Los demócratas del Congreso quieren respuestas de la Agencia de Seguridad de Infraestructura y Ciberseguridad sobre la exposición pública reportada de datos confidenciales de credenciales de la agencia en GitHub en un incidente que el investigador de seguridad que lo descubrió calificó como una de las peores filtraciones que jamás haya visto.

Otros profesionales de la seguridad también expresaron su preocupación el martes por la filtración y el potencial de abuso por parte de partes malintencionadas que obtuvieron la información.

La firma de seguridad GitGuardian dijo que descubrió un repositorio público de GitHub la semana pasada que exponía credenciales para cuentas privilegiadas de AWS GovCloud y sistemas internos CISA que datan de noviembre. El depósito, aparentemente mantenido por un contratista, se denominó “Privado-CISA”.

Krebs on Security informó por primera vez el incidente.

«Mi principal temor… es que un actor estatal obtenga los datos y pueda hacer cosas malas», dijo a CyberScoop el investigador de seguridad de GitGuardian, Guillaume Valadon, que pensó para sí mismo al descubrir la filtración, después de concluir que era real; Inicialmente pensó que parecía falso.

Los atacantes estatales que obtuvieron las credenciales «podrían ganar persistencia», dijo Valadon, «así que para mí es incluso peor que un atacante que destruya todo, tener a alguien en un sistema gubernamental; es realmente, realmente malo».

El representante de Mississippi Bennie Thompson, el principal demócrata del Comité de Seguridad Nacional, y Delia Ramírez, la principal demócrata del subcomité cibernético del panel, exigieron una sesión informativa el martes en una carta. al director interino de CISA, Nick Andersen.

Dijeron que querían saber “cómo ocurrió esta grave falla de seguridad, cualquier posible consecuencia de seguridad, actividades de remediación, acciones correctivas relacionadas con el personal del contratista involucrado y esfuerzos para monitorear y prevenir que ocurran actividades similares en el futuro”.

La senadora Maggie Hassan, DN.H., también envió una carta el martes a Andersen, solicitando una sesión informativa clasificada para responder preguntas sobre qué sistemas estuvieron expuestos, qué trabajo forense hizo CISA para evaluar daños potenciales y qué acciones correctivas ha tomado.

«Este incidente reportado plantea serias dudas sobre cómo podría ocurrir tal falla de seguridad en la misma agencia encargada de ayudar a prevenir violaciones cibernéticas», escribió Hassan en la misiva informado por primera vez por Axios, particularmente «con respecto a las políticas y procedimientos internos de CISA en un momento de importantes amenazas de ciberseguridad contra la infraestructura crítica de EE. UU.».

Ambas cartas señalaron los recortes de personal y presupuesto en la agencia como posibles contribuyentes al incidente.

CISA dijo que estaba investigando lo sucedido.

«La Agencia de Seguridad de Infraestructura y Ciberseguridad está al tanto de la exposición reportada y continúa investigando la situación», dijo un portavoz. «Actualmente, no hay indicios de que ningún dato confidencial se haya visto comprometido como resultado de este incidente. Si bien exigimos a los miembros de nuestro equipo los más altos estándares de integridad y conciencia operativa, estamos trabajando para garantizar que se implementen salvaguardas adicionales para evitar incidentes futuros».

Según se informa, el mantenimiento del repositorio lo realizaba un contratista de Nightwing. Un portavoz de Nightwing remitió las preguntas a CISA.

El tipo de exposición que le ocurrió a CISA “es una forma lamentablemente dolorosa, pero común y repetida, si no implacable, en la que vemos a las organizaciones filtrar inadvertidamente credenciales muy sensibles a la web en general”, dijo Ben Harris, fundador de WatchTowr, una empresa que ayuda a las organizaciones a detectar dichas exposiciones.

Harris le dijo a CyberScoop que no quería especular sobre lo que los atacantes que obtuvieron las credenciales podrían hacer con ellas, pero dijo que sería «aterrador» si el contratista estuviera transfiriendo información del trabajo a casa, como teorizó un investigador.

Dave Mitchell, director senior de inteligencia de amenazas de Infoblox, dijo a CyberScoop que el incidente mostró la importancia de que los equipos cuenten con controles y auditorías en todos sus repositorios.

«De todas las cosas que me mantienen despierto por la noche, las configuraciones erróneas en GitHub son una pesadilla recurrente. Es fundamental para muchas organizaciones: todo lo que se necesita es una carga accidental o una configuración incorrecta y te registras para un incidente importante», dijo en una declaración escrita. «No es necesario que un actor de amenazas utilice técnicas avanzadas para comprometerlo si las llaves ya están en el mostrador».

Travis Rosiek, director de tecnología del sector público de Rubrik, señaló que el momento del problema coincidía con el cierre del gobierno que recientemente se resolvió para el DHS. Dijo que el incidente demostró que el gobierno federal debe priorizar la resiliencia.

«La persistente escasez de talento en ciberseguridad, combinada con fallas de financiamiento, alta rotación de personal y un panorama de amenazas cada vez más complejo, creó la tormenta perfecta para este escenario», dijo en una declaración escrita a CyberScoop. «Ninguna organización es inmune y debemos garantizar que el gobierno federal, que es responsable de ayudar a proteger la infraestructura crítica de la nación y mejorar nuestra postura de ciberseguridad, permanezca en pleno funcionamiento las 24 horas del día, los 7 días de la semana, los 365 días del año».

Sin minimizar la gravedad del incidente, algunos investigadores que han analizado la filtración dijeron que existen circunstancias atenuantes que hacen que algunos elementos sean defendibles o, al menos, comprensibles.

CISA actuó muy rápidamente para eliminar el repositorio, dijo Valadon, una vez que les alertó sobre la filtración.

E incluso si CISA cuenta con las políticas adecuadas, el error humano aún puede hacer que sea difícil evitar por completo incidentes como este, dijo Harris.

«La realidad es que esto sucede todos los días en diferentes organizaciones, incluidas las empresas de ciberseguridad», dijo, señalando que sería diferente si fuera un patrón. «Esto no es exclusivo de CISA. Realmente no creo que se refleje bien si vemos esto todos los días con CISA… No es ideal que haya sucedido siquiera una vez, pero la realidad es que la ciberseguridad son personas, procesos y tecnología».

CISA ha tenido otros incidentes de seguridad en el pasado, incluso recientemente. El exdirector interino de la agencia sufrió críticas por subir datos confidenciales del contrato a ChatGPT el año pasado. En 2024, la agencia notificó al Congreso sobre una violación de una herramienta de seguridad de una planta química.