Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Una herramienta de IA de terceros abrió silenciosamente el acceso a los sistemas internos de Vercel

Una herramienta de IA de terceros abrió silenciosamente el acceso a los sistemas internos de Vercel

by Patrick Spencer updated abril 21, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 9 minutes

El 19 de abril de 2026, la plataforma de desarrollo en la nube Vercel reveló un incidente de seguridad que implicó acceso no autorizado a ciertos sistemas internos. El propio boletín de la empresa y las declaraciones posteriores del CEO Guillermo Rauch describen una cadena de ataque que debería cambiar la forma en que cada CISO percibe el riesgo de la cadena de suministro SaaS en 2026.

Puntos clave

  1. La brecha comenzó en una herramienta de IA, no en Vercel. Los atacantes comprometieron Context.ai, una plataforma de IA de terceros utilizada por un empleado de Vercel, y luego usaron su app OAuth de Google Workspace para pivotar hacia los sistemas internos de Vercel.
  2. Las apps OAuth son el nuevo camino de confianza hacia tu proveedor de identidad. Cada vez que un empleado acepta un «Iniciar sesión con Google», está abriendo un canal de acceso persistente. La mayoría de las organizaciones nunca han auditado estos accesos.
  3. Las variables de entorno «no sensibles» resultaron ser muy sensibles. Ahora Vercel está pidiendo a sus clientes que roten todas las variables no sensibles porque los atacantes las enumeraron para extraer secretos que debieron clasificarse en un nivel superior.
  4. El riesgo de la cadena de suministro se ha trasladado a la capa de herramientas de IA. La fiebre por las herramientas de IA de los últimos 18 meses ha reducido el nivel de aprobación para integraciones SaaS. Los atacantes ya lo han notado.
  5. Los planos de control superan a las soluciones puntuales cuando un proveedor sufre una brecha. Cuando los secretos viven en una capa de intercambio gobernada con registros auditables unificados, rotación, contención del radio de impacto y generación de evidencia, todo ocurre en horas y no en semanas.

El ataque no comenzó en Vercel. Comenzó en Context.ai, una plataforma de IA de terceros que un empleado de Vercel utilizaba para crear agentes entrenados con conocimiento específico de la empresa. Context.ai tenía concedida una integración de app OAuth de Google Workspace con permisos a nivel de implementación. Cuando Context.ai fue comprometida, el atacante heredó un acceso privilegiado a la cuenta de Google Workspace del empleado y, desde ahí, a los entornos de Vercel.

Una vez dentro, el atacante enumeró variables de entorno que no habían sido marcadas como «sensibles» en el panel de Vercel, muchas de las cuales contenían claves API, tokens, credenciales de bases de datos y claves de firma. Vercel ahora pide a sus clientes que roten esos secretos, aunque estuvieran clasificados por debajo del nivel sensible, porque la enumeración del atacante los puso en riesgo. La empresa describe al adversario como «altamente sofisticado» por la velocidad operativa y el conocimiento detallado de los sistemas de Vercel.

Esto no es una historia exclusiva de Vercel. Es la nueva forma de compromiso en la cadena de suministro SaaS en 2026: acceso inicial a través de una herramienta de IA que nadie del equipo central de seguridad supervisaba, movimiento lateral mediante permisos OAuth que nadie auditó, e impacto que se extiende a cada cliente downstream cuyos secretos estaban en la plataforma comprometida. El incidente de Vercel es el incidente; el patrón es la lección.

Por qué las plataformas de desarrollo e implementación en la nube son objetivos de alto valor

Las plataformas de desarrollo en la nube y CI/CD agrupan exactamente el tipo de datos que facilitan el trabajo de un atacante tras comprometer una sola credencial. Albergan variables de entorno, tokens de implementación, integraciones de repositorios, permisos OAuth y artefactos de compilación para miles de clientes downstream. Un compromiso en la capa de la plataforma equivale a comprometer a todos los que dependen de ella.

El
https://www.crowdstrike.com/en-us/global-threat-report/Informe Global de Amenazas CrowdStrike 2026 documenta este patrón como una tendencia principal para 2025–2026. Los adversarios apuntan cada vez más a la capa SaaS y CI/CD porque estas plataformas están menos monitorizadas que los endpoints, pero contienen más datos sensibles por compromiso que cualquier estación de trabajo individual. El mismo informe cita el robo de tokens OAuth de Salesloft/Drift como un ejemplo anterior de este tipo de ataque — pivotando de SaaS a SaaS mediante tokens de integración robados — y documenta las campañas npm BeaverTail y ShaiHulud como compromisos paralelos de la cadena de suministro a través de registros de paquetes.

