API , las contraseñas, las claves de cifrado y otros datos confidenciales —conocidos en el ámbito del desarrollo de software como «secretos»— protegen una amplia gama de tecnologías a lo largo de todo el ciclo de vida del desarrollo de software. Por desgracia, siguen cayendo en manos de los atacantes.
Investigadores de la Universidad Estatal de Carolina del Norte han demostrado dos métodos distintos para detectar secretos; una de las técnicas detectó el 99 % de los archivos recién subidos que contenían secretos casi en tiempo real. Descubrieron que el tiempo medio de detección era de 20 segundos. Incluso si te das cuenta de que has subido accidentalmente un secreto a un repositorio público, es posible que solo dispongas de 20 segundos de media para configurar un nuevo secreto.
La filtración de secretos permite a los ciberdelincuentes acceder a los datos y manipularlos. Teniendo esto en cuenta, OPSWAT crear una solución fácil de usar para los desarrolladores que permitiera detectar secretos en el código antes de que este se suba a un repositorio público o se compile en una versión. Además, la tecnología mejorada detecta con mayor eficacia los secretos ocultos y la información confidencial.
Veamos qué tipo de secretos se filtran, cuáles son las consecuencias y cómo evitar que eso ocurra.
Los riesgos ocultos de los secretos ocultos
Los secretos codificados incluyen información confidencial incorporada al software, como nombres de usuario, contraseñas, claves SSH, tokens de acceso y otros datos sensibles. Si los desarrolladores dejan secretos en el código fuente o en la configuración de una aplicación, es probable que se conviertan en objetivos prioritarios para los agentes maliciosos. Los actores maliciosos analizan constantemente los repositorios de código público en busca de patrones que identifiquen secretos.
Para ilustrarlo mejor, fíjate en el siguiente código Java:

Es posible que los desarrolladores utilicen código similar a este para realizar pruebas locales y se olviden de eliminarlo al enviar el código a un repositorio. Tras la compilación, el ejecutable contendrá las credenciales de «admin» o «secretpass» en su código. No importa cuál sea el entorno —ya sea una aplicación de escritorio, un componente de servidor o cualquier otra plataforma de software—: estas cadenas incrustadas quedan expuestas. No hay duda de que las claves expuestas suelen ser el primer paso para que muchos ciberdelincuentes vulneren un sistema que, de otro modo, estaría bien protegido.
Filtraciones recientes de información confidencial y su repercusión
En 2021, los ciberdelincuentes se aprovecharon de una vulnerabilidad en el proceso de generación de imágenes Docker de CodeCov, manipulando una herramienta de carga para que les transmitiera credenciales, lo que puso en peligro los protocolos de desarrollo de numerosas empresas. En otro incidente, unos hackers hicieron público el código fuente de la plataforma de retransmisión de videojuegos Twitch, revelando más de 6 000 repositorios Git y unos 3 millones de documentos.
Esta filtración dejó al descubierto más de 6.600 secretos de desarrollo, lo que allanó el camino para posibles intrusiones posteriores. Cabe destacar que se han registrado otros casos de divulgación involuntaria tras una brecha de seguridad en empresas de renombre como Samsung Electronics, Toyota Motor Corporation y Microsoft.
El problema de la filtración de secretos es muy común. A continuación se enumeran algunas de las filtraciones más importantes que se han producido en los últimos años:

La filtración de datos de Binance
El 3 de julio de 2022, Changpeng Zhao, director ejecutivo de Binance, publicó un tuit sobre una importante filtración de datos. Afirmó que unos delincuentes estaban vendiendo mil millones de registros en la dark web. Entre ellos se encontraban nombres, direcciones e incluso expedientes policiales y médicos. La filtración se produjo porque alguien copió el código fuente, que contenía datos de acceso, en un blog chino, dejándolo a la vista de todo el mundo.

El 2 de agosto de 2022, se detectó que 3.207 mobile estaban filtrando API de Twitter. Esto significa que se podía acceder a los mensajes privados entre usuarios de Twitter en estas aplicaciones.

Problemas con los tokens de AWS
El 1 de septiembre de 2022, Symantec informó de que 1.859 aplicaciones (tanto para iPhone como para Android) contenían tokens de AWS. El 77 % de estos tokens permitía acceder a servicios privados de AWS, y el 47 % permitía acceder a grandes cantidades de archivos almacenados.

Target se enfrentó a una serie de problemas cuando unos piratas informáticos robaron los datos de las tarjetas de 40 millones de clientes. A raíz de ello, sus ventas cayeron un 4 %. Según informó *The New York Times*, este incidente le costó a Target 202 millones de dólares.
Después de todo lo que ha pasado, debemos preguntarnos: «¿Por qué estas empresas no detectaron estas filtraciones antes?». Una revisión minuciosa del código o un control periódico podrían haber detectado estos problemas antes de que se convirtieran en un gran problema.
Cómo la prevención proactiva de la pérdida de datos (DLP) OPSWAT puede ayudar a evitar las fugas de datos
El sistema Proactive DLP una función integrada de detección de datos confidenciales. Esta función te avisa de inmediato cuando detecta datos confidenciales, como API o contraseñas, en el código fuente. En concreto, puede detectar datos confidenciales asociados a Amazon Web Services, Microsoft Azure y Google Cloud .
Tomemos como ejemplo la filtración de datos de Binance. Según los informes, alguien envió la siguiente información al blog. Proactive DLP analizar el código, identificar la clave de acceso genérica y notificarlo a los desarrolladores antes de que publiquen el código en un repositorio público.
Proactive DLP posibles errores antes de que se conviertan en problemas más graves.

Acerca de OPSWAT Proactive DLP
OPSWAT Proactive DLP , bloquea o censura los datos confidenciales, lo que ayuda a las organizaciones a prevenir posibles fugas de datos e incumplimientos normativos. Además de los secretos codificados, Proactive DLP la información sensible y confidencial antes de que se convierta en un problema grave.

Descubre cómo OPSWAT Proactive DLP que los datos confidenciales y sujetos a normativa salgan o entren en los sistemas de tu organización.
Póngase en contacto con un experto en ciberseguridad de infraestructuras críticas para obtener más información y ayuda.
