Secretos en texto plano: por qué los leaks públicos siguen pasando en 2026
El leak al Jefe de Gabinete no fue un accidente: fue una consecuencia estadística. Cómo se arma secret management por etapas en organizaciones medianas argentinas.
Domingo, 23:14. Un administrador de un organismo provincial mira el tuit de un investigador de seguridad: 140 GB filtrados, y entre ellos un repositorio donde un archivo .env con la contraseña del servidor de mail corporativo aparece cinco veces en tres commits distintos. No es el único que mira. Veinticinco minutos más tarde esos credenciales están circulando en un foro ruso. Mañana es lunes, y las bandejas de entrada de ese organismo abren a las ocho.
El leak no fue el problema; el problema vino antes
La filtración atribuida esta semana al área del Jefe de Gabinete no es un accidente puntual. Es la consecuencia estadística de cómo se vienen manejando los secretos en buena parte del sector público y privado argentino desde hace una década.
Los datos duros existen. GitHub Secret Scanning detectó y notificó 39 millones de secretos filtrados solo en 2024, la mayoría claves de API y credenciales de base de datos. El OWASP Top 10 2021 puso a "Cryptographic Failures" en el puesto dos, empujando de ahí a Injection después de diez años. No es una tendencia nueva. Es que finalmente se empezó a medir.
Por qué "rotemos las claves" no cierra el tema
Cuando una contraseña aparece en un repositorio filtrado, rotarla es la acción obvia y también la más tardía. Para cuando el equipo de seguridad emite la nueva clave, el atacante ya automatizó el uso de la vieja en cientos de endpoints. La ventana de exposición real no se mide en días: se mide en minutos.
Lo contraintuitivo es que el problema casi nunca es una contraseña débil. Es una contraseña correcta guardada en un lugar incorrecto. Y el lugar incorrecto más habitual, en 2026, sigue siendo un archivo .env commiteado al repositorio por accidente en una pull request de hace tres años, al que nadie volvió a prestar atención.
Cómo se arma secret management en 2026
La pila que funciona en organizaciones medianas en Argentina hoy combina tres capas, y se implementa por etapas. Primero lo barato, después lo robusto:
- Capa 1 — prevención en el repo: sops + age para cifrar cualquier archivo sensible antes del commit, más gitleaks o trufflehog como pre-commit hook obligatorio. Cuesta 40 horas de ingeniería montarlo para un equipo de 20 devs.
- Capa 2 — secret store central: OpenBao (fork libre de HashiCorp Vault tras su licenciamiento BUSL en agosto de 2023) o Infisical. Emite tokens de corta vida, permite auditoría, se integra con Kubernetes y con pipelines de CI.
- Capa 3 — rotación automática: scripts o controladores que renuevan credenciales de DB, tokens de API y certificados sin intervención humana. Acá es donde se gana la apuesta: el secreto filtrado ya no sirve porque caducó hace tres horas.
Para un organismo provincial de Cuyo con 240 empleados y 7 sistemas legacy sin parametrización de secretos, arrancar por capa 1 más un inventario de qué secreto vive dónde suele costar menos de 400 horas de consultoría especializada. La capa 2 viene después, no al mismo tiempo.
Los tres "sí, pero…" honestos
Uno. La rotación no sucede por decreto. Sucede cuando la aplicación sabe leer desde un secret manager en vez de leer de un archivo. Migrar una app PHP antigua para que haga eso es trabajo, no es toggle.
Dos. Los pre-commit hooks se esquivan con git commit --no-verify. Si el equipo no los adopta culturalmente, son un cinturón de seguridad que nadie se abrocha. La validación tiene que vivir también en el server-side, en un pipeline que rechace el push.
Tres. Los desarrolladores odian los secret managers la primera semana, hasta que uno de ellos pierde una noche rotando una clave a las 3 AM y empieza a defenderlos públicamente. Ese pivote cultural tarda entre tres y seis meses. Conviene planificarlo, no sorprenderse.
Para seguir leyendo
- OWASP Top 10 2021 — Cryptographic Failures
- GitHub Secret Scanning — expansión 2024
- HashiCorp License FAQ
Si mañana se filtran todos los repos de tu organización, ¿cuántas horas tardás en saber qué secretos quedaron expuestos, cuáles siguen siendo válidos y cuáles ya caducaron por rotación? La respuesta real a esa pregunta es el verdadero indicador de madurez de seguridad. El resto son diapositivas.