Vercel, una de las mayores plataformas de desarrollo que aloja y distribuye aplicaciones web, ha admitido que se produjo un acceso no autorizado a una parte de sus sistemas internos. La empresa ha afectó a un subconjunto limitado de clientes . El atacante intentó poner a la venta algunos datos a través de una cuenta que afirmaba tener vínculos con ShinyHunters. Las muestras que han salido a la luz incluyen nombres de empleados, direcciones de correo electrónico y marcas de tiempo de actividad.
El boletín de seguridad de Vercel indica que el ataque no se originó directamente en una vulnerabilidad de su propia infraestructura, sino en una pequeña herramienta de IA de terceros cuya aplicación OAuth de Google Workspace fue comprometida . La empresa no revela aquí el nombre de la herramienta, pero comparte con la comunidad un IOC (indicador de compromiso) y pide a los administradores que comprueben inmediatamente la aplicación OAuth en cuestión. Este punto es importante, ya que el incidente no parece limitarse a una sola empresa. Vercel señala que la misma aplicación tiene cientos de usuarios y que podría haber afectado a otras organizaciones.
Por este motivo, las primeras recomendaciones de la empresa son bastante claras. Los equipos que utilizan cuentas de administrador deben revisar los registros de actividad, investigar los accesos sospechosos y, en particular, reevaluar las variables de entorno . Vercel afirma que almacena las variables marcadas como «sensibles» de forma que no se puedan leer y que, por el momento, no ha visto pruebas de que se haya accedido a estos valores. Sin embargo, las es difícil mantener la misma tranquilidad en cuanto a las claves API, los tokens, las credenciales de bases de datos y las claves de firma . Por ello, la empresa recomienda que se cambien de forma prioritaria.
El riesgo de la cadena de suministro vuelve a estar en primer plano
A decir verdad, este incidente vuelve a poner de relieve uno de los eslabones más débiles del mundo del software empresarial en 2026. Ahora, en lugar de atacar directamente al objetivo principal, los atacantes se dirigen a los servicios SaaS, las conexiones OAuth y las herramientas de inteligencia artificial en las que confía dicho objetivo. En el caso de Rockstar Games, del que informó recientemente Reuters, el nombre de ShinyHunters también se mencionó en relación con una cadena de servicios de terceros. Este panorama demuestra que los vínculos entre las herramientas de desarrollo y la gestión de identidades corporativas ya no son solo una cuestión de eficiencia, sino que se han convertido directamente en una cuestión de seguridad.
Por parte de Vercel, vemos que los servicios siguen funcionando, pero esta aclaración no reduce el riesgo. En particular, los equipos que gestionan entornos de producción en Vercel deben revisar sin demora los secretos almacenados en la configuración de los proyectos, los permisos de integración y las aplicaciones OAuth en Google Workspace. En realidad, la noticia aquí es mucho más importante que una simple filtración de datos. La rápida incorporación de las herramientas de inteligencia artificial a los flujos de trabajo obliga a los equipos de seguridad a supervisar con la misma seriedad no solo las cuentas de los empleados, sino también todas las herramientas a las que estos se conectan.