En mayo de este año, un investigador de seguridad lanzó una alerta que pocos olvidarán: había descubierto una de las peores filtraciones de credenciales que recordaba. No se trataba de una empresa cualquiera, sino de la Agencia de Ciberseguridad e Infraestructura de Estados Unidos, la CISA. Un contratista había subido a un repositorio público de GitHub las llaves privilegiadas de AWS GovCloud, el entorno en la nube que aloja datos gubernamentales sensibles. Ahora, con el informe forense recién publicado, la agencia expone al detalle lo que falló y, sobre todo, lo que piensa cambiar. Le adelanto que lo más valioso del documento no es el ‘qué’, sino el ‘cómo’ van a intentar que no vuelva a ocurrir.
Anatomía del fallo: GitHub, un contratista y las llaves del reino
El incidente ocurrió el 15 de mayo. Un contratista externo cometió un error de los que quitan el sueño a cualquier responsable de seguridad: colocar credenciales de acceso a los sistemas de alto privilegio de CISA en un repositorio de código público. Hablamos de AWS GovCloud, la nube diseñada para manejar información no clasificada pero controlada (CUI) del gobierno federal. Las llaves estaban a la vista de cualquiera que supiera buscar. El investigador de GitGuardian, Guillaume Valadon, fue quien las encontró y alertó de inmediato. “Es una de las peores filtraciones que he visto”, declararía después.
La respuesta de CISA fue rápida. En cuestión de horas, la agencia sacó de línea el repositorio, revocó los accesos del contratista y paralizó su entorno de desarrollo. Pero ahí no acabó todo. A continuación, analizó con lupa los logs de actividad para determinar si alguien ajeno había usado esas credenciales. La conclusión fue un alivio relativo: ninguna de las claves filtradas había sido utilizada fuera de la agencia y no se expuso información de clientes ni datos de misión. El principio de confianza cero y unos buenos registros de auditoría salvaron los muebles. Casi.
No se equivoque conmigo: que no se haya materializado un acceso indebido no significa que el riesgo no fuera extremo. Con esas credenciales, un atacante podría haber pivotado sobre sistemas que albergan información crítica para la seguridad nacional de Estados Unidos. La filtración evidenció que incluso las agencias más preparadas tropiezan con el factor humano: un despiste, un comando mal ejecutado, un repositorio público por error.
La respuesta de CISA: lecciones de una agencia que cambia su doctrina
El informe forense, firmado por los directores de información y de ciberseguridad en funciones, Preston Werntz y Brad Libbey, es un ejercicio de transparencia poco habitual en el sector público. CISA ha decidido convertir su tropiezo en doctrina. “Compartir nuestras experiencias de respuesta a incidentes ayuda a otras organizaciones a aprender y a tomar precauciones”, escriben. Y acto seguido detallan una batería de medidas que, en mi opinión, marcan un punto de inflexión.
La primera: desplegar capacidades de detección y respuesta en endpoints para monitorizar y gestionar las subidas a repositorios públicos. Dicho de forma llana, no se volverá a subir nada a GitHub sin que salte una alarma. La segunda: rotar todos los secretos tras el incidente —algo que, según admite la propia agencia, debería haber estado automatizado— y diseñar un plan de gestión de secretos con mayúsculas. La tercera, y quizá la más relevante para el oficio: CISA se ha propuesto hacer más sencillo que los investigadores le notifiquen vulnerabilidades. Reconoce que es más fácil recibir alertas sobre fallos ajenos que sobre los propios. Ahora también quiere escuchar.
“Es la primera vez que una agencia nacional de ciberseguridad aboga de forma explícita por el escaneo de secretos y por simplificar la relación con los investigadores”, valoró Valadon en declaraciones a CyberScoop. Comparto su lectura. El gesto no es menor: democratiza la vulnerabilidad como vector de mejora, no como estigma.
La filtración de credenciales en un repositorio público no es un fallo tecnológico: es un fallo humano, y contra eso no hay parche que valga sin cultura de seguridad.
Dossier Moncloa: Ojos en la Sombra
La gestión de secretos en la nube gubernamental es la frontera más porosa de la ciberseguridad occidental. Lo que le ha ocurrido a CISA podría haberle pasado a cualquier agencia europea que haya migrado a entornos de nube, incluido el CNI o los sistemas del Ministerio del Interior español. La nube no es el problema —es la gobernanza de las credenciales que acceden a ella—. Y cuando hablamos de AWS GovCloud o de su equivalente en Microsoft Azure Government, el impacto potencial de una filtración escala de inmediato: no son datos comerciales, son secretos de Estado que podrían quedar expuestos al mejor postor.
El vector de amenaza está claro: filtración accidental por un contratista externo con acceso privilegiado. La agencia defensora es CISA, pero los terceros observadores que deberían tomar nota son todos los servicios de inteligencia y organismos gubernamentales que externalizan la gestión de sus nubes. En España, el Centro Criptológico Nacional (CCN-CERT) publicó en 2025 una guía de buenas prácticas para el uso de servicios en la nube en el sector público, pero una guía no es un escudo. La lección de CISA es que hay que ir más allá: monitorización activa de repositorios públicos, rotación automatizada de secretos y, sobre todo, una cultura de la notificación que no penalice al que avisa.
El precedente no es nuevo. En 2020, la brecha de SolarWinds (atribuida al SVR) demostró cómo un simple fallo en la cadena de suministro puede comprometer a medio gobierno. Aquí, sin embargo, no hay un actor APT detrás: solo un error humano. Pero precisamente por eso asusta más. Si leyó El quinto elemento, recordará que ya advertí que “el próximo 11S empezará con un clic”. Una credencial mal custodiada es ese clic. El nivel de clasificación estimado del material que podría haberse visto comprometido oscila entre ‘Uso Restringido’ y ‘Confidencial’, pero en la práctica, el acceso a AWS GovCloud otorgaba una capacidad de pivote que lo elevaba todo.
Mi posición editorial es moderada: celebro la transparencia de CISA y su giro doctrinal hacia la escucha activa del investigador externo, pero echo en falta una reflexión más profunda sobre la gestión de la cadena de suministro humana. Los contratistas externos manejan los secretos del reino y, a veces, sin la misma cultura de seguridad que un funcionario de carrera. En España, donde la externalización de servicios TIC en la administración es regla, no excepción, veo un riesgo sistémico que nadie está calibrando con la urgencia necesaria.
La fecha del próximo informe del ODNI sobre amenazas globales será la prueba de fuego para ver si esta historia cala en la doctrina colectiva de Occidente. CISA ya ha movido ficha. Me consta que en Moncloa están leyendo el forense con lupa. Sería deseable que el CCN-CERT emita, a su vez, una nota técnica actualizando sus recomendaciones sobre escaneo de secretos. Porque, créame, una llave pública no abre solo una puerta: abre también un debate de madurez que llevamos años postergando.

