## Contratista de CISA expone datos sensibles en GitHub Legisladores de ambas cámaras del Congreso exigen respuestas a la **Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA)** después de que KrebsOnSecurity informara que un contratista de CISA publicó intencionalmente claves de AWS GovCloud y un gran tesoro de otros secretos de la agencia en una cuenta pública de **GitHub**. La investigación se produce mientras CISA aún lucha por contener la brecha e invalidar las credenciales filtradas.  El 18 de mayo, KrebsOnSecurity informó que un contratista de CISA con acceso administrativo a la plataforma de desarrollo de código de la agencia había creado un perfil público de GitHub llamado "**Private-CISA**" que incluía credenciales en texto plano para docenas de sistemas internos de CISA. Expertos que revisaron los secretos expuestos dijeron que los registros de confirmación del repositorio de código mostraban que el contratista de CISA había deshabilitado la protección incorporada de GitHub contra la publicación de credenciales sensibles en repositorios públicos. CISA reconoció la filtración, pero no ha respondido a preguntas sobre la duración de la exposición de datos. Sin embargo, expertos que revisaron el archivo ahora inactivo de Private-CISA dijeron que originalmente se creó en noviembre de 2025 y que exhibe un patrón consistente con un operador individual que utiliza el repositorio como un bloc de notas de trabajo o un mecanismo de sincronización en lugar de un repositorio de proyecto curado. ## Investigación del Congreso En una declaración escrita, CISA dijo que "no hay indicios de que se haya comprometido información sensible como resultado del incidente". Pero en una carta del 19 de mayo (PDF) al Director Interino de CISA, **Nick Andersen**, la **Senadora Maggie Hassan** (D-NH) dijo que la filtración de credenciales plantea serias preguntas sobre cómo pudo ocurrir tal falla de seguridad en la misma agencia encargada de ayudar a prevenir brechas cibernéticas. "Este informe plantea serias preocupaciones sobre las políticas y procedimientos internos de CISA en un momento de significativas amenazas de ciberseguridad contra la infraestructura crítica de EE. UU.", escribió la Senadora Hassan.  La Senadora Hassan señaló que el incidente ocurrió en el contexto de importantes interrupciones internas en CISA, que perdió más de un tercio de su fuerza laboral y casi todos sus altos directivos después de que la administración Trump forzara una serie de jubilaciones anticipadas, indemnizaciones y renuncias en las diversas divisiones de la agencia. El **Representante Bennie Thompson** (D-MS), miembro de mayor rango del Comité de Seguridad Nacional de la Cámara, se hizo eco de las preocupaciones del senador. "Nos preocupa que este incidente refleje una cultura de seguridad disminuida y/o una incapacidad de CISA para gestionar adecuadamente su soporte contractual", escribió Thompson en una carta del 19 de mayo al jefe interino de CISA, firmada conjuntamente por la **Representante Delia Ramirez** (D-Ill), miembro de mayor rango del Subcomité de Ciberseguridad y Protección de Infraestructura del panel. "No es ningún secreto que nuestros adversarios, como China, Rusia e Irán, buscan obtener acceso y persistencia en las redes federales. Los archivos contenidos en el repositorio 'Private-CISA' proporcionaron la información, el acceso y la hoja de ruta para hacer precisamente eso." ## Vulnerabilidades persistentes KrebsOnSecurity se enteró de que más de una semana después de que CISA fuera notificada por primera vez de la filtración de datos por la firma de seguridad **GitGuardian**, la agencia todavía está trabajando para invalidar y reemplazar muchas de las claves y secretos expuestos. El 20 de mayo, KrebsOnSecurity habló con **Dylan Ayrey**, el creador de **TruffleHog**, una herramienta de código abierto para descubrir claves privadas y otros secretos enterrados en código alojado en GitHub y otras plataformas públicas. Ayrey dijo que CISA aún no había invalidado una clave privada RSA expuesta en el repositorio Private-CISA que otorgaba acceso a una aplicación de GitHub propiedad de la cuenta empresarial de CISA e instalada en la organización CISA-IT con acceso completo a todos los repositorios de código. "Un atacante con esta clave puede leer el código fuente de todos los repositorios de la organización CISA-IT, incluidos los repositorios privados, registrar ejecutores autoalojados no autorizados para secuestrar canalizaciones de CI/CD y acceder a secretos de repositorios, y modificar la configuración del administrador del repositorio, incluidas las reglas de protección de ramas, los webhooks y las claves de implementación", dijo Ayrey a KrebsOnSecurity. CI/CD significa Integración Continua y Entrega Continua, y se refiere a un conjunto de prácticas utilizadas para automatizar la construcción, prueba y despliegue de software. KrebsOnSecurity notificó a CISA sobre los hallazgos de Ayrey el 20 de mayo. CISA acusó recibo de ese informe, pero no ha respondido a consultas de seguimiento. Ayrey dijo que CISA parece haber invalidado la clave privada RSA expuesta en algún momento después de esa notificación. Pero señaló que CISA aún no ha rotado las credenciales filtradas vinculadas a otras tecnologías de seguridad críticas que se implementan en la cartera tecnológica de la agencia (KrebsOnSecurity no está nombrando esas tecnologías públicamente por el momento). Ayrey dijo que su empresa, Truffle Security, monitorea GitHub y varias otras plataformas de código en busca de claves expuestas, e intenta alertar a las cuentas afectadas sobre la(s) exposición(es) de datos sensibles. Pueden hacer esto fácilmente en GitHub porque la plataforma publica un feed en vivo que incluye un registro de todas las confirmaciones y cambios en los repositorios de código público. Pero dijo que los actores criminales cibernéticos también monitorean estos feeds públicos, y a menudo son rápidos para aprovechar las claves API o SSH que se publican inadvertidamente en las confirmaciones de código.  En términos prácticos, es probable que los grupos de cibercrimen o los adversarios extranjeros también hayan notado la publicación de estos secretos de CISA, el más flagrante de los cuales parece haber ocurrido a fines de abril de 2025, dijo Ayrey. "Monitoreamos ese flujo de datos en busca de claves, y tenemos herramientas para tratar de averiguar de quién son", dijo. "Tenemos evidencia de que los atacantes también monitorean ese flujo. Cualquiera que monitoree los eventos de GitHub podría estar sentado sobre esta información." **James Wilson**, editor de tecnología empresarial del podcast de seguridad *Risky Business*, dijo que las organizaciones que usan GitHub para administrar proyectos de código pueden establecer políticas de arriba hacia abajo que impidan a los empleados deshabilitar las protecciones de GitHub contra la publicación de claves secretas y credenciales. Pero el coanfitrión de Wilson, **Adam Boileau**, dijo que no está claro que ninguna tecnología pueda impedir que los empleados abran su propia cuenta personal de GitHub y la usen para almacenar información sensible y propietaria. "En última instancia, esto es algo que no se puede resolver con un control técnico", dijo Boileau en el podcast de esta semana. "Este es un problema humano en el que has contratado a un contratista para hacer este trabajo y ellos han decidido por su propia voluntad usar GitHub para sincronizar contenido de una máquina de trabajo a una máquina de casa. No sé qué controles técnicos podrías implementar dado que esto se está haciendo presumiblemente fuera de cualquier cosa que CISA administrara o incluso tuviera visibilidad."