Incidente de Vercel: Análisis de vulnerabilidad en la cadena de suministro SaaS

El panorama de la ciberseguridad en 2026 ha alcanzado un punto de inflexión crítico. Ya no basta con fortificar el perímetro o implementar autenticación de múltiples factores (MFA) si las llaves maestras de la infraestructura están alojadas en la “nube de un tercero”. El reciente incidente de Vercel, revelado plenamente a través de informes forenses el 21 de abril de 2026, ha dejado al descubierto una vulnerabilidad sistémica en la cadena de suministro de SaaS que muchas empresas consideraban mitigada: el secuestro de tokens OAuth.

Anatomía de una catástrofe: El incidente de Vercel y la caída de los tokens

Lo que inicialmente parecía un ataque directo a la infraestructura de una de las plataformas de despliegue más grandes del mundo, resultó ser una operación quirúrgica de SaaS-to-SaaS hijacking. El incidente de Vercel no fue provocado por una vulnerabilidad de “día cero” en su código ni por un servidor mal configurado. El vector de entrada fue un pequeño pero potente eslabón en su ecosistema de herramientas internas: una aplicación de inteligencia artificial de terceros llamada Context AI.

A diferencia de los ataques tradicionales que buscan descifrar contraseñas, los actores de amenazas (presuntamente vinculados al grupo ShinyHunters) explotaron la confianza intrínseca que los sistemas modernos depositan en los tokens de acceso persistentes. Este evento ha encendido las alarmas en Silicon Valley, demostrando que un solo descuido en una integración de terceros puede comprometer miles de proyectos de clientes de alto perfil.

De un exploit de Roblox a una brecha de 2 millones de dólares

La cronología del ataque, reconstruida por firmas forenses como Hudson Rock y Mandiant, revela una cadena de eventos casi surrealista que comenzó meses antes de la detección oficial el 19 de abril de 2026. La infiltración se originó a través de un empleado de Context AI que, en febrero de 2026, descargó inadvertidamente scripts de “trampas” para el videojuego Roblox en su estación de trabajo corporativa.

Dichos scripts contenían una variante avanzada del malware Lumma Stealer. Este tipo de infostealer está diseñado específicamente para extraer:

• Credenciales guardadas en el navegador.
• Cookies de sesión activas.
• Tokens OAuth almacenados en bases de datos locales y entornos de desarrollo.

Una vez que los atacantes obtuvieron acceso al entorno de AWS de Context AI, procedieron a recolectar tokens OAuth de sus usuarios. Entre esos tokens se encontraba el de un empleado de Vercel que utilizaba la suite de “AI Office” de Context para analizar documentos internos. Este token otorgaba “acceso permanente” (standing access) a la cuenta corporativa de Google Workspace del empleado, permitiendo a los atacantes saltarse por completo cualquier desafío de MFA.

El fallo técnico: ¿Por qué falló la autenticación 2FA?

Uno de los puntos más alarmantes del incidente de Vercel es la ineficacia del segundo factor de autenticación frente al secuestro de tokens. En el modelo OAuth 2.0, una vez que una aplicación ha sido autorizada, recibe un “Access Token” y, a menudo, un “Refresh Token”.

Los sistemas de identidad tratan estos tokens como credenciales ya verificadas. Cuando el atacante presentó el token robado de la cuenta de Google del empleado de Vercel, los servidores de Google y Vercel asumieron que la identidad ya había sido validada mediante MFA en el momento de la emisión inicial del token. No hubo una nueva solicitud de código ni de biometría. Este “bypass” permitió a los atacantes:

1. Tomar control total del correo electrónico y documentos del empleado.
2. Pivotar hacia los entornos internos de Vercel utilizando la identidad corporativa comprometida.
3. Acceder a herramientas de administración internas que no requerían re-autenticación para usuarios ya logueados en el Workspace.

