Una agencia federal estadounidense responsable de proteger infraestructuras digitales críticas dejó expuestas contraseñas en texto plano dentro de un repositorio público de GitHub, en lo que un experto en seguridad calificó como «la peor filtración que he presenciado».
El error es tan básico que resulta difícil de procesar: equivale a escribir las contraseñas de acceso a una base de datos sensible en una pizarra visible para cualquier empleado, visitante o cámara de seguridad. Solo que en este caso la pizarra era internet, y cualquier persona con conexión podía verla.
El error que no debería existir
Guardar contraseñas en texto plano —es decir, sin ningún tipo de cifrado o protección— es una práctica que la industria de la seguridad digital lleva décadas desaconsejando. Que esto ocurra en un repositorio privado ya sería grave. Que ocurra en uno público, accesible para cualquier usuario de GitHub sin necesidad de autenticación, lo convierte en un fallo de proporciones difíciles de justificar.
No estamos hablando de una startup sin recursos ni de un desarrollador independiente que cometió un descuido. Estamos hablando de una agencia cuya misión explícita es precisamente evitar este tipo de vulnerabilidades en los sistemas del gobierno y del sector privado estadounidense. La ironía es tan gruesa que duele.
El contexto que agrava todo
En 2026, la inversión mundial en ciberseguridad superará los 200.000 millones de dólares, según proyecciones de IDC. Los gobiernos y empresas gastan fortunas en firewalls, autenticación multifactor, auditorías de código y formación en buenas prácticas. Y aun así, el eslabón más débil sigue siendo el mismo de siempre: el factor humano y la negligencia procedimental.
Este incidente demuestra que tener presupuesto, personal especializado y mandato institucional no garantiza que se apliquen los estándares más elementales de seguridad digital. Las contraseñas expuestas en texto plano son el equivalente digital de dejar la llave bajo el felpudo: todo el mundo sabe que es mala idea, pero alguien siempre lo hace.
Lo que más preocupa no es el error en sí —los errores humanos ocurren— sino lo que implica sobre los procesos internos de revisión. Un repositorio público con credenciales sensibles debería haber sido detectado por cualquier herramienta básica de escaneo de secretos, de las que existen decenas, muchas gratuitas. Que llegara a estar disponible públicamente sin que nadie lo interceptara antes sugiere que esos controles, sencillamente, no estaban funcionando.
La agencia no ha detallado públicamente qué sistemas estaban protegidos por las contraseñas expuestas ni durante cuánto tiempo el repositorio estuvo accesible antes de ser retirado.
