¿Sabías Que… En muchas organizaciones las credenciales expuestas pueden permanecer sin ser detectadas durante años?

Las credenciales expuestas son combinaciones de nombres de usuario y contraseñas que han sido divulgadas públicamente sin autorización, ya sea a través de brechas de seguridad, errores de configuración, repositorios de código, correos electrónicos comprometidos o ataques de malware. Representan un riesgo crítico de seguridad tanto para los usuarios como para las organizaciones, ya que los atacantes pueden utilizarlas para ingresar a sistemas corporativos, acceder a información confidencial o tomar control de cuentas privilegiadas sin ser detectados.

De acuerdo con el reporte State of Secrets Sprawl 2025 de GitGuardian, la vigencia de las credenciales expuestas radica en dos factores críticos: la falta de visibilidad sobre su exposición y la ausencia de mecanismos adecuados para su remediación.

La falta de visibilidad implica que las organizaciones no son plenamente conscientes de las credenciales expuestas debido a que no han sido detectadas o monitoreadas adecuadamente, permaneciendo activas por largos periodos de tiempo.

Por otro lado, la ausencia de mecanismos adecuados se refiere a la falta de procesos o recursos suficientes para gestionar y mitigar los riesgos relacionados con las credenciales expuestas. Esto incluye la falta de una respuesta urgente para abordar de inmediato las brechas de seguridad.

De acuerdo con el reporte Data Breach Investigations 2024 de Verizon, en los últimos 10 años, las credenciales robadas han estado involucradas en el 31 % de todas las brechas de seguridad.

De igual manera, el informe Cost of a Data Breach 2024 de IBM menciona que las brechas que involucran credenciales robadas o comprometidas tardan, en promedio, 292 días en ser identificadas y remediadas, más que cualquier otro vector de ataque.

El análisis presentado en el reporte de GitGuardian en 2025, señala que en 2022, el 70 % de las credenciales que fueron identificadas en repositorios públicos, están vinculadas a servicios críticos y aún permanecen activas en 2025. Además, se identificó un incremento del 9 % en el uso de credenciales genéricas válidas contenidas en repositorios públicos, pasando del 49 % en 2023 al 58 % en 2024.

Adicionalmente, se menciona que la validez de credenciales de bases de datos, cloud keys y API tokens permanece vigente durante largos periodos después de su exposición inicial, donde los principales servicios afectados corresponden a MongoDB, Google Cloud, AWS, Tencent Cloud y MySQL/PostgreSQL.

Aunque la detección de credenciales expuestas es un paso fundamental para mitigar los riesgos de seguridad, no es suficiente por sí sola. Las organizaciones deben implementar mecanismos de remediación que permitan una respuesta inmediata, como la revocación o rotación de credenciales. Además, es esencial adoptar arquitecturas resilientes que minimicen el impacto de las exposiciones, utilizando, por ejemplo, autenticación multifactor (MFA) y segmentación de accesos. Al integrar estas prácticas, las organizaciones pueden reducir significativamente el riesgo de ataques y proteger mejor sus infraestructuras y datos sensibles.

Referencias:

• The Hacker News. (2025, mayo 12). The persistence problem: Why exposed credentials remain a threat. The Hacker News. https://thehackernews.com/2025/05/the-persistence-problem-why-exposed.html
• GitGuardian. (2025). The state of secrets sprawl report 2025. https://www.gitguardian.com/files/the-state-of-secrets-sprawl-report-2025
• IBM. (2024). Cost of a Data Breach 2024.  https://www.ibm.com/reports/data-breach
• Verizon. (2024). 2024 Data Breach Investigations Report. https://www.verizon.com/business/resources/Te3/reports/2024-dbir-data-breach-investigations-report.pdf