{"id":1662387,"date":"2025-04-09T18:38:54","date_gmt":"2025-04-09T18:38:54","guid":{"rendered":"https:\/\/teknomers.com\/es\/crecimiento-explosivo-de-identidades-no-humanas-que-crean-puntos-de-seguridad-masivos-ciegos\/"},"modified":"2025-04-09T18:38:59","modified_gmt":"2025-04-09T18:38:59","slug":"crecimiento-explosivo-de-identidades-no-humanas-que-crean-puntos-de-seguridad-masivos-ciegos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/crecimiento-explosivo-de-identidades-no-humanas-que-crean-puntos-de-seguridad-masivos-ciegos\/","title":{"rendered":"Crecimiento explosivo de identidades no humanas que crean puntos de seguridad masivos ciegos"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">09 de abril de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Las noticias del hacker<\/span><\/span><span class=\"p-tags\">Gesti\u00f3n de secretos \/ DevOps<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Crecimiento-explosivo-de-identidades-no-humanas-que-crean-puntos-de.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p><a rel=\"noopener nofollow\" href=\"https:\/\/www.gitguardian.com\/state-of-secrets-sprawl-report-2025\" target=\"_blank\">Informe de expansi\u00f3n del estado de secretos de Gitguardian para 2025<\/a> Revela la escala alarmante de la exposici\u00f3n a los secretos en entornos de software modernos. Conducir este es el r\u00e1pido crecimiento de las identidades no humanas (NHIS), que han superado en n\u00famero a los usuarios humanos durante a\u00f1os. Necesitamos adelantarse y preparar medidas de seguridad y gobernanza para estas identidades de la m\u00e1quina a medida que contin\u00faan implement\u00e1ndose, creando un nivel de riesgo de seguridad sin precedentes.<\/p>\n<p>Este informe revela que se filtraron 23.77 millones de nuevos secretos en GitHub solo en 2024. Este es un aumento del 25% del a\u00f1o anterior. Este aumento dram\u00e1tico resalta c\u00f3mo la proliferaci\u00f3n de identidades no humanas (NHIS), como las cuentas de servicio, los microservicios y los agentes de IA, est\u00e1n expandiendo r\u00e1pidamente la superficie de ataque para los actores de amenazas.<\/p>\n<h2><strong>La crisis de identidad no humana<\/strong><\/h2>\n<p>Los secretos de NHI, incluidas las claves API, las cuentas de servicio y los trabajadores de Kubernetes, ahora superan en n\u00famero a las identidades humanas por al menos 45 a 1 en entornos de DevOps. Estas credenciales basadas en m\u00e1quinas son esenciales para la infraestructura moderna, pero crean desaf\u00edos de seguridad significativos cuando est\u00e1n mal administrados.<\/p>\n<p>Lo m\u00e1s preocupante es la persistencia de las credenciales expuestas. El an\u00e1lisis de Gitguardian encontr\u00f3 que el 70% de los secretos detectados por primera vez en repositorios p\u00fablicos en 2022 permanecen activos hoy, lo que indica una falla sist\u00e9mica en la rotaci\u00f3n de credenciales y las pr\u00e1cticas de gesti\u00f3n.<\/p>\n<h2><strong>Repositorios privados: un falso sentido de seguridad<\/strong><\/h2>\n<p>Las organizaciones pueden creer que su c\u00f3digo es seguro en repositorios privados, pero los datos cuentan una historia diferente. Los repositorios privados tienen aproximadamente 8 veces m\u00e1s probabilidades de contener secretos que los p\u00fablicos. Esto sugiere que muchos equipos dependen de la &#8220;seguridad a trav\u00e9s de la oscuridad&#8221; en lugar de implementar la gesti\u00f3n adecuada de los secretos.