Movimiento lateral y exfiltración de variables de entorno

Una vez dentro de la red interna de Vercel, los atacantes demostraron una velocidad operativa inusual, lo que llevó al CEO Guillermo Rauch a sugerir que el ataque fue acelerado mediante herramientas de Inteligencia Artificial agentica. Los intrusos se enfocaron en la enumeración de variables de entorno (env vars) de los clientes.

Vercel emplea un sistema de protección dual para estos secretos:

• Variables Sensibles: Están encriptadas en reposo y requieren privilegios de alto nivel para ser visualizadas. Según los informes, estas permanecieron seguras.
• Variables No Sensibles: Datos que los desarrolladores a menudo marcan como públicos o de configuración general, pero que frecuentemente contienen, por error humano, llaves de API, tokens de npm o secretos de bases de datos de desarrollo.

Los atacantes lograron exfiltrar una vasta base de datos de estas variables no sensibles de un subconjunto limitado de clientes, además de código fuente propietario de Vercel y registros de 580 empleados. El botín fue puesto a la venta en BreachForums por la suma de 2 millones de dólares, incluyendo promesas de acceso a tokens de GitHub y despliegues de infraestructura crítica.

Lecciones críticas para el ecosistema SaaS

El incidente de Vercel marca el fin de la era de la “confianza implícita” en las aplicaciones de terceros. La comunidad de ciberseguridad está utilizando este caso de estudio para impulsar cambios estructurales en cómo se gestionan las identidades no humanas.

1. El peligro del “Standing Access”

El empleado de Vercel había otorgado permisos de “Permitir todo” a Context AI. En un entorno de Privilegio Mínimo (Least Privilege), las integraciones de terceros nunca deberían tener acceso persistente a toda la suite de Workspace. Las empresas deben implementar políticas de “Just-in-Time” (JIT) para los tokens de terceros, donde el acceso se revoca automáticamente después de un periodo de inactividad.

2. Transición a Tokens de Sesión de Corta Duración

El uso de tokens de acceso con una vida útil de días o semanas es una receta para el desastre. Expertos recomiendan que las plataformas SaaS exijan la rotación obligatoria de tokens cada pocas horas y vinculen la validez del token a la dirección IP o al dispositivo específico (Device Bound Session Tokens).

3. Clasificación Rigurosa de Secretos

El hecho de que el atacante pudiera leer variables “no sensibles” subraya que los desarrolladores no siempre son los mejores jueces de qué es crítico. Tras el incidente, Vercel ha anunciado que todas las variables de entorno se marcarán como sensibles por defecto, obligando a una acción consciente para hacerlas legibles.

Respuesta de Vercel y medidas de mitigación

Tras la detección de la brecha el 19 de abril, Vercel activó un protocolo de respuesta de emergencia que incluyó la colaboración con Mandiant y Google Threat Intelligence. Las acciones inmediatas para los usuarios afectados han sido:

• Rotación forzada de todas las llaves de API y secretos de despliegue.
• Auditoría de las aplicaciones OAuth conectadas a nivel organizacional.
• Revisión de los registros de actividad para detectar patrones de acceso inusuales desde IPs desconocidas.

Vercel también ha publicado el Client ID de Google OAuth comprometido (110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com) para que otros administradores de Workspace puedan bloquearlo preventivamente.

Conclusión: El nuevo perímetro es la identidad

El incidente de Vercel de abril de 2026 será recordado como el momento en que la industria comprendió que el “Shadow IT” no se trata solo de usar software no autorizado, sino de las conexiones invisibles de datos que ese software crea. En un mundo donde las herramientas de IA prometen productividad inmediata a cambio de acceso total a nuestros datos, el riesgo de una caída dominó en la cadena de suministro es más alto que nunca.

La seguridad de una plataforma ya no se mide solo por la solidez de sus propios muros, sino por la higiene de seguridad de cada herramienta secundaria que sus empleados conectan con un solo clic. Para los CISOs, la prioridad ahora es clara: visibilidad total sobre las relaciones OAuth y una desconfianza sistemática hacia cualquier token que pretenda vivir para siempre.