GrateDev Logo
Jose Gratereaux // fullStack_dev
blog

🚨 El hackeo a Vercel (abril 2026): qué pasó, causas, impacto y cómo protegerte

Vercel confirmó un incidente de seguridad que permitió acceso no autorizado a ciertos sistemas internos y a variables de entorno no marcadas como “sensibles”.

Jose Gratereaux

Jose Gratereaux

Author

🚨 El hackeo a Vercel (abril 2026): qué pasó, causas, impacto y cómo protegerte

En este artículo te explico de forma clara qué ocurrió, qué lo causó, quién está en riesgo y qué debes hacer ahora mismo.

🧠 Resumen rápido

  • El ataque no fue directo a Vercel, sino a un tercero: Context.ai
  • El atacante comprometió una cuenta de Google Workspace de un empleado
  • Se accedió a variables de entorno NO sensibles
  • No hay evidencia de compromiso en:
    • Variables marcadas como “sensitive”
    • Paquetes de npm publicados por Vercel
  • Vercel ya notificó a los clientes potencialmente afectados

🔍 ¿Qué pasó exactamente?

El incidente ocurrió entre el 19 y 20 de abril de 2026 y siguió este flujo:

  1. Compromiso inicial

    • El atacante vulneró una herramienta externa (Context.ai)

  2. Escalada de acceso

    • Usó ese acceso para tomar control de una cuenta de Google Workspace

  3. Acceso a Vercel

    • Con esa cuenta, accedió a entornos internos de Vercel

  4. Exposición limitada

    • Solo pudo ver variables de entorno no marcadas como sensibles

👉 Importante:
Las variables marcadas como “sensitive” están cifradas de forma que no pueden leerse en texto plano, por lo que no fueron expuestas.

💣 ¿Qué causó el incidente?

La raíz del problema fue una cadena de confianza rota en un tercero.

Factores clave:

  • Uso de herramientas externas con acceso a cuentas corporativas
  • OAuth de Google Workspace comprometido
  • Falta de aislamiento suficiente entre herramientas de terceros y sistemas internos

En otras palabras:

No hackearon directamente a Vercel, hackearon el ecosistema alrededor de Vercel.

Este tipo de ataque se conoce como:

👉 Supply Chain Attack (ataque a la cadena de suministro)

👥 ¿Quién está afectado?

Vercel indicó que:

  • Solo un subconjunto limitado de usuarios fue impactado
  • Únicamente se expusieron:
    • API keys
    • Tokens
    • Credenciales
    • Variables de entorno no sensibles

💡 Si usabas Vercel pero:

  • Tus variables estaban marcadas como sensitive
  • No recibiste notificación

👉 Probablemente no estás afectado directamente, pero igual debes tomar precauciones.

🧪 ¿Cómo saber si fuiste afectado?

1. Revisa tu correo

Busca comunicaciones oficiales de Vercel (entre el 19–21 de abril)

2. Verifica el Activity Log

Busca: Project → Settings → Activity Log

  • Accesos sospechosos
  • Cambios en variables
  • Deploys inesperados

3. Revisa variables de entorno

Project → Settings → Environment Variables

⚠️ Especial atención a:

  • Variables antiguas
  • Credenciales reutilizadas

4. Revisa accesos OAuth en Google

Security → Access and data control → API controls

Busca esta app sospechosa: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com

5. Revisa deployments recientes

  • Deploys que no reconoces
  • Builds fuera de horario
  • Cambios en branches no esperados

🛠️ ¿Qué hacer si usas Vercel? (Paso a paso)

🔐 1. Rotar TODAS las credenciales

Esto es crítico.

Cambia:

  • API keys
  • Tokens
  • Contraseñas de DB
  • JWT secrets
  • Keys de terceros (Stripe, AWS, etc.)

👉 Aunque no estés seguro de haber sido afectado

🔑 2. Activar MFA (2FA)

  • Usa apps como Google Authenticator o Authy
  • Considera passkeys si están disponibles

🧹 3. Elimina accesos sospechosos

  • Revoca apps OAuth desconocidas
  • Revisa usuarios del equipo en Vercel

🚫 4. No confíes en eliminar el proyecto

❌ Eliminar tu proyecto en Vercel NO elimina el riesgo

Si una credencial fue expuesta, puede seguir siendo usada externamente.

🔍 5. Audita tu infraestructura

Revisa:

  • Logs de backend
  • Accesos a APIs
  • Uso de tokens

🧱 6. Mejora tu seguridad a futuro

  • Usa variables como sensitive siempre
  • Implementa rotación automática de secrets
  • Usa permisos mínimos (principio de least privilege)

🧬 Indicadores de compromiso (IOC)

Vercel publicó este indicador clave: OAuth App ID: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com

👉 Si lo ves en tu entorno: actúa inmediatamente

🧩 ¿Qué hizo Vercel después del incidente?

Vercel ya implementó mejoras importantes:

  • Variables ahora son sensibles por defecto
  • Mejor visibilidad en logs
  • Mejor gestión de variables en equipos
  • Monitoreo más estricto

También están trabajando con firmas de ciberseguridad y socios de la industria.

📚 Lecciones importantes para desarrolladores

1. Tu seguridad es tan fuerte como tu eslabón más débil

Las herramientas de terceros son un riesgo real

2. No todas las variables son iguales

Si no está marcada como sensitive, asume que puede filtrarse

3. MFA ya no es opcional

Es obligatorio en cualquier entorno serio

4. Rotar credenciales debe ser rutina

No solo cuando hay incidentes

5. Zero Trust es el camino

No confíes automáticamente en nada, ni siquiera dentro de tu stack

🧾 Conclusión

El incidente de Vercel no fue un hackeo tradicional, sino un ejemplo claro de cómo los ataques modernos explotan integraciones, OAuth y herramientas externas.

La buena noticia:

  • El impacto fue limitado
  • No se comprometieron sistemas críticos ni paquetes

La mala noticia:

  • Confirma que cualquier eslabón débil puede comprometer todo el sistema

👉 Si usas Vercel o cualquier plataforma similar, este es el momento perfecto para auditar tu seguridad y endurecer tu stack

Tags: #vercel #hack #seguridad #afectados
Jose Gratereaux

Jose Gratereaux

I'm a software engineer specialized in Laravel, building modern web applications and sharing what I learn along the way. If you enjoyed this post, consider following me on GitHub.

Follow