<\/p>\n<p>El informe encontr\u00f3 diferencias significativas en los tipos de secretos filtrados en repositorios privados versus p\u00fablico:<\/p>\n<ul>\n<li>Los secretos gen\u00e9ricos representan el 74.4% de todas las filtraciones en repositorios privados versus 58% en los p\u00fablicos<\/li>\n<li>Las contrase\u00f1as gen\u00e9ricas representan el 24% de todos los secretos gen\u00e9ricos en repositorios privados en comparaci\u00f3n con solo el 9% en repositorios p\u00fablicos<\/li>\n<li>Las credenciales empresariales como AWS IAM Keys aparecen en el 8% de los repositorios privados pero solo el 1.5% de los p\u00fablicos<\/li>\n<\/ul>\n<p>Este patr\u00f3n sugiere que los desarrolladores son m\u00e1s cautelosos con el c\u00f3digo p\u00fablico, pero a menudo cortan esquinas en entornos que creen que est\u00e1n protegidos.<\/p>\n<h2><strong>Herramientas de IA que empeora el problema<\/strong><\/h2>\n<p>GitHub Copilot y otros asistentes de codificaci\u00f3n de IA pueden aumentar la productividad, pero <a rel=\"noopener nofollow\" href=\"https:\/\/blog.gitguardian.com\/github-copilot-security-and-privacy\/\" target=\"_blank\">Tambi\u00e9n est\u00e1n aumentando los riesgos de seguridad<\/a>. Se descubri\u00f3 que los repositorios con copiloto hab\u00edan tenido una tasa de incidencia de 40% de fugas secretas en comparaci\u00f3n con los repositorios sin asistencia de IA.<\/p>\n<p>Esta estad\u00edstica preocupante sugiere que el desarrollo con AI, al acelerar la producci\u00f3n de c\u00f3digo, puede estar alentando a los desarrolladores a priorizar la velocidad sobre la seguridad, integrando las credenciales de manera que las pr\u00e1cticas de desarrollo tradicionales puedan evitar.<\/p>\n<h2><strong>Docker Hub: m\u00e1s de 100,000 secretos v\u00e1lidos expuestos<\/strong><\/h2>\n<p>En un an\u00e1lisis sin precedentes de 15 millones de im\u00e1genes p\u00fablicas de Docker de Docker Hub, Gitguardian descubri\u00f3 m\u00e1s de 100,000 secretos v\u00e1lidos, incluidos AWS Keys, GCP Keys y Github Tokens que pertenecen a las compa\u00f1\u00edas Fortune 500.<\/p>\n<p>La investigaci\u00f3n encontr\u00f3 que el 97% de estos secretos v\u00e1lidos se descubrieron exclusivamente en capas de imagen, y la mayor\u00eda aparec\u00eda en capas menores de 15 MB. Las instrucciones de ENV solo representaron el 65% de todas las fugas, destacando un punto ciego significativo en la seguridad del contenedor.<\/p>\n<h2><strong>M\u00e1s all\u00e1 del c\u00f3digo fuente: secretos en herramientas de colaboraci\u00f3n<\/strong><\/h2>\n<p>Las filtraciones secretas no se limitan a los repositorios de c\u00f3digo. El informe encontr\u00f3 que las plataformas de colaboraci\u00f3n como Slack, Jira y Confluence se han convertido en vectores significativos para la exposici\u00f3n a las credenciales.<\/p>\n<p>De manera alarmante, los secretos que se encuentran en estas plataformas tienden a ser m\u00e1s cr\u00edticos que los de los repositorios del c\u00f3digo fuente, con el 38% de los incidentes clasificados como altamente cr\u00edticos o urgentes en comparaci\u00f3n con el 31% en los sistemas de gesti\u00f3n del c\u00f3digo fuente. Esto sucede en parte porque estas plataformas carecen de los controles de seguridad presentes en las herramientas de gesti\u00f3n de c\u00f3digo fuente modernas.