Detectar credenciales filtradas es solo la mitad de la batalla. El verdadero desaf\u00edo, y a menudo la mitad descuidada de la ecuaci\u00f3n, es lo que sucede despu\u00e9s de la detecci\u00f3n. Una nueva investigaci\u00f3n del informe del estado de secretos del estado de Gitguardian 2025 revela una tendencia inquietante: la gran mayor\u00eda de los expuestos compa\u00f1\u00eda <\/em>Los secretos descubiertos en los repositorios p\u00fablicos siguen siendo v\u00e1lidos durante a\u00f1os despu\u00e9s de la detecci\u00f3n, creando una superficie de ataque en expansi\u00f3n que muchas organizaciones no abordan.<\/p>\n Seg\u00fan el an\u00e1lisis de Gitguardian de los secretos expuestos en los repositorios p\u00fablicos de GitHub, un porcentaje alarmante de credenciales detectadas ya en 2022 sigue siendo v\u00e1lido hoy:<\/p>\n “Detectar un secreto filtrado es solo el primer paso”, dice el equipo de investigaci\u00f3n de Gitguardian. “El verdadero desaf\u00edo radica en la remediaci\u00f3n r\u00e1pida”.<\/p>\n Esta validez persistente sugiere dos posibilidades preocupantes: Las organizaciones desconocen que sus credenciales han sido expuestas<\/em> (un problema de visibilidad de seguridad), o carecen de los recursos, procesos o urgencia para remediarlos<\/em> (un problema de operaciones de seguridad). En ambos casos, una observaci\u00f3n preocupante es que esos secretos ni siquiera se revocan de manera rutinaria, ni autom\u00e1ticamente del vencimiento predeterminado, ni manualmente como parte de los procedimientos de rotaci\u00f3n regulares.<\/strong><\/p>\n Las organizaciones siguen sin darse cuenta de las credenciales expuestas o carecen de los recursos para abordarlas de manera efectiva. Los secretos codificados proliferan a trav\u00e9s de las bases de c\u00f3digo, lo que hace que la remediaci\u00f3n integral sea un desaf\u00edo. La rotaci\u00f3n secreta requiere actualizaciones coordinadas en todos los servicios y sistemas, a menudo con el impacto de producci\u00f3n. <\/p>\n Las restricciones de recursos fuerza la priorizaci\u00f3n de solo las exposiciones de mayor riesgo, mientras que los sistemas heredados crean barreras t\u00e9cnicas al no apoyar enfoques modernos como las credenciales ef\u00edmeras.<\/p>\n Esta combinaci\u00f3n de visibilidad limitada, complejidad operativa y limitaciones t\u00e9cnicas explica por qu\u00e9 los secretos codificados a menudo siguen siendo v\u00e1lidos mucho despu\u00e9s de la exposici\u00f3n. Moverse hacia Soluciones de seguridad de secretos modernos con sistemas centralizados y automatizados<\/a> Y las credenciales de corta duraci\u00f3n ahora son una necesidad operativa, no solo una mejor pr\u00e1ctica de seguridad.<\/p>\n Detr\u00e1s de las estad\u00edsticas en bruto se encuentra una realidad alarmante: los sistemas de producci\u00f3n cr\u00edticos siguen siendo vulnerables debido a las credenciales expuestas que persisten durante a\u00f1os en repositorios p\u00fablicos. <\/p>\n El an\u00e1lisis de secretos expuestos de 2022-2024 revela que las credenciales de la base de datos, las claves en la nube y los tokens API para servicios esenciales contin\u00faan siendo v\u00e1lidos mucho despu\u00e9s de su exposici\u00f3n inicial. Estos son no las credenciales de prueba o desarrollo, sino las claves aut\u00e9nticas para los entornos de producci\u00f3n.<\/strong>que representan v\u00edas directas para que los atacantes accedan a datos confidenciales de los clientes, infraestructura y sistemas cr\u00edticos de negocios.