{"id":14281,"date":"2019-04-01T09:55:19","date_gmt":"2019-04-01T15:55:19","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=14281"},"modified":"2019-11-22T02:50:27","modified_gmt":"2019-11-22T08:50:27","slug":"tokens-on-github","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/tokens-on-github\/14281\/","title":{"rendered":"C\u00f3mo evitar la filtraci\u00f3n de claves en GitHub"},"content":{"rendered":"<p><strong>C\u00f3mo evitar la filtraci\u00f3n de claves en GitHub<\/strong><\/p>\n<p>Recientemente, investigadores de la Universidad Estatal de Carolina del Norte <a href=\"https:\/\/www.zdnet.com\/article\/over-100000-github-repos-have-leaked-api-or-cryptographic-keys\/\" target=\"_blank\" rel=\"noopener nofollow\">descubrieron m\u00e1s de 100.000 proyectos en GitHub<\/a> con <em><a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/token\/\" target=\"_blank\" rel=\"noopener\">tokens<\/a><\/em>, claves cifradas y otros datos confidenciales almacenados en abierto. En total, m\u00e1s de medio mill\u00f3n de esos objetos se descubrieron en dominio p\u00fablico, de los cuales m\u00e1s de 200.000 son \u00fanicos. Adem\u00e1s, estamos hablando de grandes compa\u00f1\u00edas como Google, Amazon, MWS, Twitter, Facebook, MailChimp, MailGun, Stripe, Twilio, Square, Braintree y Picatic.<\/p>\n<p>GitHub es un popular recurso para el desarrollo de <em>software<\/em> cooperativo. Se utiliza para almacenar c\u00f3digo en repositorios con acceso abierto o restringido, vincularse con compa\u00f1eros, involucrarlos en las pruebas de programas y utilizar desarrollos de c\u00f3digo abierto ya preparados. Simplifica y agiliza significativamente la creaci\u00f3n de aplicaciones y servicios, por lo que es un recurso muy utilizado por los programadores y por empresas que crean su propio <em>software<\/em> bas\u00e1ndose en m\u00f3dulos de fuente abierta. Adem\u00e1s, tambi\u00e9n es un buen recurso para empresas que busquen la transparencia.<\/p>\n<p>No obstante, hay que tener sumo cuidado cuando se realice la carga de c\u00f3digo a GitHub; no obstante, no todos los desarrolladores tienen esto en cuenta.<\/p>\n<p><strong>\u00bfQu\u00e9 datos acaban en el dominio p\u00fablico?<\/strong><\/p>\n<p>GitHub se fund\u00f3 para alojar bloques de c\u00f3digo abierto con los <em>tokens<\/em> y claves suficientes para conceder autorizaciones y ejecutar ciertas acciones en nombre de usuarios o aplicaciones. Entre toda esta informaci\u00f3n desclasificada inconscientemente se encuentran:<\/p>\n<ul>\n<li>Las credenciales de inicio de sesi\u00f3n de las cuentas de administrador en los sitios web m\u00e1s importantes.<\/li>\n<li>Claves API o <em>tokens<\/em> que permiten el uso de las funciones <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/api-application-program-interface\/\" target=\"_blank\" rel=\"noopener\">API<\/a> de las aplicaciones: un conjunto de herramientas para la interacci\u00f3n entre varios componentes del sistema, por ejemplo, un programa y una p\u00e1gina web.<\/li>\n<li>Claves cifradas, muchas utilizadas para la autenticaci\u00f3n en lugar de las contrase\u00f1as, por lo que basta con conocer una sola clave para obtener acceso a muchos recursos, incluidas las redes privadas.<\/li>\n<\/ul>\n<p><strong>\u00bfCu\u00e1l es el riesgo de la filtraci\u00f3n de claves cifradas y <em>tokens<\/em>?<\/strong><\/p>\n<p>El acceso no autorizado a tus cuentas, aunque limitado, supone una seria amenaza para tu negocio. Los siguientes son algunos ejemplos.