CISA, la agencia federal de ciberseguridad de EE.UU., dejó sus claves AWS en GitHub

El investigador de GitGuardian Guillaume Valadon rastreaba commits públicos de GitHub cuando se topó con un repositorio cuyo nombre parecía un error de bulto: Private-CISA. Pertenecía a un contratista de la Cybersecurity and Infrastructure Security Agency, el organismo federal encargado de defender las redes del gobierno estadounidense, y guardaba credenciales de administrador para tres cuentas de AWS GovCloud, un archivo separado por comas con usuarios y contraseñas en texto plano de decenas de sistemas internos de CISA, y notas paso a paso sobre cómo la agencia construye, prueba y despliega su propio software. El mismo contratista había desactivado la función de GitHub que escanea los envíos en busca de secretos expuestos.

Dos nombres de archivo dentro del árbol Private-CISA hacen casi todo el daño por sí solos. Uno, importantAWStokens, lista las claves de administrador de los tres servidores GovCloud. El otro, AWS-Workspace-Firefox-Passwords.csv, es exactamente lo que parece: una exportación de contraseñas de Firefox, en claro, que cubre los entornos internos de CISA, el artifactory donde la agencia guarda sus paquetes de código y su Landing Zone DevSecOps, el espacio controlado donde los equipos federales escriben y revisan código próximo a lo clasificado. No hay capa de cifrado, no hay referencia a un gestor de secretos, no hay rotación de tokens. Es un CSV.

AWS GovCloud es la región aislada que Amazon opera para cargas de trabajo del gobierno estadounidense que deben mantenerse dentro de FedRAMP High y marcos de cumplimiento equivalentes. Las claves de nivel administrador en esa región no son credenciales corrientes. Permiten a un atacante crear cuentas nuevas, modificar la configuración de logs y levantar infraestructura dentro de una región que se supone hermética frente al Internet público. Cualquiera que copiase el archivo importantAWStokens durante los seis meses que estuvo a la vista pudo haber entrado directamente en ese entorno.

También te puede interesarUna IA escribió un exploit de día cero y Google lo descubrió antes del ataque

La pauta de uso del contratista, a juicio de quienes después rastrearon el historial de commits, parecía simple comodidad. Los envíos al repositorio tenían la cadencia de quien sincroniza ficheros entre un portátil de trabajo y un equipo de casa a través de Git. Para que ese flujo funcionase sin que saltaran las alarmas de detección de secretos, el dueño de la cuenta tuvo que apagar a mano la protección por defecto de GitHub, una opción que existe precisamente para evitar este tipo de descuidos. El bloqueo quedó desactivado y los commits comenzaron.

El comunicado oficial de CISA presenta el episodio como contenido. ‘No hay indicios de que ningún dato sensible se haya visto comprometido a raíz de este incidente’, dijo la agencia, y añadió que reforzará sus salvaguardas. La afirmación es más estrecha de lo que aparenta. Para saber con certeza que ninguna cuenta GovCloud fue abusada durante seis meses, un auditor debe revisar cada entrada de CloudTrail, cada cambio de rol IAM y cada inicio de sesión en los workspaces de ese intervalo, y CISA no ha dicho que ese trabajo se haya hecho; solo dice que, por ahora, no ve evidencias. Observadores independientes señalaron además que las claves de acceso de AWS filtradas siguieron siendo válidas durante unas cuarenta y ocho horas después de retirar el repositorio, ventana en la que cualquier copia previa seguiría funcionando.

Es la misma agencia que coordina el programa federal Secret Sprawl, publica guías para otros departamentos sobre higiene de credenciales y advierte de forma reiterada a los operadores privados de que exponer tokens de API en repositorios de código es una de las puertas de entrada más comunes para los grupos de ransomware. Su propio Catálogo de Vulnerabilidades Explotadas Conocidas, el que los contratistas federales están obligados a vigilar por ley, clasifica las credenciales en la nube sin rotar como hallazgo de severidad alta. El repositorio Private-CISA cumplía todos los criterios que la agencia usa cuando le dice a los demás que han fallado.

Valadon, parte del equipo de investigación de GitGuardian, contó que el hallazgo le costó digerirlo incluso después de verificarlo. ‘Contraseñas en texto plano dentro de un CSV, copias de seguridad en Git, comandos explícitos para desactivar la detección de secretos de GitHub’, escribió. ‘Sinceramente creí que todo era falso hasta que analicé el contenido en detalle. Es, sin duda, la peor fuga que he visto en mi carrera.’ GitGuardian avisó a CISA el 15 de mayo y el repositorio pasó a privado durante el fin de semana siguiente.

Lo que CISA todavía no ha aclarado en público es si las cuentas GovCloud afectadas se han rotado por completo, qué sistemas internos del CSV de contraseñas han cambiado sus credenciales y si la Oficina del Inspector General del Departamento de Seguridad Nacional abrirá una revisión formal. El contratista, según los informes vinculado a la empresa federal de ciberseguridad Nightwing, no ha sido identificado. El repositorio se creó el 13 de noviembre de 2025 y se retiró a mediados de mayo de 2026, lo que deja una ventana de exposición pública de seis meses y dos días. La siguiente cifra que el público merece conocer es cuántos de esos días las claves estuvieron realmente en uso.

Etiquetas: AWS GovCloud, ciberseguridad, CISA, fuga de credenciales, GitGuardian, GitHub, Guillaume Valadon, Nightwing

Más como esto

Hexstrike-AI: El Amanecer de la Explotación Autónoma de Vulnerabilidades de Día Cero

Un escaneo a 380.000 apps hechas con IA encuentra miles sin ningún tipo de autenticación

Un fallo de inicio de sesión deja 70 millones de webs de cPanel abiertas a cualquiera

GPT-5.5 acaba de aterrizar en AWS y rompe el monopolio de Microsoft sobre OpenAI

Los requisitos de Shor para factorizar RSA-2048 cayeron un orden de magnitud en menos de un año

Una Brecha en Facebook Afecta a 50 millones de Cuentas