Un contractor de la Agencia de Ciberseguridad e Infraestructura de Seguridad (CISA) de Estados Unidos filtró accidentalmente credenciales sensibles de AWS GovCloud y contraseñas en texto plano de sistemas internos de la agencia a través de un repositorio público de GitHub. El incidente, considerado por expertos como una de las filtraciones de datos gubernamentales más graves en años, permaneció expuesto durante aproximadamente seis meses antes de ser detectado y eliminado.
El repositorio, denominado "Private-CISA", fue descubierto el 15 de mayo por Guillaume Valadon, investigador de la firma de seguridad GitGuardian, quien alertó a CISA después de encontrar que el propietario no respondía a las notificaciones automáticas de exposición de secretos digitales. El repositorio contenía archivos con credenciales administrativas para tres servidores de AWS GovCloud, tokens de acceso, contraseñas en texto plano, registros y otros activos sensibles de la agencia.
Según Philippe Caturegli, fundador de la consultora de seguridad Seralys, el repositorio incluía un archivo llamado "importantAWStokens" con las credenciales administrativas de tres servidores de AWS GovCloud, además de un archivo CSV denominado "AWS-Workspace-Firefox-Passwords.csv" que contenía nombres de usuario y contraseñas en texto plano para docenas de sistemas internos de CISA. Entre estos sistemas se encontraba "LZ-DSO" (Landing Zone DevSecOps), el entorno seguro de desarrollo de código de la agencia.
Caturegli validó que las credenciales expuestas podían autenticarse en tres cuentas de AWS GovCloud con un nivel de privilegios elevado. También verificó que las credenciales en texto plano incluían acceso al "artifactory" interno de CISA, esencialmente un repositorio de todos los paquetes de código utilizados para construir software, lo que representaría un objetivo atractivo para atacantes malicious que buscasen mantener presencia persistente en los sistemas de la agencia.
"Ese sería un lugar privilegiado para moverse lateralmente", explicó Caturegli. "Una puerta trasera en algunos paquetes de software, y cada vez que construyan algo nuevo, desplegarán tu puerta trasera por todas partes".
Los expertos en seguridad señalan que la filtración revela prácticas de higiene de seguridad deficientes. Valadon destacó que los registros del repositorio mostraban que el administrador de CISA desactivó la configuración predeterminada de GitHub que bloquea la publicación de claves SSH u otros secretos en repositorios públicos de código. "Contraseñas almacenadas en texto plano en un CSV, respaldos en git, comandos explícitos para desactivar la función de detección de secretos de GitHub", escribió Valadon. "Honestamente creí que todo era falso antes de analizar el contenido más a fondo. Esta es efectivamente la peor filtración que he presenciado en mi carrera".
El análisis del repositorio reveló que el contractor utilizaba contraseñas fáciles de adivinar para varios recursos internos, como contraseñas que consistían en el nombre de cada plataforma seguido del año actual. Caturegli indicó que tales prácticas constituirían una amenaza de seguridad seria para cualquier organización, incluso si esas credenciales nunca hubiesen sido expuestas externamente, noting que los actores de amenazas frecuentemente utilizan credenciales expuestas en la red interna para expandir su alcance después de establecer acceso inicial a un sistema seleccionado.
Una revisión del repositorio y sus contraseñas expuestas reveló que el repositorio "Private CISA" fue mantenido por un empleado de Nightwing, un contractor gubernamental con sede en Dulles, Virginia. Nightwing declinó comentar y derivó las consultas a CISA.
El repositorio fue creado el 13 de noviembre de 2025, mientras que la cuenta de GitHub del contractor fue establecida en septiembre de 2018. La cuenta fue dada de baja poco después de que tanto KrebsOnSecurity como Seralys notificaran a CISA sobre la exposición. Sin embargo, Caturegli señaló que las claves de AWS expuestas inexplicablemente permanecieron válidas durante otras 48 horas.
CISA emitió un comunicado reconociendo la exposición: "Actualmente no hay indicación de que datos sensibles fueran comprometidos como resultado de este incidente. Aunque mantenemos a nuestros miembros del equipo bajo los más altos estándares de integridad y conciencia operativa, estamos trabajando para asegurar que se implementen salvaguardas adicionales para prevenir ocurrencias futuras".
El incidente ocurre en un momento particularmente desafiante para la agencia, que opera actualmente con solo una fracción de sus niveles normales de presupuesto y personal. CISA ha perdido casi un tercio de su fuerza laboral desde el inicio de la segunda administración Trump, lo que forzó una serie de retiros anticipados, ofertas de compra y renuncias en las diversas divisiones de la agencia.
Los expertos señalan que lo más probable es que el contractor utilizara este repositorio de GitHub para sincronizar archivos entre una computadora de trabajo y una computadora personal, dado que ha cometido regularmente a este repositorio desde noviembre de 2025. "Esta sería una filtración incómoda para cualquier empresa, pero es aún más problemática en este caso porque es CISA", concluyó Caturegli.