En el ecosistema de herramientas para la seguridad del desarrollo ha surgido un nuevo proyecto abierto que pretende elevar el listón en la detección de secretos filtrados: Betterleaks. Se trata de un escáner capaz de analizar carpetas, ficheros y repositorios Git en busca de credenciales, tokens, claves privadas y otros secretos que, por accidente, acaban dentro del historial de código. La idea es simple y urgente: encontrar y mitigar secretos antes de que los prueben los atacantes.
Betterleaks nace como evolución directa de una herramienta ya conocida en la comunidad: Gitleaks. Detrás del proyecto está Zach Rice, quien lideró el desarrollo de Gitleaks y ahora impulsa esta nueva iniciativa con apoyo de Aikido, una empresa belga enfocada en asegurar el ciclo de desarrollo. Puedes revisar el código y la documentación en el repositorio oficial de Betterleaks en GitHub: https://github.com/betterleaks/betterleaks, y leer la explicación del equipo en el blog de Aikido: https://www.aikido.dev/blog/betterleaks-gitleaks-successor.
Los escáners de secretos son ya una pieza básica en la caja de herramientas de cualquier organización que publique código o trabaje con repositorios compartidos. Plataformas como GitHub ofrecen mecanismos de “secret scanning”, y empresas especializadas publican informes constantes sobre fugas inadvertidas de credenciales. Un secreto en un commit público puede convertirse en una llave directa para atacar infraestructuras, servicios cloud o cuentas de terceros, por eso detectarlos temprano cambia el riesgo significativamente (ver documentación de GitHub sobre secret scanning: https://docs.github.com/en/code-security/secret-scanning).
¿Qué diferencia a Betterleaks de otras opciones? El proyecto incorpora varias decisiones técnicas orientadas a mejorar precisión, rendimiento y usabilidad. Una de las novedades es la validación de reglas mediante CEL (Common Expression Language), lo que permite definir condiciones más expresivas y seguras para confirmar que una coincidencia es realmente un secreto. CEL, impulsado por Google, facilita crear expresiones con lógica sobre los hallazgos; más información en la especificación de CEL: https://github.com/google/cel-spec.
En el terreno de la detección, Betterleaks introduce un enfoque basado en tokenización por Byte Pair Encoding (BPE) en lugar de apoyarse únicamente en medidas de entropía. Según los benchmarks publicados por el propio proyecto, este método consigue una sensibilidad notablemente superior en conjuntos de referencia usados para evaluar detectores de credenciales. BPE es una técnica de segmentación de texto ampliamente utilizada en modelos de lenguaje y tokenizadores modernos; si quieres entenderla a fondo, la documentación de los tokenizadores de Hugging Face es un buen punto de partida: https://huggingface.co/docs/tokenizers/python/latest/components/tokenizer_models#byte-pair-encoding.
Otra decisión importante del equipo ha sido escribir Betterleaks completamente en Go puro, eliminando dependencias que en proyectos anteriores complicaban la distribución y la instalación, como CGO o Hyperscan. Esto busca facilitar su ejecución en entornos diversos, desde máquinas locales hasta contenedores ligeros. Para quien quiera profundizar, Hyperscan es una librería de coincidencia de expresiones regulares de alto rendimiento desarrollada por Intel: https://github.com/intel/hyperscan.
En la práctica, Betterleaks también mejora aspectos que en el día a día generan ruido: maneja de forma automática contenidos que han sido codificados varias veces (por ejemplo, cadenas URL-encoded repetidas), amplía su conjunto de reglas para soportar más proveedores de servicios y paraleliza el escaneo de repositorios Git para acelerar análisis a gran escala. Esas son características que, combinadas, buscan reducir falsos positivos y acelerar la detección cuando hay grandes volúmenes de código.
El proyecto no se queda solo en lo técnico: su hoja de ruta incluye funciones que reflejan hacia dónde va la seguridad del desarrollo. Entre las ideas en estudio aparecen soporte para fuentes de datos distintas a repositorios Git y ficheros locales, análisis asistido por modelos de lenguaje para clasificar con mayor precisión los hallazgos, filtros de detección más refinados, revocación automática de secretos mediante APIs de proveedores y mapeo de permisos asociados a credenciales. Todo ello apunta a integrar Betterleaks dentro de flujos automatizados de remediación, no solo de alerta.
En cuanto al gobierno del proyecto, Betterleaks se publica bajo la licencia MIT y suma colaboradores de diferentes organizaciones, lo que busca combinar transparencia y resposabilidad en el mantenimiento. La procedencia del equipo —con aportes de personas que han trabajado en banca, en grandes proyectos de código abierto y en la nube— ayuda a que las prioridades del desarrollo miren tanto al entorno empresarial como a la comunidad de desarrolladores.
Desde la perspectiva de quien desarrolla software, incorporar esta clase de herramientas puede cambiar la dinámica de la gestión de secretos. Más allá de ejecutar un escaneo puntual, la recomendación práctica es integrar el escáner en la canalización de CI/CD, combinarlo con políticas que detecten secretos en los pre-commits y establecer procedimientos claros de rotación y revocación cuando se detecte una fuga. Empresas especializadas en detección de secretos publican guías y métricas útiles para contextualizar estos riesgos, por ejemplo el blog de GitGuardian: https://www.gitguardian.com/blog/.
Finalmente, conviene subrayar que las herramientas son útiles pero no son una solución mágica. La prevención y la respuesta requieren procesos, educación y controles técnicos complementarios: evitar commits con secretos mediante hooks, utilizar gestores de secretos y credenciales para entornos de ejecución, y contar con planes para rotar llaves en caso de exposición. Betterleaks aporta mejoras técnicas y prácticas que pueden reducir el riesgo operacional, pero su valor real se obtiene cuando se integra en políticas de seguridad sostenibles.
Si quieres explorar Betterleaks por ti mismo, revisar benchmarks o contribuir, el punto de partida es el repositorio del proyecto: https://github.com/betterleaks/betterleaks, y para contexto sobre su relación con Gitleaks y los motivos del cambio de dirección, la entrada en el blog de Aikido ofrece una lectura completa: https://www.aikido.dev/blog/betterleaks-gitleaks-successor.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...