Bandera roja de ciberseguridad: el hackeo de servicios en la nube impulsados por IA expone vulnerabilidades en las interfaces de activos digitales
El incidente de seguridad de la plataforma de desarrollo en la nube Vercel ha provocado alarma en la industria de la criptografía, luego de que la compañía revelara que los atacantes comprometieron partes de sus sistemas internos a través de una herramienta de inteligencia artificial de terceros.
Debido a que muchos proyectos criptográficos dependen de Vercel para alojar sus interfaces de usuario, la infracción resalta cuán dependientes son los equipos Web3 de la infraestructura de nube centralizada. Esa dependencia crea una superficie de ataque que a menudo se pasa por alto, una que puede eludir las defensas tradicionales como el monitoreo de DNS y comprometer directamente la integridad del frontend.
Vercel dijo el domingo que la intrusión se originó en una herramienta de inteligencia artificial de terceros vinculada a una aplicación Google Workspace OAuth. Esa herramienta había sido violada en un incidente mayor que afectó a cientos de usuarios de múltiples organizaciones, dijo la compañía. Vercel confirmó que un subconjunto limitado de clientes se vio afectado y sus servicios permanecieron operativos.
La compañía contrató a servicios externos de respuesta a incidentes y alertó a la policía mientras investigaba cómo se pudo haber accedido a los datos.
Se enumeraron las claves de acceso, el código fuente, los registros de la base de datos y las credenciales de implementación (tokens NPM y GitHub) para la cuenta. Pero éstas no son afirmaciones establecidas de forma independiente.
Como prueba, uno de esos elementos de muestra incluía alrededor de 580 registros de empleados con nombres, direcciones de correo electrónico corporativas, estado de cuenta y marcas de tiempo de actividad, junto con una captura de pantalla de un panel interno.
La atribución sigue sin estar clara. Según los informes, las personas relacionadas con el grupo principal ShinyHunters negaron su participación. El vendedor también dijo que se puso en contacto con Vercel y exigió un rescate, aunque la empresa no ha revelado si se llevaron a cabo negociaciones.
El compromiso de la IA de terceros expone riesgos ocultos de infraestructura
En lugar de atacar a Vercel directamente, los atacantes aprovecharon el acceso OAuth vinculado a Google Workspace. Una debilidad de esta naturaleza en la cadena de suministro es más difícil de identificar, ya que depende de integraciones confiables en lugar de vulnerabilidades obvias.
Theo Browne, un desarrollador conocido en la comunidad de software, dijo que los consultados indicaron que las integraciones internas de Vercel, Linear y GitHub, eran las más afectadas por los problemas.
Observó que las variables de entorno marcadas como sensibles en Vercel están resguardadas; otras variables que no fueron marcadas deben rotarse para evitar el mismo destino.
Vercel dio seguimiento a esta directiva, instando a los clientes a revisar sus variables de entorno y utilizar la función de variables sensibles de la plataforma. Ese tipo de compromiso es particularmente preocupante porque las variables de entorno a menudo contienen secretos como claves API, puntos finales RPC privados y credenciales de implementación.
Si estos valores se vieran comprometidos, los atacantes podrían alterar compilaciones, inyectar código malicioso u obtener acceso a servicios conectados para una explotación más amplia.
A diferencia de las infracciones típicas que tienen como objetivo registros DNS o registradores de dominios, el compromiso en la capa de alojamiento ocurre en el nivel del proceso de construcción. Esto permite a los atacantes comprometer la interfaz real entregada a los usuarios en lugar de simplemente redirigir a los visitantes.
Ciertos proyectos almacenan datos de configuración confidenciales en variables de entorno, incluidos servicios relacionados con billeteras, proveedores de análisis y puntos finales de infraestructura. Si se accedió a esos valores, es posible que los equipos tengan que asumir que estaban comprometidos y rotarlos.
Los ataques frontend ya han sido un desafío recurrente en el espacio criptográfico. Incidentes recientes de secuestro de dominios han llevado a que los usuarios sean redirigidos a clones maliciosos diseñados para vaciar sus billeteras. Pero esos ataques generalmente ocurren a nivel de DNS o de registrador. Estos cambios a menudo se pueden detectar rápidamente con herramientas de seguimiento.
Un compromiso en la capa de alojamiento es diferente. En lugar de dirigir a los usuarios a un sitio falso, los atacantes modifican la interfaz real. Los usuarios pueden encontrar un dominio legítimo que contenga código malicioso, pero no tendrán idea de lo que está sucediendo.
La investigación continúa mientras los proyectos criptográficos revisan la exposición
No está claro hasta qué punto penetró la infracción o si se modificó alguna implementación de los clientes. Vercel dijo que su investigación está en curso y actualizará a las partes interesadas a medida que haya más información disponible. También dijo que se está contactando directamente a los clientes afectados.
Ningún proyecto criptográfico importante ha confirmado públicamente haber recibido una notificación de Vercel al momento de la publicación. Pero se espera que el incidente impulse a los equipos a auditar su infraestructura, rotar credenciales y examinar cómo gestionan los secretos.
La lección más importante es que la seguridad en las interfaces criptográficas no termina en la protección del DNS o en las auditorías de contratos inteligentes. Las dependencias de plataformas en la nube, canalizaciones de CI/CD e integraciones de IA aumentan aún más el riesgo.
Cuando uno de esos servicios confiables se ve comprometido, los atacantes podrían explotar un canal que elude las defensas tradicionales y afecta directamente a los usuarios.
El hackeo de Vercel, vinculado a una herramienta de inteligencia artificial comprometida, ilustra cómo las vulnerabilidades de la cadena de suministro en las pilas de desarrollo modernas pueden tener efectos en cascada en todo el ecosistema criptográfico.