![\"Un](\"https:\/\/i.blogs.es\/3b18c4\/factura-google-cloud-portada\/1024_2000.jpeg\")
\n <\/p>\n\n \n <\/p>\n
La nube tiene algo de invisible hasta que llega la factura. Levantamos una aplicaci\u00f3n, probamos una API<\/a>, dejamos un presupuesto configurado y seguimos con nuestra vida pensando que el sistema avisar\u00e1 si algo se sale de lo previsto. El problema es que avisar no es lo mismo que detener<\/strong>. Y esa diferencia, que puede parecer un matiz t\u00e9cnico, es justo la que separa una prueba controlada de una deuda enorme cuando una clave queda expuesta, alguien la utiliza y los cargos empiezan a acumularse sin que lo veamos.<\/p>\n <\/p>\n Eso es lo que asegura que le ocurri\u00f3 a venturaxi, un usuario de Reddit que ha contado su caso. Seg\u00fan cuenta GRYOnline.pl<\/a>, se fue a dormir con una alerta de presupuesto configurada en 10 d\u00f3lares australianos (unos 7,15 d\u00f3lares estadounidenses) y se despert\u00f3 con una factura de 25.672,86 d\u00f3lares australianos en Google Cloud, algo m\u00e1s de 18.000 d\u00f3lares estadounidenses al cambio. El usuario sostiene que, durante la noche, se realizaron unas 60.000 peticiones no autorizadas a trav\u00e9s de una clave API que al principio no lograba identificar. La historia, conviene subrayarlo desde el principio, procede de su testimonio p\u00fablico, no de una investigaci\u00f3n independiente.<\/p>\n <\/p>\n La clave est\u00e1 en un matiz que Google explica en su propia documentaci\u00f3n<\/a> sobre presupuestos: una alerta de presupuesto no detiene el consumo, solo env\u00eda notificaciones cuando se alcanzan determinados umbrales. Es decir, sirve para enterarnos de que el gasto se acerca o supera una cifra, pero no funciona como un interruptor que corta autom\u00e1ticamente el servicio. En un uso normal puede ser suficiente para reaccionar a tiempo. En un escenario con peticiones automatizadas y una clave comprometida, en cambio, el contador puede seguir corriendo aunque el aviso ya se haya enviado.<\/p>\n La parte m\u00e1s delicada de esta historia se entiende mejor si dejamos por un momento la jerga. Una clave API es, a efectos pr\u00e1cticos, una llave que permite a una aplicaci\u00f3n identificarse ante un servicio y decirle: soy esta cuenta, d\u00e9jame pasar. Mientras est\u00e1 bien guardada, cumple su funci\u00f3n. Si queda expuesta, otra persona puede usarla para generar peticiones que se cargar\u00e1n a esa cuenta. Google recomienda proteger estas claves, rotarlas y restringirlas por dominio o IP. Venturaxi asegura que la clave usada proced\u00eda de una vieja app de jardiner\u00eda creada para su madre en Cloud Run<\/a>.<\/p>\n <\/p>\n Ah\u00ed aparece una de las partes m\u00e1s confusas del caso. El usuario explica que, al principio, no encontraba esa clave en la lista habitual de claves de AI Studio, aunque Google la se\u00f1alaba como origen del consumo. M\u00e1s tarde, seg\u00fan su actualizaci\u00f3n en Reddit<\/a>, logr\u00f3 localizarla en otra secci\u00f3n del panel de Google Cloud gracias a la pista de otro usuario. La clave coincid\u00eda por el nombre visible, no por la clave completa<\/strong>, lo que complicaba seguir el rastro.<\/p>\n La parte m\u00e1s frustrante lleg\u00f3 cuando intent\u00f3 pedir ayuda. En su publicaci\u00f3n cuenta que primero trat\u00f3 con agentes autom\u00e1ticos, despu\u00e9s con distintos miembros de soporte y m\u00e1s tarde con responsables de escalado, sin tener durante d\u00edas una persona \u00fanica que siguiera el caso de principio a fin. Tambi\u00e9n sostiene que, mientras las peticiones segu\u00edan produci\u00e9ndose, tuvo que insistir varias veces en que su cuenta hab\u00eda sido comprometida antes de conseguir una escalada.