<\/p>\n<p>Uno de los usos incorrectos de los <em>tokens<\/em> publicados en GitHub es para la distribuci\u00f3n del bombardeo de correos electr\u00f3nicos y publicaciones supuestamente de parte la compa\u00f1\u00eda que los ha publicado. Por ejemplo, un intruso podr\u00eda conseguir el acceso a una p\u00e1gina web corporativa o a una cuenta de Facebook o Twitter y ubicar una publicaci\u00f3n maliciosa o un enlace <em>phishing<\/em>. Dado que las p\u00e1ginas web y cuentas oficiales se suelen considerar como fuentes de informaci\u00f3n de confianza, es muy probable que los lectores den por hecho que la publicaci\u00f3n o el enlace son seguros.<\/p>\n<p>Adem\u00e1s, los cibercriminales pueden estafar a cualquier suscriptor de tu lista (por ejemplo, si utilizas MailChimp). Al igual que en el ejemplo anterior, la expectativa es que los usuarios se f\u00eden de un correo que procede de una empresa de confianza. Este tipo de ataques pueden perjudicar seriamente la reputaci\u00f3n de una compa\u00f1\u00eda y causar da\u00f1os importantes como la p\u00e9rdida de clientes o el tiempo invertido en restaurar el funcionamiento normal.<\/p>\n<p>Por \u00faltimo, los cibercriminales pueden utilizar las funciones de pago de un servicio a costa tuya, como Amazon AWS. Por ejemplo, el bloguero <a href=\"http:\/\/vertis.io\/2013\/12\/16\/unauthorised-litecoin-mining.html\" target=\"_blank\" rel=\"noopener nofollow\">Luke Chadwick<\/a> recibi\u00f3 un mensaje de Amazon en el que le comunicaban que su clave estaba disponible al p\u00fablico en GitHub. Por lo visto, se le hab\u00eda olvidado cerrar alg\u00fan antiguo proyecto. Cuando Chadwick inici\u00f3 sesi\u00f3n en su cuenta de Amazon, descubri\u00f3 un total de 3.493 d\u00f3lares en cargos pendientes. Result\u00f3 que un usuario no autorizado se hab\u00eda apoderado de la clave p\u00fablica y hab\u00eda minado criptomonedas con su cuenta. Finalmente, Amazon reembols\u00f3 a Chadwick sus p\u00e9rdidas. Pero recuerda que no todas las historias tienen un final feliz.<\/p>\n<p><strong>\u00bfC\u00f3mo acaban los datos privados en GitHub?<\/strong><\/p>\n<p>El an\u00e1lisis de los resultados de la investigaci\u00f3n muestra que no son solo los j\u00f3venes e inexpertos programadores los que dejan informaci\u00f3n confidencial en el dominio p\u00fablico. Por ejemplo, un desarrollador con 10 a\u00f1os de experiencia public\u00f3 en GitHub datos para acceder a una instituci\u00f3n gubernamental importante.<\/p>\n<p>Los motivos para publicar <em>tokens<\/em> y claves en los repositorios de GitHub son muy variados. Por ejemplo, las herramientas de autorizaci\u00f3n pueden ser necesarias para integrar una aplicaci\u00f3n con un servicio particular. Adem\u00e1s, cuando se publica un c\u00f3digo para probarlo, algunos programadores utilizan claves v\u00e1lidas en lugar de las de depuraci\u00f3n y se olvidan de eliminar la informaci\u00f3n del acceso p\u00fablico.<\/p>\n<p>Por ejemplo, <a href=\"https:\/\/securosis.com\/blog\/my-500-cloud-security-screwup\" target=\"_blank\" rel=\"noopener nofollow\">el analista y CEO de Securosis Rich Mogull<\/a> public\u00f3 en GitHub una aplicaci\u00f3n que estaba desarrollando para una conferencia. El programa realizaba llamadas a Amazon AWS y almacenaba todos los datos para su autorizaci\u00f3n local. No obstante, para depurar los bloques de c\u00f3digo individuales, cre\u00f3 un archivo de prueba que conten\u00eda varias claves de acceso. Despu\u00e9s de la depuraci\u00f3n, Mogull se olvid\u00f3 de eliminarlas de este archivo. Posteriormente, los intrusos las encontraron y gastaron un total de 500 d\u00f3lares en servicios de Amazon.<\/p>\n<p>Adem\u00e1s, algunos desarrolladores pueden simplemente no estar conscientes de los riesgos de dejar <em>tokens<\/em> v\u00e1lidos en los repositorios de GitHub y la necesidad de identificarlos y eliminarlos (o reemplazarlos) antes de ubicar el c\u00f3digo all\u00ed.