Vercel, una plataforma de alojamiento de aplicaciones web utilizada por gigantes como Netflix, Notion, Paypal, entre otras, confirmó que sufrió un hackeo que comprometió datos internos y credenciales de clientes. Los atacantes ya están vendiendo esa información en foros de cibercrimen.
El origen del ataque no estuvo en Vercel directamente, sino en Context AI. Esta última es una empresa que desarrolla herramientas de evaluación y analítica para modelos de inteligencia artificial. Un empleado de Vercel descargó una app de Context AI y la conectó a su cuenta corporativa de Google.
Los atacantes usaron esa conexión, a través del protocolo OAuth, para tomar control de la cuenta Google del empleado y desde ahí acceder a sistemas internos de Vercel, incluyendo credenciales que no estaban cifradas.
Qué se robaron y quién lo está vendiendo
Un usuario en un foro de cibercrimen, que afirma representar al grupo ShinyHunters, está ofreciendo en venta API keys de clientes, código fuente y datos de bases de datos robados de Vercel.
ShinyHunters es un grupo con historial de ataques a empresas de infraestructura en la nube. Aunque el propio grupo le dijo al medio especializado Bleeping Computer que no está involucrado en este incidente.
Vercel aclaró que las variables de entorno clasificadas como “sensibles” en su plataforma están almacenadas de una manera que su lectura es limitada y que por ahora no hay evidencia de que esos valores hayan sido vulnerados. Las credenciales que no tenían esa protección activada sí quedaron expuestas.
Vercel confirmó que sus proyectos de código abierto Next.js y Turbopack no fueron afectados, lo que habría significado un riesgo más grave aún, pues servicios son ampliamente utilizados por desarrolladores web en todo el mundo.
Un ataque en cadena que puede ir mucho más lejos
Vercel calificó el ataque como “altamente sofisticado” por su velocidad operacional y su conocimiento detallado de los sistemas internos de la empresa. Para la investigación, la compañía activó a Mandiant, otras firmas de ciberseguridad y autoridades.
El incidente podría no limitarse a Vercel. La app de Context AI comprometida, también es usada por cientos de usuarios en muchas otras organizaciones. Esto abre la posibilidad de brechas en cadena a lo largo de la industria tecnológica.
Context AI, por su parte, confirmó en su sitio web que en marzo ya había detectado una brecha en su app de consumo, pero solo había notificado a un cliente. Tras conocer el caso de Vercel, reconoce que el alcance del incidente probablemente es mayor de lo que creía inicialmente.
Qué deben hacer los desarrolladores que usan Vercel
El CEO de Vercel, Guillermo Rauch, publicó en X recomendando a los clientes rotar todas las keys y credenciales en sus despliegues que estén marcadas como “no sensibles”.
La compañía recomienda revisar los registros de actividad de cada cuenta, inspeccionar despliegues recientes en busca de actividad sospechosa, y activar de ahora en adelante la función de variables de entorno sensibles para proteger secretos de acceso futuro.
Si usas Vercel y no has recibido un aviso directo, posiblemente tuviste suerte. Esto indica que no hay evidencia de que tus datos hayan sido comprometidos. Sin embargo, la recomendación de rotar credenciales aplica de todas formas como medida preventiva.
Artículo coescrito con Juan Pablo Aguirre Osorio
Imagen: Foto de Towfiqu barbhuiya en Unsplash
