En vivo
InternacionalLa propaganda iraní en tiempos de tregua con EE.UU.Inteligencia ArtificialGuía para instalar Linux en tu PC sin miedoTecnologiaUna clave API expuesta: 18.000 dólares en Google CloudEmpresasMadrid densifica: más pisos a cambio de más cargasEmpresasRepsol, Moeve e Iryo se preparan para demandar por el apagónEmpresasEuropa ante la incertidumbre global: señal o ruidoEmpresasLa UE desbloquea 90.000 millones para Ucrania sin OrbánEmpresasOrmuz: cuando la guerra se diseña para mover mercadosEmpresasEl apagón de 2025: ¿quién paga la factura?Empresas¿Quién declara los intereses y dividendos en la Renta?InternacionalLa propaganda iraní en tiempos de tregua con EE.UU.Inteligencia ArtificialGuía para instalar Linux en tu PC sin miedoTecnologiaUna clave API expuesta: 18.000 dólares en Google CloudEmpresasMadrid densifica: más pisos a cambio de más cargasEmpresasRepsol, Moeve e Iryo se preparan para demandar por el apagónEmpresasEuropa ante la incertidumbre global: señal o ruidoEmpresasLa UE desbloquea 90.000 millones para Ucrania sin OrbánEmpresasOrmuz: cuando la guerra se diseña para mover mercadosEmpresasEl apagón de 2025: ¿quién paga la factura?Empresas¿Quién declara los intereses y dividendos en la Renta?
Buscar

Una clave API expuesta: 18.000 dólares en Google Cloud

Un desarrollador se fue a dormir con una alerta de 7 dólares configurada y amaneció con una factura de más de 18.000 dólares estadounidenses.

Por Carlos García·sábado, 25 de abril de 2026Actualizado hace 1 h·4 min lectura·1 vistas
Ilustración: Una clave API expuesta: 18.000 dólares en Google Cloud · El Diario Joven

Un desarrollador conocido en Reddit como venturaxi asegura que se fue a dormir con una alerta de presupuesto configurada en 10 dólares australianos —unos 7,15 dólares estadounidenses— y se despertó con una factura de 25.672,86 dólares australianos en Google Cloud, lo que equivale a algo más de 18.000 dólares estadounidenses. Según su testimonio, durante la noche se registraron unas 60.000 peticiones no autorizadas a través de una clave API comprometida. Es importante señalar desde el principio que el relato procede exclusivamente de su publicación en Reddit, no de una verificación independiente.

El primer malentendido que queda al descubierto en este caso es qué hace exactamente una alerta de presupuesto en Google Cloud. Según la propia documentación de Google, configurar un umbral de gasto solo activa una notificación cuando se alcanza esa cifra: no interrumpe el servicio ni bloquea el consumo. En condiciones normales, ese aviso puede ser suficiente para reaccionar. Cuando hay peticiones automatizadas y una clave expuesta de por medio, el contador sigue corriendo aunque el sistema ya haya enviado la alerta. La diferencia entre ser informado y ser protegido es, en este contexto, de miles de dólares.

Una clave API funciona como una contraseña de acceso que permite a una aplicación identificarse ante un servicio externo. Mientras está bien custodiada, cumple su función sin problemas. Si queda expuesta —por ejemplo, en un repositorio público o en el código de una aplicación mal configurada—, cualquiera puede usarla para generar peticiones que se cargarán a la cuenta del titular. Venturaxi sostiene que la clave comprometida procedía de una vieja aplicación sobre jardinería que había creado para su madre en Cloud Run, un servicio de Google para desplegar contenedores en la nube.

Una de las partes más confusas del incidente, según el propio usuario, fue localizar el origen del problema. En un primer momento no encontraba esa clave en la sección habitual de AI Studio, aunque Google la señalaba como responsable del consumo. Fue otro usuario de la comunidad quien le indicó que buscase en otra área del panel de Google Cloud. Venturaxi terminó identificando la clave por el nombre visible en el panel, no por la cadena completa, lo que dificultó seguir el rastro durante las primeras horas.

El laberinto del soporte

Si la parte técnica resultó complicada, la experiencia con el soporte no fue más sencilla. Según su relato, primero tuvo que lidiar con agentes automáticos, después con distintos miembros del equipo de atención y más tarde con responsables de escalado, sin contar en ningún momento con una persona que llevase el caso de manera continuada. También afirma que, mientras las peticiones seguían produciéndose, tuvo que insistir varias veces para que su situación fuese tratada como un compromiso de seguridad real.

Hay otro elemento que el usuario describe como especialmente desconcertante: el nivel de su cuenta de facturación. Según lo que dice haberle explicado Google, su cuenta fue elevada automáticamente a un nivel superior por su antigüedad e historial de pagos, aunque el proyecto donde se acumularon los cargos era mucho más reciente. Eso habría permitido que el consumo se disparase por encima de lo que un usuario nuevo podría generar, sin que recibiese una notificación específica ni diese su consentimiento expreso a ese cambio de categoría.

Un desenlace favorable, pero con preguntas sin respuesta

El caso terminó, siempre según el testimonio de venturaxi, con la anulación completa de la factura. Google también habría devuelto los 9.800 dólares que, según su relato, se habían intentado cobrar en cinco cargos progresivos. El resultado económico quedó resuelto a su favor, pero el usuario asegura que aún no había recibido una explicación clara sobre cómo quedó expuesta la clave, qué activó el salto de nivel de la cuenta ni de dónde procedía exactamente el tráfico que generó los cargos.

La historia ha tenido recorrido en la comunidad precisamente porque no aparece aislada. En los comentarios de la publicación y en otros hilos relacionados, varios desarrolladores aseguran haber vivido situaciones similares: cargos inesperados, claves comprometidas o disputas de facturación difíciles de gestionar. Eso no convierte cada testimonio en un hecho verificado, pero refleja una preocupación extendida entre quienes trabajan con servicios en la nube, especialmente en proyectos pequeños o en fase de prueba donde la atención a la seguridad puede ser menor.

El aviso práctico que deja este caso es claro: conviene revisar qué claves están activas, en qué proyectos y con qué permisos, incluso en aplicaciones aparentemente abandonadas. Las recomendaciones de seguridad de Google incluyen restringir las claves por dominio o dirección IP, rotarlas con regularidad y eliminar las que ya no se usan. Las alertas de presupuesto son útiles, pero no son un mecanismo de protección: solo avisan de que el problema ya está en marcha.

Compartir:XFacebookWhatsAppEmail
Etiquetasapiseguridaddesarrolladoresfacturaciongoogle cloudnube

Redactado por inteligencia artificial · Revisado por la redacción

También te puede interesar