A Roblox cheat, a month of silence, and an enterprise OAuth breach: what the Vercel incident is really teaching

Esta es una traducción automática del documento original en inglés. En caso de cualquier discrepancia entre esta traducción y la versión original en inglés, prevalecerá la versión en inglés. Leer la versión original en inglés

Un truco de Roblox, un mes de silencio y una brecha de OAuth empresarial: lo que el incidente de Vercel realmente está enseñando

2026-04-22 · Caiioo Team

Vale la pena destacar tres detalles de la brecha de Vercel. Ninguno de ellos es el titular principal. Todos ellos cambian la forma en que debería pensar al instalar herramientas de IA de terceros.

Detalle 1: La cadena de suministro hacia la brecha de Vercel comenzó con un truco de Roblox

La narrativa pública del incidente de Vercel es la siguiente: un empleado de Vercel instaló Context AI, le otorgó alcances amplios de Google Workspace, Context AI fue comprometido, el token de OAuth fue secuestrado, el atacante pivotó hacia Vercel.

Esa es la historia aguas abajo. La historia aguas arriba es más extraña.

Según el análisis de Hudson Rock —ahora reportado por consenso en Trend Micro, OX Security, Strapi y The Hacker News, y no refutado ni por Vercel ni por Context AI al 22 de abril— el vector original fue un empleado de Context AI cuyo dispositivo personal fue comprometido en febrero de 2026. El compromiso fue Lumma Stealer, un infostealer comercial. El vehículo de entrega, según se informa, fue un exploit descargado de un juego de Roblox tipo "auto-farm".

El ladrón hizo lo que hacen los ladrones. Exfiltró las credenciales de Google Workspace y las credenciales de acceso a AWS del empleado. Esas credenciales se convirtieron en el punto de apalancamiento para todo lo que siguió: acceso al entorno AWS de Context AI, acceso a la bóveda de tokens OAuth que Context AI mantenía en nombre de sus usuarios, acceso al token que un empleado de Vercel había otorgado para su Google Workspace corporativo y, finalmente, acceso a los entornos internos de Vercel y a un subconjunto de variables de entorno de clientes.

Un truco de Roblox, en la computadora portátil personal de un empleado, es la causa raíz de una brecha en la cadena de suministro de OAuth empresarial que Vercel describe como algo que afecta potencialmente a "cientos de usuarios en muchas organizaciones".

La lección no es "Roblox es malo". La lección es que en una arquitectura SaaS-AI, la superficie de ataque se extiende a cada dispositivo personal de cada empleado en cada proveedor de su cadena de suministro. Puede tener una higiene de endpoints perfecta en su empresa y aun así verse comprometido porque alguien a dos proveedores de distancia descargó el archivo incorrecto.

Detalle 2: Context AI lo sabía en marzo. Notificaron a un solo cliente.

El propio boletín de seguridad de Context AI, publicado en context.ai/security-update y actualizado el 21 de abril de 2026, revela este cronograma:

  • Marzo de 2026: Context AI detecta acceso no autorizado al entorno de AWS que aloja su producto obsoleto AI Office Suite. Contratan a CrowdStrike para el análisis forense, desactivan el entorno afectado y notifican a un cliente identificado como impactado.
  • Entre marzo y el 19 de abril: Los tokens de OAuth pertenecientes a "algunos" de sus usuarios consumidores permanecen comprometidos. No se realizan más notificaciones a los usuarios. No hay divulgación pública.
  • 19 de abril de 2026: Vercel publica su boletín de incidente de seguridad, habiendo rastreado de forma independiente el compromiso hasta Context AI a través de su propio análisis forense.
  • 21 de abril de 2026: Context AI actualiza su boletín con orientación adicional para el usuario. No hay un cronograma comprometido para notificar a los usuarios consumidores impactados restantes.
  • 22 de abril de 2026 (al momento de escribir esto): Todavía no hay un cronograma de notificación. Las personas cuyos tokens fueron comprometidos en febrero todavía no saben cuándo, o si, se les informará.

Esta es la parte que debería cambiar la forma en que los equipos técnicos piensan sobre la instalación de herramientas de IA de terceros. La detección de una brecha en el proveedor no es lo mismo que la divulgación hacia usted.

En muchos casos, no existe una obligación contractual o regulatoria para que el proveedor le informe que su servicio fue comprometido, incluso cuando el compromiso incluyó los tokens de OAuth que usted les entregó. Puede hacer todo bien por su parte —alcances de mínimo privilegio, MFA, acceso condicional, capacitación en seguridad— y aun así estar operando bajo el reloj del atacante durante meses, porque la única parte posicionada para advertirle es la parte que aún no quiere decir nada.