<\/p>\n<p><strong>C\u00f3mo proteger tus recursos<\/strong><\/p>\n<ul>\n<li>Avisa a tus desarrolladores de que cargar <em>tokens<\/em> y claves v\u00e1lidas para abrir repositorios es perjudicial y peligroso; los programadores deben entender que antes de ubicar un c\u00f3digo, tienen que comprobar que no contenga datos secretos.<\/li>\n<li>Aseg\u00farate de que el director de producto examine detalladamente los proyectos de tu compa\u00f1\u00eda en GitHub para comprobar si contienen informaci\u00f3n confidencial y, de ser as\u00ed, elim\u00ednalos; ten en cuenta que debe eliminarse completamente para que no quede nada en el historial de cambios.<\/li>\n<li>Si cualquier dato de los que almacenas en GitHub contiene contrase\u00f1as, c\u00e1mbialas, pues no hay forma de comprobar si alguien ya ha visto y guardado el c\u00f3digo.<\/li>\n<li>Fomenta la conciencia de los empleados sobre la seguridad de la informaci\u00f3n peri\u00f3dicamente, de modo que el uso responsable de GitHub y otras herramientas y recursos se convierta en algo natural. Nuestra <a href=\"https:\/\/k-asap.com\/es\/\" target=\"_blank\" rel=\"noopener\">plataforma<\/a> te ayudar\u00e1 a hacerlo <a href=\"https:\/\/www.kaspersky.com\/blog\/building-cybersecurity-culture\/25729\/\" target=\"_blank\" rel=\"noopener nofollow\">de forma efectiva y pr\u00e1ctica, sin interrumpir la actividad empresarial<\/a>.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Se han descubierto miles de tokens y claves cifradas en GitHub. Te explicamos por qu\u00e9 puede llegar a ser perjudicial y c\u00f3mo evitar la filtraci\u00f3n.<\/p>\n","protected":false},"author":2509,"featured_media":14285,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,3540],"tags":[3681,3680,3443,2133,37,38,3272],"class_list":{"0":"post-14281","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-claves-api","11":"tag-claves-cifradas","12":"tag-filtraciones","13":"tag-github","14":"tag-privacidad","15":"tag-seguridad","16":"tag-tokens"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/tokens-on-github\/14281\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/tokens-on-github\/15529\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/tokens-on-github\/13075\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/tokens-on-github\/17453\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/tokens-on-github\/15602\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/tokens-on-github\/18148\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/tokens-on-github\/17116\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/tokens-on-github\/22522\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/tokens-on-github\/5831\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/tokens-on-github\/26238\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/tokens-on-github\/11702\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/tokens-on-github\/22922\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/tokens-on-github\/18205\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/tokens-on-github\/22383\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/tokens-on-github\/22319\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/filtraciones\/","name":"filtraciones"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/14281","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2509"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=14281"}],"version-history":[{"count":6,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/14281\/revisions"}],"predecessor-version":[{"id":15870,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/14281\/revisions\/15870"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/14285"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=14281"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=14281"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=14281"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}