Si audita los almacenes de secretos de la mayor\u00eda de las plataformas CI\/CD hoy en d\u00eda, encontrar\u00e1 un cementerio de credenciales de larga duraci\u00f3n: claves de acceso de AWS creadas hace a\u00f1os, claves JSON de cuentas de servicio de GCP compartidas entre docenas de pipelines, Personal Access Tokens de GitHub con alcances amplios y contrase\u00f1as de bases de datos que nunca han sido rotadas. Estos secretos est\u00e1ticos son el vector de ataque m\u00e1s com\u00fan en las vulneraciones de CI\/CD.<\/p>\n
La raz\u00f3n es directa. Una credencial de larga duraci\u00f3n es una llave maestra. Una vez que un atacante la obtiene \u2014 a trav\u00e9s de un log filtrado, una dependencia comprometida, un almac\u00e9n de secretos mal configurado o un ataque a la cadena de suministro de la propia plataforma CI \u2014 tiene acceso persistente, a menudo con privilegios excesivos, a la infraestructura de producci\u00f3n. No hay un reloj de expiraci\u00f3n en marcha. No hay una revocaci\u00f3n autom\u00e1tica. El atacante puede usar esa credencial desde cualquier IP, cualquier contexto, durante todo el tiempo que le tome al equipo defensor darse cuenta.<\/p>\n
Workload Identity Federation cambia la ecuaci\u00f3n por completo. En lugar de inyectar secretos est\u00e1ticos en las ejecuciones del pipeline, la propia plataforma CI se convierte en un proveedor de identidad. Cada ejecuci\u00f3n del pipeline recibe un token de corta duraci\u00f3n, firmado criptogr\u00e1ficamente, que demuestra qu\u00e9<\/em> se est\u00e1 ejecutando (qu\u00e9 repositorio, qu\u00e9 rama, qu\u00e9 workflow, qu\u00e9 entorno). Los proveedores de nube validan ese token y emiten credenciales temporales con el alcance exacto de los permisos necesarios \u2014 credenciales que expiran en minutos, no en meses.<\/p>\n Esta gu\u00eda recorre el problema en detalle, explica c\u00f3mo funciona Workload Identity Federation a nivel de protocolo, proporciona ejemplos funcionales completos para GitHub Actions y GitLab CI en AWS, GCP y Azure, cubre patrones avanzados e incluye una gu\u00eda pr\u00e1ctica de migraci\u00f3n para equipos listos para eliminar sus secretos de larga duraci\u00f3n.<\/p>\n Antes de profundizar en la soluci\u00f3n, vale la pena entender exactamente por qu\u00e9 las credenciales de larga duraci\u00f3n son tan peligrosas en contextos de CI\/CD espec\u00edficamente \u2014 no solo en general.<\/p>\n Una clave de acceso de AWS IAM, una vez creada, es v\u00e1lida para siempre a menos que se revoque expl\u00edcitamente. Una clave JSON de cuenta de servicio de GCP no tiene fecha de expiraci\u00f3n. Un PAT de GitHub puede configurarse para no expirar nunca. En la pr\u00e1ctica, la mayor\u00eda de los equipos crean estas credenciales una vez durante la configuraci\u00f3n inicial y nunca las vuelven a tocar. La edad media de un secreto de CI\/CD en la mayor\u00eda de las organizaciones se mide en a\u00f1os.<\/p>\n Esto significa que incluso si una credencial se filtr\u00f3 hace seis meses, sigue siendo v\u00e1lida hoy. Los atacantes lo saben y escanean rutinariamente repositorios p\u00fablicos, im\u00e1genes Docker y logs de CI en busca de credenciales que pueden haberse expuesto en cualquier momento de la historia.<\/p>\n Las credenciales de CI\/CD tienden a tener privilegios excesivos porque necesitan realizar tareas diversas: construir contenedores, hacer push a registros, desplegar infraestructura, ejecutar migraciones de bases de datos, invalidar cach\u00e9s. En lugar de crear credenciales con alcance limitado para cada tarea, los equipos t\u00edpicamente crean una credencial poderosa y la reutilizan en todas partes. Una sola clave filtrada puede otorgar acceso a bases de datos de producci\u00f3n, infraestructura en la nube y pipelines de despliegue simult\u00e1neamente.<\/p>\n Cuando la misma clave de cuenta de servicio se usa en 50 repositorios, 200 pipelines y tres entornos, se vuelve casi imposible responder preguntas b\u00e1sicas de seguridad:<\/p>\n Las credenciales de larga duraci\u00f3n no proporcionan informaci\u00f3n contextual sobre qui\u00e9n<\/em> o qu\u00e9<\/em> las est\u00e1 usando. Cada uso se ve id\u00e9ntico en los logs de auditor\u00eda.