IMPORTADO / SEGURIDAD

¿VERCEL ES SEGURO? ANÁLISIS DE SEGURIDAD 2026 | VIBEEVAL

Infraestructura de nivel enterprise

Vercel proporciona seguridad de infraestructura robusta — HTTPS automático, CDN global con protección contra DDoS y gestión de secretos cifrados. La plataforma se encarga de la seguridad de la infraestructura para que tú te concentres en la seguridad de la aplicación.

Pero: Vercel mueve la frontera de seguridad hacia arriba, hacia tu código y la configuración de tu cuenta. La plataforma en sí es sólida, pero la superficie de ataque que queda — Edge Functions, middleware, env vars, integraciones OAuth — es justamente la superficie donde han ocurrido los incidentes de los últimos dos años.

Consideraciones de seguridad

Funciones serverless

Las funciones Edge y serverless pueden exponer vulnerabilidades de API. Implementa autenticación y validación de entrada adecuadas. Patrones de fallo más comunes: sin rate limit (una URL filtrada de un proxy a OpenAI te cuesta por hora), sin validación de input (una operación tipo eval sobre input de usuario), o lógica de auth que solo cubre el happy path y en el negativo continúa con next() en vez de 401.

// middleware.ts — chequeo de auth mínimo que sí rechaza
import { NextResponse } from "next/server";

export function middleware(req: Request) {
  const token = req.headers.get("authorization");
  if (!token || !verifyJwt(token)) {
    return new NextResponse("Unauthorized", { status: 401 });
  }
  return NextResponse.next();
}

export const config = { matcher: ["/api/:path*"] };

Variables de entorno

El scope de las variables de entorno importa. Los deploys de preview no deberían tener credenciales de producción. El incidente de abril de 2026 relacionado con la app OAuth de Context.ai expuso variables de entorno que no estaban marcadas como “sensibles” en algunos clientes de Vercel, incluyendo claves de API y credenciales de BD.

Tres reglas que recomendamos en cada auditoría:

  1. Usa el flag Sensitive. En Vercel, “Sensitive” no es solo cosmética — los valores desaparecen de logs, lecturas de dashboard y muchos scopes OAuth. Aplícalo a cada secreto, sin excepción.
  2. Separa credenciales de preview. Una BD sandbox aparte, una clave de Stripe Test aparte. Si la rama de preview filtra (y filtra, esa es su naturaleza), el daño queda acotado.
  3. Prohíbe vercel env pull en CI. El comando escribe todas las env vars en texto plano en un archivo .env local. Los logs de CI tienen la costumbre de terminar en discos locales — y luego en S3.

Deploys de preview

Los deploys de preview son públicamente accesibles por default. Configura autenticación para proyectos sensibles. Para cualquier proyecto que hable con APIs reales o tenga flujos de auth reales, activa Deployment Protection: Standard para reviews internos, SSO para equipos con IdP, o Password Protection para stakeholders externos.

Código de la aplicación

Vercel protege la infraestructura, no tu código. XSS, problemas de autenticación y vulnerabilidades de API son tu responsabilidad. Configura los headers de seguridad vía vercel.json una vez globalmente, en lugar de confiar en cada ruta:

{
  "headers": [
    {
      "source": "/(.*)",
      "headers": [
        { "key": "Strict-Transport-Security", "value": "max-age=63072000; includeSubDomains; preload" },
        { "key": "X-Content-Type-Options", "value": "nosniff" },
        { "key": "X-Frame-Options", "value": "DENY" },
        { "key": "Referrer-Policy", "value": "strict-origin-when-cross-origin" },
        { "key": "Content-Security-Policy", "value": "default-src 'self'; script-src 'self'" }
      ]
    }
  ]
}

Edge Middleware

El middleware corre en el edge antes de cada ruta. Eso es poderoso — y peligroso si un refactor lo apaga silenciosamente. Pinea los paths del matcher explícitamente en lugar de abrirlos con wildcards y escribe un test por middleware que verifique 401 ante una request no autenticada.

Integraciones OAuth en el dashboard

Vercel permite que apps OAuth de terceros se vinculen a tu cuenta — bots de Slack, herramientas de CI/CD, plataformas de observabilidad. Cada una tiene un scope, y el scope por default suele ser más amplio de lo necesario. Audita en Account Settings → Integrations al menos cada trimestre qué se sigue usando de verdad y revoca el resto.

