El fenómeno conocido como "secrets sprawl" no solo continúa, sino que en 2025 se aceleró a un ritmo que sorprendió a muchos equipos de seguridad. Un análisis a gran escala de repositorios públicos y entornos internos revela que millones de credenciales quedaron expuestas en código, en herramientas de colaboración y en imágenes y registries, ampliando una superficie de ataque que ya de por sí era difícil de contener. Los números son contundentes: solo en 2025 se detectaron decenas de millones de secretos nuevos, lo que confirma que la detección puntual ya no basta.
Detrás de esta explosión hay un factor que merece especial atención: la adopción masiva de herramientas de inteligencia artificial y de flujos de trabajo asistidos por modelos. Los asistentes de código y los generadores de snippets han cambiado tanto la forma de escribir software como el lugar donde se almacenan y comparten credenciales. Las integraciones de IA generan nuevas identidades máquina a máquina y multiplican los puntos de fuga, desde claves de APIs para servicios LLM hasta tokens para orquestadores y backends gestionados. Para entender por qué esto es crítico, basta mirar que muchas de las categorías de secretos con mayor crecimiento están relacionadas con infraestructuras de IA y sus APIs.
Otro hallazgo que debería alterar las prioridades de cualquier equipo de seguridad es la ubicación de los secretos de alto valor. Mientras el foco mediático suele situarse en GitHub público, los entornos internos contienen la mayor parte de las credenciales sensibles: tokens de CI/CD, claves de acceso a nube, contraseñas de bases de datos y similares. Tratar los repositorios internos como si fueran "ocultos" ya no es una estrategia viable, porque en muchos casos son precisamente el objetivo que permite escalar un compromiso desde un punto inicial hasta recursos críticos.
Además, las fugas no se restringen al código fuente. Una parte significativa de incidentes se origina en herramientas de colaboración como canales de mensajería, tickets y documentación compartida. Estos espacios se utilizan para resolver incidentes, para onboarding o para intercambio rápido de credenciales temporales, y a menudo reciben menos controles automatizados que el código. Cuando las claves aparecen en Slack, Jira o Confluence suelen ser más críticas, porque su exposición no queda limitada al historial de commits sino que se propaga entre equipos y logs.
La presencia de secretos en infraestructuras autoalojadas y en contenedores es otro vector preocupante. Escaneos sobre registries y sistemas Git autoalojados han mostrado miles de credenciales expuestas, con un porcentaje significativo todavía válido al momento del hallazgo. Las imágenes de Docker, en particular, suelen contener artefactos de construcción y variables de entorno que acaban siendo copias duraderas de claves y tokens. Cuando las credenciales viajan en imágenes o artefactos de build, su rotación se complica y su potencial de impacto se multiplica.
Un dato que debería hacer sonar todas las alarmas es la durabilidad de los secretos filtrados: muchas credenciales confirmadas como válidas hace años siguen explotables hoy. Esto indica que los procesos de revocación y rotación no están implementados de manera sistemática; en muchos entornos la opción por defecto ante una rotación que podría romper producción es no hacer nada. La detección sin una capacidad real de remediación sistemática convierte a los hallazgos en vulnerabilidades persistentes.
Los ataques a la cadena de suministro han ofrecido una ventana particularmente reveladora sobre cómo se comportan los secretos en máquinas comprometidas. Investigaciones que analizaron sistemas comprometidos mostraron que una misma credencial puede aparecer en múltiples lugares de un mismo equipo: ficheros .env, historial de shell, configuraciones de IDE, caches y artefactos de build. Y, más alarmante aún, una proporción notable de máquinas comprometidas eran runners de CI/CD, lo que transforma una fuga local en un problema organizacional. Una clave que se replica en varios artefactos convierte un error humano local en un acceso de alto impacto a escala.
La normalización de agentes y protocolos que conectan modelos con herramientas y datos está introduciendo una nueva clase de exposiciones. Conforme los sistemas de IA se integran con servicios externos mediante configuraciones y flags locales, es más común encontrar secretos en ficheros JSON o en configuraciones de agentes. Esto plantea una pregunta operativa que muchas organizaciones todavía no responden a escala: ¿qué identidades no humanas existen, quién las gestiona y qué permisos poseen? Sin un inventario y gobernanza de identidades máquina a máquina, la adopción de IA corre el riesgo de crear una malla incontrolable de accesos.
La respuesta no es volver al aislamiento, sino transformar cómo se gestionan las credenciales en el día a día del desarrollo. Es imprescindible dejar atrás credenciales estáticas y de larga duración, incorporar identidades efímeras y cortas, y convertir al vault y a las soluciones de secretos en la experiencia por defecto para desarrolladores. Además, cada cuenta de servicio, cada job de CI y cada agente debe recibir un tratamiento de ciclo de vida: creación, propiedad, permisos y revocación. La seguridad efectiva exige pasar de detectar filtraciones a automatizar la remediación y gobernar las identidades no humanas.
Si buscas lecturas y recursos para profundizar, las páginas de GitGuardian aportan el análisis exhaustivo de estos fenómenos, mientras que plataformas como GitHub documentan prácticas de detección y endurecimiento para pipelines y acciones (documentación de GitHub sobre secret scanning y endurecimiento de GitHub Actions). Para adoptar flujos de trabajo centrados en identidad y credenciales efímeras, la documentación de soluciones como HashiCorp Vault ofrece guías prácticas (HashiCorp Vault), y los marcos y recomendaciones sobre seguridad de la cadena de suministro y supply chain como SLSA o los recursos de CISA ayudan a contextualizar riesgos y medidas defensivas.
En definitiva, el perímetro ha cambiado y con él debe cambiar la estrategia. La era de escanear solo GitHub público y esperar cumplimiento ya no es suficiente. Las organizaciones que quieran seguir desplegando IA y acelerar el desarrollo sin exponerse deben integrar visibilidad completa —repositorios internos, herramientas colaborativas, contenedores, registries y endpoints de desarrollador— con procesos automatizados de rotación y gobernanza de identidades no humanas. Solo así se puede convertir el ruido de millones de secretos en una gestión sostenible y segura del acceso.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...