<\/p>\n Las plataformas CI como GitHub Actions, GitLab CI y Jenkins almacenan secretos en sus propias b\u00f3vedas. Estos son objetivos valiosos. Una sola brecha en el almac\u00e9n de secretos de la plataforma CI expone cada credencial de cada proyecto. La brecha de CircleCI en enero de 2023 es un ejemplo de libro de texto: los atacantes comprometieron los sistemas internos de CircleCI y exfiltraron los secretos de los clientes, obligando a cada cliente de CircleCI a rotar cada secreto almacenado en la plataforma.<\/p>\n El patr\u00f3n se repite en toda la industria:<\/p>\n En cada caso, la causa ra\u00edz fue la misma: credenciales de larga duraci\u00f3n almacenadas en entornos CI proporcionaron acceso persistente y con privilegios excesivos que los atacantes pudieron explotar mucho despu\u00e9s del compromiso inicial.<\/p>\n Workload Identity Federation reemplaza las credenciales est\u00e1ticas con un flujo de autenticaci\u00f3n din\u00e1mico basado en tokens, construido sobre OpenID Connect (OIDC). As\u00ed es como funciona a nivel de protocolo.<\/p>\n El flujo de autenticaci\u00f3n involucra tres partes: la plataforma CI (proveedor de identidad), el proveedor de nube (parte confiante) y la ejecuci\u00f3n del pipeline (workload).<\/p>\n El contenido completo de este art\u00edculo contin\u00faa con secciones detalladas sobre la relaci\u00f3n de confianza, el alcance basado en claims, la configuraci\u00f3n de OIDC Federation en GitHub Actions y GitLab CI con AWS, GCP y Azure, patrones avanzados incluyendo encadenamiento de OIDC con Vault, identidades por entorno, Kubernetes Workload Identity, patrones de acceso entre cuentas, combinaci\u00f3n con Terraform, consideraciones de seguridad, y una gu\u00eda completa de migraci\u00f3n desde credenciales de larga duraci\u00f3n a credenciales de corta duraci\u00f3n.<\/p>\n Workload Identity Federation es el cambio de mayor impacto que la mayor\u00eda de los equipos pueden hacer en su postura de seguridad CI\/CD. Elimina el vector de ataque m\u00e1s com\u00fan \u2014 las credenciales de larga duraci\u00f3n \u2014 y lo reemplaza con un sistema que es m\u00e1s seguro por defecto: de corta duraci\u00f3n, con alcance autom\u00e1tico, auditable y resistente al movimiento lateral.<\/p>\n El camino de migraci\u00f3n es directo. Comience con un pipeline y un proveedor de nube. Configure la relaci\u00f3n de confianza OIDC, actualice el workflow para usar autenticaci\u00f3n federada, valide que funciona y pase al siguiente pipeline. En unas pocas semanas, puede eliminar cada credencial de nube de larga duraci\u00f3n de su plataforma CI\/CD.<\/p>\n No hay raz\u00f3n para mantener credenciales de larga duraci\u00f3n en sus pipelines CI\/CD. El riesgo es alto, el costo de migraci\u00f3n es bajo y la mejora de seguridad es inmediata. Comience hoy.<\/p>\n","protected":false},"excerpt":{"rendered":" Introducci\u00f3n Si audita los almacenes de secretos de la mayor\u00eda de las plataformas CI\/CD hoy en d\u00eda, encontrar\u00e1 un cementerio de credenciales de larga duraci\u00f3n: claves de acceso de AWS creadas hace a\u00f1os, claves JSON de cuentas de servicio de GCP compartidas entre docenas de pipelines, Personal Access Tokens de GitHub con alcances amplios y … Leer m\u00e1s<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[55,58],"tags":[],"post_folder":[],"class_list":["post-623","post","type-post","status-publish","format-standard","hentry","category-ci-cd-security","category-pipeline-hardening"],"_links":{"self":[{"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/posts\/623","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/comments?post=623"}],"version-history":[{"count":1,"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/posts\/623\/revisions"}],"predecessor-version":[{"id":624,"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/posts\/623\/revisions\/624"}],"wp:attachment":[{"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/media?parent=623"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/categories?post=623"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/tags?post=623"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/post_folder?post=623"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}El Problema con las Credenciales de Larga Duraci\u00f3n<\/h2>\n
Sin Expiraci\u00f3n ni Rotaci\u00f3n Autom\u00e1tica<\/h3>\n
Amplio Radio de Impacto<\/h3>\n
Dif\u00edcil de Auditar<\/h3>\n
\n
Almacenadas en los Almacenes de Secretos de la Plataforma CI<\/h3>\n
Brechas en el Mundo Real<\/h3>\n
\n
C\u00f3mo Funciona Workload Identity Federation<\/h2>\n
El Flujo OIDC<\/h3>\n
\n
Conclusi\u00f3n<\/h2>\n