{"id":609,"date":"2026-04-20T21:02:48","date_gmt":"2026-04-20T21:02:48","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/20\/la-brecha-de-seguridad-de-vercel-comenzo-con-malware-disfrazado-de-trampas-de-roblox\/"},"modified":"2026-04-20T21:02:48","modified_gmt":"2026-04-20T21:02:48","slug":"la-brecha-de-seguridad-de-vercel-comenzo-con-malware-disfrazado-de-trampas-de-roblox","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/20\/la-brecha-de-seguridad-de-vercel-comenzo-con-malware-disfrazado-de-trampas-de-roblox\/","title":{"rendered":"La brecha de seguridad de Vercel comenz\u00f3 con malware disfrazado de trampas de Roblox"},"content":{"rendered":"
\n

Los clientes de Vercel corren el riesgo de verse comprometidos despu\u00e9s de que un atacante salt\u00f3 a trav\u00e9s de m\u00faltiples sistemas internos para robar credenciales y otros datos confidenciales, dijo la compa\u00f1\u00eda en un bolet\u00edn de seguridad<\/a> Domingo. <\/p>\n

El ataque, que no se origin\u00f3 en Vercel, muestra los peligros de las aplicaciones en la nube interconectadas y las integraciones SaaS con permisos demasiado privilegiados. <\/p>\n

Un atacante atraves\u00f3 sistemas y conexiones de terceros que los empleados dejaron expuestos antes de atacar a la empresa con sede en San Francisco que cre\u00f3 y mantiene Next.js y otras bibliotecas populares de c\u00f3digo abierto. <\/p>\n

Los investigadores de Hudson Rock dijeron que las semillas del ataque se plantaron en febrero cuando la computadora de un empleado de Context.ai fue infectado con el malware Lumma Stealer<\/a> despu\u00e9s de buscar exploits en juegos Roblox, un vector com\u00fan para implementaciones de robo de informaci\u00f3n.<\/p>\n

Cada una de las empresas atribuye al menos parte de la culpa del ataque al otro proveedor.<\/p>\n

Context.ai dijo el domingo que la violaci\u00f3n permiti\u00f3 al atacante acceder a su entorno AWS y tokens OAuth para algunos usuarios, incluido un token para el espacio de trabajo de Google de un empleado de Vercel<\/a> cuenta. Vercel no es cliente de Context, pero el empleado de Vercel estaba usando Context AI Office Suite y le otorg\u00f3 acceso completo, dijo la compa\u00f1\u00eda de agentes de inteligencia artificial. <\/p>\n

\u00abEl atacante utiliz\u00f3 ese acceso para apoderarse de la cuenta Vercel Google Workspace del empleado, lo que le permiti\u00f3 obtener acceso a algunos entornos y variables de entorno de Vercel que no estaban marcados como confidenciales\u00bb, dijo Vercel en su bolet\u00edn. <\/p>\n

La compa\u00f1\u00eda dijo que un n\u00famero limitado de sus clientes se ven afectados y se les recomend\u00f3 de inmediato que rotaran las credenciales. La compa\u00f1\u00eda, que se neg\u00f3 a responder preguntas, no especific\u00f3 a qu\u00e9 sistemas internos se accedi\u00f3 ni explic\u00f3 completamente c\u00f3mo el atacante obtuvo acceso a las credenciales de los clientes de Vercel. <\/p>\n

El director ejecutivo de Vercel, Guillermo Rauch, dijo que los datos de los clientes almacenados por la empresa est\u00e1n completamente encriptados, pero el atacante obtuvo m\u00e1s acceso mediante enumeraci\u00f3n o contando e inventariando variables espec\u00edficas. <\/p>\n

\u00abCreemos que el grupo atacante es muy sofisticado y, sospecho firmemente, significativamente acelerado por la IA\u00bb, dijo en un publicar en X<\/a>. \u00abSe movieron con una velocidad sorprendente y un conocimiento profundo de Vercel\u00bb.<\/p>\n

Un grupo de amenazas que se identifica como ShinyHunters asumi\u00f3 la responsabilidad del ataque en una publicaci\u00f3n en Telegram y est\u00e1 intentando vender los datos robados, que, seg\u00fan afirman, incluyen claves de acceso, c\u00f3digo fuente y bases de datos.<\/p>\n

El atacante \u00abes probablemente un impostor que intenta utilizar un nombre establecido para inflar su notoriedad\u00bb, escribi\u00f3 Austin Larsen, analista principal de amenazas de Google Threat Intelligence, en un publicaci\u00f3n en LinkedIn<\/a>. \u00abIndependientemente del actor de amenaza involucrado, el riesgo de exposici\u00f3n es real\u00bb.<\/p>\n

Vercel tambi\u00e9n advirti\u00f3 que el ataque a la aplicaci\u00f3n Google Workspace OAuth de Context \u00abfue objeto de un compromiso m\u00e1s amplio, que potencialmente afect\u00f3 a sus cientos de usuarios en muchas organizaciones\u00bb. Public\u00f3 indicadores de compromiso y alent\u00f3 a los clientes a revisar registros de actividad, revisar y rotar variables que contienen secretos.<\/p>\n

Context y Vercel dijeron que sus investigaciones separadas y coordinadas sobre el ataque con la ayuda de CrowdStrike y Mandiant siguen en marcha.<\/p>\n