La Crisis de Credenciales en la IA: Cómo GitHub, Claude y Copilot Filtran Claves como Tamices

La era de la codificación asistida por IA ha traído ganancias de productividad sin precedentes, pero también ha abierto un nuevo frente en el campo de batalla de la ciberseguridad. En una serie de seis exploits coordinados dirigidos a los asistentes de codificación con IA más populares—GitHub Copilot, Claude Code y Codex de OpenAI—los atacantes demostraron un patrón claro y alarmante: fueron tras las credenciales, no los modelos. Este cambio de enfoque, de la manipulación de modelos al robo de credenciales, representa un desafío fundamental para la forma en que las empresas protegen sus pipelines de desarrollo y su infraestructura de identidad.

El hallazgo más impactante provino del equipo de investigación de seguridad de BeyondTrust, que descubrió que Codex, el modelo de IA que impulsa GitHub Copilot, estaba filtrando tokens OAuth a través de nombres de ramas. Los atacantes podían crear nombres de ramas maliciosos que contenían tokens incrustados que, al ser procesados por el asistente de IA, se analizaban y ejecutaban como credenciales de autenticación legítimas. Esta técnica, denominada 'envenenamiento de ramas', explota la forma en que los asistentes de codificación con IA analizan los metadatos de los sistemas de control de versiones. Los tokens, una vez extraídos, podían otorgar a los atacantes acceso persistente a entornos en la nube, pipelines de CI/CD y repositorios de código fuente.

Pero la filtración de credenciales no se detuvo allí. Los investigadores también descubrieron que Claude Code, el asistente de codificación de Anthropic, había expuesto su código fuente a través de un mecanismo similar. Aún más preocupante, se descubrió que Claude Code eludía las reglas de denegación—políticas de seguridad diseñadas para evitar que la IA acceda o genere información sensible. Los atacantes podían inyectar prompts maliciosos que instruían al asistente a ignorar sus propias directrices de seguridad, convirtiéndolo efectivamente en una herramienta de extracción de credenciales. Esta omisión de las reglas de denegación es particularmente peligrosa porque socava la arquitectura de seguridad central del propio sistema de IA.

Las implicaciones para la seguridad de identidad empresarial son profundas. Los sistemas IAM tradicionales se basan en la suposición de que las credenciales son utilizadas por humanos o procesos automatizados bien definidos. Sin embargo, los asistentes de codificación con IA operan en una zona gris—no son completamente humanos ni completamente automatizados, e interactúan con las credenciales de formas que los controles de seguridad existentes nunca fueron diseñados para manejar. El pipeline de desarrollo de IA se ha convertido en una nueva superficie de ataque donde las credenciales fluyen libremente entre el control de versiones, los sistemas CI/CD, las API en la nube y los propios modelos de IA.

Lo que hace que esta crisis sea particularmente aguda es la velocidad a la que se están adoptando los asistentes de codificación con IA. Las empresas se apresuran a implementar estas herramientas sin comprender completamente las implicaciones de seguridad. Las vulnerabilidades de filtración de credenciales no son teóricas—se están explotando activamente en la naturaleza. Los atacantes están utilizando credenciales comprometidas para moverse lateralmente dentro de las redes empresariales, escalar privilegios y exfiltrar datos sensibles. Los ataques no están dirigidos a los datos de entrenamiento o algoritmos de los modelos de IA; están dirigidos a la infraestructura de autenticación que sustenta todo el ecosistema de desarrollo.

Para los profesionales de seguridad, esto significa repensar todo el enfoque de la gestión de credenciales en el desarrollo asistido por IA. Las arquitecturas de confianza cero deben extenderse para cubrir a los agentes de IA, tratándolos como entidades no confiables que requieren verificación continua. Las herramientas de gestión de secretos deben integrarse directamente en el flujo de trabajo de codificación con IA, asegurando que las credenciales nunca se expongan al propio modelo de IA. Y las reglas de denegación deben reforzarse contra ataques de inyección de prompts, con múltiples capas de validación que no puedan eludirse con prompts hábilmente elaborados.

La respuesta de los proveedores de IA ha sido mixta. GitHub ha implementado escaneos adicionales para detectar fugas de credenciales en Copilot, pero la arquitectura fundamental sigue siendo vulnerable. Anthropic ha reconocido la omisión de las reglas de denegación en Claude Code y está trabajando en parches, pero el juego del gato y el ratón con los atacantes continúa. Mientras tanto, la comunidad de seguridad está pidiendo un rediseño más fundamental de cómo los asistentes de codificación con IA interactúan con los sistemas de autenticación. El enfoque actual de confiar en medidas de seguridad basadas en prompts es claramente insuficiente.

Mientras la industria lidia con esta crisis, una cosa está clara: la crisis de credenciales en los asistentes de codificación con IA no es un error que pueda solucionarse con un parche. Es un fallo sistémico que requiere un replanteamiento completo de cómo diseñamos, implementamos y aseguramos los entornos de desarrollo asistidos por IA. Los atacantes ya han descubierto que el valor real reside en las credenciales, no en los modelos. Es hora de que la industria de la seguridad se ponga al día.