Vercel ha confirmado un acceso no autorizado que afectó a un subconjunto limitado de clientes, iniciado tras el compromiso de la cuenta de Google Workspace de un empleado. El atacante pudo acceder a entornos y a variables de entorno de clientes que no estaban marcadas como sensibles, lo que eleva el riesgo de exposición de secretos mal clasificados. La compañía recomienda auditar, reclasificar y rotar credenciales potencialmente expuestas, y revisar el ecosistema OAuth en la organización.
Los incidentes en plataformas de despliegue y hosting suelen tener un impacto desproporcionado porque concentran, en un mismo punto, configuraciones, integraciones y credenciales operativas. En este caso, Vercel ha confirmado un incidente de seguridad derivado del compromiso de una cuenta corporativa, con efectos acotados a un subconjunto limitado de clientes, pero con un aprendizaje claro: el riesgo no solo está en la filtración directa de secretos, sino en cómo se catalogan y gobiernan.
La cadena de ataque comenzó con el compromiso de la cuenta de Google Workspace de un empleado. La intrusión se vinculó a una aplicación OAuth relacionada con un proveedor externo, Context.ai, y desde ahí el atacante consiguió ampliar el acceso hacia determinados sistemas internos. Ese punto de entrada es relevante porque el consentimiento OAuth, cuando se concede con ámbitos amplios o desde cuentas con privilegios, puede convertirse en una vía silenciosa para persistir y moverse lateralmente sin necesidad de robar una contraseña tradicional.
El acceso permitió consultar entornos de Vercel y enumerar variables de entorno de clientes que no estaban marcadas como sensitive. Vercel ha indicado que no hay indicios de acceso a variables marcadas como sensibles, que se almacenan cifradas de forma que impide su lectura directa. El problema, sin embargo, es que las variables catalogadas como no sensibles no estaban cifradas en reposo, y su enumeración facilitó ampliar el alcance, además de abrir la puerta a que secretos mal ubicados, por ejemplo tokens, claves API o credenciales de terceros, quedaran expuestos si alguien los guardó en variables no clasificadas correctamente.
En paralelo, un actor ha afirmado estar vendiendo datos y accesos supuestamente obtenidos, con menciones a claves de acceso, código fuente y datos de bases de datos, aunque esas afirmaciones no estaban verificadas de forma independiente. En cualquier caso, el enfoque defensivo recomendado no cambia: hay que actuar como si cualquier secreto que hubiese podido residir en variables no sensibles fuese reutilizable por un adversario.
La compañía también ha señalado que Next.js, Turbopack y otros proyectos open source no se han visto comprometidos, y que está trabajando con Google Mandiant y otras firmas de respuesta a incidentes, además de haber notificado a las fuerzas de seguridad. A nivel de producto, ha incorporado cambios en el panel para mejorar la gestión, incluyendo una vista general de environment variables y mejoras para tratar variables sensibles.
Para las organizaciones usuarias, las prioridades pasan por revisar el inventario completo de variables en Vercel, localizar cualquier dato sensible almacenado como no sensible y marcarlo como sensitive para asegurar el cifrado en reposo. Después, conviene rotar de inmediato secretos y credenciales que hayan podido estar en ese grupo, incluyendo tokens de proveedores, claves API y credenciales de acceso a servicios externos, y revisar despliegues recientes por si hubiera cambios inesperados en proyectos, builds o configuración. También es recomendable validar que Deployment Protection está habilitado con un estándar mínimo y rotar los tokens asociados si hay posibilidad de exposición.
En el plano de identidad, es clave auditar actividad en Google Workspace y en Vercel para identificar accesos anómalos, y comprobar si está presente la aplicación OAuth con ID 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com, revocándola si no es necesaria. Como medida estructural, ayuda implantar políticas de control de acceso a aplicaciones en Google Workspace para bloquear por defecto el consentimiento a nuevas apps y exigir un circuito de aprobación. Complementariamente, el OAuth token audit log permite rastrear aplicación, usuario y ámbitos concedidos, lo que facilita detección y respuesta.
Otra mejora práctica es configurar alertas ante autorizaciones iniciales de apps nuevas que pidan ámbitos raros o de alto riesgo, por ejemplo acceso amplio a Gmail, Drive o Chat, y separar cuentas administrativas de las de trabajo diario. Para roles privilegiados, conviene exigir MFA resistente al phishing y limitar al máximo quién puede conceder consentimientos con impacto en todo el dominio. En integraciones legítimas, la minimización de ámbitos, la revisión periódica y, cuando sea posible, el uso de service accounts con permisos mínimos reducen el impacto potencial si un proveedor o una app acaba comprometida.
Más información
- BleepingComputer – Vercel confirms breach as hackers claim to be selling stolen data : https://www.bleepingcomputer.com/news/security/vercel-confirms-breach-as-hackers-claim-to-be-selling-stolen-data/
- Vercel – Security that scales with you. : https://vercel.com/security
- The Hacker News – Operation PowerOFF Seizes 53 DDoS Domains, Exposes 3 Million Criminal Accounts : https://thehackernews.com/
- The Hacker News – Vercel Breach Tied to Context AI Hack Exposes Limited Customer Credentials : https://thehackernews.com/2026/04/vercel-breach-tied-to-context-ai-hack.html
- Red Canary – Breaking down a supply chain attack leveraging a malicious Google Workspace OAuth app : https://redcanary.com/blog/threat-detection/google-workspace-oauth-attack/
- Okta Security – Controlling Cross-App Data Sprawl in Google Workspace : https://sec.okta.com/articles/controllingoauthsprawl/
- Google Workspace Blog – Take charge of your OAuth ecosystem with these best practices : https://workspace.google.com/blog/identity-and-security/take-charge-your-oauth-ecosystem-these-best-practices
- Vercel Knowledge Base – Vercel April 2026 security incident : https://vercel.com/kb/bulletin/vercel-april-2026-security-incident
Deja una respuesta