Un desarrollador se fue a dormir con una alerta de 10 dólares en Google Cloud: despertó con una factura de más de 18.000

La nube tiene algo de invisible hasta que llega la factura. Levantamos una aplicación, probamos una API, dejamos un presupuesto configurado y seguimos con nuestra vida pensando que el sistema avisará si algo se sale de lo previsto.

El problema es que avisar no es lo mismo que detener. Y esa diferencia, que puede parecer un matiz técnico, es justo la que separa una prueba controlada de una deuda enorme cuando una clave queda expuesta, alguien la utiliza y los cargos empiezan a acumularse sin que lo veamos.

Eso es lo que asegura que le ocurrió a venturaxi, un usuario de Reddit que ha contado su caso. Según cuenta GRYOnline.pl, se fue a dormir con una alerta de presupuesto configurada en 10 dólares australianos (unos 7,15 dólares estadounidenses) y se despertó con una factura de 25.672,86 dólares australianos en Google Cloud, algo más de 18.000 dólares estadounidenses al cambio.

El usuario sostiene que, durante la noche, se realizaron unas 60.000 peticiones no autorizadas a través de una clave API que al principio no lograba identificar. La historia, conviene subrayarlo desde el principio, procede de su testimonio público, no de una investigación independiente.

Una alerta puede sonar mientras la factura sigue creciendoLa clave está en un matiz que Google explica en su propia documentación sobre presupuestos: una alerta de presupuesto no detiene el consumo, solo envía notificaciones cuando se alcanzan determinados umbrales. Es decir, sirve para enterarnos de que el gasto se acerca o supera una cifra, pero no funciona como un interruptor que corta automáticamente el servicio.

En un uso normal puede ser suficiente para reaccionar a tiempo. En un escenario con peticiones automatizadas y una clave comprometida, en cambio, el contador puede seguir corriendo aunque el aviso ya se haya enviado.

La parte más delicada de esta historia se entiende mejor si dejamos por un momento la jerga. Una clave API es, a efectos prácticos, una llave que permite a una aplicación identificarse ante un servicio y decirle: soy esta cuenta, déjame pasar.

Mientras está bien guardada, cumple su función. Si queda expuesta, otra persona puede usarla para generar peticiones que se cargarán a esa cuenta.

Google recomienda proteger estas claves, rotarlas y restringirlas por dominio o IP. Venturaxi asegura que la clave usada procedía de una vieja app de jardinería creada para su madre en Cloud Run.

Ahí aparece una de las partes más confusas del caso. El usuario explica que, al principio, no encontraba esa clave en la lista habitual de claves de AI Studio, aunque Google la señalaba como origen del consumo.

Más tarde, según su actualización en Reddit, logró localizarla en otra sección del panel de Google Cloud gracias a la pista de otro usuario. La clave coincidía por el nombre visible, no por la clave completa, lo que complicaba seguir el rastro.

La parte más frustrante llegó cuando intentó pedir ayuda. En su publicación cuenta que primero trató con agentes automáticos, después con distintos miembros de soporte y más tarde con responsables de escalado, sin tener durante días una persona única que siguiera el caso de principio a fin.

También sostiene que, mientras las peticiones seguían produciéndose, tuvo que insistir varias veces en que su cuenta había sido comprometida antes de conseguir una escalada. El otro punto delicado está en el nivel de la cuenta.

Venturaxi sostiene que su cuenta de facturación fue elevada automáticamente a un nivel superior por su antigüedad e historial de pagos, aunque el proyecto afectado era mucho más reciente. Según la explicación que dice haber recibido de Google, ese cambio respondía a una relación de confianza asociada a la cuenta, no necesariamente al proyecto concreto.

El resultado, siempre según su relato, fue que pudo consumir más de lo que esperaba, sin una notificación clara ni un consentimiento específico.

En Xataka Ya tenemos el primer malware desarrollado con una IA.

La gran preocupación es sobre cuántos desconocemos su existencia

El caso ha tenido recorrido precisamente porque no aparece aislado en la conversación. En Reddit, otros usuarios aseguran haber pasado por sustos parecidos con cargos inesperados, claves comprometidas o disputas de facturación difíciles de resolver.

Eso no convierte cada relato en una prueba verificada pero nos da una idea de lo que estaría sucediendo. Al mismo tiempo, ayuda a entender por qué la publicación de venturaxi ha resonado: apunta a una preocupación compartida por varios desarrolladores.

Según el desarrollador, la factura de 25.672,86 dólares australianos terminó siendo anulada y Google también habría devuelto los 9.800 dólares que, siempre según su relato, se habían repartido en cinco intentos de cobro crecientes. El desenlace económico, por tanto, habría quedado resuelto a su favor.

Aun así, el usuario sostiene que seguía sin respuestas claras sobre varios puntos del incidente: cómo quedó expuesta la clave, qué activó el salto de nivel de la cuenta o de dónde procedía exactamente el tráfico.

La factura de 25.672,86 dólares australianos terminó siendo anulada

Lo más llamativo de esta historia no es solo la cifra, sino lo fácil que resulta entender cómo algo así puede salirse de control. No hablamos de un gran despliegue ni de una infraestructura enorme, sino de una clave, una app antigua y una alerta que no hacía lo que muchos usuarios podrían imaginar.

Ahí está el aviso para cualquiera que trabaje con estos servicios, incluso en pruebas pequeñas: conviene revisar qué queda abierto, qué límites son reales y qué herramientas solo nos informan de que el problema ya está en marcha.