**Vercel** anunció el miércoles que su investigación sobre el reciente incidente de seguridad ha revelado un impacto más amplio de lo evaluado inicialmente. La compañía descubrió un nuevo conjunto de cuentas de clientes comprometidas a través de acceso no autorizado a sus sistemas internos. ### Ampliando la Investigación El descubrimiento se realizó después de que Vercel ampliara su investigación incluyendo indicadores de compromiso adicionales y revisando las solicitudes a la red de Vercel, así como eventos de lectura de variables de entorno dentro de sus registros. "En segundo lugar, hemos descubierto un pequeño número de cuentas de clientes con evidencia de compromiso previo que es independiente de este incidente y anterior a él, potencialmente como resultado de ingeniería social, malware u otros métodos", declaró la compañía en una actualización. **Vercel** ha notificado a las partes afectadas, pero no ha revelado el número exacto de clientes impactados. ### La Conexión con Context.ai Este desarrollo sigue al reconocimiento inicial de que la brecha se originó a partir de un compromiso de **Context.ai**. El uso de Context.ai por parte de un empleado de Vercel llevó a que el atacante obtuviera el control de su cuenta de Google Workspace. "Desde allí, pudieron pivotar hacia un entorno de Vercel y, posteriormente, maniobrar a través de los sistemas para enumerar y descifrar variables de entorno no sensibles", explicó Vercel. ### Lumma Stealer y el Paciente Cero Investigaciones adicionales por parte de **Hudson Rock** sugieren que un empleado de **Context.ai** fue infectado con **Lumma Stealer** en febrero de 2026. Esta infección ocurrió después de que el empleado buscara scripts de auto-farm de **Roblox** y ejecutores de exploits de juegos, marcando potencialmente este evento como el "paciente cero" en la cadena de ataque. **Guillermo Rauch**, CEO de Vercel, declaró en una publicación en X: "Ahora entendemos que el actor de amenazas ha estado activo más allá del compromiso de esa startup [refiriéndose a Context.ai]. La inteligencia de amenazas apunta a la distribución de malware a computadoras en busca de tokens valiosos como claves para cuentas de Vercel y otros proveedores." ### Shadow AI y Riesgos de OAuth El incidente plantea interrogantes sobre si el uso de la Suite de Oficina de Context AI por parte de los empleados de Vercel fue sancionado o un caso de shadow AI. Shadow AI se refiere al uso no autorizado de herramientas de IA dentro de aplicaciones SaaS sin una revisión formal de TI, exponiendo a las organizaciones a riesgos imprevistos. **Context.ai** ha descontinuado desde entonces la Suite de Oficina de IA. **Tanium** señaló los riesgos inherentes de las integraciones OAuth: "Las integraciones OAuth son útiles porque reducen la fricción. También son peligrosas porque pueden heredar la confianza del usuario y de la organización. Cuando los atacantes abusan de una integración aprobada, pueden evitar algunos de los controles en los que los equipos confían para el compromiso directo de cuentas." ### Implicaciones para los Defensores El incidente resalta la necesidad de capacidades de detección y respuesta rápidas. Según Tanium, "Lo que destaca operativamente es menos el volumen de datos expuestos y más la velocidad de los atacantes y su capacidad para enumerar entornos internos antes de la detección. Eso cambia el trabajo para los defensores. El desafío se desplaza de la prevención a la delimitación rápida y la reducción del radio de explosión."