El Índice de Inteligencia de Amenazas X-Force de IBM 2026 refuerza la tendencia con un dato concreto: un aumento interanual del 44% en ataques que comenzaron con la explotación de aplicaciones expuestas al público. Más relevante aún para el caso Vercel, IBM observó aproximadamente 300,000 credenciales de chatbots de IA a la venta en mercados criminales en 2025. Cuando las propias plataformas de IA se convierten en intermediarias de credenciales, cada permiso OAuth que poseen se transforma en una vía de ataque latente.

El Global Cybersecurity Outlook 2026 del Foro Económico Mundial aporta la perspectiva ejecutiva: las vulnerabilidades en la cadena de suministro han sido el segundo riesgo cibernético que más preocupa a los CISOs durante dos años consecutivos, y el riesgo de herencia — la incapacidad de garantizar la integridad del software, hardware y servicios de terceros — es ahora la principal preocupación en la cadena de suministro. El incidente de Vercel es el ejemplo de cómo luce el riesgo de herencia cuando el tercero es una herramienta de IA con un permiso OAuth que nadie revisó.

El patrón de la herramienta de IA como vector de ataque es nuevo y está creciendo

Hasta hace unos 18 meses, los ataques a la cadena de suministro SaaS solían pasar por categorías de proveedores bien conocidas: plugins de CRM, herramientas de seguridad de correo, automatización de marketing. El incidente de Vercel muestra cómo la superficie de ataque se ha expandido a una nueva categoría — plataformas de IA integradas vía OAuth al proveedor de identidad corporativo — para la que la mayoría de los equipos de seguridad aún no han desarrollado una gobernanza adecuada.

La magnitud del problema está documentada. El Informe de Amenazas Internas DTEX 2026, elaborado con el Instituto Ponemon, identifica la IA en la sombra como el principal impulsor de incidentes internos negligentes y estima el costo anual del riesgo interno en $19.5 millones por organización. Destaca que el 92% de los encuestados afirma que la IA generativa ha cambiado la forma en que los empleados comparten información, pero solo el 13% ha integrado el uso de IA en su estrategia de seguridad. Esa brecha entre adopción de IA y gobernanza de IA es exactamente la que Context.ai aprovechó — o más bien, la que fue explotada a través de Context.ai.

El Informe de Pronóstico de Riesgos de Seguridad de Datos y Cumplimiento de Kiteworks 2026 cuantifica el lado de la gobernanza. Solo el 36% de las organizaciones tiene alguna visibilidad sobre cómo los socios gestionan los datos en sistemas de IA. Solo el 43% cuenta con una puerta de enlace de datos IA centralizada; el 57% restante está fragmentado, es parcial o no tiene nada implementado. Y el 30% cita la gestión de proveedores de IA de terceros como la principal preocupación de seguridad, pero la visibilidad sobre ese riesgo sigue siendo débil en todos los sectores encuestados.

Investigaciones académicas independientes confirman la exposición a nivel ecosistema. Un estudio del Simposio IEEE de Seguridad y Privacidad 2026 sobre 17 plugins de chatbot de IA de terceros usados en más de 10,000 sitios web públicos encontró que 15 de los 17 permiten inyección indirecta de prompts al no distinguir entre contenido confiable y no confiable. Un análisis separado de 14,904 GPTs personalizados en el ecosistema OpenAI halló que más del 95% carecen de protecciones de seguridad adecuadas. Cada una de esas herramientas puede recibir un permiso OAuth de un empleado, y cada permiso se convierte en un posible Context.ai.

Las variables de entorno «no sensibles» nunca fueron realmente no sensibles

Uno de los detalles más instructivos en la divulgación de Vercel es el fallo de clasificación. Vercel ofrece una opción de «sensible» para variables de entorno que las almacena cifradas en reposo y evita que se lean desde el panel. Las variables no marcadas como sensibles también están cifradas, pero sus valores son accesibles para sesiones autorizadas — y, por tanto, para cualquier atacante que herede una sesión autorizada mediante un permiso OAuth comprometido.

En la práctica, la clasificación «no sensible» se volvió el valor predeterminado por conveniencia. Los desarrolladores almacenaban claves API, URLs de bases de datos, tokens de procesadores de pago y claves de firma en variables no sensibles porque marcarlas como sensibles requería un paso extra. El atacante enumeró esos valores durante la ventana de exposición. Ahora Vercel indica a sus clientes que asuman que cualquier secreto relacionado está en riesgo hasta que se investigue.

