Vercel y el Caballo de Troya de la IA: OAuth Hijacking
Vercel: El eslabón más débil no siempre es tu propio código
Este fin de semana, el mundo del desarrollo web se llevó un pequeño susto. Vercel, la plataforma en la que confiamos para desplegar aplicaciones a la velocidad del rayo, confirmó un incidente de seguridad. Pero lo más emocionante y preocupante no es el «qué», sino el «cómo».
OAuth Hijacking: El secuestro vía Context.ai
No fue un fallo en los servidores de Vercel ni un firewall mal configurado. El atacante entró por la puerta de «confianza»: una herramienta de IA de terceros llamada Context.ai.
A través de una aplicación maliciosa de Google Workspace, los atacantes lograron secuestrar la sesión de un empleado de Vercel (lo que conocemos como OAuth Hijacking). De ahí, saltaron a los sistemas internos aprovechando los permisos heredados. Aunque se intentaron vender los datos por 2 millones de dólares alegando robo de código fuente, la realidad parece más contenida.
Impacto Real y Estrategia de Mitigación
Vercel afirma que solo se accedió a variables de entorno marcadas como «no sensibles». Los secretos críticos, protegidos bajo capas más estrictas y cifrado en reposo, parecen haber resistido el envite. Sin embargo, la lección para la comunidad es clara:
- El exceso de confianza en el «Login with Google»: Los permisos (scopes) que damos a las apps de terceros son el nuevo vector de oro para el cibercrimen.
- Segmentación de Secretos: La diferencia entre una variable de entorno «normal» y una «sensible» fue lo que salvó a muchos clientes este fin de semana.
Acción Inmediata
Si usas Vercel, no esperes. Rota tus API keys y tokens, especialmente aquellos que no estaban marcados como sensibles. Y, por favor, revisa qué aplicaciones de terceros tienen acceso a tu Google Workspace o GitHub.
Fuente – Reporte detallado en SecurityWeek: https://www.securityweek.com/vercel-data-breach-contextai-oauth-hijack/
Fdo. Lautaro Enrique
C4E Friend I Security Analist & Networking
