Los usuarios de GitHub son obligados a pedir un rescate con problemas de texto plano
... un tercero accedió a tu repositorio con el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a tu repositorio. Creemos que es posible que estas credenciales se hayan filtrado a través de otro servicio, ya que otros servicios de alojamiento de git están sufriendo un ataque similar.
Como usuario de un servicio basado en la web, nunca es una buena experiencia recibir un correo electrónico como ese sobre una posible violación de sus datos personales. Ahora, imagine que los datos son un repositorio de código que representa su arduo trabajo, o incluso los secretos comerciales de su software. Al menos 392 (hasta ahora) GitHub, Bitbucket y GitLab los usuarios recibieron esa impactante notificación esta semana y, lo que es más, los atacantes descargaron su código, lo borraron del repositorio y retenido para pedir un rescate. Una vez que todos los archivos de los usuarios afectados hayan desaparecido, solo quedará un archivo de texto con este mensaje:
A diferencia de la mayoría de las otras brechas empresariales de interés periodístico (e incluso ataques anteriores en GitHub) este no fue causado por un error en su plataforma. Más bien, la información de la cuenta se almacenaba de forma insegura en texto plano y es probable que se filtrara de los servicios de administración de repositorios de terceros. Los desarrolladores almacenaban activamente contraseñas importantes de forma incorrecta y, a menudo, reutilizaban las mismas credenciales para varias cuentas de gran valor.
Parece que los estafadores no son los mejores ni los más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes y preocupadas por la seguridad ya han encontrado soluciones para que los usuarios afectados recuperar código borrado.
Aun así, esto pone de relieve algunos problemas que conocemos desde hace mucho tiempo en la industria de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad y datos valiosos pueden correr peligro en cualquier momento, incluso para aquellos que no son genios del hackeo.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Los seres humanos, por supuesto, tienen defectos y tendemos a querer facilitarnos la vida. No cabe duda de que es mucho menos complicado reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir «¡Z7b3#! q0HWxxv29!» solo para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo mejor.
De GitHub propio consejo el asunto fue sencillo y evaluó que este ataque de rescate no habría tenido lugar si se hubiera establecido la autenticación de dos factores y si se hubieran utilizado gestores de contraseñas seguros. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender, a un nivel fundamental, por qué determinadas acciones pueden dejar sus cuentas vulnerables a los ataques.
Educación: ¿La píldora mágica?
Los programadores expertos en seguridad entienden que un simple mala configuración de seguridad puede tener consecuencias devastadoras y, en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron fundamentales para permitir a los atacantes inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Exposición de datos confidenciales también es una vulnerabilidad crítica que hay que superar, ya que sigue ocupando el puesto número tres en el Top 10 de OWASP. Almacenar las contraseñas en texto plano es una clara prueba de que muchas personas no comprenden los peligros de hacerlo y la facilidad con la que se puede acceder a los sistemas mediante ataques de contraseña con fuerza bruta.
Comprender la criptografía (y, en particular, el almacenamiento criptográfico) es un componente esencial para administrar las contraseñas en una base de código mediante una seguridad férrea. Salvar y cifrar correctamente las contraseñas almacenadas, reforzando su unicidad, hará que sea mucho más difícil que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en la educación adecuada de los desarrolladores y en tomarse en serio el riesgo de las ciberamenazas. Tenemos que convertir el aprendizaje sobre la seguridad en una experiencia positiva y gratificante, y creo que eso será fundamental para que todos los desarrolladores puedan evaluar por sí mismos su trabajo a la hora de mejorar los estándares de calidad.
¿Quiere intentar eliminar las vulnerabilidades sobre las que ha leído aquí? Puedes jugar a los desafíos relacionados en Secure Code Warrior ahora mismo:
El reciente ataque a los repositorios de GitHub pone de relieve un problema muy conocido en la industria de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad y datos valiosos podrían estar en riesgo en cualquier momento.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostración
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
... un tercero accedió a tu repositorio con el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a tu repositorio. Creemos que es posible que estas credenciales se hayan filtrado a través de otro servicio, ya que otros servicios de alojamiento de git están sufriendo un ataque similar.
Como usuario de un servicio basado en la web, nunca es una buena experiencia recibir un correo electrónico como ese sobre una posible violación de sus datos personales. Ahora, imagine que los datos son un repositorio de código que representa su arduo trabajo, o incluso los secretos comerciales de su software. Al menos 392 (hasta ahora) GitHub, Bitbucket y GitLab los usuarios recibieron esa impactante notificación esta semana y, lo que es más, los atacantes descargaron su código, lo borraron del repositorio y retenido para pedir un rescate. Una vez que todos los archivos de los usuarios afectados hayan desaparecido, solo quedará un archivo de texto con este mensaje:
A diferencia de la mayoría de las otras brechas empresariales de interés periodístico (e incluso ataques anteriores en GitHub) este no fue causado por un error en su plataforma. Más bien, la información de la cuenta se almacenaba de forma insegura en texto plano y es probable que se filtrara de los servicios de administración de repositorios de terceros. Los desarrolladores almacenaban activamente contraseñas importantes de forma incorrecta y, a menudo, reutilizaban las mismas credenciales para varias cuentas de gran valor.
