Un simple error de codificación está exponiendo claves API en miles de sitios web.

      Después de analizar 10 millones de páginas web, los investigadores han encontrado miles de sitios web que exponen accidentalmente credenciales sensibles de API, incluidas claves vinculadas a servicios importantes como Amazon Web Services, Stripe y OpenAI.

      Este es un problema serio porque las APIs actúan como la columna vertebral de las aplicaciones que usamos hoy en día. Permiten que los sitios web se conecten a servicios como pagos, almacenamiento en la nube y herramientas de IA, pero dependen de claves digitales para mantenerse seguras. Una vez expuestas, las claves de API pueden permitir que cualquiera interactúe con esos servicios con intenciones maliciosas.

      Claves de API sensibles expuestas en miles de sitios

      Según TechXplore, los investigadores identificaron 1,748 credenciales de API únicas en casi 10,000 páginas web, vinculadas a 14 proveedores de servicios importantes. Estas filtraciones no se limitaron a sitios oscuros, ya que algunas aparecieron en plataformas gestionadas por bancos globales y grandes desarrolladores de software.

      Alrededor del 84% de estas filtraciones provino de archivos JavaScript, que son fácilmente accesibles a través de un navegador. Esto significa que las credenciales estaban efectivamente en código visible públicamente.

      Aún más preocupante es cuánto tiempo permanecieron expuestas estas claves. Algunas fueron visibles durante hasta 12 meses, mientras que algunos casos raros mostraron credenciales que permanecieron públicas durante varios años sin detección.

      Entonces, ¿qué está causando estas filtraciones?

      Pixabay

      El estudio deja claro que el problema no radica en proveedores de servicios como Amazon, Stripe o OpenAI. En cambio, el problema proviene de cómo los desarrolladores manejan las claves de API.

      En muchos casos, los desarrolladores incluyen accidentalmente credenciales privadas de API en el código del front-end de un sitio web, dejándolo visible para cualquiera que sepa dónde buscar.

      ¿Cómo detener la exposición de claves de API?

      Para prevenir futuras filtraciones, los investigadores sugieren algunos pasos prácticos. Los desarrolladores deben escanear la versión en vivo de sus sitios web, y no solo el código privado, para detectar claves expuestas.

      Adobe / Adobe

      Con el auge del vibecoding, las empresas necesitan reglas más estrictas para las herramientas automatizadas de creación de sitios web que manejan datos sensibles durante el despliegue. Esta es también la razón por la que plataformas como Lovable han comenzado a agregar herramientas de navegación segura para proteger a los usuarios de sitios web mal vibecodificados.

      Mientras tanto, los proveedores de servicios necesitan mejorar los sistemas de detección para señalar claves expuestas en el momento en que aparecen en línea. Aunque la divulgación responsable ayudó a reducir algunas de estas filtraciones, la magnitud del problema sigue siendo significativa.

      Informes recientes también han mostrado cómo simplemente visitar un sitio web puede exponer su dispositivo a riesgos graves, destacando cuán frágil puede ser la seguridad web para los usuarios cotidianos de internet.