Vercel, una plataforma de computación en la nube para programadores, especializada en proporcionar servicios de implementación y operación de aplicaciones web con sede en los Estados Unidos, ha confirmado una fuga de datos, lo que ha suscitado preocupaciones sobre la tendencia de ataques a la cadena de suministro a través de herramientas de inteligencia artificial (IA) de terceros.
Aunque solo unos pocos clientes se vieron afectados, el incidente muestra el creciente nivel de sofisticación de los ciberataques en la era de la IA.
Según Vercel, los hackers aprovecharon una vulnerabilidad en una herramienta de IA externa llamada Context AI para infiltrarse en el sistema interno.
El punto de partida fue la cuenta de Google Workspace de un empleado que fue tomada, a partir de la cual el atacante amplió el acceso al entorno de Vercel.
En particular, los hackers han aprovechado las configuraciones del sistema que no se consideran datos confidenciales para acceder y obtener información. Mientras que los datos importantes a menudo están encriptados, la información de configuración del sistema que no está etiquetada como segura se convierte en un punto débil, lo que ayuda a los atacantes a recopilar más información.
Un representante de la empresa dijo que esta es una vulnerabilidad en la configuración, no un error en el sistema de cifrado central.
Vercel es la unidad detrás de Next.js, un popular conjunto de herramientas de código abierto desarrollado sobre la base de la biblioteca React, que ayuda a construir sitios web y aplicaciones web de forma más rápida y eficiente.
Esta plataforma proporciona infraestructura sin servidor, computación frontal y procesos CI/CD para millones de programadores.
Por lo tanto, cualquier incidente puede tener un impacto generalizado en el ecosistema de desarrollo de software.
El director ejecutivo de Vercel, Guillermo Rauch, dijo que el grupo de ataque tiene un alto nivel y que podría haber sido apoyado por la IA.
Actúan a una velocidad asombrosa y comprenden profundamente nuestro sistema", escribió Guillermo Rauch en la red social X.
La empresa ha movilizado expertos para responder al incidente y al mismo tiempo ha notificado a las agencias de aplicación de la ley.
Después del incidente, Vercel implementó rápidamente medidas de seguridad mejoradas, incluida la mejora del panel de control de gestión ambiental variable y la recomendación a los clientes de revisar los datos confidenciales. La compañía también afirmó que los servicios básicos y los proyectos de código abierto siguen siendo seguros.
El incidente se produce en un contexto en el que los proyectos de IA de código abierto se convierten continuamente en objetivos de ataques.
Herramientas de software como LiteLLM o Trivy también han registrado incidentes similares, lo que muestra una nueva tendencia cuando los hackers no atacan directamente a las empresas, sino que apuntan a la cadena de herramientas de las que dependen.
Otro acontecimiento notable es que el grupo de hackers ShinyHunters se atribuyó la responsabilidad y vendió los datos robados.
Según los informes, este grupo afirma poseer claves API, código fuente y datos internos, y también exige un rescate de hasta 2 millones de dólares. Sin embargo, hasta ahora no ha habido confirmación oficial sobre el papel de este grupo en el caso.
Los expertos advierten que a medida que la IA se integra cada vez más profundamente en el proceso de desarrollo de software, los límites de la seguridad también se vuelven más complejos.
Las herramientas de terceros, que se utilizan para aumentar la productividad, pueden convertirse involuntariamente en "puertas de entrada" para ataques si no se controlan estrictamente.
El incidente de Vercel es un recordatorio de que la seguridad no solo reside en el sistema principal, sino también en toda la cadena de herramientas relacionadas. En la era de la IA, un solo eslabón débil es suficiente para crear riesgos para todo el ecosistema.
