Saltar al contenido

CISA revela cómo un contratista filtró llaves de acceso a la nube en GitHub

Un contratista subió llaves de AWS GovCloud a un repo público. CISA detalla su reporte forense y qué corrigió.

por Alejandro Castillo Leone
CISA revela cómo un contratista filtró llaves de acceso a la nube en GitHub
Photo by MARCO / Unsplash

TL;DR:

  • CISA publicó el 9 de julio de 2026 un reporte forense sobre la filtración de credenciales que provocó un contratista en GitHub.
  • Entre lo expuesto había llaves de AWS GovCloud y credenciales de administrador; la agencia afirma que ningún dato de clientes o de misión quedó comprometido.
  • CISA rotó todos sus secretos, bloqueó cargas a repositorios públicos y admite que le faltaba un manual de respuesta para este tipo de incidente.

La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) reconoció que controles de seguridad débiles alrededor del uso de repositorios públicos de GitHub permitieron que un contratista filtrara por error llaves privadas de acceso a la nube y otras credenciales sensibles. La agencia lo detalló en un reporte forense publicado el jueves 9 de julio de 2026, semanas después de que el caso estallara en mayo y de que el Congreso empezara a exigir explicaciones. Entre lo expuesto había llaves de AWS GovCloud, la nube que Amazon reserva para el gobierno estadounidense. CISA asegura que analizó sus registros, que nadie usó las credenciales fuera de la agencia y que ningún dato de clientes o de misión quedó comprometido.

El origen del problema fue un movimiento aparentemente rutinario. Un contratista subió copias de un repositorio interno de compilación y despliegue de CISA a su cuenta personal de GitHub para levantar infraestructura en la nube por su cuenta. En ese proceso, según el reporte firmado por Preston Werntz, director de información en funciones, y Brad Libbey, jefe de seguridad de la información en funciones, también cargó credenciales de administrador y de compilación, además de archivos de infraestructura como código que incluían llaves privadas de servicios como Amazon Web Services.

"El individuo había subido copias de un repositorio de compilación y despliegue de CISA a su cuenta personal de GitHub con el propósito de crear infraestructura en la nube de forma autónoma", escribieron Werntz y Libbey.

El contratista al que se atribuye la filtración es la empresa Nightwing. Un investigador independiente, identificado después como Guillaume Valadon, de la firma GitGuardian, encontró las llaves al descubierto en el repositorio público. Valadon, que describió el caso como una de las peores exposiciones que había visto, no halló un canal claro para avisarle a CISA, así que el asunto terminó en manos de la prensa. El periodista Brian Krebs fue el primero en reportarlo a mediados de mayo, y la agencia dice que se enteró del problema el 15 de mayo de 2026, cuando Krebs le pidió un comentario para su nota.

La reacción, dice CISA, fue inmediata. Sacó de línea el repositorio del contratista, deshabilitó su acceso a los sistemas de la agencia y revisó los archivos para medir el alcance. El análisis de registros arrojó que las credenciales no se usaron fuera de CISA. Después vino la limpieza: cambió las contraseñas de todos los entornos de desarrollo a los que el contratista tenía acceso, no solo las filtradas, y rotó las llaves de acceso a la nube. Ese último paso, admite, tomó más tiempo del previsto por la complejidad de sus sistemas y las conexiones con socios federales y de la industria.

a computer screen with a cloud shaped object on top of it
Photo by Hazel Z / Unsplash

Como medidas de fondo, CISA ajustó las listas de permitidos y bloqueados de sus repositorios de código, impidió que su personal suba datos a repositorios públicos y sumó sus herramientas de detección y respuesta en endpoints para vigilar esas cargas.

El reporte admite fallas que la propia CISA suele predicar

La parte más reveladora del documento no son las llaves filtradas, sino el autodiagnóstico. Los buenos registros y los principios de zero trust le permitieron a la agencia descartar un uso indebido, pero el reporte reconoce huecos que CISA lleva años pidiéndoles a otras organizaciones que cierren.

