TL;DR:

Un contratista de CISA habría mantenido público un repositorio llamado Private-CISA con credenciales internas.

El archivo expuesto habría incluido llaves administrativas para tres cuentas de AWS GovCloud y contraseñas en texto plano.

CISA afirma que no tiene indicios de datos sensibles comprometidos, pero la investigación sigue abierta.

La Cybersecurity and Infrastructure Security Agency (CISA) investiga un reporte de KrebsOnSecurity sobre un repositorio público de GitHub, mantenido por un contratista de Nightwing, que habría expuesto llaves administrativas de AWS GovCloud y credenciales internas de CISA/DHS hasta el fin de semana previo al 18 de mayo de 2026. El caso importa porque no se trata solo de contraseñas sueltas: el archivo habría incluido tokens cloud, passwords en texto plano, logs y detalles de cómo la agencia construye, prueba y despliega software internamente.

El repositorio, llamado Private-CISA, fue señalado por Guillaume Valadon, investigador de la firma GitGuardian, después de que su compañía detectó secretos expuestos en GitHub y no obtuvo respuesta del dueño de la cuenta, de acuerdo con KrebsOnSecurity.

Según el reporte, el repositorio contenía:

• Llaves cloud y tokens.
• Contraseñas en texto plano.
• Logs internos.
• Archivos de trabajo relacionados con sistemas de CISA/DHS.
• Detalles sobre procesos internos de construcción, prueba y despliegue de software.
• Credenciales asociadas a recursos de AWS GovCloud.

Valadon describió el caso como un fallo severo de higiene de seguridad. También señaló que los registros de commits mostraban comandos para desactivar la protección de GitHub contra publicación de secretos.

"Contraseñas almacenadas en texto plano en un CSV, respaldos en Git, comandos explícitos para desactivar la función de detección de secretos de GitHub. Honestamente creí que todo era falso antes de analizar el contenido más a fondo. Esta es, de hecho, la peor filtración que he visto en mi carrera. Obviamente es un error individual, pero creo que podría revelar prácticas internas".

Push protection es una función de secret scanning de GitHub diseñada para bloquear credenciales hardcoded, como tokens o secretos, antes de que lleguen a un repositorio. Por eso el dato no es menor: si esa defensa fue desactivada o burlada, el problema deja de ser solo un error de publicación y apunta a un fallo en controles básicos de operación.

AWS GovCloud vuelve más delicada la exposición reportada

AWS GovCloud (US) es un conjunto de regiones aisladas de AWS diseñado para que agencias del gobierno estadounidense y clientes autorizados muevan cargas sensibles a la nube bajo requisitos regulatorios específicos, incluidos FedRAMP High, DoD SRG Impact Levels 4 y 5, CJIS, ITAR y EAR.

En términos simples: no es una nube comercial cualquiera. Es infraestructura pensada para cargas gubernamentales y datos regulados.

De acuerdo con el reporte, un archivo titulado "importantAWStokens" incluía credenciales administrativas para tres recursos de AWS GovCloud. Otro archivo, "AWS-Workspace-Firefox-Passwords.csv", listaba usuarios y contraseñas en texto plano para decenas de sistemas internos de CISA.

Philippe Caturegli, fundador de la consultora Seralys, dijo a KrebsOnSecurity que probó las llaves solo para verificar si seguían activas y determinar qué sistemas internos podían alcanzar. Según su revisión, las credenciales podían autenticar en tres cuentas de AWS GovCloud con privilegios elevados.

Caturegli también dijo que el repositorio parecía más una libreta de trabajo o mecanismo de sincronización personal que un proyecto curado.

"El uso de una dirección de correo asociada a CISA y una dirección personal sugiere que el repositorio pudo haberse usado en entornos configurados de forma distinta. Los metadatos de Git disponibles por sí solos no prueban qué endpoint o dispositivo se usó".

El riesgo más grave no era solo entrar, sino moverse dentro

La parte más sensible del caso está en la posibilidad de movimiento lateral. Caturegli dijo que el archivo también contenía credenciales en texto plano para el artifactory interno de CISA, es decir, un repositorio de paquetes de código usados para construir software.

Ese punto abre una preocupación más profunda: si un atacante accede a un repositorio de paquetes internos, podría intentar contaminar dependencias o componentes que después se integran en nuevos despliegues.

"Ese sería un lugar ideal para moverse lateralmente. Pones una puerta trasera en algunos paquetes de software y cada vez que construyen algo nuevo despliegan tu backdoor por todos lados".

El reporte también señala que el repositorio contenía contraseñas fáciles de adivinar en algunos recursos internos, con patrones predecibles ligados al nombre de la plataforma y al año en curso. Ese tipo de práctica ya sería peligrosa dentro de una red cerrada; expuesta públicamente, eleva el riesgo de abuso por terceros.

CISA respondió que está al tanto del caso y que mantiene abierta la investigación.

"Actualmente, no hay indicios de que algún dato sensible haya sido comprometido como resultado de este incidente. Aunque mantenemos a los miembros de nuestro equipo bajo los estándares más altos de integridad y conciencia operativa, estamos trabajando para garantizar que se implementen salvaguardas adicionales para prevenir futuros casos".

Nightwing aparece en el centro operativo del caso

La revisión de KrebsOnSecurity señala que el repositorio era mantenido por un empleado de Nightwing, contratista gubernamental con sede en Dulles, Virginia. La compañía rechazó comentar y dirigió las preguntas a CISA.

CISA no respondió a KrebsOnSecurity sobre cuánto tiempo estuvo expuesta la información. Caturegli dijo que Private-CISA fue creado el 13 de noviembre de 2025, mientras que la cuenta de GitHub del contratista existía desde septiembre de 2018.

El repositorio fue retirado poco después de que KrebsOnSecurity y Seralys notificaron a CISA. Aun así, Caturegli dijo que las llaves de AWS expuestas siguieron válidas durante otras 48 horas.

Ese detalle pesa porque la respuesta ante filtraciones de credenciales cloud suele exigir rotación inmediata, revocación de llaves y revisión de logs. En una agencia como CISA, el estándar esperado es todavía más alto.

Una filtración incómoda para la agencia que guía la defensa cibernética de EE.UU.

El episodio llega en un momento frágil para CISA. Reportes de Cybersecurity Dive y Axios han documentado que la agencia perdió alrededor de 1,000 empleados durante la segunda administración de Donald Trump, cerca de un tercio de su fuerza laboral, entre salidas voluntarias, retiros anticipados, despidos y recortes relacionados con contratistas.

Eso no prueba que los recortes hayan causado esta exposición. Pero sí coloca el incidente en un escenario de presión operativa: menos personal, más dependencia de contratistas y una misión crítica que exige controles internos impecables.

La lectura para México y América Latina también es clara. Muchas dependencias públicas y empresas privadas usan GitHub, nubes públicas y repositorios de paquetes internos para acelerar desarrollo. El caso CISA muestra que el riesgo no siempre empieza con un ataque sofisticado: a veces empieza con un repositorio mal configurado, una contraseña guardada en texto plano y una alerta que nadie atiende a tiempo.

La investigación tendrá que responder dos preguntas clave: cuánto tiempo estuvieron expuestas las credenciales y si alguien las usó antes de que fueran revocadas. Hasta que eso quede claro, el caso seguirá siendo una advertencia incómoda para cualquier organización que presume madurez en ciberseguridad.

Fuentes: 1, 2, 3, 4, 5