Credenciales secretas de agencia de ciberseguridad de EE.UU. quedan expuestas en repositorio público de GitHub

Qué pasó
El investigador de ciberseguridad Brian Krebs reveló que un repositorio público en GitHub, denominado 'Private-CISA', expuso un volumen significativo de credenciales sensibles de la Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA, por sus siglas en inglés) desde noviembre de 2025.
El repositorio contenía contraseñas en texto plano, claves privadas SSH, tokens de acceso y otros activos sensibles de la agencia. Guillaume Valadon, investigador de la empresa GitGuardian, detectó el repositorio a través de un escaneo de código público y alertó a Krebs después de no recibir respuesta del administrador del repositorio.
Según Valadon, los registros de commits del repositorio indican que las protecciones predeterminadas de GitHub, diseñadas para evitar la subida accidental de credenciales, fueron desactivadas deliberadamente por el administrador del repositorio.
Philippe Caturegli, fundador de Seralys, verificó la autenticidad de las credenciales y logró acceder a múltiples cuentas de Amazon Web Services GovCloud con un nivel elevado de privilegios, descartando que se tratara de un engaño o simulación.
El repositorio parecía ser gestionado por Nightwing, una empresa contratista de CISA con sede en Virginia. Nightwing ha remitido las consultas a CISA sin emitir declaraciones públicas sobre el incidente.
Contexto
Este incidente se suma a una serie de fallos de seguridad documentados en CISA durante 2025. En enero de este año, el entonces director en funciones de la agencia, Madhu Gottumukkala, subió documentos gubernamentales sensibles a ChatGPT tras obtener una exención a la política interna que prohibía el uso de dicha herramienta. Gottumukkala fue removido de su cargo en febrero tras no superar una prueba de polígrafo.
La exposición de credenciales en repositorios de código es un problema recurrente en la industria tecnológica. Herramientas como GitGuardian se especializan en monitorear repositorios públicos para detectar filtraciones accidentales de claves y tokens, un riesgo que afecta tanto a startups como a grandes corporaciones.
GitHub incorporó mecanismos de protección que alertan a los desarrolladores cuando detectan que están subiendo credenciales. Sin embargo, estos controles pueden ser desactivados por los administradores de los repositorios, lo que elimina una capa importante de seguridad.
El uso de servicios en la nube como Amazon Web Services GovCloud, diseñado específicamente para cargas de trabajo gubernamentales, requiere protocolos de manejo de credenciales particularmente estrictos. La filtración de credenciales con altos privilegios en estos entornos representa un riesgo significativo para la infraestructura crítica de un país.
Impacto para empresas chilenas
Para las empresas y pymes chilenas, este incidente subraya la importancia de implementar políticas rigurosas de gestión de credenciales en entornos de desarrollo. La exposición accidental de claves de acceso en repositorios de código es un riesgo que afecta a organizaciones de cualquier tamaño, incluyendo aquellas que operan en el mercado local.
Las empresas chilenas que utilizan servicios en la nube como AWS, Google Cloud o Microsoft Azure deben asegurarse de que sus equipos de desarrollo cuenten con capacitación adecuada sobre prácticas seguras de manejo de credenciales. El uso de herramientas de monitoreo de repositorios y la activación de controles de seguridad predeterminados en plataformas como GitHub son medidas fundamentales.
El ecosistema de startups y pymes tecnológicas en Chile, que ha crecido significativamente en los últimos años, debe considerar la ciberseguridad como una prioridad estratégica. Un solo incidente de exposición de credenciales puede comprometer datos de clientes, propiedad intelectual y la reputación de la empresa.
Adicionalmente, las regulaciones de protección de datos en Chile exigen a las empresas implementar medidas de seguridad adecuadas. La exposición de credenciales de acceso a sistemas que contienen datos personales podría resultar en sanciones y responsabilidades legales para las organizaciones locales.
Qué sigue
El incidente plantea serias interrogantes sobre los protocolos de seguridad de las agencias gubernamentales de Estados Unidos y sus contratistas. Es probable que CISA implemente revisiones más estrictas sobre cómo sus contratistas gestionan las credenciales y el código
A nivel global, este tipo de incidentes refuerza la necesidad de adoptar frameworks de seguridad como 'zero trust' y gestión de identidad y acceso más robustos. Las empresas tecnológicas y de servicios en la nube probablemente intensificarán el desarrollo de herramientas automatizadas para la detección y prevención de filtraciones de credenciales en repositorios de código.
Artículos Relacionados

Agencia de ciberseguridad de Estados Unidos advierte sobre fallas activas en SharePoint Server
La Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) emitió una alerta tras detectar la explotación activa de tres vulnerabilidades en instancias locales de Microsoft SharePoint Server. Las fallas permiten a los atacantes eludir la autenticación, ejecutar código en forma remota y desplegar software malicioso en sistemas comprometidos. La autoridad estadounidense urgió a los equipos de seguridad a aplicar los parches publicados por Microsoft y a reforzar las medidas de monitoreo en los servidores expuestos a Internet.

Gobierno de Estados Unidos advierte que hackers estatales rusos apuntan a routers de hogares y oficinas
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) emitio una alerta internacional sobre operaciones del Centro 16 del Servicio Federal de Seguridad ruso (FSB) que comprometen routers a nivel global. La advertencia, copatrocinada por gobiernos de Australia, Dinamarca, Nueva Zelanda y Reino Unido, indica que los dispositivos son empleados como nodos de retransmision para ocultar ataques contra infraestructura critica. Sectores como defensa, energia, servicios financieros y gobierno figuran entre los blancos principales. Usuarios y empresas son instados a revisar la configuracion de sus equipos y aplicar las actualizaciones de software de dispositivo disponibles.

Cadena minorista Lidl confirma filtración de datos tras ataque a proveedor tecnológico externo
La cadena alemana de supermercados Lidl, controlada por el grupo Schwarz, notificó a clientes en Alemania, Bélgica y Países Bajos sobre el robo de información personal a raíz de un incidente de seguridad en un proveedor de servicios tecnológicos. La compañía descartó que el evento haya comprometido contraseñas, datos de pago o direcciones de envío. La empresa presentó una denuncia policial y contrató especialistas forenses en informática para esclarecer el alcance del ataque, mientras advirtió a los usuarios sobre eventuales intentos de suplantación de identidad.