<\/p>\n Estas no son credenciales de prueba, sino Keys to Live Services.<\/strong><\/p>\n En los \u00faltimos tres a\u00f1os, el panorama de los secretos expuestos en los repositorios p\u00fablicos ha cambiado de manera que revelan tanto el progreso como los nuevos riesgos, especialmente para las credenciales de la nube y las bases de datos. Una vez m\u00e1s, estas tendencias reflejan solo las que se han encontrado y siguen siendo v\u00e1lidas, lo que significa No han sido remediados o revocados a pesar de ser expuestos p\u00fablicamente.<\/strong><\/p>\n Para las credenciales en la nube, los datos muestran una tendencia ascendente marcada. En 2023, las credenciales de nube v\u00e1lidas representaron poco menos del 10% de todos los secretos expuestos a\u00fan activos. Para 2024, esa participaci\u00f3n hab\u00eda aumentado a casi el 16%.<\/strong> Este aumento probablemente refleja la creciente adopci\u00f3n de la infraestructura en la nube y SaaS en entornos empresariales, pero tambi\u00e9n subraya la lucha continua que enfrentan muchas organizaciones para administrar el acceso a la nube de forma segura, especialmente a medida que la velocidad del desarrollador y la complejidad aumentan.<\/p>\n En contraste, las exposiciones de credenciales de la base de datos se movieron en la direcci\u00f3n opuesta. En 2023, Las credenciales de base de datos v\u00e1lidas constituyeron m\u00e1s del 13% de los secretos no remediados detectados, pero para 2024, esa cifra cay\u00f3 a menos del 7%<\/strong>. Esta disminuci\u00f3n podr\u00eda indicar que los esfuerzos de conciencia y remediaci\u00f3n en torno a las credenciales de la base de datos, particularmente despu\u00e9s de las violaciones de alto perfil y el mayor uso de los servicios de bases de datos administrados, est\u00e1n comenzando a dar sus frutos.<\/p>\n La conclusi\u00f3n general es matizada: si bien las organizaciones pueden estar mejorando en la protecci\u00f3n de los secretos de la base de datos tradicional, el r\u00e1pido aumento de las exposiciones v\u00e1lidas de credenciales en la nube no remediadas sugiere que los nuevos tipos de secretos est\u00e1n tomando su lugar como el m\u00e1s prevalente y riesgoso. A medida que las arquitecturas nativas de la nube se convierten en la norma, la necesidad de la gesti\u00f3n de secretos automatizados, las credenciales de corta duraci\u00f3n y la r\u00e1pida remediaci\u00f3n es m\u00e1s urgente que nunca.<\/p>\n Para reducir el riesgo planteado por expuesto Credenciales de MongoDB<\/strong>las organizaciones deben actuar r\u00e1pidamente para rotar cualquiera que pueda haber filtrado y configurado IP Permising Listing para limitar estrictamente qui\u00e9n puede acceder a la base de datos. Habilitar el registro de auditor\u00edas tambi\u00e9n es clave para detectar actividades sospechosas en tiempo real y ayudar con las investigaciones despu\u00e9s de una violaci\u00f3n. Para una seguridad a largo plazo, aleje de las contrase\u00f1as codificadas aprovechando los secretos din\u00e1micos. Si usa Atlas MongoDB, el acceso program\u00e1tico a la rotaci\u00f3n de la contrase\u00f1a es posible a trav\u00e9s de la API para que pueda hacer que sus tuber\u00edas de CI\/CD gire rutinariamente secretos, incluso si no ha detectado una exposici\u00f3n.