Vercel, una de las plataformas más importantes para desplegar aplicaciones web y creadora de tecnologías clave del ecosistema Next.js, confirmó un incidente de seguridad que involucró acceso no autorizado a ciertos sistemas internos. La compañía informó que ya activó su respuesta forense, notificó a las autoridades y mantiene la investigación en curso, mientras sus servicios siguen operativos.
Según la información oficial, el impacto inicial alcanzó a un grupo limitado de clientes cuyos valores de entorno no sensibles, es decir, aquellos que podían descifrarse en texto plano, habrían quedado comprometidos. Vercel contactó directamente a los afectados y recomendó la rotación inmediata de credenciales como medida preventiva.
La compañía explicó que el origen del incidente estuvo relacionado con una herramienta de IA de terceros y con permisos amplios concedidos mediante Google Workspace OAuth. Esa combinación habría permitido a los atacantes tomar control de una cuenta corporativa y acceder a parte del entorno interno. Medios como The Verge y TechCrunch reportaron además que actores maliciosos afirmaron tener datos robados y trataron de venderlos en foros clandestinos, aunque la investigación seguía abierta al momento de la publicación.
Como respuesta, Vercel recomendó a administradores y equipos técnicos revisar los activity logs, auditar despliegues recientes, rotar tokens y variables sensibles, y reforzar la autenticación multifactor. También indicó que, tras revisar su cadena de suministro junto con socios como Microsoft, GitHub, npm y Socket, no encontró evidencia de compromiso en npm packages, Next.js, Turbopack ni otros proyectos open source relacionados.
Este caso deja una lección importante para cualquier empresa que use servicios cloud, integraciones OAuth o herramientas de IA conectadas al correo corporativo: el riesgo ya no está solo en tu infraestructura principal, sino también en cada permiso que otorgas a terceros. Un solo acceso excesivo puede convertirse en la puerta de entrada para un incidente mayor.
.png)
.png)
.png)
.png)
.png)
.png)
