La detección de credenciales filtradas es solo la mitad de la batalla. El verdadero desafío, y en muchos casos se ignora la mitad de la ecuación, es lo que sucede después de la detección. Un nuevo estudio del informe del estado de secretos de Gitguardian se extiende 2025 revela tendencias inquietantes. La mayoría de los secretos de la compañía disponibles públicamente siguen siendo efectivos en la mayoría de los secretos de las empresas descubiertos durante años después de la detección, ampliando la superficie de ataque que muchas organizaciones no han tratado.
Un porcentaje sorprendente de credenciales detectados a 2022 sigue siendo válido hoy, según un análisis de secretos expuestos en el repositorio público de GitHub de Gitguardian.
«Detectar secretos filtrados es solo el primer paso», dice los investigadores de Gitguardian. «El verdadero desafío se encuentra en soluciones rápidas».
Por qué los secretos expuestos siguen siendo válidos
Esta validez persistente sugiere dos posibilidades preocupantes. Qué organización no se da cuenta de que sus credenciales están disponibles públicamente (problemas de visibilidad de seguridad) o que carecen de los recursos, procesos o urgencia para solucionarlas adecuadamente (problemas operativos de seguridad). En ambos casos, la preocupación es que estos secretos no se revocan rutinariamente automáticamente de sus fechas de vencimiento predeterminadas o manualmente como parte de un procedimiento de rotación normal.
Las organizaciones no reconocen las credenciales disponibles públicamente o carecen de los recursos para tratarlos de manera efectiva. Los secretos codificados se multiplican a lo largo de la base de código y desafían las reparaciones integrales. La rotación secreta requiere un servicio coordinado y actualizaciones de todo el sistema, que a menudo afectan la producción.
Las restricciones de recursos hacen cumplir la priorización de solo la mayor exposición al riesgo, pero los sistemas heredados crean barreras técnicas al no apoyar enfoques modernos como calificaciones de corta duración.
Esta combinación de visibilidad limitada, complejidad operativa y limitaciones técnicas explica por qué los secretos codificados con codificación a menudo siguen siendo válidas durante mucho tiempo después de la exposición. Pasar a las soluciones de seguridad de los secretos modernos con sistemas centralizados y automatizados y credenciales de corta duración no es solo una mejor práctica de seguridad, es una necesidad operativa.
¿Qué servicios están más riesgos? tendencia
Detrás de las estadísticas crudas hay una realidad sorprendente. Los sistemas de producción críticos siguen siendo vulnerables ya que sus repositorios públicos exponen sus credenciales en los próximos años.
Un análisis de los secretos expuestos en 2022-2024 reveló que las credenciales de la base de datos, las claves en la nube y los tokens API para servicios esenciales siguen siendo válidos durante mucho tiempo después de la exposición inicial. Estas no son calificaciones de prueba o desarrollo, sino las claves reales del entorno de producción, que representan las vías directas para que los atacantes accedan a datos confidenciales de los clientes, infraestructura y sistemas críticos comerciales.
Los servicios confidenciales todavía están disponibles públicamente (2022–2024):
MongoDB: los atacantes pueden usarlos para eliminar o corromper datos. Estos son altamente sensibles y proporcionan acceso a información de identificación personal o información técnica que los atacantes potenciales pueden usar para la escalada de privilegios o el movimiento lateral. Google Cloud, AWS, Tencent Cloud: estas claves en la nube permiten a los posibles atacantes acceder a la infraestructura, el código y los datos del cliente. MySQL/PostgreSQL: estas credenciales de bases de datos también persisten en código público cada año.
Estas no son credenciales de prueba, son claves para los servicios en vivo.
En los últimos tres años, el panorama secreto expuesto de los repositorios públicos ha cambiado de manera que revelan tanto el progreso como los nuevos riesgos de las credenciales de la nube y la base de datos, particularmente en la nube y la base de datos. Nuevamente, estas tendencias se han descubierto y solo reflejan aquellas que aún son efectivas. Esto significa que a pesar de la exposición pública, no se han mejorado o cancelado.
Para las credenciales en la nube, los datos muestran una tendencia ascendente significativa. En 2023, las credenciales de nube válidas representaron menos del 10% de todos los secretos expuestos aún activos. Para 2024, su parte se había disparado a casi el 16%. Este aumento puede reflejar un aumento en la infraestructura de la nube y la adopción de SaaS en entornos empresariales, pero destaca las luchas en curso que enfrentan muchas organizaciones al administrar el acceso a la nube de forma segura, particularmente con la mayor velocidad y complejidad entre los desarrolladores.
