La plataforma de desarrollo Web3 Vercel confirmó una brecha de seguridad originada en una herramienta de IA de terceros comprometida, y se informa que los atacantes exigen un rescate de 2 millones de dólares por los datos internos robados.
El proveedor de la nube, que aloja aplicaciones front-end para miles de empresas, reconoció el incidente públicamente después de que el grupo de hackers ShinyHunters publicara partes de los datos en línea. Vercel afirmó que solo un "subconjunto limitado" de clientes se vio afectado, pero los atacantes afirman estar vendiendo activamente datos adicionales en foros de la dark web.
La brecha expuso sistemas internos y lo que Vercel clasificó como variables de entorno "no sensibles", según un informe de The Verge. Para los proyectos cripto y Web3, estas variables suelen contener datos altamente sensibles, incluyendo claves API, credenciales de bases de datos y fragmentos de claves privadas. Los expertos en seguridad aconsejaron de inmediato a todos los clientes de Vercel rotar sus credenciales y auditar los registros de acceso en busca de actividad entre el 17 y el 19 de abril.
Esta brecha llega en un momento crítico para Vercel, que supuestamente se estaba preparando para una oferta pública inicial (IPO) tras un aumento del 240% en los ingresos. El incidente obliga a la empresa a adoptar una postura defensiva justo cuando necesita proyectar estabilidad ante los inversores, con rivales como Netlify y Render contactando supuestamente a los clientes de Vercel para posicionar sus plataformas como alternativas más seguras.
Escalan los ataques a la cadena de suministro
El incidente de Vercel es el último de una serie de costosos ataques a la cadena de suministro dirigidos a la infraestructura de desarrollo de software. Aunque Vercel no ha nombrado al proveedor de IA comprometido, la brecha resalta cómo las integraciones de terceros crean nuevos vectores de ataque que pueden eludir los perímetros de seguridad tradicionales.
Este ataque sigue a un trimestre brutal para el espacio de los activos digitales, que perdió 482 millones de dólares por hackeos y estafas en el primer trimestre de 2026, según la firma de seguridad Hacken. La noticia de Vercel llega apenas unas semanas después de dos de las mayores vulnerabilidades del año: un hackeo de puente de 292 millones de dólares que afectó al protocolo de restaking líquido Kelp DAO y una brecha administrativa de 285 millones de dólares en Drift Protocol. Estos incidentes subrayan un cambio en el que los atacantes se dirigen cada vez más a las capas operativas y de infraestructura en lugar de solo a los contratos inteligentes on-chain.
Los proyectos Web3 se apresuran a responder
El compromiso ha generado una ola de preocupación en el ecosistema de finanzas descentralizadas (DeFi) y Web3, donde Vercel es una pieza fundamental de infraestructura para alojar aplicaciones de cara al usuario. Varios proyectos cripto comenzaron auditorías inmediatas de su exposición, bajo la premisa de que cualquier credencial almacenada en los sistemas de Vercel podría estar comprometida. El incidente ya ha tenido efectos colaterales: el protocolo de préstamos Aave congeló los mercados de rsETH, el token afectado por el reciente hackeo de Kelp DAO, demostrando el riesgo interconectado dentro de la infraestructura DeFi.
Este artículo es solo para fines informativos y no constituye asesoramiento de inversión.