Detalle 3: La propia división de productos de Context AI confirma qué arquitectura sobrevive

Enterrada en el mismo boletín de Context AI hay una sola cláusula que tiene más peso que el resto del documento combinado.

El producto vulnerado fue la AI Office Suite, el producto de consumo obsoleto de Context AI. Su producto empresarial actual, Bedrock, no se vio afectado. La razón declarada por Context AI: Bedrock "se ejecuta en los entornos del cliente".

La misma empresa, con el mismo equipo de ingeniería, construyó dos productos con dos arquitecturas diferentes. El de intermediario SaaS —el que guardaba los tokens de OAuth en nombre del cliente en una nube centralizada— fue el que fue vulnerado. El que se ejecuta en el entorno del cliente —el que puso la IA junto a los datos en lugar de los datos junto a la IA— sobrevivió. No porque tuviera una mejor ingeniería de seguridad, sino porque no había una bóveda centralizada a la que los atacantes pudieran llegar.

No tienes que creer en la palabra de Caiioo de que la IA SaaS centralizada tiene un problema estructural. La propia línea de productos de Context AI lo confirma.

Qué significa esto para cualquiera que evalúe herramientas de IA

La lección estructural de consenso en la comunidad de investigación de seguridad —Trend Micro, Varonis, Halborn, OX Security, Strapi— es que los alcances amplios de OAuth de "Permitir todo" son el facilitador. Una vez emitidos, esos tokens evaden MFA y el acceso condicional. Un compromiso en el proveedor se convierte en un compromiso de cada cuenta derivada.

Siguen tres conclusiones:

  1. Prefiera alcances de mínimo privilegio donde el proveedor los ofrezca. Si una herramienta de IA solicita acceso de lectura y escritura a todo su Google Workspace para realizar una función de calendario, la solicitud es la señal de alerta.
  2. Prefiera proveedores cuya arquitectura no requiera tokens centralizados de larga duración en absoluto. Este es el movimiento estructural. Los modelos Bring Your Own Auth (BYOA), donde el cliente OAuth se aprovisiona en su propio proyecto de nube y los tokens permanecen en su dispositivo, eliminan por completo al proveedor de la cadena de confianza.
  3. No confíe en la divulgación del proveedor como un sistema de alerta temprana. El cronograma de Context AI —detección en marzo, notificación a un solo cliente, actualización del boletín del 21 de abril aún sin compromiso de notificación a más usuarios— no es un caso aislado. Es lo que produce la economía de la divulgación de incidentes en ausencia de obligaciones legales estrictas. Sus controles deben asumir que el proveedor no le informará a tiempo.

Cómo se construye Caiioo en torno a esto

Caiioo es un espacio de trabajo potente y centrado en la privacidad con un orquestador de agentes e interfaz de chat que se ejecuta en un panel lateral. La arquitectura se basa en la misma idea que la división de productos de Context AI confirma accidentalmente: el espacio de trabajo debe ejecutarse junto a tus datos, no guardar tus datos junto a él.

La versión corta: tus tokens de OAuth de Workspace se almacenan cifrados en tu dispositivo, no en una base de datos de Caiioo. Tus llamadas a la API de Gmail/Calendar/Drive van desde tu dispositivo directamente a Google, sin que nuestra infraestructura esté nunca en la ruta de los datos. El relevo que operamos —para la coordinación entre dispositivos, intercambios de OAuth y tráfico de licencias/facturación— se basa en Cloudflare Durable Objects por usuario (cada usuario está aislado por hardware de todos los demás) y utiliza cifrado de extremo a extremo en su bus de mensajes WebSocket (podemos enrutar mensajes pero no podemos leerlos). Nuestra base de datos central almacena la identidad de la cuenta, el estado de facturación y los metadatos de enrutamiento, no tu contenido, ni tus tokens de Workspace, ni tus conversaciones. El desglose técnico completo, incluyendo una tabla de tráfico que puedes verificar tú mismo con Little Snitch o Wireshark, se encuentra en nuestra publicación complementaria sobre la respuesta arquitectónica a esta brecha.

Eso significa que un incidente al estilo de Context AI contra Caiioo no podría producir las mismas consecuencias. No habría una bóveda de tokens expuesta, porque no hay bóveda de tokens. No habría un mes de silencio mientras decidimos cuándo informar a los usuarios, porque no habría nada en nuestra infraestructura que un atacante pudiera tomar de ningún usuario. El problema de que la detección del proveedor no sea tu divulgación desaparece cuando el proveedor no tiene nada tuyo que guardar en primer lugar.

Prueba Caiioo

Caiioo está disponible como extensión de navegador, aplicación nativa para macOS, iOS, Android y aplicación de escritorio para Windows y Linux. Comienza GRATIS.

Fuentes: