El director ejecutivo de Vercel, Guillermo Rauch, reveló públicamente en la plataforma X el avance de la investigación, confirmando que la plataforma de IA de terceros Context.ai utilizada por los empleados de Vercel fue comprometida. El atacante obtuvo credenciales de la cuenta de los empleados mediante la integración OAuth de Google Workspace de la plataforma y, además, accedió a parte del entorno interno de Vercel y a variables de entorno no marcadas como “sensibles”.
Cadena de ataque: de la intrusión OAuth de herramientas de IA a la infiltración gradual del entorno de Vercel
Según la investigación de Vercel, la ruta de ataque se divide en tres etapas de aumento progresivo. En primer lugar, la aplicación OAuth de Google Workspace de Context.ai, que anteriormente había sido comprometida en un ataque de cadena de suministro a mayor escala, pudo haber afectado a cientos de usuarios de múltiples organizaciones. En segundo lugar, el atacante, al comprometerse mediante Context.ai, controló las cuentas de Google Workspace de los empleados de Vercel y usó sus credenciales para acceder a los sistemas internos de Vercel. Su tercera, el atacante, mediante un método de enumeración, utilizó variables de entorno no marcadas como “sensibles” para obtener permisos de acceso adicionales.
Rauch señaló en el anuncio que la velocidad de las acciones del atacante era “increíble”, que el conocimiento sobre los sistemas de Vercel era “muy profundo”, y que su evaluación indicaba que es muy probable que se haya utilizado un impulso sustancial a la eficiencia del ataque con ayuda de herramientas de IA.
Límite de seguridad entre variables de entorno “sensibles” y “no sensibles”
Este incidente revela detalles clave sobre el mecanismo de seguridad de las variables de entorno de Vercel: las variables de entorno marcadas como “sensibles” se almacenan de manera que se impide la lectura; la investigación actual no ha encontrado evidencia de que estos valores hayan sido accedidos. Lo que fue utilizado por el atacante fueron variables de entorno no marcadas como “sensibles”; mediante un método de enumeración, el atacante logró obtener permisos de acceso adicionales.
Vercel ha añadido una página de descripción general de variables de entorno y una interfaz de gestión de variables de entorno sensibles mejorada, para ayudar a los clientes a identificar y proteger con mayor claridad valores de configuración de alto riesgo.
Respuesta de emergencia de Vercel y lista oficial de acciones recomendadas
Vercel ha contratado a Google Mandiant, otras empresas de ciberseguridad y ha notificado a las autoridades encargadas de hacer cumplir la ley para que intervengan. Next.js, Turbopack y los proyectos de código abierto de Vercel han sido confirmados como seguros mediante análisis de cadena de suministro; los servicios de la plataforma actualmente operan con normalidad.
Acciones de seguridad recomendadas por el oficial para los clientes
Revisar los registros de actividad: revisar los registros de actividad de la cuenta y del entorno, e identificar actividades sospechosas
Rotar variables de entorno: todas las variables de entorno que contengan información confidencial (claves de API, tokens, credenciales de base de datos, claves de firma) pero que no estén marcadas como sensibles deben considerarse potencialmente filtradas y priorizarse para la rotación
Habilitar la función de variables de entorno sensibles: asegurarse de que todos los valores de configuración confidenciales estén correctamente marcados como “sensibles”
Revisar despliegues recientes: investigar despliegues anómalos y eliminar versiones sospechosas
Configurar protección del despliegue: asegurarse de que al menos se configure en el nivel “estándar” y rotar los tokens de protección del despliegue
Preguntas frecuentes
¿Qué es Context.ai y cómo se convirtió en la puerta de entrada de este ataque?
Context.ai es una pequeña herramienta de IA de terceros que utiliza la integración OAuth de Google Workspace, y que los empleados de Vercel usan para su trabajo diario. La investigación muestra que la aplicación OAuth de esta herramienta fue comprometida previamente en ataques de cadena de suministro más amplios, lo que podría haber afectado a cientos de usuarios de múltiples organizaciones; las credenciales de las cuentas de los empleados de Vercel fueron obtenidas por el atacante durante ese proceso.
¿Las variables de entorno marcadas por Vercel como “sensibles” se vieron afectadas?
Por el momento, la investigación no ha encontrado evidencia de que se haya accedido a variables de entorno marcadas como “sensibles”. Este tipo de variables se almacena con un método especial para evitar la lectura. Los atacantes utilizaron variables de entorno no marcadas como “sensibles”; mediante un método de enumeración, el atacante logró obtener permisos de acceso adicionales desde ellas.
