GitHub ha informado de una significativa exposición de credenciales en 2024, con más de 39 millones de secretos filtrados en su plataforma. Esta situación ha impulsado a la compañía a implementar nuevas herramientas de seguridad destinadas a mitigar esta persistente amenaza.
Entre los datos sensibles comprometidos se encuentran claves API, credenciales de acceso, tokens de autenticación y otra información confidencial, cuya exposición podría facilitar el acceso no autorizado a sistemas y servicios críticos por parte de actores maliciosos.
Los recientes informes de seguridad de GitHub indican que se bloquea un número considerable de secretos por minuto mediante la función de protección push integrada en la plataforma.
A pesar de estas medidas preventivas, la filtración de secretos continúa siendo una de las causas más comunes y evitables de incidentes de seguridad dentro del ecosistema de desarrollo.
A medida que aumenta la velocidad de desarrollo con las herramientas modernas, la tasa de secretos expuestos accidentalmente se ha acelerado de manera similar.
«La mayor parte del software actual depende de credenciales secretas, claves API y tokens que los desarrolladores manejan docenas de veces al día», explica Erin Havens, experta en seguridad de GitHub.
«Estos secretos a menudo se exponen accidentalmente. De manera menos intuitiva, un gran número de filtraciones provienen de desarrolladores bien intencionados que exponen un secreto a propósito».
Los investigadores de seguridad señalan que incluso los secretos aparentemente de “bajo riesgo” pueden dar a los atacantes un punto de apoyo para moverse lateralmente hacia activos de mayor valor dentro de la infraestructura de una organización.
El problema es particularmente preocupante ya que las investigaciones indican que los errores de exposición accidental, como la publicidad inadvertida de repositorios privados, alcanzaron niveles récord en 2024.
Nuevas herramientas de seguridad reveladas
En respuesta a estos desafíos, GitHub ha anunciado varias mejoras de seguridad importantes:
Protección secreta independiente
GitHub lanzó Secret Protection y Code Security como productos independientes, lo que hace que las funciones de seguridad avanzadas sean más accesibles para equipos de desarrollo de todos los tamaños.
Anteriormente, estas herramientas solo estaban disponibles como parte de paquetes de seguridad más grandes, lo que las dejaba fuera del alcance de muchas organizaciones.
Escaneo secreto en toda la organización
Se ha introducido una herramienta gratuita de análisis de secretos para toda la organización para ayudar a los equipos a identificar y reducir la exposición.
Esta función de escaneo en un momento dado cubre todos los repositorios, públicos, privados, internos y archivados, brindando visibilidad integral de posibles filtraciones secretas sin requerir la compra de servicios adicionales.
Seguridad avanzada para organizaciones de equipos de GitHub
GitHub ha ampliado sus funciones de seguridad avanzada a las organizaciones del equipo GitHub, democratizando el acceso a herramientas de seguridad que antes estaban limitadas a los clientes empresariales.
Este cambio permite a los equipos de desarrollo más pequeños aprovechar las funciones de seguridad de GitHub sin costosas actualizaciones de planes.
Capacidades de detección líderes en la industria
La tecnología de escaneo secreto de GitHub supera a las alternativas con una puntuación de precisión del 75 %, en comparación con el 46 % de la siguiente mejor solución.
La plataforma logra esta precisión a través de asociaciones con cientos de emisores de tokens, incluidos AWS, Google Cloud Platform, Meta y OpenAI.
La compañía también ha integrado GitHub Copilot para detectar secretos no estructurados, como contraseñas, con tasas de falsos positivos extremadamente bajas, utilizando inteligencia artificial para mejorar las capacidades de escaneo de seguridad.
Recomendaciones de desarrolladores
Los expertos en seguridad recomiendan las siguientes mejores prácticas para la gestión de secretos:
- Implemente protección push para evitar que se confirmen secretos.
- Siga el principio de privilegio mínimo al crear credenciales.
- Rote periódicamente los secretos para limitar las ventanas de exposición.
- Automatice la gestión de secretos para minimizar la interacción humana.
- Adoptar soluciones de monitoreo continuo para detectar exposiciones.
«La forma más fácil de protegerse de los secretos filtrados es, en primer lugar, no tener ninguno», señala Havens.
«Protección push, nuestra solución integrada es la forma más sencilla de bloquear secretos frente a una exposición accidental».
Con estas nuevas herramientas, GitHub pretende reducir significativamente los 39 millones de filtraciones secretas anuales, proporcionando a los desarrolladores soluciones de seguridad accesibles y eficaces para organizaciones de todos los tamaños.
