Los secretos no son solo credenciales de inicio de sesión y datos personales; mantienen unidos de forma segura los componentes de la cadena de suministro de software moderna, desde el código hasta la nube. Y debido a la influencia que brindan, son muy buscados por los piratas informáticos.

Sin embargo, muchas violaciones que ocurrieron en 2022 muestran cuán inadecuada es la protección de los secretos. La investigación del especialista en detección automatizada GitGuardian encuentra que uno de cada 10 autores de código expuso un secreto en 2022.

En solo un ejemplo, en septiembre de 2022, un atacante violó Uber y usó credenciales de administrador codificadas para iniciar sesión en Thycotic, la plataforma de administración de acceso privilegiado de la empresa. Esto les permitió lograr una adquisición total de la cuenta en varias herramientas internas y aplicaciones de productividad.

Más del 80 por ciento de todos los secretos capturados por el monitoreo en vivo en GitHub están expuestos a través de los repositorios personales de los desarrolladores, y una gran parte de ellos son, de hecho, secretos corporativos. Hay una serie de razones para explicar por qué sucede esto. Por supuesto, el comportamiento malicioso puede ser un factor, incluido el secuestro de recursos corporativos y otros motivos turbios. Pero la magnitud del fenómeno insinúa algo más. La mayor parte de esto sucede debido a un error humano y una mala configuración.

“Si un colega de seguridad me dijera que la detección de secretos no es una prioridad, diría que eso es un error”, dice Theo Cusnir, ingeniero de seguridad de aplicaciones en PayFit.”La mayoría de los grandes problemas de seguridad provienen de los ataques de ingeniería social o del relleno de credenciales. Por lo tanto, es muy importante saber que sus ingenieros y sus empleados van a filtrar secretos. Así es la vida. La mayoría de las veces, se debe a errores. Pero si sucede, tenemos que actuar en consecuencia. Cuantos más ingenieros haya, mayor será el potencial de que ocurran fugas”.

Al igual que muchos otros desafíos de seguridad, la mala higiene de los secretos implica una combinación de personas, procesos y herramientas. Las organizaciones que se toman en serio el control de la expansión de secretos deben trabajar simultáneamente en todos estos frentes.

“Nuestra misión es asegurar el código y el SDLC. Queremos hacerlo con un enfoque transparente, simple y pragmático, comenzando primero con uno de el problema más importante en appsec: los secretos en el código”, dice Eric Fourrier, director ejecutivo de GitGuardian.

Puede obtener el Informe State of Secrets Sprawl 2023 en el sitio de GitGuardian y habrá un seminario web para discutir los hallazgos el 22 de marzo a las 11 a. m. ET.

Crédito de la imagen: Dean Drobot/Shutterstock

By Henry Taylor

Trabajo como desarrollador back-end. Algunos me habréis visto en la conferencia de desarrolladores. Últimamente he estado trabajando en un proyecto de código abierto.