Parece que los estafadores no son los mejores ni los más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes y preocupadas por la seguridad ya han encontrado soluciones para que los usuarios afectados recuperar código borrado.
Aun así, esto pone de relieve algunos problemas que conocemos desde hace mucho tiempo en la industria de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad y datos valiosos pueden correr peligro en cualquier momento, incluso para aquellos que no son genios del hackeo.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Los seres humanos, por supuesto, tienen defectos y tendemos a querer facilitarnos la vida. No cabe duda de que es mucho menos complicado reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir «¡Z7b3#! q0HWxxv29!» solo para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo mejor.
De GitHub propio consejo el asunto fue sencillo y evaluó que este ataque de rescate no habría tenido lugar si se hubiera establecido la autenticación de dos factores y si se hubieran utilizado gestores de contraseñas seguros. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender, a un nivel fundamental, por qué determinadas acciones pueden dejar sus cuentas vulnerables a los ataques.
Educación: ¿La píldora mágica?
Los programadores expertos en seguridad entienden que un simple mala configuración de seguridad puede tener consecuencias devastadoras y, en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron fundamentales para permitir a los atacantes inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Exposición de datos confidenciales también es una vulnerabilidad crítica que hay que superar, ya que sigue ocupando el puesto número tres en el Top 10 de OWASP. Almacenar las contraseñas en texto plano es una clara prueba de que muchas personas no comprenden los peligros de hacerlo y la facilidad con la que se puede acceder a los sistemas mediante ataques de contraseña con fuerza bruta.
Comprender la criptografía (y, en particular, el almacenamiento criptográfico) es un componente esencial para administrar las contraseñas en una base de código mediante una seguridad férrea. Salvar y cifrar correctamente las contraseñas almacenadas, reforzando su unicidad, hará que sea mucho más difícil que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en la educación adecuada de los desarrolladores y en tomarse en serio el riesgo de las ciberamenazas. Tenemos que convertir el aprendizaje sobre la seguridad en una experiencia positiva y gratificante, y creo que eso será fundamental para que todos los desarrolladores puedan evaluar por sí mismos su trabajo a la hora de mejorar los estándares de calidad.
¿Quiere intentar eliminar las vulnerabilidades sobre las que ha leído aquí? Puedes jugar a los desafíos relacionados en Secure Code Warrior ahora mismo:
... un tercero accedió a tu repositorio con el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a tu repositorio. Creemos que es posible que estas credenciales se hayan filtrado a través de otro servicio, ya que otros servicios de alojamiento de git están sufriendo un ataque similar.
Como usuario de un servicio basado en la web, nunca es una buena experiencia recibir un correo electrónico como ese sobre una posible violación de sus datos personales. Ahora, imagine que los datos son un repositorio de código que representa su arduo trabajo, o incluso los secretos comerciales de su software. Al menos 392 (hasta ahora) GitHub, Bitbucket y GitLab los usuarios recibieron esa impactante notificación esta semana y, lo que es más, los atacantes descargaron su código, lo borraron del repositorio y retenido para pedir un rescate. Una vez que todos los archivos de los usuarios afectados hayan desaparecido, solo quedará un archivo de texto con este mensaje:
A diferencia de la mayoría de las otras brechas empresariales de interés periodístico (e incluso ataques anteriores en GitHub) este no fue causado por un error en su plataforma. Más bien, la información de la cuenta se almacenaba de forma insegura en texto plano y es probable que se filtrara de los servicios de administración de repositorios de terceros. Los desarrolladores almacenaban activamente contraseñas importantes de forma incorrecta y, a menudo, reutilizaban las mismas credenciales para varias cuentas de gran valor.
Parece que los estafadores no son los mejores ni los más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes y preocupadas por la seguridad ya han encontrado soluciones para que los usuarios afectados recuperar código borrado.
Aun así, esto pone de relieve algunos problemas que conocemos desde hace mucho tiempo en la industria de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad y datos valiosos pueden correr peligro en cualquier momento, incluso para aquellos que no son genios del hackeo.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Los seres humanos, por supuesto, tienen defectos y tendemos a querer facilitarnos la vida. No cabe duda de que es mucho menos complicado reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir «¡Z7b3#! q0HWxxv29!» solo para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo mejor.
De GitHub propio consejo el asunto fue sencillo y evaluó que este ataque de rescate no habría tenido lugar si se hubiera establecido la autenticación de dos factores y si se hubieran utilizado gestores de contraseñas seguros. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender, a un nivel fundamental, por qué determinadas acciones pueden dejar sus cuentas vulnerables a los ataques.
Educación: ¿La píldora mágica?
