El informe «Estado de la Expansión de Secretos» de GitGuardian para 2025 revela la alarmante magnitud de la exposición de secretos en los entornos de software modernos. Esto se debe al rápido crecimiento de las identidades no humanas (NHI), que han superado en número a los usuarios humanos durante años. Debemos anticiparnos y preparar medidas de seguridad y gobernanza para estas identidades de máquina a medida que se siguen implementando, lo que crea un nivel de riesgo de seguridad sin precedentes.

Este informe revela la asombrosa cifra de 23,77 millones de nuevos secretos filtrados en GitHub solo en 2024. Esto representa un aumento del 25 % con respecto al año anterior. Este drástico aumento pone de relieve cómo la proliferación de identidades no humanas (NHI), como cuentas de servicio, microservicios y agentes de IA, está ampliando rápidamente la superficie de ataque de los actores de amenazas.

La crisis de la identidad no humana

Los secretos de NHI, incluyendo claves de API, cuentas de servicio y trabajadores de Kubernetes, ahora superan en número a las identidades humanas en al menos 45 a 1 en entornos DevOps. Estas credenciales basadas en máquinas son esenciales para la infraestructura moderna, pero generan importantes desafíos de seguridad si se gestionan incorrectamente.

Lo más preocupante es la persistencia de credenciales expuestas. El análisis de GitGuardian reveló que el 70 % de los secretos detectados inicialmente en repositorios públicos en 2022 siguen activos hoy en día, lo que indica una falla sistémica en las prácticas de rotación y gestión de credenciales.

Repositorios privados: una falsa sensación de seguridad

Las organizaciones pueden creer que su código está seguro en repositorios privados, pero los datos muestran una situación diferente. Los repositorios privados tienen aproximadamente ocho veces más probabilidades de contener secretos que los públicos. Esto sugiere que muchos equipos se basan en la «seguridad a través de la oscuridad» en lugar de implementar una gestión adecuada de secretos.

El informe encontró diferencias significativas en los tipos de secretos filtrados en repositorios privados y públicos:

  • Los secretos genéricos representan el 74,4% de todas las filtraciones en repositorios privados frente al 58% en los públicos.
  • Las contraseñas genéricas representan el 24% de todos los secretos genéricos en repositorios privados, en comparación con solo el 9% en los repositorios públicos.
  • Las credenciales empresariales, como las claves IAM de AWS, aparecen en el 8 % de los repositorios privados, pero solo en el 1,5 % de los públicos.

Este patrón sugiere que los desarrolladores son más cautelosos con el código público pero a menudo toman atajos en entornos que creen que están protegidos.

Las herramientas de IA empeoran el problema

GitHub Copilot y otros asistentes de programación con IA pueden aumentar la productividad, pero también incrementan los riesgos de seguridad . Se descubrió que los repositorios con Copilot habilitado tenían una tasa de filtración de secretos un 40 % mayor que los repositorios sin asistencia de IA.

Esta preocupante estadística sugiere que el desarrollo impulsado por IA, si bien acelera la producción de código, puede estar alentando a los desarrolladores a priorizar la velocidad por sobre la seguridad, incorporando credenciales de maneras que las prácticas de desarrollo tradicionales podrían evitar.

Docker Hub: más de 100 000 secretos válidos expuestos

En un análisis sin precedentes de 15 millones de imágenes públicas de Docker de Docker Hub, GitGuardian descubrió más de 100 000 secretos válidos, incluidas claves de AWS, claves de GCP y tokens de GitHub pertenecientes a empresas de Fortune 500.

La investigación reveló que el 97 % de estos secretos válidos se descubrieron exclusivamente en capas de imagen, y la mayoría aparecía en capas inferiores a 15 MB. Las instrucciones ENV por sí solas representaron el 65 % de todas las filtraciones, lo que pone de manifiesto un punto ciego importante en la seguridad de los contenedores.

Más allá del código fuente: secretos de las herramientas de colaboración

Las filtraciones de información confidencial no se limitan a los repositorios de código. El informe reveló que plataformas de colaboración como Slack, Jira y Confluence se han convertido en importantes vectores de exposición de credenciales.

Resulta alarmante que los secretos encontrados en estas plataformas tiendan a ser más críticos que los de los repositorios de código fuente, con un 38 % de incidentes clasificados como altamente críticos o urgentes, en comparación con el 31 % en los sistemas de gestión de código fuente. Esto se debe, en parte, a que estas plataformas carecen de los controles de seguridad presentes en las herramientas modernas de gestión de código fuente.

Resulta alarmante que solo el 7% de los secretos detectados en las herramientas de colaboración se encuentren también en el código fuente, lo que convierte esta proliferación de secretos en un desafío único que la mayoría de las herramientas de análisis de secretos no pueden mitigar. Además, esto se agrava por el hecho de que los usuarios de estos sistemas trascienden las fronteras de todos los departamentos, lo que significa que todos podrían estar filtrando credenciales a estas plataformas.

El problema de los permisos

Para agravar aún más el riesgo, GitGuardian descubrió que las credenciales filtradas con frecuencia tienen permisos excesivos:

  • El 99% de las claves de API de GitLab tenían acceso completo (58%) o acceso de solo lectura (41%)
  • El 96% de los tokens de GitHub tenían acceso de escritura, y el 95% ofrecía acceso completo al repositorio.

Estos permisos amplios amplifican significativamente el impacto potencial de las credenciales filtradas, lo que permite a los atacantes moverse lateralmente y escalar privilegios más fácilmente.

Romper el ciclo de la proliferación de secretos

Si bien las organizaciones adoptan cada vez más soluciones de gestión de secretos, el informe enfatiza que estas herramientas por sí solas no son suficientes. GitGuardian descubrió que incluso los repositorios que utilizan gestores de secretos tuvieron una tasa de incidencia de secretos filtrados del 5,1 % en 2024.

El problema requiere un enfoque integral que aborde todo el ciclo de vida de los secretos , combinando la detección automatizada con procesos de remediación rápidos e integrando la seguridad en todo el flujo de trabajo de desarrollo.

Como concluye nuestro informe, « El Informe sobre la Expansión de Secretos de 2025 ofrece una dura advertencia: a medida que se multiplican las identidades no humanas, también lo hacen los secretos asociados y los riesgos de seguridad. Los enfoques reactivos y fragmentados para la gestión de secretos simplemente no son suficientes en un mundo de implementaciones automatizadas, código generado por IA y entrega rápida de aplicaciones».

Fuente y redacción: thehackernews.com

Compartir