante de Estados Unidos. Y no es un ejemplo teórico: durante meses, un repositorio público en GitHub contenía las credenciales más sensibles de sus sistemas internos.

¿Qué pasó?

Un contratista que trabajaba para CISA mantiene un repositorio público en GitHub donde, sin darse cuenta, expuso credenciales de acceso a cuentas altamente privilegiadas de AWS GovCloud (la nube de AWS destinada exclusivamente a agencias gubernamentales estadounidenses). El archivo también contenía información detallada sobre cómo CISA construye, prueba e implementa software internamente.

El descubrimiento recién se hizo público este fin de semana, pero el repositorio estuvo accesible públicamente durante un tiempo considerable. Esto significa que potencialmente cualquier persona —desde un ciberdelincuente común hasta un actor de estado-nación— podría haber accedido a esta información y, lo más grave, utilizar esas credenciales para infiltrarse en sistemas críticos de seguridad estadounidenses.

Según expertos en seguridad citados por Krebs on Security, se trata de uno de los mayores filtrado de datos gubernamentales de los últimos años. No estamos hablando de información clasificada sobre operaciones encubiertas, sino de algo potencialmente más peligroso: las herramientas y métodos internos que usa la agencia responsable de proteger la infraestructura crítica de un país.

¿Por qué importa en Argentina y América Latina?

Aunque CISA es una agencia estadounidense, sus políticas y estándares de seguridad influyen directamente en cómo se estructura la defensa cibernética a nivel global. Muchos de los organismos de ciberseguridad en América Latina siguen lineamientos similares o se basan en frameworks que CISA ayuda a desarrollar y promover.

Además, este incidente revela una vulnerabilidad crítica que es relevante para gobiernos e instituciones de toda la región: la negligencia humana en la gestión de credenciales sigue siendo uno de los mayores riesgos de seguridad, incluso en las organizaciones más sofisticadas. Si le pasó a CISA, ¿qué garantías tenemos de que nuestras instituciones públicas en Argentina y la región están mejor protegidas?

¿Qué se recomienda?

Para organizaciones de cualquier tamaño en la región:

  • Auditoría inmediata de repositorios: Si tu equipo usa GitHub, GitLab u otras plataformas, revisá todos los repositorios (públicos y privados) en busca de credenciales, claves API o información sensible que haya sido commiteada accidentalmente.
  • Implementá secretos seguros: Usá herramientas como AWS Secrets Manager, HashiCorp Vault o soluciones similares para gestionar credenciales. Jamás deberían estar en el código o en repositorios de versionado.
  • Rotación de credenciales: Si considerás que tus credenciales pueden estar comprometidas, cambialas inmediatamente. En este caso, CISA debería estar rotando todas las claves de AWS GovCloud de emergencia.
  • Capacitación en seguridad: Los desarrolladores y administradores necesitan entrenamiento continuo sobre qué información nunca debe versionarse y por qué.
  • Pre-commit hooks y scanning: Implementá herramientas automáticas que detecten patrones de credenciales antes de que se haga commit (como TruffleHog o GitGuardian).
  • Monitoreo de acceso: Activá logging y alertas en tus servicios cloud para detectar accesos inusuales que podrían indicar uso no autorizado de credenciales filtradas.

Fuente: Krebs on Security

Read more