En contraste, las exposiciones de credenciales de la base de datos se movieron en la dirección opuesta. En 2023, las credenciales de bases de datos válidas representaron más del 13% de los secretos sin límite encontrados, pero para 2024 esa cifra había caído por debajo del 7%. Esta disminución podría indicar que la conciencia de las credenciales de la base de datos y los esfuerzos de reparación, particularmente aquellos que están comenzando a dar sus frutos, con un mayor uso de infracciones conocidas y servicios de base de datos administrados.
La comida para llevar en general es un poco complicada. Si bien las organizaciones pueden haber mejorado la protección de los secretos de bases de datos tradicionales, el rápido aumento en las exposiciones de calificación de la nube, que no se conocen bien, sugiere que los nuevos tipos de secretos son las posiciones más comunes y peligrosas. A medida que las arquitecturas nativas de la nube se convierten en la norma, la necesidad de una gestión secreta automatizada, calificaciones de corta duración y reparaciones rápidas es más urgente que nunca.
Una estrategia de remediación práctica para credenciales de alto riesgo
Para reducir las poses de riesgo de las calificaciones de MongoDB expuestas, las organizaciones deben rotar lo que puede haberse filtrado y actuar rápidamente para configurar la lista de IP para restringir estrictamente a cualquier persona con acceso a la base de datos. Habilitar registros de auditoría también es clave para detectar actividades sospechosas en tiempo real y ayudar en investigaciones posteriores a la violación. Para la seguridad a largo plazo, puede alejarse de las contraseñas codificadas aprovechando los secretos dinámicos. Cuando use Atlas de MongoDB, puede acceder programáticamente a la rotación de contraseña a través de la API, lo que le permite rotar el secreto periódicamente, incluso si no se detecta ninguna exposición en la tubería CI/CD.
Key de la nube de Google
Si encuentra que su clave de Google Cloud está expuesta, el movimiento más seguro es la revocación inmediata. Para evitar riesgos futuros, migre desde las claves de la cuenta de servicio estático a los últimos métodos de autenticación de corta duración: use la federación de identidad de carga de trabajo para cargas de trabajo externas, adjunte las cuentas de servicio directamente a los recursos de Google en la nube o implementen la suplantación de cuentas de servicio cuando se requiere acceso al usuario. Realice una rotación clave normal y aplique principios de privilegios mínimos a todas las cuentas de servicio para minimizar el impacto potencial de la exposición.
AWS IAM CREDENCIALES
Para las credenciales de AWS IAM, la rotación inmediata es esencial si se sospecha la exposición. La mejor defensa a largo plazo es elegir el rol de IAM y AWS STS para eliminar por completo las claves de acceso a los usuarios de larga vida y proporcionar credenciales temporales para su carga de trabajo. Para sistemas distintos de AWS, aproveche el papel de IAM en todas partes. Puede usar AWS IAM Access Analyzer para auditar de manera rutinaria sus políticas de acceso y habilitar AWS CloudTrail para un registro integral, lo que le permite encontrar y responder rápidamente a las credenciales sospechosas.
Al adoptar estas prácticas modernas de gestión secreta, al centrarse en las credenciales y la automatización dinámica de corta duración, la organización puede reducir significativamente las poses de riesgo de los secretos expuestos y hacer que los remedios sean un proceso rutinario y manejable en lugar de simulacros de incendio.
La integración de Secret Manager también ayuda a resolver esta tarea automáticamente.
Conclusión
La validez persistente de los secretos expuestos representa un riesgo de seguridad crítico y a menudo pasado por alto. El descubrimiento es esencial, pero las organizaciones deben priorizar la rápida remediación y la migración a las arquitecturas que minimizan el impacto de la exposición a la calificación.
Como muestran nuestros datos, el problema es peor y no mejor. Incluso después de la exposición, hay secretos más efectivos que son efectivos durante mucho tiempo. Implementar prácticas de gestión secretas apropiadas y dejar credenciales de larga vida puede reducir significativamente la superficie del ataque y reducir el impacto de la exposición inevitable.
La expansión del estado de secretos de Gitguardian 2025 proporciona un análisis exhaustivo de las tendencias de exposición secreta y las estrategias de remediación. El informe completo está disponible en www.gitguardian.com/files/the-tate-of-secrets-sprawl-report-2025.
Source link
