Tras analizar 10 millones de páginas web, los investigadores han descubierto miles de sitios web que exponen accidentalmente credenciales API confidenciales, incluidas claves vinculadas a servicios importantes como Amazon Web Services, Stripe y OpenAI.
Este es un problema grave, ya que las API son la base de las aplicaciones que usamos hoy en día. Permiten que los sitios web se conecten a servicios como pagos, almacenamiento en la nube y herramientas de IA, pero dependen de claves digitales para mantenerse seguras. Una vez expuestas, las claves de API pueden permitir que cualquiera interactúe con esos servicios con intenciones maliciosas.
Claves API confidenciales expuestas en miles de sitios
Según TechXplore , los investigadores identificaron 1748 credenciales API únicas en casi 10 000 páginas web, vinculadas a 14 importantes proveedores de servicios. Estas filtraciones no se limitaron a sitios poco conocidos, ya que algunas aparecieron en plataformas gestionadas por bancos globales y grandes desarrolladores de software.
Alrededor del 84% de estas filtraciones provenían de archivos JavaScript, que son fácilmente accesibles a través de un navegador. Esto significa que las credenciales estaban, en la práctica, en código visible públicamente.
Aún más preocupante es el tiempo que estas claves permanecieron expuestas. Algunas fueron visibles hasta por 12 meses, mientras que en algunos casos excepcionales las credenciales permanecieron públicas durante varios años sin ser detectadas.
¿Qué está causando estas fugas?
El estudio deja claro que el problema no reside en los proveedores de servicios como Amazon, Stripe u OpenAI. En cambio, el problema radica en cómo los desarrolladores gestionan las claves API.
En muchos casos, los desarrolladores incluyen accidentalmente credenciales de API privadas en el código de la interfaz de usuario de un sitio web, dejándolas visibles para cualquiera que sepa dónde buscar.
¿Cómo evitar que las claves API queden expuestas?
Para prevenir futuras filtraciones, los investigadores sugieren algunas medidas prácticas. Los desarrolladores deberían analizar la versión en vivo de sus sitios web, y no solo el código privado, para detectar claves expuestas.
Con el auge de la codificación Vibe , las empresas necesitan normas más estrictas para las herramientas de creación automatizada de sitios web que manejan datos confidenciales durante el despliegue. Por ello, plataformas como Lovable han empezado a incorporar herramientas de navegación segura para proteger a los usuarios de sitios web con codificación Vibe deficiente.
Mientras tanto, los proveedores de servicios deben mejorar sus sistemas de detección para identificar las claves expuestas en el momento en que aparecen en línea. Si bien la divulgación responsable ha contribuido a reducir algunas de estas filtraciones, la magnitud del problema sigue siendo considerable.
Informes recientes también han demostrado cómo la simple visita a un sitio web puede exponer su dispositivo a riesgos graves, lo que pone de manifiesto la fragilidad de la seguridad web para los usuarios cotidianos de internet.