**Aumento sin precedentes de secretos expuestos en repositorios públicos de GitHub en 2025: crecen un 34% los incidentes según GitGuardian**
—
### 1. Introducción
El fenómeno conocido como «secrets sprawl», o dispersión incontrolada de secretos, continúa agravándose a un ritmo alarmante. Según el informe «State of Secrets Sprawl 2026» publicado recientemente por GitGuardian, durante 2025 se detectaron 29 millones de nuevos secretos hardcodeados en repositorios públicos de GitHub. Este dato supone un incremento del 34% respecto al año anterior, marcando el mayor salto anual registrado hasta la fecha y poniendo en evidencia la creciente dificultad de los equipos de seguridad para contener esta amenaza.
—
### 2. Contexto del Incidente o Vulnerabilidad
La presencia de secretos (como claves de API, credenciales de bases de datos, tokens de acceso y certificados) en el código fuente público constituye una de las principales puertas de entrada para atacantes. La exposición accidental o negligente de estos elementos críticos facilita la explotación de infraestructuras, la escalada de privilegios y la exfiltración de datos sensibles. La escalada observada en 2025 se produce en un contexto de mayor presión sobre los equipos de seguridad, junto con una aceleración de los ciclos de desarrollo y una integración masiva de herramientas basadas en inteligencia artificial (IA) que, paradójicamente, han contribuido tanto a la generación como a la detección de secretos expuestos.
—
### 3. Detalles Técnicos
**Repositorios afectados y vectores de ataque**
El análisis de GitGuardian abarcó miles de millones de commits en repositorios públicos de GitHub, identificando secretos hardcodeados en archivos de configuración, scripts de despliegue, código fuente y documentación técnica. Los principales vectores de ataque observados incluyen:
– Compromiso de cuentas mediante tokens expuestos.
– Acceso no autorizado a servicios en la nube (AWS, Azure, Google Cloud) por claves filtradas.
– Uso indebido de credenciales de bases de datos y sistemas de almacenamiento.
– Automatización de escaneos de repositorios públicos por parte de actores maliciosos utilizando herramientas como TruffleHog, Gitleaks o incluso frameworks ofensivos como Metasploit, que aprovechan estos secretos para el movimiento lateral y la persistencia.
**Indicadores de Compromiso (IoC) y técnicas MITRE ATT&CK**
Las TTP identificadas en estos incidentes se alinean principalmente con los siguientes apartados del marco MITRE ATT&CK:
– **TA0006 Credential Access**: Exfiltración de credenciales y secretos.
– **T1552 Unsecured Credentials**: Detección de contraseñas y claves embebidas.
– **T1078 Valid Accounts**: Uso de cuentas legítimas comprometidas para acceder a sistemas internos.
**Exploits conocidos y herramientas empleadas**
Se han reportado campañas de explotación automatizada donde actores de amenazas emplean bots para monitorizar nuevos commits en tiempo real, extrayendo secretos minutos después de su publicación. Herramientas open source como Gitleaks o la integración de módulos de escaneo en frameworks como Cobalt Strike han hecho más eficiente la explotación de estos incidentes.
—
### 4. Impacto y Riesgos
El impacto de este fenómeno es significativo tanto en términos económicos como de reputación. Según estimaciones de GitGuardian, el 75% de las empresas del Fortune 500 han sufrido exposiciones de secretos en 2025. El coste medio de una brecha asociada a secretos expuestos supera los 4 millones de dólares, y el cumplimiento de normativas como GDPR y NIS2 se ve seriamente comprometido. Además, la exposición pública de credenciales críticas puede desencadenar incidentes de ransomware, sabotaje de infraestructuras y fugas masivas de datos.
—
### 5. Medidas de Mitigación y Recomendaciones
Para contener el secrets sprawl, GitGuardian y expertos en ciberseguridad recomiendan:
– **Automatización del escaneo de secretos** en pipelines CI/CD utilizando herramientas como Gitleaks, detect-secrets o integraciones nativas en plataformas DevSecOps.
– **Rotación proactiva de credenciales** y establecimiento de políticas de caducidad estrictas.
– **Integración de vaults seguros** (HashiCorp Vault, AWS Secrets Manager) para la gestión centralizada de secretos.
– **Formación continua** para desarrolladores y revisiones de código orientadas a detectar errores de configuración.
– **Monitorización activa de repositorios públicos y privados** mediante soluciones especializadas y alertas tempranas de exposición.
—
### 6. Opinión de Expertos
David Balduini, analista senior en GitGuardian, subraya: “El auge de la IA generativa en el desarrollo de software ha acelerado tanto la detección como la creación inadvertida de secretos hardcodeados. Es fundamental que los equipos de seguridad adopten un enfoque proactivo y automatizado para evitar que estos incidentes escalen”.
Por su parte, Marta López, CISO en una multinacional tecnológica, apunta: “No basta con confiar en la concienciación de los desarrolladores. La integración de controles automáticos en todos los niveles del ciclo de vida del software es ya un requisito imprescindible bajo el marco NIS2”.
—
### 7. Implicaciones para Empresas y Usuarios
Las empresas están obligadas a reforzar sus estrategias de protección de secretos, tanto por el aumento de los riesgos como por las nuevas exigencias regulatorias europeas. La falta de controles puede derivar en sanciones severas bajo GDPR y NIS2, además de pérdidas económicas y reputacionales irreparables. Para los usuarios, la exposición de secretos supone un riesgo indirecto, ya que sus datos pueden verse comprometidos en ataques posteriores a servicios y aplicaciones vulneradas.
—
### 8. Conclusiones
El secrets sprawl ha alcanzado en 2025 un nivel crítico, con un crecimiento sin precedentes que desafía a los equipos de seguridad y pone a prueba la resiliencia de las organizaciones frente a la filtración de credenciales. La automatización, la gestión centralizada de secretos y la sensibilización continua son ya pilares esenciales para contener este fenómeno. La tendencia indica que, sin una respuesta coordinada y tecnológicamente avanzada, el problema seguirá escalando en los próximos años.
(Fuente: feeds.feedburner.com)