CISA admite que tuvo que crear su manual de respuesta a incidentes durante una brecha de seguridad activa

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha reconocido que el personal se vio obligado a crear el manual de respuesta a incidentes de la agencia durante las primeras etapas de una brecha de seguridad activa, según un informe de análisis postmortem publicado el viernes.

La revelación se produjo después de que un empleado contratista de CISA subiera credenciales sensibles, incluyendo contraseñas de AWS GovCloud, a un repositorio de GitHub de acceso público. La filtración fue descubierta por un investigador de seguridad de la firma cibernética GitGuardian, quien alertó directamente al contratista sin recibir respuesta. El investigador contactó entonces al periodista independiente de seguridad Brian Krebs, quien escaló el asunto a CISA.

CISA puso fuera de línea el repositorio comprometido, revocó y reemplazó todas las credenciales expuestas, y confirmó que ningún dato de clientes o de misión se vio comprometido. Pero el informe posterior al incidente de la propia agencia reconoció una deficiencia organizativa crítica: «El personal de CISA tuvo que dedicar tiempo a construir [un manual] durante las primeras etapas del incidente».

La agencia dijo que desde entonces ha preparado manuales para «todas las necesidades anticipadas» para evitar tener que improvisar en tiempo real durante futuros incidentes. No reveló cuánto retrasó la respuesta la falta del manual.

Brechas en la notificación

CISA también reconoció que sus canales para permitir que los investigadores de seguridad notifiquen a la agencia sobre posibles incidentes «no estaban bien definidos». El descubrimiento y la escalación dependieron completamente de una empresa de seguridad externa y un periodista independiente en lugar de un mecanismo directo de notificación para investigadores. CISA dijo que ha realizado cambios para agilizar la notificación por parte de los investigadores.

Contexto organizacional

El incidente y la posterior admisión ocurren en un momento difícil para la agencia. CISA no ha tenido un director permanente desde que comenzó el segundo mandato del presidente Trump en enero de 2025. La agencia ha sufrido recortes, licencias forzosas y despidos que afectan aproximadamente a un tercio de su fuerza laboral, según un informe de Nextgov de febrero de 2026.

La admisión del postmortem de que una de las principales agencias de defensa cibernética del gobierno de EE. UU. carecía de un manual básico de respuesta a incidentes, y tuvo que escribir uno mientras el incidente estaba en curso, ha generado críticas de investigadores de seguridad que dicen que refleja problemas estructurales más profundos en la agencia.

Fuentes: US cybersecurity agency CISA had to build its incident playbook during the incident, agency reveals (TechCrunch, 10 de julio de 2026)

Traducido por Alessandra

Scroll to Top