Esto es un fallo de gobernanza disfrazado de decisión funcional. Cuando existe un sistema de clasificación pero el valor predeterminado es «no molestarse», la clasificación no sirve de nada. El Informe de Pronóstico de Riesgos de Seguridad de Datos y Cumplimiento de Kiteworks 2026 identifica este patrón en la gobernanza de IA en general: el 63% de las organizaciones no tiene límites de autorización vinculados a propósito para agentes, y el 33% carece de registros auditables utilizables para operaciones de IA. Cuando los controles existen pero los valores predeterminados son permisivos, los controles no sobreviven al contacto con un atacante real.

La lección va mucho más allá de Vercel. Cualquier plataforma que pida a los usuarios autoclasificar datos como sensibles — variables de entorno, permisos de uso compartido de archivos, acceso a carpetas de socios, contexto de prompts de IA — verá que la mayoría de las veces se elige el valor predeterminado. La seguridad por defecto es la única que sobrevive. Los valores predeterminados que requieren elevar explícitamente a «sensible» fallan cada vez que un ingeniero tiene prisa, es decir, todos los días.

La respuesta del plano de control: por qué la gobernanza unificada contiene el radio de impacto

El incidente de Vercel es un argumento de manual a favor del modelo de plano de control para el intercambio seguro de datos. Cuando secretos, archivos, correo electrónico, SFTP, transferencia de archivos gestionada, formularios web e integraciones de IA viven en diez herramientas diferentes — cada una con su propio motor de políticas, su propio registro de auditoría y sus propias integraciones OAuth — un solo compromiso se convierte en una semana de respuesta a incidentes repartida entre diez tickets de soporte de proveedores. Cuando esos mismos canales de intercambio de datos viven dentro de una sola plataforma gobernada, la respuesta son horas, no semanas, y la evidencia está consolidada en vez de dispersa.

Kiteworks está construido sobre esta arquitectura. La Red de Datos Privados de Kiteworks consolida correo electrónico, uso compartido de archivos, SFTP, transferencia de archivos gestionada, formularios web, APIs e integraciones de IA en un solo dispositivo virtual reforzado con un único motor de políticas, un registro de auditoría consolidado y una postura de seguridad unificada. El servidor seguro MCP de Kiteworks y la puerta de enlace de datos IA extienden esa misma capa de gobernanza a las propias plataformas de IA — de modo que cuando una herramienta de IA de terceros solicita datos, la petición se autentica contra OAuth 2.0, se evalúa según políticas de acceso basadas en roles y atributos, se registra en tiempo real y se limita la tasa para evitar la enumeración masiva como la que ocurrió en Vercel.

Las implicaciones arquitectónicas son concretas. En un modelo de plano de control, los tokens para plataformas de IA no se dejan en llaveros del sistema operativo ni en permisos OAuth de Google Workspace; se almacenan en entornos reforzados y aislados con evaluación de políticas por cada solicitud. Las variables de entorno y secretos destinados a sistemas downstream se clasifican por defecto y se gobiernan de manera uniforme, en vez de enviarse a diez consolas en la nube con diez configuraciones predeterminadas distintas. Cuando ocurre un incidente como el de Context.ai, el registro de auditoría consolidado responde a las preguntas forenses en horas: quién accedió a qué, cuándo, por qué canal y con qué permiso OAuth. Y como el mismo motor de políticas gobierna cada vía de intercambio de datos, la contención del radio de impacto es un solo cambio de política, no una maratón de diez acciones coordinadas.

Esto es lo que señala el Global Cybersecurity Outlook 2026 del WEF cuando enumera la «visibilidad limitada» como el principal riesgo cibernético de la cadena de suministro en todos los sectores. La visibilidad es una función de la arquitectura. Herramientas fragmentadas producen visibilidad fragmentada. Herramientas unificadas producen visibilidad unificada. El incidente de Vercel recuerda que la visibilidad no es un problema de escaneo ni de cuestionarios, sino un problema de arquitectura.

Qué debe hacer cada organización esta semana

Primero, inventaría tus apps OAuth de terceros en Google Workspace y Microsoft 365. Extrae el informe de apps OAuth de ambos proveedores de identidad e identifica cada app con permisos sensibles — Drive, Gmail, Calendar, directorio de administración. La mayoría de las organizaciones nunca ha generado este informe y la lista será más larga de lo esperado. Mueve los permisos de alto valor a una lista de permitidos explícita en vez de aprobación por el usuario e implementa una revisión trimestral. El playbook de respuesta a incidentes de Vercel publicado en GitHub es una referencia útil para los pasos concretos.

Segundo, asume que las variables de entorno no sensibles son sensibles hasta que se demuestre lo contrario. Cualquier variable de entorno que contenga una clave API, credencial de base de datos, token de procesador de pagos o clave de firma debe clasificarse por defecto en el nivel más alto disponible. Rota cualquier secreto que haya estado en un nivel no sensible en una plataforma SaaS durante la ventana de exposición de Vercel (de manera conservadora, del 1 al 20 de abril de 2026) y considera este esfuerzo de rotación como la base para un programa más amplio de higiene de secretos.

