Miles de sitios web, incluidos los de importantes bancos y proveedores de atención médica, han filtrado sin darse cuenta credenciales de seguridad confidenciales, lo que podría otorgar acceso no autorizado a sistemas críticos. Un nuevo estudio revela que las claves privadas RSA y otras credenciales API permanecen accesibles públicamente durante meses, incluso años, lo que representa un riesgo significativo para la infraestructura digital.
El alcance del problema
Investigadores de la Universidad de Stanford analizaron 10 millones de páginas web e identificaron 1.748 credenciales activas de 14 proveedores de servicios importantes (incluidos Amazon Web Services, Stripe, GitHub y OpenAI) repartidas en casi 10.000 sitios web. Estas credenciales actúan como tokens de acceso para plataformas en la nube, procesadores de pagos y servicios de mensajería, lo que permite a los atacantes hacerse pasar por servidores, descifrar comunicaciones o tomar el control administrativo.
El problema no es culpa directa de los propios proveedores de servicios, sino que se debe a malas prácticas de seguridad por parte de los desarrolladores de software y operadores de sitios web. Los investigadores identificaron entidades afectadas, incluida una “institución financiera sistemáticamente importante a nivel mundial”, un “desarrollador de firmware” y una “importante plataforma de alojamiento”.
Cómo se filtran las credenciales
La mayoría (84%) de las credenciales expuestas se encontraron en entornos JavaScript, probablemente debido a la forma en que los desarrolladores agrupan el código. Otro 16% se originó en recursos de terceros mal configurados, como complementos o scripts vulnerables.
“Ninguno de estos desarrolladores tenía la intención de ser inseguro; muchos de ellos ni siquiera cometieron un error en primer lugar. En cambio, las claves API se hicieron públicas debido a peculiaridades de programación asociadas con la forma en que funciona y se ejecuta el lenguaje en el servidor”. – Katie Paxton-Fear, Universidad Metropolitana de Manchester.
Esto pone de relieve una vulnerabilidad sistémica en la que incluso las prácticas de desarrollo seguras pueden conducir inadvertidamente a una exposición debido a peculiaridades de programación subyacentes.
Respuesta y mitigación
Los investigadores notificaron a las organizaciones afectadas y aproximadamente la mitad eliminaron las claves expuestas en dos semanas. Sin embargo, algunas entidades no respondieron, dejando las credenciales accesibles al público durante un promedio de 12 meses, y algunas permanecieron en línea hasta por cinco años.
Abordar el problema requiere un enfoque multifacético: los desarrolladores deben configurar los entornos cuidadosamente, los creadores de herramientas deben diseñar software para ocultar claves secretas de forma predeterminada y las plataformas de alojamiento deben buscar y desactivar activamente las credenciales filtradas.
La naturaleza generalizada de esta vulnerabilidad subraya una falla crítica en el desarrollo de software moderno. Las claves API, cuando están mal configuradas, pueden permitir a los atacantes actuar como usuarios autorizados con consecuencias catastróficas. El problema no es sólo técnico; también se trata de conciencia y responsabilidad compartida en todo el ecosistema digital.
