El informe de expansión del estado de secretos de Gitguardian para 2025 revela la escala alarmante de la exposición a los secretos en entornos de software modernos. Conducir este es el rápido crecimiento de las identidades no humanas (NHIS), que han superado en número a los usuarios humanos durante años. Necesitamos adelantarse y preparar medidas de seguridad y gobernanza para estas identidades de la máquina a medida que continúan implementándose, creando un nivel de riesgo de seguridad sin precedentes.
Este informe revela que se filtraron 23.77 millones de nuevos secretos en GitHub solo en 2024. Este es un aumento del 25% del año anterior. Este aumento dramático resalta cómo la proliferación de identidades no humanas (NHIS), como las cuentas de servicio, los microservicios y los agentes de IA, están expandiendo rápidamente la superficie de ataque para los actores de amenazas.
La crisis de identidad no humana
Los secretos de NHI, incluidas las claves API, las cuentas de servicio y los trabajadores de Kubernetes, ahora superan en número a las identidades humanas por al menos 45 a 1 en entornos de DevOps. Estas credenciales basadas en máquinas son esenciales para la infraestructura moderna, pero crean desafíos de seguridad significativos cuando están mal administrados.
Lo más preocupante es la persistencia de las credenciales expuestas. El análisis de Gitguardian encontró que el 70% de los secretos detectados por primera vez en repositorios públicos en 2022 permanecen activos hoy, lo que indica una falla sistémica en la rotación de credenciales y las prácticas de gestión.
Repositorios privados: un falso sentido de seguridad
Las organizaciones pueden creer que su código es seguro en repositorios privados, pero los datos cuentan una historia diferente. Los repositorios privados tienen aproximadamente 8 veces más probabilidades de contener secretos que los públicos. Esto sugiere que muchos equipos dependen de la «seguridad a través de la oscuridad» en lugar de implementar la gestión adecuada de los secretos.
El informe encontró diferencias significativas en los tipos de secretos filtrados en repositorios privados versus público:
- Los secretos genéricos representan el 74.4% de todas las filtraciones en repositorios privados versus 58% en los públicos
- Las contraseñas genéricas representan el 24% de todos los secretos genéricos en repositorios privados en comparación con solo el 9% en repositorios públicos
- Las credenciales empresariales como AWS IAM Keys aparecen en el 8% de los repositorios privados pero solo el 1.5% de los públicos
Este patrón sugiere que los desarrolladores son más cautelosos con el código público, pero a menudo cortan esquinas en entornos que creen que están protegidos.
Herramientas de IA que empeora el problema
El copiloto de GitHub y otros asistentes de codificación de IA pueden aumentar la productividad, pero también están aumentando los riesgos de seguridad. Se descubrió que los repositorios con copiloto habían tenido una tasa de incidencia de 40% de fugas secretas en comparación con los repositorios sin asistencia de IA.
Esta estadística preocupante sugiere que el desarrollo con AI, al acelerar la producción de código, puede estar alentando a los desarrolladores a priorizar la velocidad sobre la seguridad, integrando las credenciales de manera que las prácticas de desarrollo tradicionales puedan evitar.
Docker Hub: más de 100,000 secretos válidos expuestos
En un análisis sin precedentes de 15 millones de imágenes públicas de Docker de Docker Hub, Gitguardian descubrió más de 100,000 secretos válidos, incluidos AWS Keys, GCP Keys y Github Tokens que pertenecen a las compañías Fortune 500.
La investigación encontró que el 97% de estos secretos válidos se descubrieron exclusivamente en capas de imagen, y la mayoría aparecía en capas menores de 15 MB. Las instrucciones de ENV solo representaron el 65% de todas las fugas, destacando un punto ciego significativo en la seguridad del contenedor.
Más allá del código fuente: secretos en herramientas de colaboración
Las filtraciones secretas no se limitan a los repositorios de código. El informe encontró que las plataformas de colaboración como Slack, Jira y Confluence se han convertido en vectores significativos para la exposición a las credenciales.
De manera alarmante, los secretos que se encuentran en estas plataformas tienden a ser más críticos que los de los repositorios del código fuente, con el 38% de los incidentes clasificados como altamente críticos o urgentes en comparación con el 31% en los sistemas de gestión del código fuente. Esto sucede en parte porque estas plataformas carecen de los controles de seguridad presentes en las herramientas de gestión de código fuente modernas.
Al alarmante, solo el 7% de los secretos que se encuentran en las herramientas de colaboración también se encuentran en la base del código, lo que hace que esta área de secretos se extienda un desafío único que la mayoría de las herramientas de escaneo secretas no pueden mitigar. También se ve exasperado por el hecho de que los usuarios de estos sistemas cruzan todos los límites del departamento, lo que significa que todos están filtrando credenciales a estas plataformas.
El problema de los permisos
Exacerbando aún más el riesgo, Gitguardian descubrió que las credenciales filtradas con frecuencia tienen permisos excesivos:
- El 99%de las claves de la API de GitLab tenían acceso completo (58%) o acceso de solo lectura (41%)
- El 96% de los tokens GitHub tenían acceso a escritura, con un 95% que ofrece acceso completo al repositorio
Estos amplios permisos amplifican significativamente el impacto potencial de las credenciales filtradas, lo que permite a los atacantes moverse lateralmente y aumentar los privilegios más fácilmente.
Rompiendo el ciclo de los secretos.
Si bien las organizaciones adoptan cada vez más soluciones de gestión secreta, el informe enfatiza estas herramientas por sí solas no son suficientes. Gitguardian descubrió que incluso los repositorios que usaban los gerentes de secretos tenían una tasa de incidencia del 5.1% de secretos filtrados en 2024.
El problema requiere un enfoque integral que aborde todo el ciclo de vida de los secretos, combinando detección automatizada con procesos de remediación rápida e integrando la seguridad durante todo el flujo de trabajo de desarrollo.
Como concluye nuestro informe, «el informe de expansión del estado de secretos de 2025 ofrece una advertencia marcada: a medida que las identidades no humanas se multiplican, también lo hacen sus secretos asociados, y los riesgos de seguridad. Los enfoques reactivos y fragmentados para la gestión de los secretos simplemente no son suficientes en un mundo de implementaciones automatizadas, código AI y suministro de aplicación rápida».