Filtración de datos en CISA: Congreso investiga grave incidente de seguridad

En el tablero de la seguridad nacional digital, no existe una pieza más estratégica que la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA). Concebida como el escudo definitivo para proteger las redes federales y la infraestructura crítica contra los ataques más sofisticados de actores estatales, la agencia se encuentra hoy en el ojo de una tormenta sin precedentes. Una masiva e inverosímil filtración de datos ha dejado al descubierto que el propio custodio de las defensas cibernéticas de la superpotencia cometió errores de higiene digital básica que cualquier analista junior consideraría imperdonables. La publicación accidental de credenciales altamente privilegiadas de Amazon Web Services (AWS) GovCloud en un repositorio público de GitHub no solo ha expuesto los sistemas internos de la agencia, sino que ha desatado una crisis de confianza que ya resuena con fuerza en los pasillos del Congreso en Washington.

La gravedad del incidente radica no solo en la jerarquía de las claves expuestas, sino en la desconcertante cadena de negligencias técnicas que precedieron el desastre. Durante casi seis meses, información crítica que detalla cómo el gobierno de los Estados Unidos construye, prueba y despliega sus herramientas de software estuvo al alcance de cualquiera con una conexión a internet. El hecho de que este descuido provenga de un contratista de CISA subraya una vulnerabilidad sistémica persistente: la cadena de suministro de confianza y el riesgo asociado a terceros.

La anatomía de una filtración de datos que expuso el núcleo de CISA

El origen del incidente se localiza en un perfil público de GitHub bautizado irónicamente como “Private-CISA”. Este repositorio fue creado y mantenido desde mediados de noviembre de 2025 por un administrador de sistemas empleado por Nightwing, una firma de servicios tecnológicos y de ciberseguridad con sede en Virginia que trabaja estrechamente con agencias de inteligencia y defensa. Lo que debía ser un espacio de trabajo privado o un entorno de pruebas personal terminó configurado como un repositorio público, exponiendo un total de 844 megabytes (MB) de datos operativos internos.

De acuerdo con los análisis técnicos posteriores realizados por la firma de seguridad GitGuardian, el volumen de la información contenida en el historial de Git revelaba un mapa detallado del ecosistema de la agencia. Entre los archivos expuestos de manera explícita se encontraban los siguientes elementos de alto riesgo:

• Credenciales administrativas de AWS GovCloud: Tokens de acceso altamente privilegiados que apuntaban directamente a tres entornos de nube gubernamentales de CISA, diseñados específicamente para almacenar datos regulados y sensibles.
• Certificados SAML de Microsoft Entra ID: Claves de autenticación federada que permiten la gestión de identidades y accesos, las cuales facilitan el inicio de sesión único (SSO) y que, de ser comprometidas, pueden ser utilizadas para falsificar identidades dentro de la red federal.
• Archivos de configuración de Kubernetes y ArgoCD: Archivos YAML y manifiestos de orquestación (incluyendo el archivo Kube-Config.txt) que detallan la infraestructura de contenedores de la agencia y los endpoints de sus servicios internos.
• Plantillas de infraestructura como código (IaC): Planos detallados de despliegue mediante Terraform y flujos de trabajo de GitHub Actions, los cuales describen paso a paso las tuberías de integración y entrega continua (CI/CD) de la agencia.
• Contraseñas en texto plano: Un archivo CSV titulado AWS-Workspace-Firefox-Passwords.csv que contenía nombres de usuario y contraseñas sin ningún tipo de cifrado.

La combinación de estos vectores de ataque permitió a investigadores externos, como Philippe Caturegli, director general de la consultora de seguridad Seralys, comprobar que las credenciales expuestas otorgaban acceso de administrador total a los entornos GovCloud de CISA. Con un esfuerzo de reconocimiento mínimo, cualquier atacante habría podido tomar el control de instancias de computación EC2, buckets de almacenamiento S3 y almacenes de secretos gubernamentales.

Desactivando las alarmas: Una negligencia inexplicable

Para la comunidad de ciberseguridad, el aspecto más alarmante de esta filtración de datos no fue la mera presencia de las claves en el repositorio, sino el hecho de que el administrador de Nightwing desactivó de forma manual e intencionada las protecciones automatizadas de GitHub. Por defecto, la plataforma de desarrollo cuenta con filtros avanzados que bloquean de inmediato la publicación de claves SSH, tokens de API y secretos conocidos en repositorios públicos.

Los registros de auditoría y los historiales de “commits” de la cuenta revelaron comandos explícitos escritos por el contratista para eludir estas alertas de seguridad. El operador trató el repositorio público como un bloc de notas digital sin restricciones, ignorando las advertencias del sistema e introduciendo copias de seguridad de OneNote y documentos privados que revelaban las metodologías internas de CISA. Guillaume Valadon, el investigador de GitGuardian que detectó inicialmente la filtración el 14 de mayo de 2026, confesó que al principio creyó que se trataba de una campaña de engaño o un “hoax” debido a lo absurdamente deficiente que era la higiene de seguridad del perfil.

La carrera por la contención y el rol de los “buenos samaritanos”

La detección del incidente puso en marcha un protocolo de divulgación responsable extremadamente complejo. Tras identificar la exposición de datos el 14 de mayo de 2026, GitGuardian intentó comunicarse directamente con el titular de la cuenta. Ante la falta de respuesta inmediata por parte del contratista —quien, según informes posteriores, ya había ignorado hasta siete alertas automatizadas previas en los últimos dos meses—, Valadon escaló el reporte a través de los canales oficiales del Centro de Coordinación del CERT (CERT/CC) y contactó en paralelo a contactos internos de CISA.

