¡Ten cuidado con el contenido firmado! Vercel fue víctima de un ataque de ransomware por 2 millones de dólares; la seguridad del frontend del protocolo cripto enciende las alarmas

La plataforma de desarrollo en la nube Vercel fue hackeada el 19 de abril; los atacantes obtuvieron acceso mediante una herramienta de IA de terceros que usan los empleados y, presuntamente, vendieron públicamente los datos robados en un foro, con un precio de hasta 2 millones de dólares. Debido a que muchas plataformas de proyectos cripto tienen la interfaz de monedero y el despliegue del frontend de dApp en Vercel, el incidente también ha generado preocupación en la comunidad cripto.

Origen del hack: la herramienta de IA de terceros OAuth usada por empleados fue comprometida

En su boletín de seguridad oficial, Vercel indicó que una aplicación OAuth de Google Workspace perteneciente a Context.ai, una herramienta de IA de terceros que usa un empleado, fue comprometida. Los atacantes aprovecharon esto para secuestrar la cuenta de Google Workspace de ese empleado y, con ello, penetrar los datos internos de Vercel.

El CEO de Vercel, Guillermo Rauch, reveló en X que es posible que este ataque haya afectado a cientos de organizaciones que usan la misma herramienta, y no solo a Vercel.

Rauch describió el plan de ataque de los hackers como “altamente sofisticado”, y puso en duda que el agresor haya perfeccionado significativamente la acción de intrusión con ayuda de la IA, mostrando un profundo entendimiento de la arquitectura interna de Vercel. Actualmente, la empresa de ciberseguridad de Google, Mandiant, ya está ayudando con la investigación, y Vercel también ha notificado a las autoridades encargadas de hacer cumplir la ley correspondientes.

Miembros del grupo de hackers publican para extorsionar 2 millones de dólares

Vercel señaló que los datos sensibles se almacenan mediante cifrado y no fueron accedidos; sin embargo, otros datos que no están etiquetados como “sensibles” podrían haber sido leídos y utilizados por el atacante.

Captura de pantalla de una publicación de foro que circula en Telegram

Una persona que se identifica como relacionada con el grupo de hackers ShinyHunters publicó en el foro de ciberdelincuencia BreachForums, afirmando que ya obtuvo la clave API de Vercel, el NPM token, el GitHub token, el código fuente y el contenido de la base de datos interna, y difundió aproximadamente 580 registros de empleados como “prueba” de que “había sido comprometido”, incluyendo nombre del empleado, correo electrónico de la empresa, estado de la cuenta y horas de actividad.

ShinyHunters niega su participación; la verdad sobre la negociación de extorsión es incierta

Lo más desconcertante es que, aunque quien publica dice ser de ShinyHunters, el grupo ya había negado públicamente su participación en este incidente, por lo que la identidad real del atacante sigue siendo un misterio.

El atacante también afirmó haber contactado mediante Telegram y Vercel para tratar un rescate de 2 millones de dólares, y pidió que primero se pagaran 500 mil dólares en bitcoins para recuperar parte de los datos; sin embargo, Vercel no confirmó este hecho.

La criptografía se enciende en rojo: nuevo vector de ataque en la cadena de suministro del frontend

El impacto del incidente de Vercel en el ámbito cripto no es menor. Muchísimas DEX descentralizadas (DEX) y las interfaces de frontend de los monederos, así como los paneles de dApp, se despliegan en Vercel. Si los proyectos cripto relacionados almacenan sus endpoints RPC privados, llaves de API de terceros o secretos relacionados con monederos en datos que no estén etiquetados como “sensibles”, es posible que esa información haya sido filtrada.

For context, a lot of DeFi is hosted on Vercel and crypto users are a prime target for such attack.

If you need to use DeFi in this time of crisis, verifying what you sign is of utmost importance! You can also use .eth.limo (just hacked but back up and running) or IPFS frontend…

— Pybast (@Pybast) April 19, 2026

En pocas palabras, en teoría los atacantes pueden alterar directamente el sitio web y la interfaz del proyecto, inducir clics y hacer que se firmen contratos maliciosos, en lugar de solo redirigir el dominio a un sitio de phishing, saltándose por completo la supervisión y la protección a nivel de DNS. Por ahora no se ha reportado ninguna catástrofe debido a ningún protocolo, pero todos los equipos de ciberseguridad lo han incluido como un riesgo grave potencial.

De hecho, el problema de seguridad del frontend en el ecosistema cripto es un mal endémico de la industria desde hace tiempo. La semana pasada, DEX CoW Swap se detuvo para operar recién debido a un secuestro de dominio; Aerodrome y Velodrome también sufrieron ataques de secuestro de DNS en noviembre del año pasado.

Vercel lanza actualización de datos y pide a los usuarios que cambien sus claves de inmediato

Vercel afirma que sus servicios funcionan normalmente en la actualidad y que la investigación continúa, al mismo tiempo que actualiza el panel de gestión de datos. La recomendación oficial es enérgica: que todos los usuarios realicen de inmediato una revisión integral de los datos existentes; que cambien las claves para todos los datos que no estén etiquetados como “sensibles”; y que habiliten la función de variables sensibles de la plataforma para asegurar que las credenciales relevantes se almacenen de forma cifrada.

Este artículo ¡Presta atención al contenido que se firma! Vercel fue víctima de extorsión por 2 millones de dólares; la seguridad del frontend de los protocolos cripto activa la alarma; apareció por primera vez en Cadena Noticias ABMedia.