## Vercel confirma incidente de seguridad vinculado a compromiso de herramienta de IA El domingo, **Vercel** reconoció una brecha de seguridad, advirtiendo a un "subconjunto limitado de clientes" que sus credenciales habían sido comprometidas. La empresa insta a los clientes afectados a rotar sus credenciales de inmediato y está investigando activamente el alcance completo del incidente para determinar si hay más clientes afectados. La brecha se rastreó hasta un compromiso de **Context.ai**, una herramienta de IA de terceros utilizada por un empleado de **Vercel**. Según **Vercel**, el atacante aprovechó este acceso para obtener el control de la cuenta de **Vercel Google Workspace** del empleado, lo que les permitió acceder a ciertos entornos y variables de entorno de **Vercel** que no estaban designados como 'sensibles'. No se cree que las variables de entorno sensibles, que se almacenan de manera que impida la lectura no autorizada, hayan sido accedidas. Se ha contratado a **Mandiant** para ayudar en la investigación y se ha notificado a las fuerzas del orden. **Vercel** describe al atacante como "altamente sofisticado" debido a su velocidad operativa y profundo conocimiento de los sistemas de **Vercel**. **Vercel** ha advertido que simplemente eliminar proyectos o cuentas es insuficiente para mitigar el riesgo potencial para los clientes. Los secretos comprometidos aún pueden otorgar acceso a los sistemas de producción, lo que enfatiza la necesidad de rotar las credenciales antes de eliminar cualquier proyecto o cuenta. ## Incidente de marzo de Context.ai y compromiso de token OAuth **Context.ai** emitió su propia declaración, explicando que su herramienta está diseñada para ayudar a los usuarios a crear presentaciones y hojas de cálculo utilizando agentes de IA. Una característica clave es una extensión del navegador que permite al agente de IA realizar acciones en aplicaciones externas. En marzo, **Context.ai** detectó y detuvo un ciberataque que implicaba acceso no autorizado a su entorno de **AWS**. Se contrató a **CrowdStrike** para investigar el ataque y se notificó a un cliente potencialmente afectado. Una investigación posterior, impulsada por información de **Vercel**, reveló que los tokens OAuth para algunos usuarios consumidores también probablemente fueron comprometidos durante el incidente de marzo. El actor no autorizado parece haber utilizado un token OAuth comprometido para acceder a **Google Workspace** de **Vercel**. **Context.ai** señaló que las configuraciones de autorización interna de **Vercel** parecen haber permitido que la cuenta del empleado comprometida otorgara amplios permisos dentro de **Google Workspace** empresarial de **Vercel**. ## Sospecha de infección por infostealer Múltiples firmas de investigación de ciberseguridad han relacionado las brechas con una infección por infostealer que se remonta al 17 de febrero, supuestamente involucrando el dispositivo de un empleado de **Context.ai**. **Hudson Rock** informó que los registros indican que el empleado estaba buscando exploits de juegos de **Roblox**, que a menudo se incluyen con malware e infostealers. ## Impacto potencial y mitigación Randolph Barr, CISO de **Cequence Security**, destacó la importante presencia de **Vercel** en la comunidad de desarrolladores, particularmente para aplicaciones web modernas. La principal preocupación es la exposición de variables de entorno y tokens, que pueden conducir a un mayor acceso no autorizado si los equipos no aseguran sus sistemas de inmediato. Los atacantes supuestamente pertenecen a **ShinyHunters**, una organización criminal conocida con un historial de ataques de alto perfil. El grupo se atribuyó la responsabilidad de la brecha de **Vercel** en sus canales de comunicación y exigió un rescate de $2 millones. El CEO de **Vercel, Guillermo Rauch**, cree que las acciones de los atacantes fueron "significativamente aceleradas por la IA" debido a su rápido ritmo y profundo conocimiento de **Vercel**. Instó a todos los clientes a rotar sus credenciales y monitorear el acceso a sus entornos de **Vercel** y servicios vinculados. <a href="https://www.recordedfuture.com/?utm_source=therecord&amp;utm_medium=ad"><figure><img src="https://cms.therecord.media/uploads/2025_0514_Record_Ads_970x250_1_d144dbf901.png" data-nimg="1" decoding="async" height="500" width="1000" alt="Recorded Future"></figure></a>