Hay un número que debería captar la atención de todos los equipos de seguridad ahora mismo: 1 mil millones.
Esa es aproximadamente la cantidad de commits que los desarrolladores enviaron a GitHub en 2025, un aumento del 25% interanual, según el informe Octoverse 2025 de GitHub. Se crearon más de 230 nuevos repositorios por minuto. Más de 36 millones de nuevos desarrolladores se unieron a la plataforma en un solo año, más de uno por segundo.
Esas son métricas de productividad. También son métricas de exposición. Porque enterrado en ese volumen de código hay un inventario creciente de secretos: claves de API, tokens de acceso, credenciales de bases de datos, contraseñas de cuentas de servicio, enviados a repositorios públicos por desarrolladores que o no se dieron cuenta de que estaban ahí, o asumieron que nadie miraría.
La IA no creó este problema. Pero lo está haciendo significativamente peor, más rápido de lo que la mayoría de las organizaciones están preparadas para manejar.
GitHub Copilot es ahora parte de la experiencia estándar del desarrollador. Aproximadamente el 80% de los nuevos usuarios de GitHub prueban Copilot en su primera semana en la plataforma. Más de 1,1 millones de repositorios públicos dependen de un SDK de LLM, cifra que creció un 178% interanual, con casi 700.000 de esos repositorios creados solo en los últimos doce meses.
Esto importa más allá de la productividad. Muchos de los desarrolladores que impulsan este crecimiento están construyendo aplicaciones de producción usando asistentes de IA y prompts en lenguaje natural, a veces sin un profundo conocimiento del código generado o de las implicaciones de seguridad de las decisiones de diseño que se toman por ellos. La industria ha comenzado a llamar a esto "vibe coding", e introduce una clase específica de riesgo a escala.
El informe de diciembre de 2025 de CodeRabbit encontró que el código generado por IA contiene un 70% más de errores que el código escrito por humanos, y esos errores tienden a ser más graves. Las vulnerabilidades de seguridad aparecen a casi tres veces la línea base humana. Las configuraciones incorrectas son un 75% más frecuentes. La rotación de código aumentó un 41%, lo que significa que se está escribiendo, revisando y haciendo commit de más código a un ritmo que comprime los ciclos de revisión que históricamente detectaban la exposición de credenciales antes de que llegara a una rama pública.
La señal de fuga de secretos es directa: los commits asistidos por IA muestran una tasa de fuga de secretos del 3,2% en comparación con una línea base del 1,5% en todos los commits públicos de GitHub. Aplicado a mil millones de commits, la aritmética no es cómoda.
El Laboratorio de Seguridad y Software de Sistemas del Georgia Tech rastreó al menos 35 CVEs divulgados solo en marzo de 2026 que fueron el resultado directo de código generado por IA. Eso es un solo mes. No son hallazgos hipotéticos. Son vulnerabilidades reales en software de producción que llegaron a repositorios públicos y fueron posteriormente catalogadas en la base de datos nacional de vulnerabilidades.
Los propios datos de CodeQL de GitHub refuerzan el patrón. En 2025, el Control de Acceso Roto superó a la Inyección como la alerta de CodeQL más común, detectada en más de 151.000 repositorios. Una parte significativa proviene de endpoints generados por IA que parecen sintácticamente correctos pero omiten verificaciones críticas de autenticación, una clase de error difícil de detectar sin una revisión deliberada y fácil de producir para los LLMs cuando optimizan para código funcional en lugar de código seguro.
Lo que hace que las fugas de secretos sean distintas de otras clases de vulnerabilidades es la inmediatez de la ventana de daño. Un endpoint de autenticación mal configurado requiere que un atacante lo identifique, lo comprenda y construya un exploit. Una clave de API expuesta puede ser recopilada, validada y usada como arma en minutos. Los escáneres automatizados indexan continuamente GitHub en busca de patrones de credenciales, y la ventana entre que una credencial es enviada y que uno de esos escáneres la encuentre es estrecha. Es exactamente por eso que la velocidad de detección importa tanto como la cobertura de detección.
Los equipos de seguridad no fueron diseñados para monitorear una plataforma que crece a 230 repositorios por minuto.
La revisión manual de código no escala a mil millones de commits. Los escaneos periódicos pierden la ventana en la que una credencial expuesta está activa. El volumen de alertas sin contexto es un desafío estructural para el sector en general. Sin priorización, incluso los equipos bien equipados terminan gestionando un backlog en lugar de cerrar ventanas de exposición.
La exposición rara vez es obvia. No se anuncia. Se acumula silenciosamente en archivos de configuración, scaffolds de prueba e historiales de commits que persisten mucho después de que el commit de "corrección" elimina el secreto de la rama actual. Las propias herramientas de GitHub pueden identificar algunos de estos patrones, pero el volumen bruto de alertas sin contexto no es un resultado de seguridad.
Las organizaciones que manejan bien esto generalmente han migrado hacia la detección automatizada y continua, tratando los repositorios de código como parte de su superficie de ataque externa en lugar de una preocupación separada que los desarrolladores deben autogestionar.
La solución de Exposición de secreto de código de Axur monitorea continuamente repositorios públicos, incluyendo GitHub y otras plataformas, en busca de secretos, claves de API, tokens y credenciales asociados con su organización. Cuando se encuentra una coincidencia, se presenta como una alerta priorizada y accionable en lugar de una señal bruta para que un equipo la clasifique manualmente. El objetivo es cerrar la ventana de exposición antes de que un atacante la encuentre, no reconstruir lo que sucedió después.
La solución de Exposición de secreto de código es una de varias capacidades dentro del conjunto Data Leakage de Axur. El conjunto cubre la exposición de credenciales corporativas y de clientes, credenciales recopiladas por infostealers, fugas de datos sensibles y exposición de tarjetas de crédito, además de secretos en repositorios públicos. Cada caso de uso representa un vector diferente a través del cual los datos de su organización pueden aparecer en lugares donde no deberían.
Si su organización usa asistentes de codificación con IA, y la mayoría lo hace en este punto, hay algunos lugares concretos en los que enfocar la atención.
Comience con la visibilidad. Sepa si alguna de las claves de API, tokens o credenciales de servicio de su organización está actualmente expuesta en un repositorio público, y asegúrese de que el monitoreo cubra no solo los estados actuales de los archivos, sino también los historiales de commits, forks y gists, donde los secretos a menudo persisten mucho después de que un desarrollador crea haberlos eliminado.
Luego asegúrese de que los hallazgos sean accionables. Las alertas de exposición solo son útiles si están priorizadas y vinculadas a un camino claro de remediación. Una larga cola de hallazgos indiferenciados no mueve la aguja; solo añade carga de trabajo.
Estos son problemas solucionables. El desafío es hacerlo a la escala en que el desarrollo moderno realmente opera.
La superficie de código está creciendo más rápido de lo que cualquier equipo puede supervisar manualmente. Construir visibilidad sobre ella ahora, antes de que la exposición se convierta en un incidente, es el paso más práctico disponible.
La solución de Exposición de secreto de código es parte del conjunto Filtración de datos. Obtenga más información o ejecute un escaneo de amenazas gratuito en freetools.axur.com.
Fuentes: GitHub Octoverse 2025 (github.blog); Informe CodeRabbit diciembre de 2025; Georgia Tech Systems Software and Security Lab, divulgaciones de CVE de marzo de 2026.