Las credenciales expuestas son combinaciones de nombres de usuario y contraseñas que han sido divulgadas públicamente sin autorización, ya sea a través de brechas de seguridad, errores de configuración, repositorios de código, correos electrónicos comprometidos o ataques de malware. Estas representan un riesgo crítico de seguridad tanto para los usuarios como para las organizaciones, ya que los atacantes pueden utilizarlas para ingresar a sistemas corporativos, acceder a información confidencial o tomar control de cuentas privilegiadas sin ser detectados.

De acuerdo con el reporte State of Secrets Sprawl, 2025, de GitGuardian, la vigencia de las credenciales expuestas radica en dos factores críticos: la falta de visibilidad sobre su exposición y la ausencia de mecanismos adecuados para su remediación.

La falta de visibilidad implica que las organizaciones no son plenamente conscientes de la filtración debido a que no han sido detectadas o monitoreadas adecuadamente, lo que permite que dichas credenciales permanezcan activas durante largos periodos.

Por otro lado, la ausencia de mecanismos adecuados se refiere a la insuficiencia de procesos o recursos para gestionar y reducir los riesgos asociados. con las credenciales expuestas. Esto incluye la falta de una respuesta urgente para abordar de inmediato las brechas de seguridad.

De acuerdo con el reporte Data Breach Investigations, 2024, de Verizon, en los últimos 10 años, las credenciales robadas han estado involucradas en el 31 % de todas las brechas de seguridad.

De igual manera, el informe Cost of a Data Breach, 2024, de IBM, menciona que las brechas de seguridad que involucran credenciales robadas o comprometidas tardan, en promedio, 292 días en ser identificadas y remediadas, más que cualquier otro vector de ataque.

Asimismo, el análisis presentado en el reporte de GitGuardian, señala que en 2022, el 70 % de las credenciales que fueron identificadas en repositorios públicos están vinculadas a servicios críticos y aún permanecen activas en 2025. Se identificó un incremento del 9 % en el uso de credenciales genéricas válidas contenidas en repositorios públicos, pasando del 49 % en 2023 al 58 % en 2024. Adicionalmente, se menciona que la validez de credenciales de bases de datos, cloud keys y API tokens permanece vigente durante largos periodos después de su exposición inicial; los principales servicios afectados son MongoDB, Google Cloud, AWS, Tencent Cloud y MySQL/PostgreSQL.

Aunque la detección de credenciales expuestas es un paso fundamental para mitigar los riesgos de seguridad, no es suficiente por sí sola. Las organizaciones deben implementar mecanismos de remediación que permitan una respuesta inmediata, como la revocación o rotación de credenciales. Igualmente, es esencial adoptar arquitecturas resilientes que minimicen el impacto de las exposiciones, utilizando, por ejemplo, autenticación multifactor (MFA) y segmentación de accesos. Al integrar estas prácticas, pueden reducir significativamente el riesgo de ataques y proteger mejor sus infraestructuras y datos sensibles.

Referencias:

The Hacker News. (2025, mayo 12). The persistence problem: Why exposed credentials remain a threat. The Hacker News. https://thehackernews.com/2025/05/the-persistence-problem-why-exposed.html

GitGuardian. (2025). The state of secrets sprawl report 2025. https://www.gitguardian.com/files/the-state-of-secrets-sprawl-report-2025

IBM. (2024). Cost of a Data Breach 2024.  https://www.ibm.com/reports/data-breach

Verizon. (2024). 2024 Data Breach Investigations Report. https://www.verizon.com/business/resources/Te3/reports/2024-dbir-data-breach-investigations-report.pdf