Alerta: investigadores hallan cientos de credenciales API válidas expuestas en webs
Un equipo académico ha encendido las alarmas tras identificar credenciales API expuestas en webs a escala de Internet: tras analizar 10 millones de sitios, localizaron casi 2.000 credenciales en unas 10.000 páginas, con 1.748 credenciales verificadas como válidas. El hallazgo es especialmente crítico porque estas claves no son simples contraseñas, sino tokens y llaves que habilitan acceso programático directo a infraestructura de terceros como Cloud Computing, repositorios de código, pagos y servicios de IA.
Los resultados se publican en el preprint “Keys on Doormats: Exposed API Credentials on the Web” (arXiv:2603.12498). Su tesis es que el problema de secretos expuestos no se limita a repositorios y Source Code: también aparece en aplicaciones en producción, incrustado en recursos que el navegador descarga como parte normal del renderizado.
Por qué las credenciales API expuestas en webs elevan el riesgo
Según el autor de correspondencia, Nurullah Demir (Stanford), el impacto potencial de las credenciales API expuestas en webs es mayor que el de credenciales de login tradicionales porque habilitan automatización a escala: un atacante puede consumir APIs de forma continua, acceder a servicios críticos y moverse por el entorno con permisos delegados por la propia aplicación. En su muestreo, las claves daban acceso a plataformas como AWS, GitHub, Stripe y OpenAI.
El estudio cita casos de alto impacto: una “Global Systemically Important Financial Institution” habría expuesto credenciales cloud en páginas públicas, con acceso a servicios centrales de su infraestructura (incluyendo bases de datos y sistemas de gestión de claves). También describen credenciales vinculadas a repositorios de un desarrollador de firmware usado por fabricantes de drones y dispositivos RC, un vector que podría facilitar la inserción de cambios maliciosos en el supply chain si se lograra modificar el código y distribuir actualizaciones comprometidas.
Metodología: escaneo a 10 millones de sitios con TruffleHog
Para identificar credenciales API expuestas en webs, los investigadores escanearon aproximadamente 10 millones de websites utilizando TruffleHog, una herramienta de detección de secretos. Después, validaron credenciales con 14 proveedores de servicios (por lo que el número total real podría ser superior), y clasificaron el tipo de archivo donde aparecía la exposición.
En términos de superficie de exposición, la mayor parte de secretos se encontró en recursos JavaScript (84%), seguidos por HTML (8%) y JSON (7%). El paper también menciona casos atípicos, como un token de acceso de GitHub incrustado en un archivo CSS, lo que subraya que el problema no está limitado a patrones “obvios” de configuración.
El patrón más común: bundles generados por herramientas de build
El estudio señala que, dentro de JavaScript, el 62% de las exposiciones aparece en bundles generados por herramientas de empaquetado como Webpack. Este detalle es relevante para equipos de ingeniería porque sugiere un fallo de gobernanza de secretos en el pipeline: variables, configuraciones o tokens que terminan incluidos en artefactos estáticos publicados en CDNs o servidores web, y por tanto accesibles para cualquier visitante o crawler.
Servicios más afectados: Cloud y pagos lideran las exposiciones verificadas
Los autores afirman que la exposición se reparte entre múltiples categorías, pero dominan los servicios cloud (por ejemplo, AWS y Cloudflare) y los servicios de pago (por ejemplo, Stripe y Razorpay). En su muestra, las credenciales de AWS representan más del 16% de todas las exposiciones verificadas y aparecieron en más de 4.693 websites. También destacan servicios de comunicación y correo como SendGrid y Twilio, con parte de las exposiciones originadas en recursos de terceros incrustados en páginas.
Para el contexto técnico, el riesgo no es solo el uso fraudulento puntual: credenciales válidas pueden permitir enumeración de recursos, exfiltración de datos, abuso de cuotas, modificación de artefactos (como repositorios) o generación de costes en plataformas de pago y de IA, dependiendo del alcance (scope) y permisos asociados.
Respuesta y mitigación: caída rápida tras el disclosure, pero exposición prolongada
Los investigadores aseguran que contactaron a organizaciones afectadas y que, tras iniciar la divulgación, el número de credenciales expuestas se redujo a la mitad en aproximadamente dos semanas. Aun así, su análisis histórico sugiere que estas credenciales suelen permanecer expuestas una media de 12 meses, y en algunos casos durante años, lo que indica que el problema puede pasar desapercibido en revisiones habituales de seguridad.
El paper insiste en que la cifra reportada debe interpretarse como un umbral inferior: al verificar con un número limitado de proveedores, el fenómeno de credenciales API expuestas en webs probablemente sea más amplio de lo medido en este estudio.
La publicación del trabajo refuerza una tendencia clara en AppSec y Cloud Security: el perímetro de secretos no termina en Git, sino que se extiende a artefactos de frontend y recursos servidos en producción. Para seguir el detalle metodológico y resultados, la fuente principal está disponible en arXiv. En paralelo, el acceso a servicios mencionados está documentado por sus proveedores, como AWS y Stripe, donde el manejo de keys y tokens es un componente central de sus modelos de seguridad.
En un momento donde las organizaciones dependen de APIs para pagos, identidad, CI/CD, observabilidad e IA, el hallazgo de credenciales API expuestas en webs vuelve a situar la gestión de secretos en producción como una de las prioridades más urgentes de la industria.
