{"id":660,"date":"2026-04-23T22:21:35","date_gmt":"2026-04-23T22:21:35","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/23\/las-consecuencias-del-ataque-a-vercel-se-expanden-a-mas-clientes-y-sistemas-de-terceros\/"},"modified":"2026-04-23T22:21:35","modified_gmt":"2026-04-23T22:21:35","slug":"las-consecuencias-del-ataque-a-vercel-se-expanden-a-mas-clientes-y-sistemas-de-terceros","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/23\/las-consecuencias-del-ataque-a-vercel-se-expanden-a-mas-clientes-y-sistemas-de-terceros\/","title":{"rendered":"Las consecuencias del ataque a Vercel se expanden a m\u00e1s clientes y sistemas de terceros"},"content":{"rendered":"
\n

Vercel dijo que las consecuencias de un ataque a sus sistemas internos afectaron a m\u00e1s clientes de los que se conoc\u00eda anteriormente, como lo descubri\u00f3 el an\u00e1lisis en curso. evidencia adicional de compromiso<\/a>. <\/p>\n

La compa\u00f1\u00eda, que fabrica herramientas y aloja infraestructura en la nube para desarrolladores, mantiene que una \u00abpeque\u00f1a cantidad\u00bb de cuentas se vieron afectadas, pero a\u00fan no ha compartido una cantidad o variedad de incidentes conocidos relacionados con el ataque. Vercel cre\u00f3 y mantiene Next.js, una plataforma que admite agentes de IA que se descarga m\u00e1s de 9 millones de veces por semana, y otros proyectos populares de c\u00f3digo abierto. <\/p>\n

El director ejecutivo de Vercel, Guillermo Rauch, dijo que la empresa y sus socios analizaron casi un petabyte de registros en la red y API de Vercel, y descubrieron que la actividad maliciosa dirigida a la empresa y sus clientes se extiende m\u00e1s all\u00e1 de un ataque inicial que se origin\u00f3 en Context.ai. <\/p>\n

\u00abLa informaci\u00f3n sobre amenazas apunta a la distribuci\u00f3n de malware a las computadoras en busca de tokens valiosos como claves de cuentas de Vercel y otros proveedores\u00bb, dijo Rauch en un publicar en X<\/a>. <\/p>\n

\u00abUna vez que el atacante obtiene esas claves, nuestros registros muestran un patr\u00f3n repetido: uso r\u00e1pido y completo de API, con un enfoque en la enumeraci\u00f3n de variables de entorno no sensibles\u00bb, agreg\u00f3.<\/p>\n

El ataque ejemplifica el riesgo generalizado y agravado que plantean los sistemas interconectados que dependen de tokens OAuth, relaciones confiables y permisos excesivamente privilegiados que vinculan m\u00faltiples servicios.<\/p>\n

\u00abLa verdadera vulnerabilidad era la confianza, no la tecnolog\u00eda\u00bb, dijo a CyberScoop Munish Walther-Puri, jefe de infraestructura digital cr\u00edtica de TPO Group. \u00abOAuth convirti\u00f3 una aplicaci\u00f3n de productividad en una puerta trasera. Cada herramienta de inteligencia artificial que un empleado conecta a su cuenta de trabajo es ahora una posible superficie de ataque\u00bb.<\/p>\n

Un atacante atraves\u00f3 los sistemas internos de Vercel para robar y descifrar datos de clientes, incluidas las variables de entorno que almacenaba, lo que plantea un riesgo posterior significativo. <\/p>\n

La empresa insiste en que la infracci\u00f3n se origin\u00f3 en Context.ai, una herramienta de inteligencia artificial de terceros utilizada por uno de sus empleados. Los investigadores de Hudson Rock dijeron anteriormente que las semillas de ese ataque se plantaron en febrero cuando la computadora de un empleado de Context.ai fue atacada. infectado con el malware Lumma Stealer<\/a> despu\u00e9s de buscar exploits en juegos Roblox, un vector com\u00fan para implementaciones de robo de informaci\u00f3n. <\/p>\n

Vercel no ha especificado los sistemas ni los datos de los clientes comprometidos, ni ha descrito la amenaza erradicada o contenida. La compa\u00f1\u00eda dijo que no encontr\u00f3 evidencia de manipulaci\u00f3n en los paquetes de software que publica y concluy\u00f3 que \u00abcreemos que la cadena de suministro permanece segura\u00bb. <\/p>\n

La compa\u00f1\u00eda aliment\u00f3 a\u00fan m\u00e1s la intriga en su bolet\u00edn de seguridad actualizado, se\u00f1alando que tambi\u00e9n identific\u00f3 una \u201cpeque\u00f1a cantidad de clientes\u201d separada que se vio comprometida en ataques no relacionados con la violaci\u00f3n de sus sistemas. <\/p>\n

\u00abEstos compromisos no parecen haberse originado en los sistemas Vercel\u00bb, dijo la compa\u00f1\u00eda. \u00abEsta actividad no parece ser una continuaci\u00f3n o expansi\u00f3n del incidente de abril, ni parece ser evidencia de un incidente de seguridad anterior de Vercel\u00bb.<\/p>\n

No est\u00e1 claro c\u00f3mo Vercel se dio cuenta de esos ataques y por qu\u00e9 los revela p\u00fablicamente. <\/p>\n

Vercel se neg\u00f3 a responder preguntas y Mandiant, que est\u00e1 a cargo de la respuesta a incidentes y una investigaci\u00f3n sobre el ataque, remiti\u00f3 las preguntas a Vercel. <\/p>\n

Vercel no ha atribuido la infracci\u00f3n a ning\u00fan grupo de amenazas nombrado ni ha descrito los objetivos de los atacantes. <\/p>\n

Una persona en l\u00ednea que se identifica como ShinyHunters asumi\u00f3 la responsabilidad del ataque y est\u00e1 intentando vender los datos robados, que, seg\u00fan afirman, incluyen claves de acceso, c\u00f3digo fuente y bases de datos. Austin Larsen, analista principal de amenazas de Google Threat Intelligence Group, dijo que el atacante es \u00abprobablemente un impostor<\/a>\u201d, pero enfatiz\u00f3 que el riesgo de exposici\u00f3n es real.<\/p>\n

Walther-Puri advirti\u00f3 que el radio de explosi\u00f3n posterior del ataque a sus sistemas sigue sin estar definido. \u00abLas claves API robadas y los fragmentos de c\u00f3digo fuente de vistas internas son potencialmente claves para los entornos de producci\u00f3n de los clientes\u00bb, dijo.<\/p>\n

Los atacantes de datos robados afirman tener \u00absuena casi aburrido… pero es inteligencia de infraestructura\u00bb, a\u00f1adi\u00f3 Walther-Puri. \u00abLa variable de entorno adecuada no s\u00f3lo desbloquea un sistema, sino que permite a los adversarios convertirse en ese sistema, silenciosamente, desde adentro\u00bb.<\/p>\n