Detectar credenciales filtradas es solo la mitad de la batalla. El verdadero desafío, y a menudo la mitad descuidada de la ecuación, es lo que sucede después de la detección. Una nueva investigación del informe del estado de secretos del estado de Gitguardian 2025 revela una tendencia inquietante: la gran mayoría de los expuestos compañía Los secretos descubiertos en repositorios públicos siguen siendo válidos durante años después de la detección, creando una superficie de ataque en expansión que muchas organizaciones no abordan.
Según el análisis de Gitguardian de los secretos expuestos en los repositorios públicos de GitHub, un porcentaje alarmante de credenciales detectadas ya en 2022 sigue siendo válido hoy:
«Detectar un secreto filtrado es solo el primer paso», dice el equipo de investigación de Gitguardian. «El verdadero desafío radica en la remediación rápida».
Por qué los secretos expuestos siguen siendo válidos
Esta validez persistente sugiere dos posibilidades preocupantes: Las organizaciones desconocen que sus credenciales han sido expuestas (un problema de visibilidad de seguridad), o carecen de los recursos, procesos o urgencia para remediarlos (un problema de operaciones de seguridad). En ambos casos, una observación preocupante es que esos secretos ni siquiera se revocan de manera rutinaria, ni automáticamente del vencimiento predeterminado, ni manualmente como parte de los procedimientos de rotación regulares.
Las organizaciones siguen sin darse cuenta de las credenciales expuestas o carecen de los recursos para abordarlas de manera efectiva. Los secretos codificados proliferan a través de las bases de código, lo que hace que la remediación integral sea un desafío. La rotación secreta requiere actualizaciones coordinadas en todos los servicios y sistemas, a menudo con el impacto de producción.
Las restricciones de recursos fuerza la priorización de solo las exposiciones de mayor riesgo, mientras que los sistemas heredados crean barreras técnicas al no apoyar enfoques modernos como las credenciales efímeras.
Esta combinación de visibilidad limitada, complejidad operativa y limitaciones técnicas explica por qué los secretos codificados a menudo siguen siendo válidos mucho después de la exposición. Pasar a las soluciones de seguridad de los secretos modernos con sistemas centralizados y automatizados y credenciales de corta duración es ahora una necesidad operativa, no solo una mejor práctica de seguridad.
¿Qué servicios están más en riesgo? Las tendencias
Detrás de las estadísticas en bruto se encuentra una realidad alarmante: los sistemas de producción críticos siguen siendo vulnerables debido a las credenciales expuestas que persisten durante años en repositorios públicos.
El análisis de secretos expuestos de 2022-2024 revela que las credenciales de la base de datos, las claves en la nube y los tokens API para servicios esenciales continúan siendo válidos mucho después de su exposición inicial. Estos son no las credenciales de prueba o desarrollo, sino las claves auténticas para los entornos de producción.que representan vías directas para que los atacantes accedan a datos confidenciales de los clientes, infraestructura y sistemas críticos de negocios.
Servicios sensibles aún expuestos (2022–2024):
- MongoDB: los atacantes pueden usarlos para exfiltrarse o corromper datos. Estos son altamente sensibles, ofreciendo a los posibles atacantes acceso a información de identificación personal o información técnica que se puede utilizar para la escalada de privilegios o el movimiento lateral.
- Google Cloud, AWS, Tencent Cloud: estas claves en la nube otorgan a los atacantes potenciales acceso a la infraestructura, el código y los datos del cliente.
- MySQL/PostgreSQL: estas credenciales de bases de datos también persisten en código público cada año.
Estas no son credenciales de prueba, sino Keys to Live Services.
En los últimos tres años, el panorama de los secretos expuestos en los repositorios públicos ha cambiado de manera que revelan tanto el progreso como los nuevos riesgos, especialmente para las credenciales de la nube y las bases de datos. Una vez más, estas tendencias reflejan solo las que se han encontrado y siguen siendo válidas, lo que significa No han sido remediados o revocados a pesar de ser expuestos públicamente.
Para las credenciales en la nube, los datos muestran una tendencia ascendente marcada. En 2023, las credenciales de nube válidas representaron poco menos del 10% de todos los secretos expuestos aún activos. Para 2024, esa participación había aumentado a casi el 16%. Este aumento probablemente refleja la creciente adopción de la infraestructura en la nube y SaaS en entornos empresariales, pero también subraya la lucha continua que enfrentan muchas organizaciones para administrar el acceso a la nube de forma segura, especialmente a medida que la velocidad del desarrollador y la complejidad aumentan.
