CISA expuso contraseñas y claves en la nube en un repositorio público de GitHub

CISA investiga una exposición de credenciales que dejó contraseñas, access tokens y claves de servicios en la nube vinculados a sistemas de la agencia públicamente accesibles en un repositorio de GitHub. El problema, detallado primero por el reportero independiente de seguridad Brian Krebs y luego reportado por TechCrunch, parece haberse originado en un repositorio mantenido por un empleado que trabaja para un contratista de CISA.

Según el reporte, el investigador de GitGuardian Guillaume Valadon encontró hojas de cálculo con credenciales en texto plano que podían usarse para acceder a sistemas vinculados a CISA y al Departamento de Seguridad Nacional. Valadon dijo que verificó que al menos algunas de las credenciales eran válidas antes de escalar el problema. Ese detalle importa: no se trataba de datos de archivo descuidados o material de prueba obsoleto en un repositorio olvidado. Era material de acceso activo expuesto en la web abierta.

La pregunta inmediata es si alguien más, además del investigador, encontró y usó las credenciales antes de que fueran reportadas. Al momento de esta publicación, CISA no había dicho públicamente si hay evidencia de una intrusión posterior vinculada a la exposición. Aun así, el incidente es grave por sí solo. CISA es la agencia federal encargada de mejorar la defensa cibernética en las redes civiles del gobierno, y rutinariamente aconseja a otras organizaciones evitar exactamente este tipo de práctica.

El problema más grande es de gobernanza, no solo un repositorio malo. Los sistemas gubernamentales modernos dependen en gran medida de contratistas, entornos de nube compartidos y cadenas de acceso extensas que dificultan controlar la gestión de secretos. Cuando las credenciales se manejan en hojas de cálculo en lugar de un flujo de trabajo adecuado de gestión de secretos, la falla rara vez se limita a una sola persona. Por lo general, apunta a controles de revisión débiles, mala disciplina operativa, o ambas.

Esto también llega en un momento incómodo para la agencia. CISA ha estado operando sin un director permanente desde principios de 2025, y los recientes recortes de personal han generado dudas sobre cuánta capacidad de supervisión queda dentro de la organización. Eso no prueba que la exposición fuera causada por falta de personal, pero sí aumenta las apuestas políticas y operativas. Una agencia responsable de marcar la pauta en ciberseguridad federal no puede permitirse errores públicos que se vean tan evitables.

Para los equipos de seguridad fuera del gobierno, la lección es conocida pero aún ignorada con frecuencia: los secretos nunca deberían estar en documentos de texto plano que puedan filtrarse a sistemas de control de versiones, unidades compartidas o exportaciones no gestionadas. La rotación, el acceso con privilegios mínimos, el escaneo de repositorios y los controles específicos para contratistas son defensas básicas, pero solo funcionan cuando se aplican de manera consistente.

IRCNF llegó a su evaluación a partir del reportaje de TechCrunch sobre el incidente y el relato original de Krebs. Hasta que CISA revele si las claves expuestas fueron utilizadas indebidamente, la historia se entiende mejor como una exposición grave con implicaciones potencialmente mayores, más que como una violación destructiva confirmada.