Fallo en la preparación: CISA improvisó un plan en pleno incidente
La Agencia de Seguridad Cibernética e Infraestructura de EE. UU. (CISA) reveló que durante un incidente ocurrido en mayo de 2025, su personal tuvo que desarrollar un plan de respuesta sobre la marcha, ya que no existía un playbook predefinido para manejar la situación. Así lo detalla un informe posterior al incidente publicado el viernes.
El incidente: credenciales expuestas en GitHub
Un contratista de CISA expuso públicamente claves y credenciales sensibles en un repositorio de GitHub accesible para cualquiera. El hallazgo fue realizado por un investigador de seguridad de la firma GitGuardian, quien alertó al periodista independiente Brian Krebs. Tras intentar contactar al contratista sin éxito, Krebs se comunicó directamente con CISA, que entonces tomó medidas para retirar el repositorio y reemplazar todas las credenciales expuestas.

Lecciones aprendidas y cambios implementados
CISA reconoció que no contaba con canales bien definidos para que investigadores de seguridad notificaran posibles incidentes, y que su personal “tuvo que dedicar tiempo a construir un playbook durante las primeras etapas del incidente”. La agencia afirmó que es fundamental preparar planes de respuesta para todas las necesidades previstas, y que ya ha implementado cambios para agilizar la comunicación con expertos externos.
El informe señala que ningún dato de misión o de clientes fue expuesto, y la agencia agradeció la colaboración del investigador y del periodista. Además, destacó que desde el inicio del segundo mandato del presidente Donald Trump en enero de 2025, CISA ha carecido de un director permanente y ha sufrido recortes, licencias y despidos que afectaron a aproximadamente un tercio de su fuerza laboral.
“No podemos permitirnos improvisar cuando la seguridad nacional está en juego”, señaló un portavoz de CISA, quien no respondió a las solicitudes de comentarios adicionales.
Contexto de debilidad institucional
La falta de un playbook se suma a las dificultades internas de CISA, que opera sin un líder designado y con una plantilla reducida. Los expertos advierten que estos vacíos organizativos aumentan el riesgo de que futuros incidentes no sean manejados con la celeridad necesaria.