Las consecuencias del ataque a Vercel se extienden a más clientes y sistemas de terceros.

**Vercel y el Impacto de un Ciberataque en sus Sistemas Internos: Un Análisis Exhaustivo**

En un mundo cada vez más interconectado, la seguridad cibernética se ha convertido en un aspecto fundamental para las empresas de tecnología, especialmente aquellas que operan en la nube. Recientemente, Vercel, una empresa que proporciona herramientas y servicios de infraestructura en la nube para desarrolladores, ha revelado que las consecuencias de un ataque a sus sistemas internos han afectado a más clientes de lo que se conocía inicialmente. Esta situación no solo pone en riesgo a los usuarios de Vercel, sino que también plantea preocupaciones más amplias sobre la seguridad de las plataformas que utilizan OAuth y la confianza entre servicios interconectados.

El director ejecutivo de Vercel, Guillermo Rauch, indicó que, tras un análisis exhaustivo, la compañía y sus socios han revisado casi un petabyte de registros a lo largo de la red y API de Vercel. Este análisis ha revelado que la actividad maliciosa dirigida a la empresa y sus clientes va más allá del ataque inicial que se originó en Context.ai, un servicio de inteligencia artificial que utilizó uno de sus empleados. Aunque Vercel ha afirmado que un “número reducido” de cuentas se vieron comprometidas, no ha proporcionado cifras exactas ni un rango de incidentes asociados al ataque.

La complejidad técnica del ataque radica en la utilización de malware que busca obtener tokens valiosos, como claves de acceso a cuentas de Vercel y otros proveedores. Rauch señaló en un post en X que, una vez que los atacantes obtienen estas claves, los registros muestran un patrón repetido: un uso rápido y exhaustivo de la API, con un enfoque en la enumeración de variables de entorno no sensibles. Este tipo de comportamiento destaca la vulnerabilidad inherente que presentan los sistemas interconectados.

Munish Walther-Puri, responsable de infraestructura digital crítica en TPO Group, subrayó que la verdadera vulnerabilidad en este caso fue la confianza, más que la tecnología en sí. “OAuth convirtió una aplicación de productividad en una puerta trasera. Cada herramienta de inteligencia artificial a la que un empleado conecta su cuenta de trabajo se convierte ahora en una superficie de ataque potencial”, explicó Walther-Puri. Esto evidencia cómo el uso generalizado de sistemas de autenticación puede abrir brechas críticas en la seguridad.

El ataque permitió que un intruso accediera a los sistemas internos de Vercel para robar y descifrar datos de clientes, incluyendo variables de entorno almacenadas, lo que representa un riesgo significativo para la infraestructura de sus usuarios. La compañía ha sostenido que la brecha se originó en Context.ai, cuyo empleado tuvo su computadora infectada por el malware Lumma Stealer tras buscar exploits de juegos de Roblox, un vector común para la implementación de infostealers.

Hasta el momento, Vercel no ha especificado qué sistemas y datos de clientes fueron comprometidos, ni ha proporcionado detalles sobre la amenaza que se ha erradicado o contenido. La empresa ha indicado que no ha encontrado evidencia de manipulación en los paquetes de software que publica, lo que les lleva a concluir que “creemos que la cadena de suministro sigue siendo segura”.

En un comunicado de seguridad actualizado, Vercel también señaló que identificó un “pequeño número de clientes” que fueron comprometidos en ataques no relacionados con la brecha de sus sistemas. “Estos compromisos no parecen haber tenido su origen en los sistemas de Vercel”, aclaró la compañía. Sin embargo, es incierto cómo Vercel tomó conocimiento de estos ataques y por qué decidió hacerlos públicos.

Vercel no ha atribuido la brecha a ningún grupo de amenazas identificado ni ha descrito los objetivos de los atacantes. Un individuo que opera bajo el seudónimo de ShinyHunters se ha responsabilizado del ataque y está tratando de vender los datos robados, que supuestamente incluyen claves de acceso, código fuente y bases de datos. Austin Larsen, analista principal de amenazas en el Google Threat Intelligence Group, ha señalado que el atacante “probablemente sea un impostor”, pero ha enfatizado que el riesgo de exposición es real.

