Un desarrollador australiano despertó con una factura imprevista de casi 18.400 dólares después de que una clave API olvidada y publicada en un proyecto público de Google Cloud fuera explotada por un atacante. Este incidente, ocurrido a mediados de marzo, pone de manifiesto riesgos relevantes en la seguridad y gestión de costes en plataformas en la nube.
El afectado, Jesse Davies, consultor especializado en inteligencia artificial y fundador de Agentic Labs, tenía configurado un presupuesto mensual de apenas 7 dólares (10 AUD), sin embargo, en cuestión de horas, su cuenta acumuló un gasto superior a 18.000 dólares americanos por solicitudes automatizadas que utilizaron amplitud de servicios de Google Cloud, especialmente el API de Gemini, un modelo de IA generativa.
Cómo una clave API pública provocó la multa elevada en Google Cloud
El origen del problema fue una clave API almacenada como variable de entorno en texto plano dentro de un contenedor asociado a un servicio público de Cloud Run que había sido publicado meses antes desde AI Studio. El enlace al servicio nunca fue compartido ni indexado, pero fue detectado por atacantes tras escanear públicamente repositorios de código, donde la clave API estaba incluida en un proyecto disponible en GitHub.
El atacante realizó 63.472 peticiones en un lapso de unas 3 horas, lo que disparó el consumo de servicios de IA con costes que, en Google Cloud, pueden acumularse rápidamente debido a la tarificación basada en tokens de entrada y salida y que alcanza hasta 0,00125 dólares por cada 1.000 caracteres generados en Gemini Pro.
Además, el sistema de alertas y protecciones automáticas de Google Cloud no detuvo el gasto excesivo. Davies tenía configurado un presupuesto de 10 AUD, que solo genera notificaciones pero no actúa para detener el gasto, y un límite de gasto aproximado de 1.400 dólares que tampoco se aplicó debido a que Google Cloud no impone bloqueos rígidos automáticamente y subió el nivel de facturación del proyecto al superar ciertos umbrales sin avisar al usuario.
Estas decisiones automáticas de escalado de cuota, diseñadas para facilitar la escalabilidad de servicios, pueden acarrear que un ataque o error provoque costes imprevistos y difíciles de controlar.
Fallos comunes y recomendaciones para evitar sorpresas en Google Cloud
Este incidente pone en evidencia muchos errores habituales entre desarrolladores y empresas que usan servicios en la nube. Según informes de seguridad, alrededor del 20% de los incidentes de seguridad en la nube tienen su origen en claves o credenciales expuestas en repositorios de código públicos, un problema conocido pero que persiste.
Para mitigar estos riesgos, las mejores prácticas recomendadas para Google Cloud y otras plataformas incluyen:
- No hardcodear claves API en código accesible; utilizar gestores de secretos como Google Secret Manager.
- Limitar los permisos de las claves API y usar repositorios privados para desarrollo cuando sea posible.
- Configurar cuotas estrictas a nivel de API para reducir el impacto de abusos o errores.
- Establecer presupuestos con acciones automáticas que puedan bloquear el consumo cuando se superen ciertos límites, empleando herramientas de Pub/Sub y funciones de Cloud para pausar proyectos.
- Implementar sistemas de monitorización y alertas 24/7 para detectar anomalías rápidamente.
La respuesta de Google y las consecuencias para el usuario
Tras descubrir el gasto abusivo, Davies contactó con el soporte de Google, algo no inmediato, y logró que la empresa realizase un reembolso total de la cantidad afectada, en línea con su política para casos de uso no autorizado. La clave API fue revocada y el repositorio asociado puesto en privado para evitar nuevos ataques.
Pese a este desenlace favorable, la situación no está exenta de críticas hacia Google Cloud por la configuración por defecto de sus sistemas, que no aplican límites rígidos ni bloqueos preventivos, y por la capacidad del atacante de aprovechar una clave pública que debería haberse protegido mejor.
De hecho, otros usuarios en comunidades como Reddit han relatado experiencias similares, algunas con facturas aún más elevadas, lo que indica que el problema no es aislado.
Expertos en ciberseguridad alertan desde hace tiempo del riesgo del abuso de claves API en servicios de inteligencia artificial y cloud, y abogan por revisiones y mejoras en las políticas de gestión y facturación.
Lecciones para evitar facturas inesperadas en la nube
Para desarrolladores y empresas que trabajen con Google Cloud o servicios similares, este caso muestra la importancia de no bajar la guardia ni descuidar controles básicos de seguridad, especialmente con tecnologías emergentes como IA generativa que pueden disparar costes en poco tiempo.
El uso adecuado de sistemas de gestión de claves, configuraciones de presupuesto con acciones automáticas y una monitorización constante son imprescindibles para evitar incidentes económicos graves. Además, conviene exigir a los proveedores soluciones que faciliten límites efectivos y una comunicación clara en caso de consumos extraordinarios.
Este episodio no solo evidencia un fallo puntual, sino también un desafío más amplio: la complejidad creciente en el manejo seguro y eficiente de servicios en la nube exige un enfoque riguroso, tanto por parte de los usuarios como de los proveedores.
Así, comprender el funcionamiento y las limitaciones del modelo de precios y las herramientas de seguridad de Google Cloud es clave para prevenir sorpresas que pueden impactar tanto a proyectos personales como a negocios.
