Secretos en el código (hardcoded).

Incrustar credenciales, claves API, tokens o material criptográfico directamente en el código, ficheros de configuración o imágenes de contenedor, donde se descubren y abusan con facilidad. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.

Incrustar credenciales, claves API, tokens o material criptográfico directamente en el código, ficheros de configuración o imágenes de contenedor, donde se descubren y abusan con facilidad.

Los secretos en el código son uno de los errores más frecuentes y dañinos del desarrollo moderno. Acaban en el historial de Git, capas de contenedor, apps móviles, logs de CI y repositorios públicos, donde bots los detectan en minutos. Casos reales incluyen claves AWS subidas a GitHub, tokens de Slack en bundles cliente o contraseñas de base de datos cocidas en imágenes Docker. Las mitigaciones combinan prevención (formación, hooks pre-commit, plugins de IDE, patrones .gitignore), detección (secret scanning en repos y CI: GitHub secret scanning, Gitleaks, TruffleHog) y gestión centralizada (HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, GCP Secret Manager, External Secrets en Kubernetes). Cuando se detecta una fuga, los secretos deben rotarse de inmediato, no sólo borrarse del historial.

Las defensas contra Secretos en el código (hardcoded) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

Nombres alternativos comunes: Credenciales hardcodeadas, Fuga de secretos en código.