Parece que todas las organizaciones exponen secretos en Internet en estos días, incluso el gobierno de EE. UU. El investigador de **GitGuardian**, **Guillaume Valadon**, reveló que descubrió un repositorio público de **GitHub** perteneciente a la **Agencia de Ciberseguridad e Infraestructura (CISA)** que contenía 844 MB de datos sensibles, incluyendo contraseñas en texto plano, tokens de autenticación y otros secretos. A pesar de llamarse "Private-CISA", el repositorio estuvo accesible públicamente en línea desde el 13 de noviembre de 2025. En una [publicación de blog](https://blog.gitguardian.com/how-we-got-a-cisa-github-leak-taken-down-in-26-hours/), **Valadon** dijo que descubrió por primera vez el repositorio expuesto el 14 de mayo, después de que el Monitoreo Público de **GitGuardian**, que escanea continuamente fuentes públicas como **GitHub** en busca de secretos filtrados, marcara el repositorio el día anterior. Después de echar un vistazo, inicialmente sospechó que era una broma porque el contenido del repositorio "parecía demasiado bueno para ser verdad". Por desgracia, el repositorio era real, y también lo eran los secretos que contenía. El error de **CISA** marca el último ejemplo de una tendencia desafortunada: las organizaciones que no logran contener la proliferación de secretos y exponen accidentalmente conjuntos de datos sensibles en Internet, donde los actores de amenazas ávidos están listos para recogerlos. Relacionado: [La 'Operación Ramz' de Interpol pionera en colaboraciones interregionales en Medio Oriente](https://www.darkreading.com/cybersecurity-operations/interpol-operation-ramz-cross-region-middle-east) ## Los atacantes obtienen 'vista detallada de la infraestructura en la nube' **Valadon** encontró que el repositorio contenía nombres de directorios y archivos impactantes, incluyendo "Important AWS Tokens.txt" y "ENTRA ID - SAML Certificates/". De hecho, el repositorio contenía no solo esos tokens y certificados **SAML**, sino también contraseñas en texto plano, claves privadas y otras credenciales, algunas de las cuales aún eran válidas. Adicionalmente, el repositorio albergaba registros de compilación CI/CD, documentación de flujos de trabajo de implementación, manifiestos de **Kubernetes**, flujos de trabajo de **GitHub Actions**, automatización de organizaciones de **GitHub**, y una gran cantidad de datos de **AWS**, como cuentas de usuario, datos de gestión de identidad y acceso (IAM), cuentas de servicio y rutas de gestión de secretos, entre otros elementos. "El material expuesto proporcionó una vista detallada de la infraestructura en la nube, los flujos de trabajo de implementación, las herramientas de la cadena de suministro de software y las prácticas operativas internas", escribió **Valadon**. **Dark Reading** contactó a **CISA** para obtener comentarios, pero la agencia no respondió al momento de la publicación. No está claro si los secretos han sido accedidos en los seis meses que el repositorio ha estado en línea. Estudios han demostrado que los atacantes monitorean activos en la nube como los repositorios de **GitHub** en busca de secretos expuestos y pueden [aprovechar las filtraciones en cuestión de minutos](https://www.techtarget.com/searchsecurity/news/366542352/Attackers-discovering-exposed-cloud-assets-within-minutes) después de que los datos se publican en línea. **Valadon** le dice a **Dark Reading** que una "respuesta autorizada requerirá la cooperación de **GitHub**", ya que las vistas externas de los repositorios son limitadas. "Lo que podemos ver desde afuera es que el repositorio nunca fue bifurcado, basándonos en eventos públicos de **GitHub**. Esa es una señal débil pero real de que no circuló ampliamente", dice. "No podemos observar clones desde afuera, por lo que no podemos descartar que un individuo descargara una copia, pero eso es una inferencia, no una confirmación". Relacionado: [Mirando atrás, mirando adelante: Digestión de una dinámica bouillabaisse de evolución cibernética](https://www.darkreading.com/cybersecurity-operations/looking-back-looking-forward-bouillabaisse-cyber-evolution) ## Las prácticas de alto riesgo de CISA llevaron a la exposición La buena noticia es que después de alertar a **CISA**, la agencia eliminó el repositorio en poco más de 24 horas, aunque **Valadon** señaló que se necesitó algo de ayuda del periodista de ciberseguridad **Brian Krebs**, quien se conectó con sus contactos en la agencia y elevó el problema. "Crédito a **CISA** por moverse rápido; la mayoría de nuestras divulgaciones toman mucho más tiempo, y algunas nunca se solucionan", escribió **Valadon**. La mala noticia es que el personal de **CISA** estaba incurriendo en comportamientos de alto riesgo. "El repositorio era un catálogo de prácticas inseguras: contraseñas en texto plano, copias de seguridad comprometidas en Git e instrucciones explícitas para deshabilitar el escaneo de secretos de **GitHub**", escribió. **Valadon** le dice a **Dark Reading** que, basándose en un análisis del repositorio, la explicación más probable es que, dado que algunos de los commits contenían secretos codificados, la función de protección de push de **GitHub** estaba bloqueando los envíos. "En lugar de eliminar los secretos, alguien documentó cómo deshabilitar el control para que los commits pudieran realizarse", dice. Relacionado: [La IA impulsa las inversiones en ciberseguridad, ampliando el 'Valle de la Muerte'](https://www.darkreading.com/cybersecurity-operations/ai-cybersecurity-investments-valley-death) Esto, añade **Valadon**, es una mala práctica que las organizaciones maduras evitan. En su lugar, tratan dichas funciones de seguridad como