SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

19 abr 2026

Segu-Info » , , » Brecha de seguridad en Vercel (CAMBIA las variables y API)

Brecha de seguridad en Vercel (CAMBIA las variables y API)

19 abr 2026, 9:33:00 p.m.   Comenta primero!
  , ,  

La plataforma de desarrollo en la nube Vercel ha revelado un incidente de seguridad luego de que ciberdelincuentes afirmaran haber vulnerado sus sistemas e intentaran vender los datos robados.

Vercel ha confirmado la brecha de seguridad mientras actores de amenazas afirman estar vendiendo datos robados. En un boletín de seguridad, la compañía indicó que un subconjunto limitado de clientes se vio afectado por una brecha de seguridad.

Vercel es una plataforma en la nube que proporciona infraestructura de alojamiento e implementación para desarrolladores, con un fuerte enfoque en frameworks de JavaScript. La compañía es conocida por desarrollar Next.js, un framework de React ampliamente utilizado, y por ofrecer servicios como funciones sin servidor, computación perimetral y pipelines de CI/CD que permiten a los desarrolladores crear, previsualizar e implementar aplicaciones.

"Hemos identificado un incidente de seguridad que implicó el acceso no autorizado a ciertos sistemas internos de Vercel", advierte Vercel. "Estamos investigando activamente y hemos contratado a expertos en respuesta a incidentes para que nos ayuden en la investigación y la remediación. Hemos notificado a las autoridades y actualizaremos esta página a medida que avance la investigación".

La empresa afirma que sus servicios no se han visto afectados y que está trabajando con los clientes afectados. Vercel indica que está tomando medidas para proteger a sus clientes, aconsejándoles que revisen las variables de entorno, utilicen su función de variables de entorno sensibles y roten las claves secretas si es necesario.

Mientras tanto, en un conocido foro se ofrecen los supuestos datos robados por 2 millones de dólares, incluyendo claves API, código fuente y cuentas de empleados. Tras la publicación de esta noticia, Vercel actualizó su aviso para indicar que la brecha se originó por la vulneración de la aplicación OAuth de Google Workspace de una herramienta de IA de terceros.

Vercel recomienda a los administradores de Google Workspace y a los propietarios de cuentas de Google que revisen la siguiente aplicación: 

Aplicación OAuth: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com

Mediante una serie de maniobras que se iniciaron desde la cuenta de Google Workspace de Vercel comprometida de un empleado, el atacante obtuvo acceso a los entornos de Vercel. Posteriormente, Guillermo Rauch, CEO de Vercel, compartió detalles adicionales sobre X, indicando que el acceso inicial se produjo después de que la cuenta de Google Workspace de un empleado de Vercel se viera comprometida mediante una brecha en la plataforma de IA Context.ai.

Según Rauch, el atacante escaló el acceso desde la cuenta comprometida a los entornos de Vercel, donde pudo acceder a variables de entorno que no estaban marcadas como sensibles y, por lo tanto, no estaban cifradas en reposo. Si bien estaban destinadas a contener información no sensible, el atacante obtuvo acceso adicional tras enumerar estas variables.

"Vercel almacena todas las variables de entorno de los clientes completamente cifradas en reposo. Contamos con numerosos mecanismos de defensa en profundidad para proteger los sistemas centrales y los datos de los clientes", afirmó Rauch. "Sin embargo, tenemos la capacidad de designar las variables de entorno como 'no sensibles'. Desafortunadamente, el atacante obtuvo acceso adicional mediante su enumeración". La investigación de la compañía ha confirmado que Next.js, Turbopack y sus demás proyectos de código abierto siguen siendo seguros.

Por su parte, Context.ai informó que alertó de inmediato a todos los clientes afectados y les proporcionó los pasos necesarios a seguir. No reveló cuántos clientes se vieron afectados por la brecha de seguridad. En un informe publicado hoy, Hudson Rock reveló que un empleado de Context.ai fue víctima de Lumma Stealer en febrero de 2026, lo que plantea la posibilidad de que la infección haya desencadenado la escalada de la cadena de suministro. Las credenciales corporativas robadas durante el ataque incluían credenciales de Google Workspace, junto con claves y accesos para Supabase, Datadog y Authkit.

Entre los registros robados también se encontraba la cuenta "[email protected]", lo que probablemente permitió al atacante escalar privilegios, eludir los controles de seguridad y acceder con éxito a la infraestructura de Vercel. Se estima que el usuario es un miembro clave del equipo "context-inc" de Vercel.

"Los registros indican que el usuario buscaba y descargaba activamente exploits para juegos, específicamente scripts y ejecutores de 'auto-farming' para Roblox. Este tipo de descargas maliciosas son vectores conocidos para la implementación de Lumma Stealer.", declaró la empresa.

Vercel también ha implementado actualizaciones en su panel de control, incluyendo una página de resumen de variables de entorno y una interfaz mejorada para gestionar variables de entorno sensibles.

Se recomienda encarecidamente a los clientes que revisen las variables de entorno en busca de información sensible y que activen la función de variables sensibles para garantizar su cifrado en reposo.

Recomendaciones

La investigación continúa pero, mientras tanto, estas son las mejores prácticas que puede seguir para su tranquilidad:

  • Revise el registro de actividad de su cuenta y entornos en busca de actividad sospechosa. Puede revisar los registros de actividad en el panel de control o mediante CLI.
  • Revise y rote las variables de entorno. Las variables de entorno marcadas como "confidenciales" en Vercel se almacenan de forma que se impide su lectura, y actualmente no tenemos evidencia de que se haya accedido a esos valores. Sin embargo, si alguna de sus variables de entorno contiene secretos (claves API, tokens, credenciales de base de datos, claves de firma) que no se marcaron como confidenciales, esos valores deben tratarse como potencialmente expuestos y rotarse con prioridad.
  • Aproveche la función de variables de entorno confidenciales en el futuro para proteger los valores secretos de futuras lecturas.
  • Investigue las implementaciones recientes en busca de implementaciones inesperadas o sospechosas. En caso de duda, elimine las implementaciones en cuestión.
  • Asegúrese de que la Protección de Implementación esté configurada como mínimo en Estándar.
  • Rote sus tokens de Protección de Implementación, si los tiene configurados.

Para obtener ayuda para rotar sus secretos o para cualquier otro tipo de asistencia técnica, póngase en contacto vercel.com/help.

Fuente: BC



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!