Un repositorio público en GitHub dejó expuestas credenciales sensibles de CISA

Según investigadores, el repositorio permaneció visible durante meses antes de que se eliminara tras la escalada del problema.

Los archivos incluían documentación y datos de configuración que describían cómo la agencia construye, prueba y despliega software e infraestructura internos.

Al ser público, cualquier persona que encontrara el repositorio podía descargar su contenido y examinar las credenciales incluidas en los archivos.

Qué tipo de datos se filtraron

El repositorio contenía diversos tipos de información sensible relacionada con sistemas de CISA y del DHS, entre ellos:

• Nombres de usuario y contraseñas en texto plano
• Credenciales de AWS GovCloud (la nube de Amazon diseñada para agencias gubernamentales de EE. UU.)
• Tokens de acceso y claves de autenticación
• Archivos de configuración de Kubernetes
• Archivos de despliegue de ArgoCD
• Certificados SAML de Entra ID
• Registros internos y archivos operativos

Algunas de las credenciales estaban asociadas a cuentas de AWS GovCloud con privilegios elevados y a numerosos sistemas internos de CISA.

Expertos en seguridad señalan que este tipo de información —especialmente claves de nube y tokens— puede permitir acceso directo a infraestructura o servicios si las credenciales siguen activas y tienen permisos suficientes.

Cómo se descubrió la filtración

La exposición fue detectada por Guillaume Valadon, investigador de seguridad en la empresa GitGuardian, especializada en detectar secretos y credenciales filtrados en repositorios públicos.

Las herramientas automáticas de GitGuardian marcaron el repositorio porque contenía claves y datos sensibles incrustados en varios archivos. Según los reportes, la empresa intentó avisar al responsable del repositorio o al contratista vinculado, pero no recibió respuesta.

Después de varios intentos fallidos de contacto, Valadon se comunicó el 15 de mayo con el periodista de ciberseguridad Brian Krebs, conocido por sus investigaciones en el sector. Krebs ayudó a escalar el problema y a hacerlo público ante las autoridades competentes.

Tras esa notificación, el repositorio fue retirado de GitHub.

Qué riesgos generaba la exposición

Aunque el repositorio se eliminó relativamente rápido después de la alerta, la situación planteaba varios riesgos potenciales.

Si alguna de las credenciales seguía activa, podía permitir acceso a:

• Infraestructura gubernamental alojada en AWS GovCloud
• Sistemas internos de desarrollo o despliegue de CISA
• Servicios de identidad y autenticación
• Pipelines de DevOps y sistemas de configuración

Investigadores señalaron que algunas credenciales parecían seguir activas en el momento del descubrimiento.

Sin embargo, hasta ahora no hay informes públicos que confirmen que actores maliciosos hayan utilizado las claves antes de que el repositorio fuera eliminado.

Qué dijo CISA sobre el incidente

CISA reconoció la exposición y afirmó que estaba investigando cómo se produjo el incidente.

Según declaraciones recogidas por varios medios, la agencia indicó que no encontró evidencia de que datos sensibles hayan sido comprometidos ni de que haya ocurrido una intrusión.

El caso también despertó interés político en Washington. Legisladores del Congreso solicitaron informes y sesiones informativas para entender cómo se produjo la filtración y si los sistemas federales estuvieron en riesgo.

Por qué el incidente resultó especialmente incómodo

El episodio generó gran atención porque CISA es la principal autoridad civil de ciberseguridad del gobierno estadounidense. La agencia publica regularmente guías y recomendaciones para otras entidades públicas y privadas sobre temas como:

• gestión segura de credenciales
• almacenamiento de secretos
• prácticas seguras de DevOps
• prevención de filtraciones en repositorios públicos

Por eso, el hecho de que credenciales vinculadas a la propia agencia terminaran en un repositorio público puso en evidencia el mismo tipo de fallo operativo contra el que CISA suele advertir.

La lección más amplia

Este tipo de incidentes no es raro en la industria del software. Los repositorios públicos suelen exponer secretos accidentalmente cuando desarrolladores suben archivos de configuración o credenciales al control de versiones.

Hoy existen herramientas de seguridad que escanean continuamente plataformas de código público en busca de claves filtradas. En este caso, ese tipo de monitorización permitió detectar el problema y lograr que el repositorio se retirara antes de que se confirmara cualquier explotación.

Aun así, el incidente ilustra cómo un solo repositorio mal configurado puede exponer potencialmente acceso a infraestructuras críticas, especialmente en entornos gubernamentales o empresariales complejos.