<\/p>\n <\/p>\n El otro punto delicado est\u00e1 en el nivel de la cuenta. Venturaxi sostiene que su cuenta de facturaci\u00f3n fue elevada autom\u00e1ticamente<\/strong> a un nivel superior por su antig\u00fcedad e historial de pagos, aunque el proyecto afectado era mucho m\u00e1s reciente. Seg\u00fan la explicaci\u00f3n que dice haber recibido de Google, ese cambio respond\u00eda a una relaci\u00f3n de confianza asociada a la cuenta, no necesariamente al proyecto concreto. El resultado, siempre seg\u00fan su relato, fue que pudo consumir m\u00e1s de lo que esperaba, sin una notificaci\u00f3n clara ni un consentimiento espec\u00edfico.<\/p>\n Ya tenemos el primer malware desarrollado con una IA. La gran preocupaci\u00f3n es sobre cu\u00e1ntos desconocemos su existencia<\/a>\n <\/div>\n<\/p><\/div>\n<\/p><\/div>\n<\/div>\n El caso ha tenido recorrido precisamente porque no aparece aislado en la conversaci\u00f3n. En Reddit, otros usuarios aseguran<\/a> haber pasado por sustos parecidos con cargos inesperados, claves comprometidas o disputas de facturaci\u00f3n dif\u00edciles de resolver. Eso no convierte cada relato en una prueba verificada pero nos da una idea de lo que estar\u00eda sucediendo. Al mismo tiempo, ayuda a entender por qu\u00e9 la publicaci\u00f3n de venturaxi ha resonado: apunta a una preocupaci\u00f3n compartida por varios desarrolladores.<\/p>\n <\/p>\n Seg\u00fan el desarrollador, la factura de 25.672,86 d\u00f3lares australianos t<\/strong>ermin\u00f3<\/strong> siendo anulada<\/strong> y Google tambi\u00e9n habr\u00eda devuelto los 9.800 d\u00f3lares que, siempre seg\u00fan su relato, se hab\u00edan repartido en cinco intentos de cobro crecientes. El desenlace econ\u00f3mico, por tanto, habr\u00eda quedado resuelto a su favor. Aun as\u00ed, el usuario sostiene que segu\u00eda sin respuestas claras sobre varios puntos del incidente: c\u00f3mo qued\u00f3 expuesta la clave, qu\u00e9 activ\u00f3 el salto de nivel de la cuenta o de d\u00f3nde proced\u00eda exactamente el tr\u00e1fico.<\/p>\n Lo m\u00e1s llamativo de esta historia no es solo la cifra, sino lo f\u00e1cil que resulta entender c\u00f3mo algo as\u00ed puede salirse de control. No hablamos de un gran despliegue ni de una infraestructura enorme, sino de una clave, una app antigua y una alerta que no hac\u00eda lo que muchos usuarios podr\u00edan imaginar. Ah\u00ed est\u00e1 el aviso para cualquiera que trabaje con estos servicios, incluso en pruebas peque\u00f1as: conviene revisar qu\u00e9 queda abierto, qu\u00e9 l\u00edmites son reales y qu\u00e9 herramientas solo nos informan de que el problema ya est\u00e1 en marcha.<\/p>\n <\/p>\n Im\u00e1genes | Xataka con Grok | charlesdeluvio<\/a><\/p>\n En Xataka | Te llega una oferta de trabajo de Spotify y otra de Disney. Lo que hay detr\u00e1s es una estafa de phishing esperando<\/a><\/p>\n – \u00a0La nube tiene algo de invisible hasta que llega la factura. Levantamos una aplicaci\u00f3n, probamos una API, dejamos un presupuesto configurado y seguimos con nuestra vida pensando que el sistema avisar\u00e1 si algo se sale de lo previsto. El problema es que avisar no es lo mismo que detener. Y esa diferencia, que puede parecer un matiz t\u00e9cnico, es justo la que separa una prueba controlada de una deuda enorme cuando una clave queda expuesta, alguien la utiliza y los cargos empiezan a acumularse sin que lo veamos.<\/p>\n Eso es lo que asegura que le ocurri\u00f3 a venturaxi, un usuario de Reddit que ha contado su caso. Seg\u00fan cuenta GRYOnline.pl, se fue a dormir con una alerta de presupuesto configurada en 10 d\u00f3lares australianos (unos 7,15 d\u00f3lares estadounidenses) y se despert\u00f3 con una factura de 25.672,86 d\u00f3lares australianos en Google Cloud, algo m\u00e1s de 18.000 d\u00f3lares estadounidenses al cambio. El usuario sostiene que, durante la noche, se realizaron unas 60.000 peticiones no autorizadas a trav\u00e9s de una clave API que al principio no lograba identificar. La historia, conviene subrayarlo desde el principio, procede de su testimonio p\u00fablico, no de una investigaci\u00f3n independiente.