<\/p>\n<p>Al alarmante, solo el 7% de los secretos que se encuentran en las herramientas de colaboraci\u00f3n tambi\u00e9n se encuentran en la base del c\u00f3digo, lo que hace que esta \u00e1rea de secretos se extienda un desaf\u00edo \u00fanico que la mayor\u00eda de las herramientas de escaneo secretas no pueden mitigar. Tambi\u00e9n se ve exasperado por el hecho de que los usuarios de estos sistemas cruzan todos los l\u00edmites del departamento, lo que significa que todos est\u00e1n filtrando credenciales a estas plataformas. <\/p>\n<h2><strong>El problema de los permisos<\/strong><\/h2>\n<p>Exacerbando a\u00fan m\u00e1s el riesgo, Gitguardian descubri\u00f3 que las credenciales filtradas con frecuencia tienen permisos excesivos:<\/p>\n<ul>\n<li>El 99%de las claves de la API de GitLab ten\u00edan acceso completo (58%) o acceso de solo lectura (41%)<\/li>\n<li>El 96% de los tokens GitHub ten\u00edan acceso a escritura, con un 95% que ofrece acceso completo al repositorio<\/li>\n<\/ul>\n<p>Estos amplios permisos amplifican significativamente el impacto potencial de las credenciales filtradas, lo que permite a los atacantes moverse lateralmente y aumentar los privilegios m\u00e1s f\u00e1cilmente.<\/p>\n<h2><strong>Rompiendo el ciclo de los secretos.<\/strong><\/h2>\n<p>Si bien las organizaciones adoptan cada vez m\u00e1s soluciones de gesti\u00f3n secreta, el informe enfatiza estas herramientas por s\u00ed solas no son suficientes. Gitguardian descubri\u00f3 que incluso los repositorios que usaban los gerentes de secretos ten\u00edan una tasa de incidencia del 5.1% de secretos filtrados en 2024.<\/p>\n<p>El problema requiere <a rel=\"noopener nofollow\" href=\"https:\/\/blog.gitguardian.com\/identity-lifecycle-management-for-nhis\/\" target=\"_blank\">Un enfoque integral que aborde todo el ciclo de vida de los secretos<\/a>combinando la detecci\u00f3n automatizada con procesos de remediaci\u00f3n r\u00e1pida e integrando la seguridad durante todo el flujo de trabajo de desarrollo.<\/p>\n<p>Como concluye nuestro informe &#8220;,&#8221;<a rel=\"noopener nofollow\" href=\"https:\/\/www.gitguardian.com\/state-of-secrets-sprawl-report-2025\" target=\"_blank\">El informe de expansi\u00f3n del estado de los secretos de 2025<\/a> Ofrece una advertencia marcada: a medida que las identidades no humanas se multiplican, tambi\u00e9n lo hacen sus secretos asociados y los riesgos de seguridad. Los enfoques reactivos y fragmentados para la gesti\u00f3n de secretos simplemente no son suficientes en un mundo de implementaciones automatizadas, c\u00f3digo generado por IA y entrega r\u00e1pida de aplicaciones &#8220;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? <span class=\"\">Este art\u00edculo es una pieza contribuida de uno de nuestros valiosos socios.<\/span> S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/04\/explosive-growth-of-non-human.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80209 de abril de 2025\ue804Las noticias del hackerGesti\u00f3n de secretos \/ DevOps Informe de expansi\u00f3n del estado de<\/p>\n","protected":false},"author":1,"featured_media":1662388,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,23301,4664,9231,6138,3329,47267,17265,273784,273783,7401,4654,273782,4659,4653,4655,1124,42,246983,4665,246984,455,239484],"class_list":["post-1662387","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-ciegos","tag-como-hackear","tag-crean","tag-crecimiento","tag-explosivo","tag-humanas","tag-identidades","tag-las-noticias-del-hacker","tag-malware-de-ransomware","tag-masivos","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-puntos","tag-seguridad","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1662387","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1662387"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1662387\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1662388"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1662387"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1662387"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1662387"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}