El Gran Derrame de Secretos: Cómo la IA Expuso Nuestra Seguridad en 2025
El año en que la IA nos robó los secretos
En 2025, el desarrollo de software pisó el acelerador gracias a la IA. Los commits públicos se dispararon un 43% interanual. Suena genial, ¿verdad? El problema es que la seguridad se quedó muy atrás.
Desde 2021, las credenciales expuestas crecen mucho más rápido que los propios desarrolladores. Este último año hemos visto un aumento brutal del 34% en nuevas credenciales filtradas, rozando los 29 millones en total. Es el mayor salto de la historia, y gran parte de la culpa la tienen las herramientas que nos hacen la vida «más fácil».
El coste oculto de la programación asistida
La IA democratizó la programación. Ahora cualquiera puede montar una app rápidamente, pero esto viene con un precio muy alto. El código generado por herramientas como Claude Code filtró credenciales al doble de la tasa normal.
No es solo que la IA se equivoque; es que muchos desarrolladores inexpertos siguen ciegamente sus consejos o, peor aún, le indican a la IA que incluya información sensible directamente en el código.
Además, ojo con las configuraciones MCP. Las propias guías suelen decirte que pongas las contraseñas a pelo en los archivos de configuración. Resultado: más de 24.000 credenciales únicas expuestas por no hacer las cosas bien.
Los agentes de IA como nueva superficie de ataque
Pensamos que el peligro está fuera, pero el gran problema lo tenemos dentro. Los repositorios internos tienen seis veces más probabilidades de guardar credenciales en texto plano que los públicos.
Pero la cosa va más allá del código. Un 28% de los incidentes nacen en herramientas del día a día (productividad o chats), donde los tokens quedan expuestos a bots o agentes de automatización. Y prepárate: a medida que los agentes de IA obtienen permisos en nuestros ordenadores locales, un ataque de inyección de instrucciones podría hacer que un portátil ordinario comprometa a toda una empresa.
Un problema de base: credenciales eternas y mala gestión
Seguimos cometiendo los mismos errores de siempre. El 60% de los problemas graves viene del uso de credenciales de «larga duración». Seguimos siendo lentos en adoptar el acceso temporal o el principio de mínimo privilegio.
Y para remate, ni siquiera somos capaces de limpiar el desorden. Un escandaloso 64% de las credenciales reales filtradas en 2022, siguen activas en 2026! Los equipos no tienen mecanismos claros para revocar accesos en cuanto se sospecha de un fallo.
Toca despertar: en la era de la IA, las identidades de nuestros sistemas son activos críticos y deben protegerse con políticas estrictas, respuesta automatizada y control constante.
Fuente: https://cybersecuritynews.es/aumentan-un-81-las-filtraciones-de-ia-29-millones-de-credenciales-expuestas/
Fdo. Lautaro Enrique
C4E Friend I Security Analist & Networking