"Ningún repositorio debería contener secretos y, sin embargo, algunos secretos terminaron en repositorios privados de CISA", señala el reporte.

La agencia dice que ya rotó todos sus secretos y armó un plan para gestionarlos y monitorearlos mejor. Hubo dos golpes de ironía adicionales. CISA predica desde hace años que cada organización tenga manuales de respuesta para distintos tipos de incidentes, pero ella misma no tenía uno para una fuga en la nube vía GitHub y tuvo que redactarlo sobre la marcha. Y aunque insiste en lo fácil que es reportarle un incidente, el episodio salió a la luz justo porque el investigador que lo halló no supo cómo contactarla. La agencia dice que ya está afinando sus canales para que los investigadores la ubiquen más rápido.

⚠️
Ninguna llave de acceso, token o contraseña debería vivir dentro de un repositorio de código, ni siquiera en uno privado. Tras el incidente del 15 de mayo de 2026, la propia CISA rotó todos sus secretos y activó el escaneo automático para detectarlos.

Por qué esta filtración le habla a cualquiera que use GitHub

Guardar secretos dentro de un repositorio es de los errores más comunes en el desarrollo de software, y no distingue entre una agencia federal, una startup en Guadalajara o un equipo en Madrid. Cualquiera que combine GitHub y servicios en la nube puede tropezar con lo mismo: una llave de API pegada en el código, una credencial en un archivo de configuración, un repositorio privado que un día deja de serlo. Por eso el reporte de CISA funciona menos como una confesión y más como una lista de tareas: escanear secretos de forma automática, dar el mínimo de permisos, rotar credenciales, separar entornos y dejar una puerta clara para que quien encuentre una falla pueda avisar.

Valadon celebró el ejercicio de la agencia.

"Creo que es realmente bueno. CISA logró explicar qué pasó, qué funcionó bien y qué necesita mejorar. Esta última parte es, para mí, la primera vez que una agencia nacional de ciberseguridad aboga por el escaneo de secretos y por simplificar la relación con los investigadores", dijo a CyberScoop.

El reporte también tiene un destinatario político. Salió mientras legisladores en el Congreso presionaban a CISA por respuestas sobre el incidente, y su tono abierto parece pensado para tranquilizar a esos legisladores, a los socios de la industria y al público. Tras años pidiéndoles a otros que compartan sus tropiezos, la agencia lo resumió así: ahora "es nuestro turno".

Preguntas rápidas sobre la filtración de CISA

¿Se expusieron datos de usuarios o de misión de CISA?

No. Según el reporte forense publicado el 9 de julio de 2026, el análisis de registros determinó que las credenciales filtradas no se usaron fuera de la agencia y que ningún dato de clientes ni de misión quedó comprometido.

¿Quién descubrió la filtración de llaves de AWS?

El investigador Guillaume Valadon, de la firma GitGuardian, halló las llaves en un repositorio público de GitHub. Al no encontrar un canal claro para avisar a CISA, el caso llegó a la prensa y el periodista Brian Krebs lo reportó a mediados de mayo de 2026.

¿Qué es AWS GovCloud y por qué importa?

AWS GovCloud es la región de nube que Amazon reserva para agencias y contratistas del gobierno de Estados Unidos con datos sensibles. Sus llaves permiten administrar esa infraestructura, así que exponerlas en un repositorio público representa un riesgo de alto nivel.

Ninguna llave terminó en malas manos, según CISA, pero el episodio deja una lección incómoda para el organismo que dicta cómo debe protegerse el resto del país: las mismas prácticas que recomienda son las que estuvo a punto de saltarse. Para cualquier equipo que despliega software, el recordatorio es más simple y más barato que un reporte forense: los secretos no van en el repositorio.

Fuentes: 1, 2

Alejandro Castillo Leone imagen de perfil
por Alejandro Castillo Leone

Soy un amante del arte y la cultura. Desde el 2021 dirijo una web dedicada a la historia de mi país y he emprendido la misión de vivir para la cultura, alimentándome principalmente del ámbito Hispanoamericano.

Leer más de Tecnología y Ciencia