Los programadores expertos en seguridad entienden que un simple mala configuración de seguridad puede tener consecuencias devastadoras y, en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron fundamentales para permitir a los atacantes inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Exposición de datos confidenciales también es una vulnerabilidad crítica que hay que superar, ya que sigue ocupando el puesto número tres en el Top 10 de OWASP. Almacenar las contraseñas en texto plano es una clara prueba de que muchas personas no comprenden los peligros de hacerlo y la facilidad con la que se puede acceder a los sistemas mediante ataques de contraseña con fuerza bruta.
Comprender la criptografía (y, en particular, el almacenamiento criptográfico) es un componente esencial para administrar las contraseñas en una base de código mediante una seguridad férrea. Salvar y cifrar correctamente las contraseñas almacenadas, reforzando su unicidad, hará que sea mucho más difícil que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en la educación adecuada de los desarrolladores y en tomarse en serio el riesgo de las ciberamenazas. Tenemos que convertir el aprendizaje sobre la seguridad en una experiencia positiva y gratificante, y creo que eso será fundamental para que todos los desarrolladores puedan evaluar por sí mismos su trabajo a la hora de mejorar los estándares de calidad.
¿Quiere intentar eliminar las vulnerabilidades sobre las que ha leído aquí? Puedes jugar a los desafíos relacionados en Secure Code Warrior ahora mismo:
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserva una demostración
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
... un tercero accedió a tu repositorio con el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a tu repositorio. Creemos que es posible que estas credenciales se hayan filtrado a través de otro servicio, ya que otros servicios de alojamiento de git están sufriendo un ataque similar.
Como usuario de un servicio basado en la web, nunca es una buena experiencia recibir un correo electrónico como ese sobre una posible violación de sus datos personales. Ahora, imagine que los datos son un repositorio de código que representa su arduo trabajo, o incluso los secretos comerciales de su software. Al menos 392 (hasta ahora) GitHub, Bitbucket y GitLab los usuarios recibieron esa impactante notificación esta semana y, lo que es más, los atacantes descargaron su código, lo borraron del repositorio y retenido para pedir un rescate. Una vez que todos los archivos de los usuarios afectados hayan desaparecido, solo quedará un archivo de texto con este mensaje:
A diferencia de la mayoría de las otras brechas empresariales de interés periodístico (e incluso ataques anteriores en GitHub) este no fue causado por un error en su plataforma. Más bien, la información de la cuenta se almacenaba de forma insegura en texto plano y es probable que se filtrara de los servicios de administración de repositorios de terceros. Los desarrolladores almacenaban activamente contraseñas importantes de forma incorrecta y, a menudo, reutilizaban las mismas credenciales para varias cuentas de gran valor.
Parece que los estafadores no son los mejores ni los más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes y preocupadas por la seguridad ya han encontrado soluciones para que los usuarios afectados recuperar código borrado.
Aun así, esto pone de relieve algunos problemas que conocemos desde hace mucho tiempo en la industria de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad y datos valiosos pueden correr peligro en cualquier momento, incluso para aquellos que no son genios del hackeo.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Los seres humanos, por supuesto, tienen defectos y tendemos a querer facilitarnos la vida. No cabe duda de que es mucho menos complicado reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir «¡Z7b3#! q0HWxxv29!» solo para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo mejor.
De GitHub propio consejo el asunto fue sencillo y evaluó que este ataque de rescate no habría tenido lugar si se hubiera establecido la autenticación de dos factores y si se hubieran utilizado gestores de contraseñas seguros. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender, a un nivel fundamental, por qué determinadas acciones pueden dejar sus cuentas vulnerables a los ataques.
Educación: ¿La píldora mágica?
Los programadores expertos en seguridad entienden que un simple mala configuración de seguridad puede tener consecuencias devastadoras y, en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron fundamentales para permitir a los atacantes inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Exposición de datos confidenciales también es una vulnerabilidad crítica que hay que superar, ya que sigue ocupando el puesto número tres en el Top 10 de OWASP. Almacenar las contraseñas en texto plano es una clara prueba de que muchas personas no comprenden los peligros de hacerlo y la facilidad con la que se puede acceder a los sistemas mediante ataques de contraseña con fuerza bruta.
Comprender la criptografía (y, en particular, el almacenamiento criptográfico) es un componente esencial para administrar las contraseñas en una base de código mediante una seguridad férrea. Salvar y cifrar correctamente las contraseñas almacenadas, reforzando su unicidad, hará que sea mucho más difícil que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en la educación adecuada de los desarrolladores y en tomarse en serio el riesgo de las ciberamenazas. Tenemos que convertir el aprendizaje sobre la seguridad en una experiencia positiva y gratificante, y creo que eso será fundamental para que todos los desarrolladores puedan evaluar por sí mismos su trabajo a la hora de mejorar los estándares de calidad.
¿Quiere intentar eliminar las vulnerabilidades sobre las que ha leído aquí? Puedes jugar a los desafíos relacionados en Secure Code Warrior ahora mismo:
Tabla de contenido
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Habilitador 1: Criterios de éxito definidos y medibles
Enabler 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
