Investigación revela crisis de seguridad: más de 42,000 "secretos" expuestos en paquetes de JavaScript
Una reciente investigación a gran escala ha puesto al descubierto una falla crítica en la seguridad de las aplicaciones modernas. El equipo de investigación de la firma Intruder reveló que, tras escanear 5 millones de aplicaciones web, se detectaron más de 42,000 tokens y claves de API expuestas directamente en los paquetes (bundles) de JavaScript, accesibles para cualquier atacante con un navegador web.
El punto ciego del "Shift-Left"
El informe destaca una realidad preocupante: aunque muchas empresas han implementado controles de "shift-left" (seguridad desde el inicio del desarrollo), como el escaneo de repositorios y herramientas de análisis estático (SAST), los secretos siguen llegando a producción.
El problema surge a menudo durante las etapas de construcción y despliegue. Las configuraciones de última milla o las variables de entorno mal gestionadas en las aplicaciones de una sola página (SPA) provocan que claves privadas terminen "empaquetadas" en el código que se envía al cliente final, evadiendo los filtros de seguridad previos.
Hallazgos de alto impacto
La magnitud de la exposición es alarmante. Entre los más de 42,000 tokens hallados (distribuidos en 334 tipos de servicios), los investigadores identificaron:
Credenciales de Repositorios: Se encontraron 688 tokens de GitHub y GitLab, muchos de ellos activos y con permisos totales sobre el código fuente privado de las organizaciones.
Gestión de Proyectos: Exposición de claves de plataformas como Linear, que permitían acceso total a tickets internos, hojas de ruta de productos y datos confidenciales de empresas.
Infraestructura y Comunicación: Tokens activos de Slack, Microsoft Teams, Discord y Zapier, así como accesos a servicios de envío de correos y bases de datos analíticas.
¿Por qué fallan las herramientas tradicionales?
Según el reporte, las herramientas de escaneo convencionales suelen fallar por dos razones principales:
Escáneres de infraestructura: Solo analizan la respuesta HTTP principal de una URL, ignorando los archivos JavaScript secundarios donde suelen esconderse estos secretos.
Herramientas DAST: Aunque son más robustas, requieren configuraciones complejas y suelen ser costosas de ejecutar a escala, lo que deja a muchas aplicaciones fuera del radar de protección.
Un riesgo creciente con la IA
La investigación advierte que este problema tiende a agravarse. Con el auge de la automatización y el uso de código generado por Inteligencia Artificial, la probabilidad de que se inserten secretos de forma inadvertida en el flujo de desarrollo es mayor que nunca.
Recomendación de expertos: Los especialistas instan a las organizaciones a no confiar únicamente en los escaneos de repositorios. Es fundamental implementar técnicas de "spidering" (rastreo) específicas para aplicaciones SPA, capaces de analizar el código JavaScript tal como llega al usuario final, asegurando que ninguna credencial crítica sea "enviada" accidentalmente al dominio público.