🛡 DATA BREACHES 🛡

Legisladores exigen respuestas mientras CISA intenta contener filtración de datos

🛡CyberObservatorio
Legisladores exigen respuestas mientras CISA intenta contener filtración de datos
Idioma

Legisladores exigen respuestas mientras CISA intenta contener filtración de datos

Fuente: Krebs on Security

La reciente filtración de credenciales y secretos de la Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) ha levantado serias preocupaciones entre los legisladores estadounidenses. Esta situación se ha intensificado tras la revelación de que un contratista de CISA publicó de forma intencionada claves de AWS GovCloud y una gran cantidad de datos sensibles en un repositorio público de GitHub. Dicha divulgación no solo pone en entredicho la seguridad interna de la agencia encargada de proteger la infraestructura crítica de EE. UU., sino que también plantea interrogantes sobre la gestión de sus contratos y la cultura de seguridad que prevalece en la organización.

El 18 de mayo, el medio especializado KrebsOnSecurity informó que un contratista de CISA, con acceso administrativo a la plataforma de desarrollo de código de la agencia, creó un perfil público en GitHub bajo el nombre de “Private-CISA”, donde expuso credenciales en texto plano para numerosos sistemas internos de CISA. Expertos que analizaron los secretos expuestos indicaron que los registros de cambios del repositorio mostraban que el contratista había desactivado la protección incorporada de GitHub contra la publicación de credenciales sensibles en repositorios públicos.

CISA ha reconocido la filtración, aunque no ha proporcionado detalles sobre la duración de la exposición de los datos. Sin embargo, expertos que revisaron el archivo de Private-CISA, que ha dejado de estar operativo, señalaron que este fue creado originalmente en noviembre de 2025 y que su uso parecía más un mecanismo de trabajo personal que un repositorio de proyectos curados.

Imagen del articulo

En una declaración escrita, CISA afirmó que “no hay indicaciones de que se haya comprometido ningún dato sensible como resultado del incidente”. Sin embargo, en una carta dirigida al Director Interino de CISA, Nick Andersen, la senadora Maggie Hassan (D-NH) expresó que la filtración de credenciales plantea serias preguntas sobre cómo pudo ocurrir tal falla de seguridad en la agencia encargada de prevenir brechas cibernéticas.

“Este informe genera preocupaciones significativas sobre las políticas y procedimientos internos de CISA en un momento de amenazas cibernéticas significativas contra la infraestructura crítica de EE. UU.”, escribió la senadora Hassan.

La senadora Hassan también destacó que el incidente se produjo en un contexto de importantes cambios internos en CISA, que perdió más de un tercio de su personal y casi todos sus líderes senior después de que la administración Trump forzara una serie de jubilaciones anticipadas y renuncias en varias divisiones de la agencia.

El representante Bennie Thompson (D-MS), miembro de mayor rango del Comité de Seguridad Nacional de la Cámara de Representantes, coincidió con las preocupaciones de la senadora. En una carta fechada el 19 de mayo al director interino de CISA, Thompson advirtió que este incidente refleja una cultura de seguridad debilitada y/o una incapacidad de CISA para gestionar adecuadamente su apoyo contractual. “No es ningún secreto que nuestros adversarios —como China, Rusia e Irán— buscan acceder y mantener la persistencia en las redes federales. Los archivos contenidos en el repositorio ‘Private-CISA’ proporcionaron la información, acceso y hoja de ruta para hacerlo”, escribió Thompson.

KrebsOnSecurity ha descubierto que más de una semana después de que CISA fue notificada del incidente por la firma de seguridad GitGuardian, la agencia aún trabaja en la invalidez y reemplazo de muchas de las claves y secretos expuestos. El 20 de mayo, KrebsOnSecurity contactó a Dylan Ayrey, creador de TruffleHog, una herramienta de código abierto para descubrir claves privadas y otros secretos escondidos en código alojado en GitHub y otras plataformas públicas. Ayrey informó que CISA aún no había invalidado una clave RSA privada expuesta en el repositorio de Private-CISA, que otorgaba acceso a una aplicación de GitHub perteneciente a la cuenta empresarial de CISA y instalada en la organización CISA-IT con acceso completo a todos los repositorios de código.

“Un atacante con esta clave puede leer el código fuente de cada repositorio en la organización CISA-IT, incluidos los repositorios privados, registrar runners autoalojados maliciosos para secuestrar pipelines de CI/CD y acceder a secretos del repositorio, así como modificar la configuración de administración del repositorio, incluidas las reglas de protección de ramas, webhooks y claves de despliegue”, explicó Ayrey a KrebsOnSecurity. CI/CD se refiere a las prácticas de Integración Continua y Entrega Continua, que automatizan la construcción, prueba y despliegue de software.

