Brecha en Vercel expone datos de clientes tras hackeo a Context AI

Vercel, un proveedor de infraestructura web, ha revelado que sufrió una brecha de seguridad. Un atacante logró acceder sin autorización a sistemas internos de Vercel. El problema se originó por el hackeo de Context AI, una herramienta de inteligencia artificial (IA) que uno de sus empleados usaba.

Cómo ocurrió el ataque

El atacante tomó el control de la cuenta de Google Workspace del empleado en Vercel. Esto le permitió entrar a ciertos entornos de Vercel y a variables de entorno que no estaban marcadas como "sensibles". Vercel asegura que las variables marcadas como "sensibles" están encriptadas, lo que impide su lectura. Hasta el momento, no hay evidencia de que el atacante haya accedido a esos valores protegidos.

La empresa describe al atacante como "sofisticado", basándose en la rapidez con la que actuó y su conocimiento detallado de los sistemas de Vercel. Vercel está trabajando con Mandiant (una empresa de ciberseguridad propiedad de Google) y otras empresas del sector para investigar a fondo el incidente. También han notificado a las autoridades y están colaborando con Context AI para entender el alcance total de la brecha.

Hudson Rock descubrió que un empleado de Context.ai fue infectado con Lumma Stealer (un tipo de malware que roba contraseñas e información sensible) en febrero de 2026. Esto pudo haber sido el origen del ataque a la cadena de suministro.

Entre las credenciales robadas había información de Google Workspace, claves y accesos para Supabase, Datadog y Authkit. También se encontró la cuenta "support@context.ai", que probablemente permitió al atacante escalar privilegios, evitar controles de seguridad y entrar en la infraestructura de Vercel.

A quién afecta

Vercel informa que las credenciales de un número "limitado" de clientes se vieron comprometidas. La empresa se está comunicando directamente con ellos para pedirles que cambien sus contraseñas de inmediato.

Se sigue investigando qué datos fueron extraídos y Vercel contactará a los clientes si se descubre más evidencia de que su información fue comprometida.

Qué puedes hacer para protegerte

Vercel recomienda a los administradores de Google Workspace y a los dueños de cuentas de Google que revisen si tienen instalada esta aplicación OAuth sospechosa: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com

Además, aconsejan seguir estas recomendaciones:

• Revisar los registros de actividad en busca de comportamientos extraños.
• Cambiar las variables de entorno que contengan secretos y no estén marcadas como sensibles.
• Usar variables de entorno sensibles para proteger los secretos.
• Revisar los despliegues recientes en busca de cosas inesperadas o sospechosas.
• Asegurarse de que la Protección de Despliegue esté configurada en "Estándar" como mínimo.
• Cambiar los tokens de Protección de Despliegue, si los tienes configurados.

Qué significa esto para ti

Este incidente nos recuerda la importancia de la seguridad en la cadena de suministro y la necesidad de proteger adecuadamente las credenciales y los datos sensibles. Tanto usuarios como empresas deben revisar sus configuraciones de seguridad, seguir las recomendaciones de Vercel y estar atentos a posibles actividades sospechosas en sus cuentas y sistemas.