146 lecturas

Informe de GitGuardian: El 70 % de los secretos filtrados permanecen activos durante dos años, lo que insta a una solución inmediata.

por CyberNewswire4m2025/03/11
Read on Terminal Reader
tldt arrow
en-flagENtr-flagTRes-flagESja-flagJAqu-flagQUsn-flagSNuk-flagUKro-flagRObg-flagBGhe-flagHEsw-flagSWhu-flagHUsr-flagSR
ES

Demasiado Largo; Para Leer

El informe sobre el estado de la proliferación de secretos de GitGuardian revela un aumento del 25 % en los secretos filtrados año tras año. El 70 % de los secretos filtrados en 2022 siguen activos en la actualidad, lo que crea una superficie de ataque en expansión. El 35 % de todos los repositorios privados escaneados contenían al menos un secreto en texto sin formato.
featured image - Informe de GitGuardian: El 70 % de los secretos filtrados permanecen activos durante dos años, lo que insta a una solución inmediata.
CyberNewswire HackerNoon profile picture
0-item

**BOSTON, EE. UU., 11 de marzo de 2025/CyberNewsWire/--**GitGuardian, el líder en seguridad detrás de la aplicación más instalada de GitHub, publicó hoy su completo "Informe sobre el Estado de la Expansión de Secretos 2025", que revela una crisis de seguridad generalizada y persistente que amenaza a organizaciones de todos los tamaños. El informe revela un aumento interanual del 25 % en la filtración de secretos, con 23,8 millones de nuevas credenciales detectadas en GitHub público solo en 2024. Lo más preocupante para los líderes de seguridad empresarial: el 70 % de los secretos filtrados en 2022 siguen activos hoy en día, creando una superficie de ataque en expansión que se vuelve más peligrosa cada día.


"La proliferación de secretos filtrados representa una de las amenazas más significativas, aunque subestimadas, en ciberseguridad", afirmó Eric Fourrier, director ejecutivo de GitGuardian. "A diferencia de los sofisticados exploits de día cero, los atacantes no necesitan habilidades avanzadas para explotar estas vulnerabilidades; una sola credencial expuesta puede proporcionar acceso sin restricciones a sistemas críticos y datos confidenciales". Eric Fourrier señala la filtración de datos del Departamento del Tesoro de EE. UU. de 2024 como advertencia: "Una sola clave API filtrada de BeyondTrust permitió a los atacantes infiltrarse en los sistemas gubernamentales. No se trató de un ataque sofisticado; fue un simple caso de una credencial expuesta que eludió millones en inversiones en seguridad".

Conclusiones clave para los líderes de seguridad

El informe identifica varias tendencias críticas que exigen atención inmediata:

El punto ciego: secretos genéricos

A pesar de que la Protección Push de GitHub ayuda a los desarrolladores a detectar patrones de secretos conocidos, los secretos genéricos (como contraseñas codificadas, credenciales de bases de datos y tokens de autenticación personalizados) representan ahora más de la mitad de las filtraciones detectadas. Estas credenciales carecen de patrones estandarizados, lo que las hace casi imposibles de detectar con herramientas convencionales.

Repositorios privados: una falsa sensación de seguridad

El análisis revela una verdad sorprendente: un 35% de todos los repositorios privados escaneados contenían al menos un secreto en texto simple, lo que destruye la suposición común de que los repositorios privados son seguros:

  • Las claves de AWS IAM aparecieron en texto sin formato en el 8,17 % de los repositorios privados, con una frecuencia cinco veces mayor que en los públicos (1,45 %).
  • Las contraseñas genéricas aparecieron casi 3 veces más a menudo en repositorios privados (24,1%) en comparación con los públicos (8,94%).
  • Las credenciales de MongoDB fueron el tipo de secreto filtrado con mayor frecuencia en los repositorios públicos (18,84%)


"Las filtraciones de secretos en repositorios de código privados deben considerarse comprometidas", enfatizó Eric Fourrier. "Los equipos de seguridad deben reconocer que los secretos deben tratarse como datos sensibles, independientemente de dónde se encuentren".


Más allá del código: los secretos se extienden por todo el ciclo de vida del desarrollo de software (SDLC)

Los secretos codificados están en todas partes, pero especialmente en puntos ciegos de seguridad como plataformas de colaboración y entornos de contenedores donde los controles de seguridad suelen ser más débiles:

  • Slack: el 2,4 % de los canales dentro de los espacios de trabajo analizados contenían secretos filtrados
  • Jira: el 6,1 % de los tickets expusieron credenciales, lo que la convierte en la herramienta de colaboración más vulnerable
  • DockerHub: el 98 % de los secretos detectados estaban integrados exclusivamente en capas de imágenes, con más de 7000 claves de AWS válidas actualmente expuestas

La crisis de la identidad no humana

Las identidades no humanas (NHI), como las claves API, las cuentas de servicio y los tokens de automatización, superan ampliamente a las identidades humanas en la mayoría de las organizaciones. Sin embargo, estas credenciales suelen carecer de una gestión y rotación adecuadas del ciclo de vida, lo que genera vulnerabilidades persistentes.

