Un contratista de la **Cybersecurity & Infrastructure Security Agency (CISA)** mantenía un repositorio público de **GitHub** que expuso credenciales a varias cuentas de **AWS GovCloud** altamente privilegiadas y a un gran número de sistemas internos de CISA hasta hace poco. Expertos en seguridad lo califican como una de las filtraciones de datos gubernamentales más graves de la historia reciente, ya que el archivo incluía documentos que detallaban cómo CISA construye, prueba e implementa software internamente. ### Descubrimiento por GitGuardian El 15 de mayo, **KrebsOnSecurity** fue contactado por **Guillaume Valadon**, un investigador de la firma de seguridad **GitGuardian**. **GitGuardian** escanea constantemente repositorios de código público como **GitHub** en busca de secretos expuestos, alertando automáticamente a los propietarios de cuentas sobre posibles exposiciones de datos sensibles. Valadon se comunicó porque el propietario del repositorio no respondía y la información expuesta era altamente sensible.  ### Detalles del Repositorio "Private-CISA" El repositorio de **GitHub**, llamado "**Private-CISA**", contenía una gran cantidad de credenciales y archivos internos de CISA/DHS, incluyendo claves de la nube, tokens, contraseñas en texto plano, registros y otros activos sensibles de CISA. Valadon señaló que los registros de commits mostraban que el administrador de CISA había deshabilitado la configuración predeterminada de **GitHub** que impide a los usuarios publicar claves SSH u otros secretos en repositorios de código público. "Contraseñas almacenadas en texto plano en un csv, backups en git, comandos explícitos para deshabilitar la función de detección de secretos de GitHub", escribió Valadon. "Honestamente, creí que todo era falso antes de analizar el contenido más a fondo. Esta es, de hecho, la peor filtración que he presenciado en mi carrera. Es obviamente un error individual, pero creo que podría revelar prácticas internas". ### Credenciales Expuestas e Impacto Potencial Un archivo, titulado "importantAWStokens", incluía credenciales administrativas para tres servidores de **Amazon AWS GovCloud**. Otro archivo, "AWS-Workspace-Firefox-Passwords.csv", listaba nombres de usuario y contraseñas en texto plano para docenas de sistemas internos de CISA, incluyendo uno llamado "LZ-DSO" (Landing Zone DevSecOps), el entorno seguro de desarrollo de código de la agencia. **Philippe Caturegli**, fundador de la consultora de seguridad **Seralys**, validó que las credenciales expuestas podían autenticarse en las cuentas de AWS GovCloud con un alto nivel de privilegio. También señaló que el repositorio incluía credenciales en texto plano para el "artifactory" interno de CISA, un repositorio de paquetes de código utilizado para construir software. Esto podría ser un objetivo principal para atacantes que buscan establecer un punto de apoyo persistente en los sistemas de CISA. "Sería un lugar ideal para moverse lateralmente", dijo. "Infectar algunos paquetes de software, y cada vez que construyen algo nuevo, despliegan tu backdoor por todas partes".  ### Respuesta e Investigación de CISA CISA declaró que está al tanto de la exposición reportada y está investigando la situación. "Actualmente, no hay indicios de que se haya comprometido información sensible como resultado de este incidente", escribió un portavoz de CISA. "Si bien exigimos a nuestros miembros del equipo los más altos estándares de integridad y conciencia operativa, estamos trabajando para garantizar que se implementen salvaguardias adicionales para prevenir futuras ocurrencias". El repositorio "Private CISA" era mantenido por un empleado de **Nightwing**, un contratista gubernamental. Nightwing declinó hacer comentarios, dirigiendo las consultas a CISA. El repositorio fue creado el 13 de noviembre de 2025, y la cuenta de **GitHub** del contratista data de septiembre de 2018. La cuenta de **GitHub** fue dada de baja poco después de las notificaciones, pero las claves de AWS expuestas permanecieron válidas durante otras 48 horas. ### Factores Contribuyentes y Prácticas de Seguridad CISA opera actualmente con un presupuesto y niveles de personal reducidos. El ahora inactivo repositorio Private CISA mostró que el contratista también utilizaba contraseñas fáciles de adivinar para recursos internos, como nombres de plataforma seguidos del año actual. "Sospecho que lo que sucedió es que [el contratista de CISA] estaba usando este GitHub para sincronizar archivos entre una laptop de trabajo y una computadora personal, porque ha realizado commits regularmente a este repo desde noviembre de 2025", dijo Caturegli. "Esta sería una filtración embarazosa para cualquier empresa, pero es aún más así en este caso porque se trata de CISA".