CISA revela cómo un error en GitHub expuso llaves de AWS

CISA revela cómo un error en GitHub expuso llaves de AWS

CISA detalla cómo un contratista filtró llaves de AWS GovCloud en GitHub y admite fallas en sus protocolos.

Por Humberto Toledo el 10 de julio del 2026 a las 11:59 pm PDT

✨︎ Resumen (TL;DR):

  • Un contratista de CISA subió por error credenciales de administrador y llaves de acceso a una cuenta personal de GitHub.
  • El informe forense del 9 de julio de 2026 descarta que las llaves expuestas hayan sido explotadas por actores maliciosos.
  • La agencia admite que no tenía un protocolo para este incidente y que sus canales para recibir reportes de fallas no funcionaron.

La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) admitió que la falta de controles estrictos en el uso de repositorios públicos de GitHub causó que un contratista filtrara credenciales críticas y llaves de acceso a la nube. Un informe forense de la agencia publicado el 9 de julio de 2026 detalla el incidente que expuso claves de administración, lo que obligó a una reestructuración de sus propios sistemas de seguridad.

El error provino de la empresa contratista Nightwing. Uno de sus desarrolladores copió un repositorio interno de compilación de CISA en su perfil personal de GitHub para levantar infraestructura de forma autónoma. En ese proceso, expuso archivos de configuración con llaves de acceso a AWS GovCloud. AWS GovCloud es un servicio de infraestructura que hospeda datos gubernamentales y operaciones confidenciales bajo estrictos controles de seguridad de Estados Unidos.

El investigador de seguridad Guillaume Valadon, miembro de la firma GitGuardian, descubrió la filtración. Al intentar reportar el hallazgo, Valadon notó que la agencia no contaba con un canal directo y claro para recibir este tipo de alertas. Debido a esto, el caso llegó al periodista Brian Krebs, quien notificó formalmente a CISA el 15 de mayo de 2026 antes de publicar la noticia.

“El individuo había subido copias de un repositorio de compilación y despliegue de CISA a su cuenta personal de GitHub con el propósito de crear infraestructura en la nube de forma autónoma”, detallaron en el reporte Preston Werntz, director de información en funciones, y Brad Libbey, jefe de seguridad de la información en funciones de la agencia.

La respuesta de CISA consistió en revocar el acceso del contratista, dar de baja el repositorio expuesto y auditar los registros de actividad. Tras la revisión de bitácoras, la agencia confirmó que nadie ajeno a la organización utilizó las llaves de acceso y que ninguna operación o dato de clientes resultó comprometido.

AWS lanza división de ingenieros de IA con 1,000 mdd
Te podría interesar:
AWS lanza división de ingenieros de IA con 1,000 mdd
Mujer De Camisa Negra Mirando Luces De Neón
Foto: Mikhail Nilov / Pexels

El autodiagnóstico y las lecciones de CISA

La ironía de la filtración radica en que CISA suele aconsejar a otras organizaciones sobre cómo evitar este tipo de incidentes. Sin embargo, su propio reporte reconoce fallas internas evidentes. Por ejemplo, la agencia carecía de un manual de respuesta específico para fugas de información en plataformas en la nube y tuvo que improvisar un plan durante la crisis.

“Ningún repositorio debería contener secretos y, sin embargo, algunos secretos terminaron en repositorios privados de CISA”, señala textualmente el informe técnico de la agencia.

Para evitar nuevos incidentes, la agencia implementó medidas correctivas de inmediato. Bloqueó la capacidad de su personal para cargar datos en repositorios públicos, modificó los controles de acceso y rotó todas las llaves de seguridad en sus entornos de desarrollo. No obstante, admiten que la rotación de credenciales tomó más tiempo de lo esperado debido a la complejidad de las conexiones con otros socios federales.

La comunidad de ciberseguridad valoró la transparencia con la que se manejó la situación. Valadon comentó a CyberScoop su postura sobre la reacción del organismo: “Creo que es realmente bueno. CISA logró explicar qué pasó, qué funcionó bien y qué necesita mejorar. Esta última parte es, para mí, la primera vez que una agencia nacional de ciberseguridad aboga por el escaneo de secretos y por simplificar la relación con los investigadores”.

Este incidente sirve como recordatorio para cualquier equipo de desarrollo que gestione infraestructura en la nube. Mantener contraseñas o tokens en los repositorios de código, incluso si son privados, representa un riesgo crítico que puede evitarse mediante herramientas de escaneo automatizado y una política estricta de privilegios mínimos.

Fuentes: 1, 2, 3

+ Temas Relacionados

Más de Tecnología

Feed