La reciente filtración de credenciales y secretos de la Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) ha levantado serias preocupaciones entre los legisladores estadounidenses. Esta situación se ha intensificado tras la revelación de que un contratista de CISA publicó de forma intencionada claves de AWS GovCloud y una gran cantidad de datos sensibles en un repositorio público de GitHub. Dicha divulgación no solo pone en entredicho la seguridad interna de la agencia encargada de proteger la infraestructura crítica de EE. UU., sino que también plantea interrogantes sobre la gestión de sus contratos y la cultura de seguridad que prevalece en la organización.
El 18 de mayo, el medio especializado KrebsOnSecurity informó que un contratista de CISA, con acceso administrativo a la plataforma de desarrollo de código de la agencia, creó un perfil público en GitHub bajo el nombre de “Private-CISA”, donde expuso credenciales en texto plano para numerosos sistemas internos de CISA. Expertos que analizaron los secretos expuestos indicaron que los registros de cambios del repositorio mostraban que el contratista había desactivado la protección incorporada de GitHub contra la publicación de credenciales sensibles en repositorios públicos.
CISA ha reconocido la filtración, aunque no ha proporcionado detalles sobre la duración de la exposición de los datos. Sin embargo, expertos que revisaron el archivo de Private-CISA, que ha dejado de estar operativo, señalaron que este fue creado originalmente en noviembre de 2025 y que su uso parecía más un mecanismo de trabajo personal que un repositorio de proyectos curados.
En una declaración escrita, CISA afirmó que “no hay indicaciones de que se haya comprometido ningún dato sensible como resultado del incidente”. Sin embargo, en una carta dirigida al Director Interino de CISA, Nick Andersen, la senadora Maggie Hassan (D-NH) expresó que la filtración de credenciales plantea serias preguntas sobre cómo pudo ocurrir tal falla de seguridad en la agencia encargada de prevenir brechas cibernéticas.
“Este informe genera preocupaciones significativas sobre las políticas y procedimientos internos de CISA en un momento de amenazas cibernéticas significativas contra la infraestructura crítica de EE. UU.”, escribió la senadora Hassan.
La senadora Hassan también destacó que el incidente se produjo en un contexto de importantes cambios internos en CISA, que perdió más de un tercio de su personal y casi todos sus líderes senior después de que la administración Trump forzara una serie de jubilaciones anticipadas y renuncias en varias divisiones de la agencia.
El representante Bennie Thompson (D-MS), miembro de mayor rango del Comité de Seguridad Nacional de la Cámara de Representantes, coincidió con las preocupaciones de la senadora. En una carta fechada el 19 de mayo al director interino de CISA, Thompson advirtió que este incidente refleja una cultura de seguridad debilitada y/o una incapacidad de CISA para gestionar adecuadamente su apoyo contractual. “No es ningún secreto que nuestros adversarios —como China, Rusia e Irán— buscan acceder y mantener la persistencia en las redes federales. Los archivos contenidos en el repositorio ‘Private-CISA’ proporcionaron la información, acceso y hoja de ruta para hacerlo”, escribió Thompson.
KrebsOnSecurity ha descubierto que más de una semana después de que CISA fue notificada del incidente por la firma de seguridad GitGuardian, la agencia aún trabaja en la invalidez y reemplazo de muchas de las claves y secretos expuestos. El 20 de mayo, KrebsOnSecurity contactó a Dylan Ayrey, creador de TruffleHog, una herramienta de código abierto para descubrir claves privadas y otros secretos escondidos en código alojado en GitHub y otras plataformas públicas. Ayrey informó que CISA aún no había invalidado una clave RSA privada expuesta en el repositorio de Private-CISA, que otorgaba acceso a una aplicación de GitHub perteneciente a la cuenta empresarial de CISA y instalada en la organización CISA-IT con acceso completo a todos los repositorios de código.