Un responsable de seguridad de una empresa de la lista Fortune 500 reconoció este desafío: «Nuestro objetivo es rotar los secretos anualmente, pero su aplicación es difícil en nuestro entorno. Algunas credenciales han permanecido inalteradas durante años».

Secretos de los administradores: no es una respuesta completa

Incluso las organizaciones que utilizan soluciones de gestión de secretos siguen siendo vulnerables. Un estudio de 2584 repositorios que utilizan gestores de secretos reveló una tasa de fuga de secretos del 5,1 %, muy lejos del casi cero previsto. Esto supera el promedio general de GitHub del 4,6 %.

Los problemas comunes incluyen:

  • Secretos extraídos de administradores de secretos y codificados en otros lugares
  • Autenticación insegura para administradores de secretos que exponen credenciales de acceso
  • Gobernanza fragmentada debido a la proliferación de secretos entre múltiples administradores de secretos

El camino a seguir: Seguridad integral de secretos

A medida que el código generado por IA, la automatización y el desarrollo nativo de la nube se aceleran, el informe pronostica que la proliferación de secretos no hará más que intensificarse. Si bien la Protección Push de GitHub ha reducido algunas filtraciones, deja brechas significativas, especialmente con secretos genéricos, repositorios privados y herramientas de colaboración.

"Para los CISO y los líderes de seguridad, el objetivo no es solo la detección, sino también la remediación de estas vulnerabilidades antes de que sean explotadas", afirmó Eric Fourrier. "Esto requiere un enfoque integral que incluya el descubrimiento, la detección y la remediación automatizados, así como una gobernanza de secretos más robusta en todas las plataformas empresariales".

El informe concluye con un marco estratégico para que las organizaciones aborden la proliferación de secretos mediante:

  • Implementación de la monitorización de credenciales expuestas en todos los entornos
  • Implementación de la detección y remediación centralizada de secretos
  • Establecer políticas de rotación semiautomatizadas para todas las credenciales
  • Creación de pautas claras para desarrolladores sobre el uso seguro de bóvedas

Para leer el Informe completo sobre el estado de los secretos y la expansión urbana de 2025, los usuarios pueden visitar GitGuardian.com .

Recursos adicionales

GitGuardian - Sitio web

La expansión del Estado de los Secretos en 2025

Acerca de GitGuardian

GitGuardian Es una plataforma integral de seguridad de NHI que permite a las organizaciones basadas en software mejorar la seguridad de sus NHI y cumplir con los estándares del sector. Dado que los atacantes atacan cada vez más las NHI, como cuentas de servicio y aplicaciones, GitGuardian integra la Seguridad de Secretos y la Gobernanza de NHI.


Este enfoque dual permite detectar secretos comprometidos en sus entornos de desarrollo, a la vez que gestiona las identidades no humanas y los ciclos de vida de sus secretos. La plataforma es la aplicación de GitHub más instalada del mundo y admite más de 450 tipos de secretos, ofrece monitorización pública de datos filtrados e implementa honeytokens para una mayor protección. Con la confianza de más de 600.000 desarrolladores, GitGuardian es la opción preferida por organizaciones líderes como Snowflake, ING, BASF y Bouygues Telecom para una protección robusta de secretos.

Contacto

Contacto con los medios

Holly Hagerman

Conectar Marketing

[email protected]

+1(801) 373-7888

Esta historia fue distribuida como comunicado de prensa por Cybernewswire en el marco del Programa de Blogs Empresariales de HackerNoon. Más información sobre el programa. aquí


Notion
L O A D I N G
. . . comments & more!

About Author

CyberNewswire HackerNoon profile picture
CyberNewswire@cybernewswire
The world's leading cybersecurity press release distribution platform.
Read my stories

ETIQUETAS

purcat-imgcybersecurity#cybersecurity#gitguardian#cybernewswire#press-release#gitguardian-announcement#cyber-security-awareness#cyber-threats#good-company

ESTE ARTÍCULO FUE PRESENTADO EN...

Read on Terminal Reader Terminal
Read this story w/o Javascript Lite

HISTORIAS RELACIONADAS

Article Thumbnail
El modelo Bitcoin UTXO, impulsando un ecosistema único
by ckb
Jan 01, 1970
#bitcoin-utxo
Article Thumbnail
Nómadas digitales escuchen: lo que necesitan saber sobre la nueva visa DTV de Tailandia
by ilinskii
Jan 01, 1970
#digital-nomads
Article Thumbnail
Aumente su productividad con estas 18 herramientas para desarrolladores 🚀🔥
by madzadev
Jan 01, 1970
#web-development
Join HackerNoonloading
Latest technology trends. Customized Experience. Curated Stories. Publish Your Ideas

Categories

Trending Topics

blockchaincryptocurrencyhackernoon-top-storyprogrammingsoftware-developmenttechnologystartuphackernoon-booksBitcoinbooks