GitGuardian ha publicado una nueva edición de su informe State of Secrets Sprawl, en la que analiza cómo la adopción masiva de la inteligencia artificial está cambiando el desarrollo de software… y, con ello, ampliando también la superficie de riesgo.
El estudio pone cifras a una tendencia que ya venía creciendo, pero que en 2025 se acelera de forma clara: más código generado, más credenciales en circulación y, en consecuencia, más exposición.
El año pasado marcó un punto de inflexión. El uso de herramientas de desarrollo asistidas por IA impulsó un crecimiento del 43% en los commits públicos, el doble que en ejercicios anteriores. Este aumento ha ido acompañado de un incremento significativo en la exposición de credenciales: en total, se detectaron cerca de 29 millones en repositorios públicos, un 34% más que el año anterior. Además, el número de secretos expuestos crece más rápido que la propia base de desarrolladores, lo que evidencia un problema estructural que va más allá del volumen de código generado.
La IA introduce nuevos vectores de riesgo
Uno de los puntos clave del informe es el papel de la IA en este escenario. El uso de asistentes de desarrollo no solo acelera la creación de software, sino que también introduce nuevas vulnerabilidades si no se acompaña de buenas prácticas de seguridad.
Por ejemplo, los commits realizados con herramientas como Claude Code presentan tasas de filtración de credenciales superiores a la media (3,2% frente al 1,5%). En muchos casos, el origen no está tanto en la tecnología como en el factor humano: desarrolladores con menos experiencia o que ignoran las advertencias de seguridad.
A esto se suma el crecimiento de las filtraciones asociadas directamente a servicios de IA, que aumentaron un 81% interanual, así como nuevos riesgos derivados de configuraciones inseguras en entornos como MCP.
El informe también refleja cómo el problema ya no se limita al código. Las credenciales se filtran en múltiples entornos, desde repositorios internos —que tienen seis veces más probabilidades de contener secretos expuestos— hasta herramientas de colaboración, responsables de cerca del 28% de los incidentes.
En paralelo, los equipos de desarrollo se convierten en un elemento crítico del perímetro. Los agentes de IA, al necesitar acceso a sistemas, archivos o credenciales locales, amplían los riesgos asociados a los entornos de trabajo de los desarrolladores.
Problemas conocidos que siguen sin resolverse
Más allá de la irrupción de la IA, GitGuardian subraya que el sector sigue arrastrando carencias estructurales. Las credenciales de larga duración continúan siendo habituales y están detrás de cerca del 60% de los incidentes. Además, casi la mitad de las credenciales críticas no pueden validarse automáticamente, lo que dificulta su priorización.
Pero el dato más revelador es otro: el 64% de las credenciales válidas detectadas en 2022 siguen activas en 2026. Esto apunta a fallos en los procesos de remediación y en la capacidad de las organizaciones para revocar accesos comprometidos de forma sistemática.
En este contexto, GitGuardian insiste en la necesidad de tratar las identidades no humanas —claves, tokens, cuentas de servicio— como activos críticos dentro de la estrategia de seguridad.
La combinación de mayor automatización, uso intensivo de IA y entornos distribuidos obliga a evolucionar los modelos de gestión, incorporando visibilidad, gobierno y respuesta automatizada más allá del propio código.
Porque, como refleja el informe, el problema ya no es solo cuántas credenciales existen, sino dónde están, quién las usa y durante cuánto tiempo siguen activas sin control.