En contraste, las exposiciones de credenciales de la base de datos se movieron en la dirección opuesta. En 2023, Las credenciales de base de datos válidas constituyeron más del 13% de los secretos no remediados detectados, pero para 2024, esa cifra cayó a menos del 7%. Esta disminución podría indicar que los esfuerzos de conciencia y remediación en torno a las credenciales de la base de datos, particularmente después de las violaciones de alto perfil y el mayor uso de los servicios de bases de datos administrados, están comenzando a dar sus frutos.
La conclusión general es matizada: si bien las organizaciones pueden estar mejorando en la protección de los secretos de la base de datos tradicional, el rápido aumento de las exposiciones válidas de credenciales en la nube no remediadas sugiere que los nuevos tipos de secretos están tomando su lugar como el más prevalente y riesgoso. A medida que las arquitecturas nativas de la nube se convierten en la norma, la necesidad de la gestión de secretos automatizados, las credenciales de corta duración y la rápida remediación es más urgente que nunca.
Estrategias de remediación práctica para credenciales de alto riesgo
Para reducir el riesgo planteado por expuesto Credenciales de MongoDBlas organizaciones deben actuar rápidamente para rotar cualquiera que pueda haber filtrado y configurado IP Permising Listing para limitar estrictamente quién puede acceder a la base de datos. Habilitar el registro de auditorías también es clave para detectar actividades sospechosas en tiempo real y ayudar con las investigaciones después de una violación. Para una seguridad a largo plazo, aleje de las contraseñas codificadas aprovechando los secretos dinámicos. Si usa Atlas MongoDB, el acceso programático a la rotación de la contraseña es posible a través de la API para que pueda hacer que sus tuberías de CI/CD gire rutinariamente secretos, incluso si no ha detectado una exposición.
Keys de Google Cloud
Si un Key de la nube de Google se encuentra jamás expuesto, el movimiento más seguro es la revocación inmediata. Para prevenir el riesgo futuro, la transición de las claves de la cuenta de servicio estático a los métodos modernos de autenticación de corta duración: use la federación de identidad de carga de trabajo para cargas de trabajo externas, adjunte las cuentas de servicio directamente a los recursos de Google en la nube o implementen suplantación de la cuenta de servicio cuando se requiere acceso al usuario. Haga cumplir la rotación clave regular y aplique los principios de menor privilegio a todas las cuentas de servicio para minimizar el impacto potencial de cualquier exposición.
AWS IAM CREDENCIALES
Para AWS IAM CREDENCIALESla rotación inmediata es esencial si se sospecha la exposición. La mejor defensa a largo plazo es eliminar las claves de acceso de usuarios de larga duración por completo, optando por roles IAM y AWS STS para proporcionar credenciales temporales para las cargas de trabajo. Para sistemas fuera de AWS, aproveche los roles IAM en cualquier lugar. Audite de manera rutinaria sus políticas de acceso con AWS IAM Access Analyzer y habilite AWS CloudTrail para un registro integral, para que pueda detectar rápidamente y responder a cualquier uso sospechoso de credenciales.
Al adoptar estas prácticas de gestión de secretos modernos, enfocarse en credenciales y automatización dinámicas de corta duración, las organizaciones pueden reducir significativamente los riesgos planteados por los secretos expuestos y hacer que la remediación sea un proceso rutinario y manejable en lugar de un simulacro de incendio.
Secret Managers Integrations también puede ayudar a resolver esta tarea automáticamente.
Conclusión
La validez persistente de los secretos expuestos representa un riesgo de seguridad significativo y a menudo pasado por alto. Si bien la detección es esencial, las organizaciones deben priorizar la remediación rápida y el cambio hacia las arquitecturas que minimizan el impacto de la exposición a las credenciales.
Como muestran nuestros datos, el problema está empeorando, no mejor, con más secretos que quedan válidos más tiempo después de la exposición. Al implementar prácticas de gestión secretas adecuadas y alejarse de las credenciales de larga vida, las organizaciones pueden reducir significativamente su superficie de ataque y mitigar el impacto de las exposiciones inevitables.
La expansión del estado de secretos de Gitguardian 2025 proporciona un análisis exhaustivo de las tendencias de exposición de secretos y estrategias de remediación. El informe completo está disponible en www.gitguardian.com/files/the-state-of-secrets-sprawl-report-2025.