KrebsOnSecurity notificó a CISA sobre los hallazgos de Ayrey el 20 de mayo. Aunque CISA parece haber invalidado la clave RSA expuesta después de esa notificación, Ayrey señaló que la agencia aún no ha rotado las credenciales filtradas relacionadas con otras tecnologías de seguridad críticas desplegadas en el portafolio tecnológico de la agencia.

CISA emitió una breve declaración en respuesta a las preguntas sobre los hallazgos de Ayrey, asegurando que “CISA está respondiendo activamente y coordinándose con las partes y proveedores apropiados para asegurar que cualquier credencial filtrada identificada sea rotada y invalidada, y continuará tomando las medidas adecuadas para proteger la seguridad de nuestros sistemas”.

Ayrey comentó que su empresa, Truffle Security, monitoriza GitHub y otras plataformas de código en busca de claves expuestas e intenta alertar a las cuentas afectadas sobre la exposición de datos sensibles. Pueden hacerlo fácilmente en GitHub, ya que la plataforma publica un feed en vivo que incluye un registro de todos los commits y cambios en los repositorios públicos. Sin embargo, Ayrey advirtió que los actores cibernéticos también monitorean estos feeds públicos y a menudo son rápidos en aprovecharse de claves API o SSH que se publican inadvertidamente en los commits de código.

El repositorio de Private-CISA expuso docenas de credenciales en texto plano para importantes recursos de CISA GovCloud. En términos prácticos, es probable que grupos de ciberdelincuentes o adversarios extranjeros también se hayan percatado de la publicación de estos secretos de CISA, siendo el más alarmante de los cuales parece haber ocurrido a finales de abril de 2026, según Ayrey.

“Monitoreamos esa avalancha de datos en busca de claves y tenemos herramientas para intentar averiguar de quién son”, afirmó. “Tenemos evidencia de que los atacantes también monitorean esa avalancha. Cualquiera que esté siguiendo los eventos de GitHub podría estar en posesión de esta información”.

James Wilson, editor de tecnología empresarial del podcast de seguridad Risky Business, señaló que las organizaciones que utilizan GitHub para gestionar proyectos de código pueden establecer políticas desde arriba hacia abajo que impidan a los empleados desactivar las protecciones de GitHub contra la publicación de claves y credenciales secretas. Sin embargo, su coanfitrión, Adam Boileau, comentó que no está claro qué tecnología podría evitar que los empleados abran sus propias cuentas personales de GitHub y las utilicen para almacenar información sensible y propietaria.

“En última instancia, este es un problema que no se puede resolver con un control técnico”, dijo Boileau en el podcast de esta semana. “Este es un problema humano donde has contratado a un contratista para realizar este trabajo y han decidido, por su propia voluntad, utilizar GitHub para sincronizar contenido de una máquina de trabajo a una máquina personal. No sé qué controles técnicos podrías implementar dado que esto se está haciendo presumiblemente fuera de cualquier gestión de CISA o incluso de su visibilidad”.

La situación actual pone de manifiesto la necesidad urgente de revisar y reforzar las políticas de seguridad dentro de CISA, especialmente en un contexto en el que las amenazas cibernéticas son cada vez más sofisticadas y constantes. La responsabilidad de proteger la infraestructura crítica de EE. UU. no solo recae en la tecnología, sino también en las personas que la operan y en los procesos que se establecen para mitigar riesgos.