“Un atacante con esta clave puede leer el código fuente de cada repositorio en la organización CISA-IT, incluidos los repositorios privados, registrar runners autoalojados maliciosos para secuestrar pipelines de CI/CD y acceder a secretos del repositorio, así como modificar la configuración de administración del repositorio, incluidas las reglas de protección de ramas, webhooks y claves de despliegue”, explicó Ayrey a KrebsOnSecurity. CI/CD se refiere a las prácticas de Integración Continua y Entrega Continua, que automatizan la construcción, prueba y despliegue de software.
KrebsOnSecurity notificó a CISA sobre los hallazgos de Ayrey el 20 de mayo. Aunque CISA parece haber invalidado la clave RSA expuesta después de esa notificación, Ayrey señaló que la agencia aún no ha rotado las credenciales filtradas relacionadas con otras tecnologías de seguridad críticas desplegadas en el portafolio tecnológico de la agencia.
CISA emitió una breve declaración en respuesta a las preguntas sobre los hallazgos de Ayrey, asegurando que “CISA está respondiendo activamente y coordinándose con las partes y proveedores apropiados para asegurar que cualquier credencial filtrada identificada sea rotada y invalidada, y continuará tomando las medidas adecuadas para proteger la seguridad de nuestros sistemas”.
Ayrey comentó que su empresa, Truffle Security, monitoriza GitHub y otras plataformas de código en busca de claves expuestas e intenta alertar a las cuentas afectadas sobre la exposición de datos sensibles. Pueden hacerlo fácilmente en GitHub, ya que la plataforma publica un feed en vivo que incluye un registro de todos los commits y cambios en los repositorios públicos. Sin embargo, Ayrey advirtió que los actores cibernéticos también monitorean estos feeds públicos y a menudo son rápidos en aprovecharse de claves API o SSH que se publican inadvertidamente en los commits de código.
El repositorio de Private-CISA expuso docenas de credenciales en texto plano para importantes recursos de CISA GovCloud. En términos prácticos, es probable que grupos de ciberdelincuentes o adversarios extranjeros también se hayan percatado de la publicación de estos secretos de CISA, siendo el más alarmante de los cuales parece haber ocurrido a finales de abril de 2026, según Ayrey.
“Monitoreamos esa avalancha de datos en busca de claves y tenemos herramientas para intentar averiguar de quién son”, afirmó. “Tenemos evidencia de que los atacantes también monitorean esa avalancha. Cualquiera que esté siguiendo los eventos de GitHub podría estar en posesión de esta información”.
James Wilson, editor de tecnología empresarial del podcast de seguridad Risky Business, señaló que las organizaciones que utilizan GitHub para gestionar proyectos de código pueden establecer políticas desde arriba hacia abajo que impidan a los empleados desactivar las protecciones de GitHub contra la publicación de claves y credenciales secretas. Sin embargo, su coanfitrión, Adam Boileau, comentó que no está claro qué tecnología podría evitar que los empleados abran sus propias cuentas personales de GitHub y las utilicen para almacenar información sensible y propietaria.
“En última instancia, este es un problema que no se puede resolver con un control técnico”, dijo Boileau en el podcast de esta semana. “Este es un problema humano donde has contratado a un contratista para realizar este trabajo y han decidido, por su propia voluntad, utilizar GitHub para sincronizar contenido de una máquina de trabajo a una máquina personal. No sé qué controles técnicos podrías implementar dado que esto se está haciendo presumiblemente fuera de cualquier gestión de CISA o incluso de su visibilidad”.
La situación actual pone de manifiesto la necesidad urgente de revisar y reforzar las políticas de seguridad dentro de CISA, especialmente en un contexto en el que las amenazas cibernéticas son cada vez más sofisticadas y constantes. La responsabilidad de proteger la infraestructura crítica de EE. UU. no solo recae en la tecnología, sino también en las personas que la operan y en los procesos que se establecen para mitigar riesgos.
