Credenciales secretas de agencia de ciberseguridad de EE.UU. quedan expuestas en repositorio público de GitHub

Qué pasó

El investigador de ciberseguridad Brian Krebs reveló que un repositorio público en GitHub, denominado 'Private-CISA', expuso un volumen significativo de credenciales sensibles de la Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA, por sus siglas en inglés) desde noviembre de 2025.

El repositorio contenía contraseñas en texto plano, claves privadas SSH, tokens de acceso y otros activos sensibles de la agencia. Guillaume Valadon, investigador de la empresa GitGuardian, detectó el repositorio a través de un escaneo de código público y alertó a Krebs después de no recibir respuesta del administrador del repositorio.

Según Valadon, los registros de commits del repositorio indican que las protecciones predeterminadas de GitHub, diseñadas para evitar la subida accidental de credenciales, fueron desactivadas deliberadamente por el administrador del repositorio.

Philippe Caturegli, fundador de Seralys, verificó la autenticidad de las credenciales y logró acceder a múltiples cuentas de Amazon Web Services GovCloud con un nivel elevado de privilegios, descartando que se tratara de un engaño o simulación.

El repositorio parecía ser gestionado por Nightwing, una empresa contratista de CISA con sede en Virginia. Nightwing ha remitido las consultas a CISA sin emitir declaraciones públicas sobre el incidente.

Contexto

Este incidente se suma a una serie de fallos de seguridad documentados en CISA durante 2025. En enero de este año, el entonces director en funciones de la agencia, Madhu Gottumukkala, subió documentos gubernamentales sensibles a ChatGPT tras obtener una exención a la política interna que prohibía el uso de dicha herramienta. Gottumukkala fue removido de su cargo en febrero tras no superar una prueba de polígrafo.

La exposición de credenciales en repositorios de código es un problema recurrente en la industria tecnológica. Herramientas como GitGuardian se especializan en monitorear repositorios públicos para detectar filtraciones accidentales de claves y tokens, un riesgo que afecta tanto a startups como a grandes corporaciones.

GitHub incorporó mecanismos de protección que alertan a los desarrolladores cuando detectan que están subiendo credenciales. Sin embargo, estos controles pueden ser desactivados por los administradores de los repositorios, lo que elimina una capa importante de seguridad.

El uso de servicios en la nube como Amazon Web Services GovCloud, diseñado específicamente para cargas de trabajo gubernamentales, requiere protocolos de manejo de credenciales particularmente estrictos. La filtración de credenciales con altos privilegios en estos entornos representa un riesgo significativo para la infraestructura crítica de un país.

Impacto para empresas chilenas

Para las empresas y pymes chilenas, este incidente subraya la importancia de implementar políticas rigurosas de gestión de credenciales en entornos de desarrollo. La exposición accidental de claves de acceso en repositorios de código es un riesgo que afecta a organizaciones de cualquier tamaño, incluyendo aquellas que operan en el mercado local.

Las empresas chilenas que utilizan servicios en la nube como AWS, Google Cloud o Microsoft Azure deben asegurarse de que sus equipos de desarrollo cuenten con capacitación adecuada sobre prácticas seguras de manejo de credenciales. El uso de herramientas de monitoreo de repositorios y la activación de controles de seguridad predeterminados en plataformas como GitHub son medidas fundamentales.

El ecosistema de startups y pymes tecnológicas en Chile, que ha crecido significativamente en los últimos años, debe considerar la ciberseguridad como una prioridad estratégica. Un solo incidente de exposición de credenciales puede comprometer datos de clientes, propiedad intelectual y la reputación de la empresa.

Adicionalmente, las regulaciones de protección de datos en Chile exigen a las empresas implementar medidas de seguridad adecuadas. La exposición de credenciales de acceso a sistemas que contienen datos personales podría resultar en sanciones y responsabilidades legales para las organizaciones locales.

Qué sigue

El incidente plantea serias interrogantes sobre los protocolos de seguridad de las agencias gubernamentales de Estados Unidos y sus contratistas. Es probable que CISA implemente revisiones más estrictas sobre cómo sus contratistas gestionan las credenciales y el código

A nivel global, este tipo de incidentes refuerza la necesidad de adoptar frameworks de seguridad como 'zero trust' y gestión de identidad y acceso más robustos. Las empresas tecnológicas y de servicios en la nube probablemente intensificarán el desarrollo de herramientas automatizadas para la detección y prevención de filtraciones de credenciales en repositorios de código.