Walther-Puri advirtió que el impacto potencial del ataque en sus sistemas es aún incierto. “Las claves API robadas y los fragmentos de código fuente desde vistas internas son potencialmente las claves para los entornos de producción de los clientes”, afirmó. Además, los datos robados que los atacantes afirman poseer “pueden sonar casi aburridos… pero son inteligencia de infraestructura”, añadió. “La variable de entorno correcta no solo desbloquea un sistema, sino que permite a los adversarios convertirse en ese sistema, silenciosamente, desde adentro”.

Este incidente con Vercel pone de manifiesto la necesidad urgente de fortalecer las medidas de seguridad en las plataformas que utilizan sistemas de autenticación como OAuth, y recalca la importancia de gestionar adecuadamente la confianza entre servicios interconectados. La comunidad tecnológica debe reflexionar sobre las lecciones aprendidas de este ataque y adoptar prácticas más rigurosas para proteger sus datos y sistemas en un entorno digital cada vez más desafiante.

Vercel said the fallout from an attack on its internal systems hit more customers than previously known, as ongoing analysis uncoveredadditional evidence of compromise. The company, which makes tools and hosts cloud infrastructure for developers, maintains a “small number” of accounts were impacted, but it has yet to share a number or range of known incidents linked to the attack. Vercel created and maintains Next.js, a platform supporting AI agents that’s downloaded more than 9 million times per week, and other popular open-source projects. Vercel CEO Guillermo Rauch said the company and partners have analyzed nearly a petabyte of logs across the Vercel network and API, and learned malicious activity targeting the company and its customers extends beyond an initial attack that originated at Context.ai. “Threat intel points to the distribution of malware to computers in search of valuable tokens like keys to Vercel accounts and other providers,” Rauch said in apost on X. “Once the attacker gets ahold of those keys, our logs show a repeated pattern: rapid and comprehensive API usage, with a focus on enumeration of non-sensitive environment variables,” he added. The attack exemplifies the widespread and compounded risk posed by interconnected systems that rely on OAuth tokens, trusted relationships and overly privileged permissions linking multiple services together. “The real vulnerability was trust, not technology,” Munish Walther-Puri, head of critical digital infrastructure at TPO Group, told CyberScoop. “OAuth turned a productivity app into a backdoor. Every AI tool an employee connects to their work account is now a potential attack surface.” An attackertraversed Vercel’s internal systemsto steal and decrypt customer data, including environment variables it stored, posing significant downstream risk. The company insists the breach originated at Context.ai, a third-party AI tool used by one of its employees. Researchers at Hudson Rock previously said the seeds of that attack were planted in February when a Context.ai employee’s computer wasinfected with Lumma Stealer malwareafter they searched for Roblox game exploits, a common vector for infostealer deployments. Vercel has not specified the systems and customers data compromised, nor has it described the threat eradicated or contained. The company said it’s found no evidence of tampering across the software packages it publishes, concluding “we believe the supply chain remains safe.” The company fueled further intrigue in its updated security bulletin, noting that it also identified a separate “small number of customers” that were compromised in attacks unrelated to the breach of its systems. “These compromises do not appear to have originated on Vercel systems,” the company said. “This activity does not appear to be a continuation or expansion of the April incident, nor does it appear to be evidence of an earlier Vercel security incident.” It’s unclear how Vercel became aware of those attacks and why it’s disclosing them publicly. Vercel declined to answer questions, and Mandiant, which is running incident response and an investigation into the attack, referred questions back to Vercel. Vercel has not attributed the breach to any named threat group or described the attackers’ objectives. An online persona identifying themselves as ShinyHunters took responsibility for the attack and is attempting to sell the stolen data, which they claim includes access keys, source code and databases. Austin Larsen, principal threat analyst at Google Threat Intelligence Group, said the attacker is “likely an imposter,” but emphasized the risk of exposure is real. Walther-Puri warned that the downstream blast radius from the attack on its systems remains undefined. “Stolen API keys and source code snippets from internal views are potentially keys to customer production environments,” he said. The stolen data attackers claim to have “sounds almost boring … but it’s infrastructure intelligence,” Walther-Puri added. “The right environment variable doesn’t just unlock a system — it lets adversaries become that system, silently, from the inside.” The postVercel attack fallout expands to more customers and third-party systemsappeared first onCyberScoop.