Al notar que el repositorio seguía activo y ante la inminente amenaza de que actores maliciosos detectaran el botín, Valadon recurrió al prestigioso periodista de investigación Brian Krebs el 15 de mayo para acelerar la respuesta gubernamental. Gracias a esta presión combinada, el repositorio “Private-CISA” fue finalmente retirado de la vista pública el 15 de mayo de 2026, aproximadamente 26 horas después de la primera alerta formal. Tres días después, el 18 de mayo, Krebs publicó los detalles de la filtración, desatando una oleada de escrutinio que escaló rápidamente a los niveles más altos del gobierno estadounidense.

El terremoto político: El Congreso exige rendición de cuentas

La revelación de que la agencia encargada de dar cátedra sobre resiliencia cibernética al sector privado y público fue víctima de una negligencia interna tan severa provocó una reacción inmediata en el Capitolio. El 19 de mayo de 2026, la senadora demócrata por Nuevo Hampshire, Maggie Hassan, envió una enérgica carta al Director Interino de CISA, Nick Andersen, exigiendo una sesión informativa clasificada antes del 5 de junio para responder por las políticas de seguridad en la nube de la agencia. Hassan cuestionó directamente cómo un descuido de tal magnitud pudo pasar desapercibido durante meses en el seno de la entidad encargada de coordinar la defensa digital de la nación.

Un día después, el 20 de mayo, los líderes demócratas del Comité de Seguridad Nacional de la Cámara de Representantes, encabezados por el miembro de mayor rango Bennie Thompson (D-MS) y la representante Delia Ramirez (D-IL), se sumaron al reclamo. Solicitaron de manera formal explicaciones detalladas sobre las acciones correctivas que se aplicarían contra el personal del contratista Nightwing.

Este incidente ocurre en un momento especialmente vulnerable para CISA. Durante el último año, bajo el inicio del segundo mandato del presidente Donald Trump, la agencia ha operado sin un director permanente tras la renuncia de su anterior titular. A esto se suman profundos recortes presupuestarios, licencias forzosas y despidos masivos que han reducido la plantilla laboral de CISA en casi un tercio. Legisladores como Thompson y Ramirez han advertido que esta drástica reducción de personal y de capacidades de supervisión directa sobre contratistas externos podría haber sido un factor determinante en la falta de auditorías rigurosas que facilitaron la filtración.

La ilusión de “ningún compromiso” frente a la persistencia silenciosa

CISA ha intentado apaciguar las críticas emitiendo comunicados en los que asegura que, por el momento, “no hay indicios de que los datos de la misión de la agencia hayan sido comprometidos”, afirmando que la información expuesta correspondía únicamente a credenciales del contratista. Sin embargo, la comunidad de inteligencia de amenazas e investigadores independientes ven esta declaración con profundo escepticismo.

Dado que las claves administrativas estuvieron expuestas públicamente en GitHub durante casi seis meses, el riesgo latente es incalculable. Es ampliamente conocido que los servicios de inteligencia de naciones rivales —como Rusia, China o Irán— monitorean constantemente el flujo de datos en tiempo real (“firehose”) de GitHub mediante herramientas automatizadas diseñadas específicamente para extraer secretos en segundos.

Los expertos advierten que un actor de amenazas avanzadas persistentes (APT) que hubiera descubierto estas claves no habría destruido bases de datos de forma ruidosa. En su lugar, el comportamiento estándar de estos grupos consiste en:

1. Mapear la infraestructura silenciosamente: Utilizar las claves para descargar configuraciones de Terraform y Kubernetes para entender la topología de la red federal sin levantar alarmas.
2. Establecer mecanismos de persistencia: Crear usuarios de respaldo en AWS, inyectar certificados SAML falsos o configurar túneles VPN y claves SSH alternativas para garantizar el acceso futuro incluso si las claves originales eran rotadas.
3. Comprometer la cadena de suministro de software: Modificar sutilmente las tuberías de CI/CD para introducir vulnerabilidades en el código que CISA distribuye o utiliza para evaluar la seguridad de otras agencias.

Por lo tanto, la rotación tardía de las claves no elimina la posibilidad de que adversarios extranjeros ya se encuentren instalados de manera persistente y silenciosa en los sistemas internos del Departamento de Seguridad Nacional (DHS).

El imperativo tecnológico: El fin de los secretos estáticos

El descalabro operativo de CISA sirve como una lección fundamental para la industria tecnológica global. El núcleo del problema reside en la persistencia de los secretos estáticos. Confiar en contraseñas escritas en hojas de cálculo, tokens de larga duración guardados en archivos de texto o claves de AWS que no expiran automáticamente es una práctica obsoleta y peligrosa.

La mitigación de estos riesgos exige una transición urgente hacia arquitecturas de seguridad modernas basadas en secretos dinámicos e identidades efímeras. Las organizaciones públicas y privadas deben implementar políticas estrictas que impidan el uso de credenciales estáticas en favor de roles de IAM temporales, autenticación basada en OpenID Connect (OIDC) para pipelines de CI/CD y sistemas automatizados de rotación de credenciales que reduzcan la ventana de oportunidad para cualquier atacante a minutos o segundos, eliminando así el impacto catastrófico de un error humano en plataformas públicas de código.