SAN FRANCISCO – Vercel, el gigante del alojamiento web y la infraestructura detrás del popular marco de trabajo Next.js, ha confirmado este fin de semana un grave incidente de seguridad que resultó en el acceso no autorizado a sus sistemas internos y el robo de datos de un grupo limitado de clientes.
El ataque, que pone de relieve los riesgos de la cadena de suministro en la era de la inteligencia artificial, no se originó en una vulnerabilidad de la plataforma de Vercel, sino a través de un compromiso en Context.ai, una herramienta de IA externa utilizada por uno de sus empleados.
El origen: El eslabón más débil fue una conexión OAuthSegún el boletín oficial de seguridad emitido por Vercel, el atacante logró comprometer la plataforma de Context.ai. Una vez dentro de esa herramienta, aprovechó la integración de OAuth para saltar a la cuenta de Google Workspace de un empleado de Vercel.
Desde esa posición privilegiada, el actor malicioso pudo escalar su acceso hacia los entornos internos de Vercel. El informe detalla que los atacantes lograron leer variables de entorno que no habían sido marcadas como "sensibles" por los usuarios. Aunque las variables protegidas por el sistema de cifrado de Vercel parecen haber quedado a salvo, la exposición de claves API y tokens "no sensibles" representa un riesgo significativo para las aplicaciones afectadas.
ShinyHunters y la venta de datos en la Dark WebMientras Vercel trabajaba con expertos en respuesta a incidentes de la firma Mandiant, un actor de amenazas vinculado al grupo ShinyHunters reclamó la autoría del ataque en foros de hacking. Los atacantes aseguran poseer más de 580 registros de empleados (incluyendo nombres, correos y estados de cuenta) y han puesto a la venta un paquete de datos por un valor de 2 millones de dólares.
Como prueba de la intrusión, los hackers compartieron capturas de pantalla de un panel de control interno de la empresa, lo que ha generado una ola de preocupación entre los desarrolladores que confían en Vercel para alojar aplicaciones críticas.
Reacciones y medidas de urgenciaEl CEO de Vercel, Guillermo Rauch, confirmó que la empresa está notificando directamente a todos los clientes cuyos credenciales o datos pudieron verse comprometidos. "Estamos investigando activamente y hemos involucrado a expertos en ciberseguridad y a las fuerzas del orden", declaró Rauch.
Entre las recomendaciones inmediatas para los usuarios de Vercel se incluyen:
Rotar todas las claves API y secretos que se encuentren en sus proyectos.
Revisar la configuración de variables de entorno, asegurándose de que toda información crítica esté marcada explícitamente como "sensible".
Auditar los registros de acceso en busca de actividad inusual originada desde las plataformas de Vercel hacia sus propias bases de datos o servicios externos.
Este incidente subraya una tendencia alarmante en 2026: el uso de herramientas de IA "pequeñas" o de terceros como puertas traseras hacia grandes infraestructuras tecnológicas. Expertos en seguridad señalan que la facilidad con la que los empleados conectan herramientas de productividad mediante OAuth crea una superficie de ataque que muchas empresas aún no han aprendido a gestionar adecuadamente.
Vercel ha asegurado que sus servicios principales permanecen operativos y que el despliegue de infraestructura no se vio afectado directamente, pero el daño a la confianza en la seguridad de los flujos de trabajo basados en la nube podría tardar más en sanar.
*** Última actualización: 20 de abril de 2026, 18:45 CEST.