Vercel, la plataforma de hosting y desarrollo web utilizada por cientos de miles de desarrolladores en todo el mundo, ha sufrido una brecha de seguridad que expone las credenciales almacenadas en variables de entorno de miles de proyectos. El ataque, documentado por investigadores de Trend Micro, explota una debilidad en la forma en que Vercel gestiona los tokens de OAuth vinculados a integraciones de terceros como GitHub, GitLab y Slack.

Los atacantes lograron aprovecharse de un flaw en el flujo de renovación de tokens de OAuth que Vercel utiliza para mantener las integraciones activas. Cuando un token expira, la plataforma debería invalidarlo y solicitar una renovación segura, pero en su lugar permitía que tokens antiguos permanecieran válidos durante un período de gracia de 72 horas, durante el cual cualquier solicitante con el token antiguo podía acceder a los secretos del proyecto.

Los investigadores de Trend Micro explican que este tipo de vulnerabilidad es especialmente insidiosa porque no deja rastros evidentes en los logs de actividad. Un equipo de seguridad que revise los registros de Vercel no vería accesos sospechosos, ya que los tokens utilizados por los atacantes técnicamente seguían siendo legítimos. “La mayoría de los equipos de seguridad no tienen forma de detectar esto con sus herramientas actuales”, escribió el investigador de Trend Micro Dave Stevens en el informe.

Vercel ha confirmado la brecha y ha instado a todos los usuarios a rotar inmediatamente las claves de API y contraseñas almacenadas en variables de entorno. La empresa ha publicado un script de auditoría que los desarrolladores pueden ejecutar para detectar si sus proyectos fueron afectados. Hasta la fecha, no hay evidencia de que los atacantes hayan utilizado las credenciales robadas de forma activa, aunque los investigadores señalan que el patrón del ataque sugiere un grupo organizado de cibercrimen con experiencia en comprometeer cadenas de suministro de software.

La brecha tiene implicaciones significativas para América Latina, donde el uso de Vercel ha crecido rapidamente entre startups y equipos de desarrollo independientes. En ciudades como São Paulo, Ciudad de México y Bogotá, la plataforma se ha convertido en una opción popular para desplegar aplicaciones web por su simplicidad y capa gratuita generosa. Los equipos afectados deberían rotar no solo las credenciales almacenadas en Vercel, sino también cualquier contraseña o clave que haya sido compartida con servicios vinculados a través de integraciones OAuth.