Evaluación de seguridad

Puntos fuertes

    • Seguridad de infraestructura enterprise-grade
    • HTTPS automático y TLS 1.3
    • Protección contra DDoS embebida
    • Conformidad SOC 2 Type II
    • Variables de entorno cifradas
    • Controles de acceso en deploys de preview

Preocupaciones

    • La seguridad de la aplicación es responsabilidad del desarrollador
    • Las funciones serverless pueden exponer vulnerabilidades
    • Las variables de entorno necesitan scope adecuado
    • Los deploys de preview pueden exponer features sensibles
    • Las apps OAuth de terceros (como el incidente Context.ai de abril/2026) pueden acceder a env vars no marcadas como sensibles

Aspectos enterprise

En los planes Pro y Enterprise, Vercel ofrece funciones relevantes para entornos regulados:

  • SSO vía SAML. En Enterprise, Vercel fuerza SSO para todos los miembros del team. Para cualquiera que hable con auditores: esa es la respuesta a “¿quién tiene acceso al dashboard de deployments?”.
  • Audit logs. Cada acción del dashboard (deployment, edición de env var, cambio de dominio) queda logueada. Stream a S3, Datadog o Splunk. Sin backup externo, en un incidente solo tienes lo que el UI de Vercel te muestra.
  • Frontera SOC 2. Vercel cumple SOC 2 Type II, pero la conformidad aplica a operaciones de la plataforma. Tu código, tu higiene de env vars y tus apps OAuth quedan fuera de la frontera — y esa es exactamente la capa donde ocurren los incidentes.
  • Secure Compute. En Enterprise hay workers dedicados de build y runtime, allowlists de IP de salida y Vercel Functions privadas. Necesario para workloads regulados, no reemplaza la seguridad de la app.

El veredicto

Vercel es una plataforma de deploy segura, con excelente seguridad de infraestructura. La conformidad SOC 2 y las funciones automáticas de seguridad la hacen adecuada para producción. Concentra tus esfuerzos de seguridad en el código de tu aplicación, los endpoints de la API y la gestión correcta de variables de entorno — especialmente en qué apps OAuth autorizaste a acceder a tu dashboard.

Tres chequeos antes de cada lanzamiento: (1) Cada env var que no debe llegar al navegador está marcada como Sensitive. (2) Deployment Protection está activo en Preview. (3) Cada app OAuth bajo Integrations se sigue usando, o está revocada.

Recursos relacionados

Cómo proteger Vercel

Guía paso a paso de seguridad — scoping de env vars, patrones de middleware, configuración de headers, auditoría de OAuth.

Checklist de seguridad de Vercel

Checklist de seguridad interactiva pre-lanzamiento.

Token Leak Checker

Encuentra claves de API y secretos filtrados en tu bundle de frontend o en logs de build.

Auditoría de Edge Functions

Revisa cada Edge y Serverless Function en busca de auth ausente, falta de rate limit y validación de input.

Riesgos de seguridad de vibe coding

Resumen de los patrones de fallo que el código generado por IA introduce típicamente en apps deployadas en Vercel.

Escanea tu app Vercel

Deja que VibeEval escanee tu deploy en Vercel en busca de vulnerabilidades de seguridad — env vars filtradas en el bundle, URLs de preview desprotegidas, agujeros de auth en API routes, headers de seguridad ausentes. Resultados en menos de 60 segundos, con archivo y número de línea para corregir.

/ FAQ

COMMON QUESTIONS

01
¿Vercel es seguro como plataforma?
Sí. Vercel cumple SOC 2 Type II, termina TLS 1.3 automáticamente, protege contra DDoS en el edge y cifra las variables de entorno en reposo. Las vulnerabilidades que encontramos en apps de Vercel casi siempre están en el código de la aplicación, en env vars mal scoped o en apps OAuth de terceros con permisos amplios sobre el dashboard — no en la plataforma.
Q&A
02
¿Qué fue el incidente de Context.ai en abril de 2026?
Una app OAuth llamada Context.ai tenía scopes amplios en muchas cuentas de Vercel, incluyendo lectura de todas las variables de entorno — no solo las marcadas como sensibles. Cuando el proveedor OAuth fue comprometido, las env vars exfiltradas quedaron expuestas. Lección: usa el flag Sensitive, audita las apps OAuth de terceros con regularidad y no espejes secretos de producción en scopes de preview.
Q&A
03
¿Los deploys de preview de Vercel son públicos por default?
Sí. Cada push a una rama con integración Vercel genera una URL pública adivinable. Activa `Deployment Protection` (Standard, SSO o Password) para cada proyecto con lógica de auth no trivial o claves API reales, o cualquiera con la URL de la rama puede pegarle a tus features WIP.
Q&A
04
¿Cómo scope correctamente las variables de entorno?
Vercel tiene tres scopes: Production, Preview, Development. Los secretos de producción solo van en Production. Preview necesita credenciales propias y de bajo privilegio (clave Stripe distinta, BD sandbox). Marca como Sensitive todo lo que no debe llegar al navegador — los valores Sensitive dejan de ser visibles en el dashboard y en las lecturas OAuth.
Q&A
/ NEXT STEP

ANALIZA TU APP

14 días de prueba. Sin tarjeta. Resultados en menos de 60 segundos.

INICIAR ESCANEO GRATIS