Lawmakers Demand Answers as CISA Tries to Contain Data Leak

Source: Krebs on Security

Lawmakers in both houses of Congress are demanding answers from theU.S. Cybersecurity & Infrastructure Security Agency(CISA) after KrebsOnSecurity reported this week that a CISA contractor intentionally published AWS GovCloud keys and a vast trove of other agency secrets on a publicGitHubaccount. The inquiry comes as CISA is still struggling to contain the breach and invalidate the leaked credentials. On May 18, KrebsOnSecurity reported that a CISA contractor with administrative access to the agency’s code development platform hadcreated a public GitHub profilecalled “Private-CISA” that included plaintext credentials to dozens of internal CISA systems. Experts who reviewed the exposed secrets said the commit logs for the code repository showed the CISA contractor disabled GitHub’s built-in protection against publishing sensitive credentials in public repos. CISA acknowledged the leak but has not responded to questions about the duration of the data exposure. However, experts who reviewed the now-defunct Private-CISA archive said it was originally created in November 2025, and that it exhibits a pattern consistent with an individual operator using the repository as a working scratchpad or synchronization mechanism rather than a curated project repository. In a written statement, CISA said “there is no indication that any sensitive data was compromised as a result of the incident.” But in aMay 19 a letter(PDF) to CISA’s Acting DirectorNick Andersen,Sen. Maggie Hassan(D-NH) said the credential leak raises serious questions about how such a security lapse could occur at the very agency charged with helping to prevent cyber breaches. “This reporting raises serious concerns regarding CISA’s internal policies and procedures at a time of significant cybersecurity threats against U.S. critical infrastructure,” Sen. Hassan wrote. A May 19 letter from Sen. Margaret Hassan (D-NH) to the acting director of CISA demanded answers to a dozen questions about the breach. Sen. Hassan noted that the incident occurred against the backdrop of major disruptions internally at CISA, whichlost more than a third of it workforceand almost all of its senior leaders after the Trump administration forced a series of early retirements, buyouts, and resignations across the agency’s various divisions. Rep. Bennie Thompson(D-MS), the ranking member on the House Homeland Security Committee, echoed the senator’s concerns. “We are concerned that this incident reflects a diminished security culture and/or an inability for CISA to adequately manage its contract support,” Thompson wrote ina May 19 letterto the acting CISA chief that was co-signed byRep. Delia Ramirez(D-Ill), the ranking member of the panel’s Subcommittee on Cybersecurity and Infrastructure Protection. “It’s no secret that our adversaries — like China, Russia, and Iran — seek to gain access to and persistence on federal networks. The files contained in the ‘Private-CISA’ repository provided the information, access, and roadmap to do just that.” KrebsOnSecurity has learned that more a week after CISA was first notified of the data leak by the security firmGitGuardian, the agency is still working to invalidate and replace many of the exposed keys and secrets. On May 20, KrebsOnSecurity heard fromDylan Ayrey, the creator ofTruffleHog, an open-source tool for discovering private keys and other secrets buried in code hosted at GitHub and other public platforms. Ayrey said CISA still hadn’t invalidated an RSA private key exposed in the Private-CISA repo that granted access to a GitHub app which is owned by the CISA enterprise account and installed on the CISA-IT GitHub organization with full access to all code repositories. “An attacker with this key can read source code from every repository in the CISA-IT organization, including private repos, register rogue self-hosted runners to hijack CI/CD pipelines and access repository secrets, and modify repository admin settings including branch protection rules, webhooks, and deploy keys,” Ayrey told KrebsOnSecurity. CI/CD stands for Continuous Integration and Continuous Delivery, and it refers to a set of practices used to automate the building, testing and deployment of software. KrebsOnSecurity notified CISA aboutAyrey’s findingson May 20. Ayrey said CISA appears to have invalidated the exposed RSA private key sometime after that notification. But he noted that CISA still hasn’t rotated leaked credentials tied to other critical security technologies that are deployed across the agency’s technology portfolio (KrebsOnSecurity is not naming those technologies publicly for the time being). CISA responded with a brief written statement in response to questions about Ayrey’s findings, saying “CISA is actively responding and coordinating with the appropriate parties and vendors to ensure any identified leaked credentials are rotated and rendered invalid and will continue to take appropriate steps to protect the security of our systems.” Ayrey said his company Truffle Security monitors GitHub and a number of other code platforms for exposed keys, and attempts to alert affected accounts to the sensitive data exposure(s). They can do this easily on GitHub because the platform publishes a live feed which includes a record of all commits and changes to public code repositories. But he said cybercriminal actors also monitor these public feeds, and are often quick to pounce on API or SSH keys that get inadvertently published in code commits. The Private-CISA GitHub repo exposed dozens of plaintext credentials to important CISA GovCloud resources. In practical terms, it is likely that cybercrime groups or foreign adversaries also noticed the publication of these CISA secrets, the most egregious of which appears to have happened in late April 2026, Ayrey said. “We monitor that firehose of data for keys, and we have tools to try to figure out whose they are,” he said. “We have evidence attackers monitor that firehose as well. Anyone monitoring GitHub events could be sitting on this information.” James Wilson, the enterprise technology editor for theRisky Businesssecurity podcast, said organizations using GitHub to manage code projects can set top-down policies that prevent employees from disabling GitHub’s protections against publishing secret keys and credentials. But Wilson’s co-hostAdam Boileausaid it’s not clear that any technology could stop employees from opening their own personal GitHub account and using it to store sensitive and proprietary information. “Ultimately, this is a thing you can’t solve with a technical control,” Boileau said onthis week’s podcast. “This is a human problem where you’ve hired a contractor to do this work and they have decided of their own volition to use GitHub to synchronize content from a work machine to a home machine. I don’t know what technical controls you could put in place given that this is being done presumably outside of anything CISA managed or even had visibility on.” Update, 3:05 p.m. ET:Added statement from CISA. Corrected a date in the story (Truffle Security said it found the repo gained some of its most sensitive secrets in late April 2026, not 2025).

Legisladores exigen respuestas mientras CISA intenta contener filtración de datos | Ciberseguridad - NarcoObservatorio