Guía para «autohackearse»: deja la carpeta «.git» en la parte pública de tu sitio web
Esa generosidad atrae a los hackers, especialmente si implica acceso a datos confidenciales.
Casi cinco millones de servidores web en todo el mundo resultaron configurados incorrectamente y exponen datos de servicio de Git, lo que crea riesgo de filtración del código fuente y de credenciales. A esa conclusión llegó el equipo del servicio Mysterium VPN tras un escaneo a gran escala de la infraestructura de red en 2026. El problema está relacionado con que los directorios ocultos de los repositorios terminan en la parte pública de los sitios y quedan accesibles para cualquiera.
Git sigue siendo la herramienta de control de versiones más utilizada, creada por Linus Torvalds, y se emplea en la mayoría de los proyectos de desarrollo. Dentro de cada repositorio se guarda el directorio .git con el historial de cambios, las configuraciones y archivos técnicos. Si el sitio se despliega incorrectamente, esta carpeta puede quedar de acceso público. Entonces un tercero puede reconstruir la estructura del proyecto, estudiar la lógica interna de la aplicación y encontrar parámetros secretos.
En el estudio se detectaron 4 964 815 direcciones IP donde los metadatos de Git están accesibles desde el exterior. En 252 733 casos el archivo .git/config contenía datos para la conexión con repositorios remotos y servicios. Esto es alrededor del 5% de todas las configuraciones abiertas encontradas. Esas entradas a menudo contienen inicios de sesión, tokens y contraseñas para procesos automatizados de compilación y publicación de código. Con esa filtración la configuración errónea se convierte en un camino directo para apoderarse del repositorio e introducir cambios maliciosos.
La mayoría de los nodos vulnerables están alojados en Estados Unidos, donde se registraron más de 1,7 millones de direcciones. Le siguen Alemania, Francia, India, Singapur, Países Bajos, Japón, Rusia, Reino Unido y Hong Kong. La distribución refleja la concentración de proveedores de hosting y plataformas en la nube, y no el origen de los propietarios de los sitios.
Un directorio .git expuesto permite solicitar archivos de servicio como HEAD, index y config y, a partir de ellos, reconstruir una copia del proyecto con utilidades de acceso público. Tras eso, los atacantes localizan claves API integradas, direcciones de servicio, rutas administrativas ocultas y módulos desprotegidos. Otro riesgo está asociado al reuso de credenciales. Si hay permisos de escritura es posible sustituir código, modificar lanzamientos y atacar las cadenas de suministro de software.
Los autores del informe señalan que la causa se repite año tras año. A veces los desarrolladores suben al servidor todo el directorio del proyecto junto con las carpetas ocultas. Las herramientas de empaquetado incluyen archivos innecesarios. Los servidores web no siempre bloquean por defecto el acceso a directorios ocultos. Además, la protección puede funcionar solo para el dominio principal, mientras que el acceso directo por IP o por un nombre alternativo queda abierto.
Para reducir el riesgo se recomienda cerrar completamente el acceso a las rutas .git a nivel de servidor y no alojar repositorios en el entorno de producción. En lugar de los directorios de trabajo conviene publicar solo compilaciones listas. Todas las claves y tokens encontrados en las configuraciones deben revocarse y volver a emitirse de inmediato. También ayudan las comprobaciones automáticas para detectar secretos en el código y un almacén centralizado de credenciales.
La investigación muestra que incluso un pequeño porcentaje de filtraciones, a escala de internet, conduce a cientos de miles de accesos comprometidos. Según la estimación del equipo de Mysterium VPN, la automatización de la búsqueda de esos archivos hace que los ataques sean rápidos y baratos, por lo que errores simples de despliegue cada vez más provocan incidentes serios.