Tercero, exige la minimización de permisos OAuth para cualquier herramienta de IA que usen tus empleados. Las plataformas de IA suelen pedir permisos más amplios de los que necesitan — acceso completo a Gmail cuando solo requieren lectura de calendario, o acceso al directorio de administración cuando solo necesitan datos de perfil de usuario. Deniega solicitudes de permisos que excedan la función documentada de la herramienta y bloquea la integración por completo si el proveedor no puede justificar cada permiso.

Cuarto, trata cada integración de IA como un custodio de datos bajo tu marco de cumplimiento. Si tu organización está sujeta a HIPAA, GDPR, CMMC, PCI DSS o cualquier marco que requiera acuerdos formales con procesadores de datos, las plataformas de IA integradas vía OAuth en tu proveedor de identidad son procesadores de datos. Deben estar en tu inventario de proveedores, bajo DPA y sujetas a EIPD cuando haya datos de alto riesgo. El Informe de Pronóstico de Riesgos de Seguridad de Datos y Cumplimiento de Kiteworks 2026 señala que el 89% de las organizaciones nunca ha realizado ejercicios conjuntos de respuesta a incidentes con socios — la primera vez no debería ser durante un incidente real.

Quinto, consolida tu superficie de ataque para el intercambio de datos. Cada herramienta adicional para correo electrónico, uso compartido de archivos, MFT, formularios web e integraciones de IA es otro permiso OAuth, otro registro de auditoría, otro motor de políticas y otro fragmento en tu radio de impacto cuando ocurre un incidente como el de Vercel. La tendencia en 2026 es hacia planos de control unificados para el intercambio de datos — porque la tendencia de los adversarios es explotar precisamente las brechas que crea la fragmentación.

El incidente de Vercel no será la última brecha con una herramienta de IA como vector inicial en 2026. Ni siquiera será la mayor. Lo que sí debería ser es el momento en que los equipos de seguridad dejen de tratar las plataformas de IA como simples herramientas de productividad con integraciones OAuth y empiecen a verlas como los custodios de datos en que se han convertido silenciosamente.

Preguntas frecuentes

Comienza auditando los permisos OAuth en tu proveedor de identidad. Un ataque al estilo Vercel inicia cuando una app SaaS de terceros con permisos amplios en Google Workspace o Microsoft 365 es comprometida. El boletín de Vercel de abril de 2026 documenta exactamente esta cadena. Haz inventario de cada app conectada, restringe los permisos de alto valor a una lista de permitidos y exige aprobación de seguridad para nuevos permisos OAuth con alcances sensibles.

Sí. Cualquier plataforma de IA con acceso OAuth a correo, calendario, documentos o datos de CRM está procesando datos personales en tu nombre y califica como procesador de datos bajo el artículo 28 de GDPR. El Informe de Pronóstico de Riesgos de Seguridad de Datos y Cumplimiento de Kiteworks 2026 revela que solo el 36% de las organizaciones tiene visibilidad sobre la gestión de datos de IA por parte de socios — una brecha significativa de cumplimiento para cualquier sector regulado.

Rota de inmediato todas las variables no sensibles e investiga las sensibles en busca de intentos de acceso. La guía de Vercel confirma que los atacantes enumeraron variables no sensibles durante la ventana de exposición. Usa del 1 de abril de 2026 hasta la fecha actual como límite inferior conservador para la ventana de exposición y extiende la rotación a cualquier servicio downstream que haya consumido esos secretos.

Un plano de control consolida los canales de intercambio de datos — correo electrónico, uso compartido de archivos, MFT, SFTP, formularios web, APIs e integraciones de IA — bajo un solo motor de políticas, un registro de auditoría y una arquitectura de seguridad unificada. Plataformas como Kiteworks se basan en este modelo. El mensaje para el consejo directivo es que la fragmentación es la raíz de las brechas de visibilidad, y la visibilidad es lo que el Global Cybersecurity Outlook 2026 del WEF identifica como el principal riesgo en la cadena de suministro.

El acceso gobernado a datos de IA implica que cada solicitud de IA se autentica, se evalúa según políticas de acceso basadas en roles y atributos, se registra en tiempo real y se limita la tasa — en lugar de heredar acceso amplio y persistente de un permiso OAuth. El servidor seguro MCP y la puerta de enlace de datos IA de Kiteworks implementan este patrón, almacenando tokens en llaveros del sistema operativo en vez de exponerlos a modelos de IA y evaluando cada solicitud de datos contra políticas antes de devolver contenido.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks