Cambiar contraseñas, revisar registros y realizar una auditoría urgente: esto es lo que debes hacer ahora mismo si despliegas con Verce
La confianza en una herramienta externa desencadenó la catástrofe.
Abril terminó para la empresa estadounidense Vercel con un incidente desagradable que pronto trascendió el ámbito de un problema interno. Los atacantes obtuvieron acceso no autorizado a parte de los sistemas y, con ello, a algunos datos de clientes.
Vercel es una plataforma en la nube estadounidense para el desarrollo y el alojamiento de aplicaciones web. Equipos que crean sitios e interfaces con Next.js y otros frameworks de JavaScript usan frecuentemente el servicio, y la empresa ofrece herramientas para compilar, desplegar y almacenar la configuración de los proyectos.
Entre los clientes de Vercel están tanto estudios pequeños como grandes empresas tecnológicas, por lo que cualquier incidente en la infraestructura de la plataforma se hace pronto visible para el mercado. Tras el ataque, el servicio sigue funcionando, pero el episodio ya ha hecho que muchos reconsideren la forma de almacenar secretos y proteger cuentas corporativas.
Vercel declaró que el ataque afectó a un grupo limitado de clientes. Se trata de variables de entorno no secretas, que se almacenaban en la plataforma en un formato que permitía leerlas tras su descifrado. La empresa ya se puso en contacto con los usuarios afectados y les recomendó cambiar con urgencia todas las credenciales relacionadas.
Según Vercel, el punto de partida fue la brecha en Context.ai —una herramienta de IA de terceros que usaba un empleado de la empresa. Mediante el acceso al servicio, los atacantes interceptaron la cuenta de Google Workspace perteneciente al empleado de Vercel, y luego se infiltraron en parte de los entornos corporativos y obtuvieron acceso a variables de entorno no marcadas como «sensitive».
La compañía subraya por separado que las variables con la etiqueta «sensitive» se almacenan de forma que no pueden leerse en texto claro. No hay indicios de acceso a esos valores por ahora. La investigación continúa y Vercel aún está verificando qué datos podrían haberse exfiltrado. Si surgen nuevas confirmaciones de compromiso, la empresa prometió notificar directamente a los clientes.
Al equipo de investigación ya se han unido especialistas de Mandiant, otros equipos especializados y autoridades. En Vercel creen que los atacantes eran bien organizados y se movían con rapidez dentro de la infraestructura interna de la empresa.
En respuesta al incidente, Vercel publicó un conjunto de recomendaciones. La compañía aconseja, en primer lugar, cambiar todas las variables de entorno que no estén marcadas como «sensitive», incluidas las claves API, los tokens, las credenciales de acceso a bases de datos y las claves de firma.
Eliminar proyectos o la cuenta no resuelve el problema, porque los secretos comprometidos pueden seguir dando acceso a los sistemas de trabajo. Además, Vercel recomienda activar la autenticación de dos factores, revisar los registros de actividad, ver los últimos despliegues y actualizar los tokens de Deployment Protection.
La empresa publicó además un indicador de compromiso para una verificación más amplia. Se trata de una aplicación OAuth de Google Workspace que, según Vercel, pudo haber afectado a cientos de usuarios en distintas organizaciones a través de una brecha más amplia en el servicio de IA de terceros.