¿Cómo puede un cliente de Vercel confirmar si está afectado?
Si no recibió un contacto directo de Vercel, Vercel indica que por el momento no hay razones para creer que las credenciales o los datos personales de los clientes relevantes hayan sido filtrados. Se recomienda que todos los clientes revisen proactivamente los registros de actividad, roten las variables de entorno no marcadas como sensibles y habiliten correctamente la función de variables de entorno sensibles. Si necesita apoyo técnico, puede contactar a Vercel a través de vercel.com/help.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
Los usuarios activos mensuales de OpenAI Codex alcanzan 4 millones en menos de dos semanas
OpenAI Codex alcanza 4 millones de MAUs, anunciado por Sottiaux y Altman; el salto se produjo en menos de dos semanas desde 3 millones, y los límites de velocidad se restablecieron en todos los niveles para celebrarlo.
OpenAI Codex llegó a 4 millones de usuarios activos mensuales en menos de dos semanas desde que alcanzó los 3 millones, según declaraciones de ejecutivos de OpenAI. Para conmemorar el hito, los límites de velocidad en todos los niveles se restablecieron.
GateNewsHace44m
Dos startups de IA sudafricanas seleccionadas para la clase 10 de Google for Startups Accelerator Africa
Dos startups sudafricanas, Loop y Vambo AI, se unen a la 10.ª cohorte de Google Accelerator Africa desde 2.600 aplicaciones; Loop mejora la movilidad/pagos, Vambo AI habilita IA multilingüe; el programa se ejecuta de abril a junio de 2026 con mentores y talleres de IA.
Resumen: Dos startups sudafricanas, Loop y Vambo AI, han sido seleccionadas para la 10.ª cohorte del Google for Startups Accelerator Africa, elegidas de unas 2.600 solicitudes y una de las 15 participantes africanas. Loop digitaliza la movilidad y los pagos, mientras que Vambo AI ofrece una infraestructura de IA multilingüe para traducción, voz y IA generativa en lenguas africanas. El programa de 2026 se ejecuta del 13 de abril al 19 de junio y ofrece mentoría y talleres prácticos centrados en IA/ML. Desde 2018, el acelerador ha apoyado a 106 startups de 17 países africanos, ayudándolas a recaudar más de $263 millones y a crear más de 2.800 empleos.
GateNewshace1h
La lista de Forbes AI 50 incluye 20 empresas nuevas; OpenAI y Anthropic capturan el 80% de la financiación total
Mensaje de Gate News, 21 de abril — Forbes publicó su lista de IA 50, edición vigésima octava de 2026, que incluye 20 empresas recién incorporadas. OpenAI y Anthropic continúan liderando el ranking, atrayendo capital sustancial de destacados capitalistas de riesgo de Silicon Valley y grandes empresas tecnológicas. La financiación combinada para todas las empresas de la lista
GateNewshace2h
Zi变量 presenta el modelo de IA encarnada WALL-B; los robots llegarán a hogares reales en 35 días
Mensaje de Gate News, 21 de abril — Zibianliang (自变量), una empresa china de robótica, celebró una conferencia de prensa el 21 de abril para presentar su próximo modelo base de IA encarnada de nueva generación, WALL-B. La compañía anunció que los robots impulsados por WALL-B entrarán en hogares reales en 35 días.
Según el cofundador de Zibianliang
GateNewshace2h
OpenAI Prepara la Función de Agentes para ChatGPT, Con Nombre en Clave Hermes
Mensaje de Gate News, 21 de abril — OpenAI está preparando una nueva función de Agentes para ChatGPT, con nombre en clave "Hermes," según Tibor Blaho, que supervisa las actualizaciones de productos de IA. La función incluye un nuevo generador de agentes llamado "studio" que permite a los usuarios crear agentes a partir de plantillas, programar ejecuciones, y
GateNewshace3h
SpaceX inicia la gira de OPI con reuniones con analistas en Starbase y Memphis
Mensaje de Gate News, 21 de abril: SpaceX ha comenzado esta semana su gira previa a la OPI, organizando reuniones privadas para los principales analistas de Wall Street de los sectores aeroespacial y tecnológico en Texas y Tennessee mientras avanza hacia un debut en bolsa a finales de junio. La empresa apunta a una recaudación de $75 mil millones, con
GateNewshace3h