<\/p>\n Si un Key de la nube de Google<\/strong> se encuentra jam\u00e1s expuesto, el movimiento m\u00e1s seguro es la revocaci\u00f3n inmediata. Para prevenir el riesgo futuro, la transici\u00f3n de las claves de la cuenta de servicio est\u00e1tico a los m\u00e9todos modernos de autenticaci\u00f3n de corta duraci\u00f3n: use la federaci\u00f3n de identidad de carga de trabajo para cargas de trabajo externas, adjunte las cuentas de servicio directamente a los recursos de Google en la nube o implementen suplantaci\u00f3n de la cuenta de servicio cuando se requiere acceso al usuario. Haga cumplir la rotaci\u00f3n clave regular y aplique los principios de menor privilegio a todas las cuentas de servicio para minimizar el impacto potencial de cualquier exposici\u00f3n.<\/p>\n Para AWS IAM CREDENCIALES<\/strong>la rotaci\u00f3n inmediata es esencial si se sospecha la exposici\u00f3n. La mejor defensa a largo plazo es eliminar las claves de acceso de usuarios de larga duraci\u00f3n por completo, optando por roles IAM y AWS STS para proporcionar credenciales temporales para las cargas de trabajo. Para sistemas fuera de AWS, aproveche los roles IAM en cualquier lugar. Audite de manera rutinaria sus pol\u00edticas de acceso con AWS IAM Access Analyzer y habilite AWS CloudTrail para un registro integral, para que pueda detectar r\u00e1pidamente y responder a cualquier uso sospechoso de credenciales.<\/p>\n Al adoptar estas pr\u00e1cticas de gesti\u00f3n de secretos modernos, enfocarse en credenciales y automatizaci\u00f3n din\u00e1micas de corta duraci\u00f3n, las organizaciones pueden reducir significativamente los riesgos planteados por los secretos expuestos y hacer que la remediaci\u00f3n sea un proceso rutinario y manejable en lugar de un simulacro de incendio.<\/p>\n Integraciones de gerentes secretos<\/a> Tambi\u00e9n puede ayudar a resolver esta tarea autom\u00e1ticamente.<\/p>\n La validez persistente de los secretos expuestos representa un riesgo de seguridad significativo y a menudo pasado por alto. Si bien la detecci\u00f3n es esencial, las organizaciones deben priorizar la remediaci\u00f3n r\u00e1pida y el cambio hacia las arquitecturas que minimizan el impacto de la exposici\u00f3n a las credenciales.<\/p>\n Como muestran nuestros datos, el problema est\u00e1 empeorando, no mejor, con m\u00e1s secretos que quedan v\u00e1lidos m\u00e1s tiempo despu\u00e9s de la exposici\u00f3n. Al implementar pr\u00e1cticas de gesti\u00f3n secretas adecuadas y alejarse de las credenciales de larga vida, las organizaciones pueden reducir significativamente su superficie de ataque y mitigar el impacto de las exposiciones inevitables.<\/p>\n La expansi\u00f3n del estado de secretos de Gitguardian 2025 proporciona un an\u00e1lisis exhaustivo de las tendencias de exposici\u00f3n de secretos y estrategias de remediaci\u00f3n. El informe completo est\u00e1 disponible en www.gitguardian.com\/files\/the-state-of-secrets-sprawl-report-2025<\/a>.<\/em><\/p>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/El-problema-de-la-persistencia-por-que-las-credenciales-expuestas.png\")
<\/a><\/div>\nPor qu\u00e9 los secretos expuestos siguen siendo v\u00e1lidos<\/h2>\n
\u00bfQu\u00e9 servicios est\u00e1n m\u00e1s en riesgo? Las tendencias<\/h2>\n
Servicios sensibles a\u00fan expuestos (2022\u20132024):<\/strong><\/h4>\n
\n
![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/1747072922_850_El-problema-de-la-persistencia-por-que-las-credenciales-expuestas.png\")
<\/a><\/div>\nEstrategias de remediaci\u00f3n pr\u00e1ctica para credenciales de alto riesgo<\/h2>\n
Keys de Google Cloud<\/strong><\/h3>\n
AWS IAM CREDENCIALES<\/strong><\/h3>\n
Conclusi\u00f3n<\/h2>\n