<\/p>\n Una alerta puede sonar mientras la factura sigue creciendoLa clave est\u00e1 en un matiz que Google explica en su propia documentaci\u00f3n sobre presupuestos: una alerta de presupuesto no detiene el consumo, solo env\u00eda notificaciones cuando se alcanzan determinados umbrales. Es decir, sirve para enterarnos de que el gasto se acerca o supera una cifra, pero no funciona como un interruptor que corta autom\u00e1ticamente el servicio. En un uso normal puede ser suficiente para reaccionar a tiempo. En un escenario con peticiones automatizadas y una clave comprometida, en cambio, el contador puede seguir corriendo aunque el aviso ya se haya enviado.<\/p>\n La parte m\u00e1s delicada de esta historia se entiende mejor si dejamos por un momento la jerga. Una clave API es, a efectos pr\u00e1cticos, una llave que permite a una aplicaci\u00f3n identificarse ante un servicio y decirle: soy esta cuenta, d\u00e9jame pasar. Mientras est\u00e1 bien guardada, cumple su funci\u00f3n. Si queda expuesta, otra persona puede usarla para generar peticiones que se cargar\u00e1n a esa cuenta. Google recomienda proteger estas claves, rotarlas y restringirlas por dominio o IP. Venturaxi asegura que la clave usada proced\u00eda de una vieja app de jardiner\u00eda creada para su madre en Cloud Run. La parte m\u00e1s frustrante lleg\u00f3 cuando intent\u00f3 pedir ayuda. En su publicaci\u00f3n cuenta que primero trat\u00f3 con agentes autom\u00e1ticos, despu\u00e9s con distintos miembros de soporte y m\u00e1s tarde con responsables de escalado, sin tener durante d\u00edas una persona \u00fanica que siguiera el caso de principio a fin. Tambi\u00e9n sostiene que, mientras las peticiones segu\u00edan produci\u00e9ndose, tuvo que insistir varias veces en que su cuenta hab\u00eda sido comprometida antes de conseguir una escalada. En Xataka<\/p>\n Ya tenemos el primer malware desarrollado con una IA. La gran preocupaci\u00f3n es sobre cu\u00e1ntos desconocemos su existencia<\/p>\n El caso ha tenido recorrido precisamente porque no aparece aislado en la conversaci\u00f3n. En Reddit, otros usuarios aseguran haber pasado por sustos parecidos con cargos inesperados, claves comprometidas o disputas de facturaci\u00f3n dif\u00edciles de resolver. Eso no convierte cada relato en una prueba verificada pero nos da una idea de lo que estar\u00eda sucediendo. Al mismo tiempo, ayuda a entender por qu\u00e9 la publicaci\u00f3n de venturaxi ha resonado: apunta a una preocupaci\u00f3n compartida por varios desarrolladores. La factura de 25.672,86 d\u00f3lares australianos termin\u00f3 siendo anulada<\/p>\n Lo m\u00e1s llamativo de esta historia no es solo la cifra, sino lo f\u00e1cil que resulta entender c\u00f3mo algo as\u00ed puede salirse de control. No hablamos de un gran despliegue ni de una infraestructura enorme, sino de una clave, una app antigua y una alerta que no hac\u00eda lo que muchos usuarios podr\u00edan imaginar. Ah\u00ed est\u00e1 el aviso para cualquiera que trabaje con estos servicios, incluso en pruebas peque\u00f1as: conviene revisar qu\u00e9 queda abierto, qu\u00e9 l\u00edmites son reales y qu\u00e9 herramientas solo nos informan de que el problema ya est\u00e1 en marcha.<\/p>\n Im\u00e1genes | Xataka con Grok | charlesdeluvio<\/p>\n En Xataka | Te llega una oferta de trabajo de Spotify y otra de Disney. Lo que hay detr\u00e1s es una estafa de phishing esperando<\/p>\n – La noticia<\/p>\n Un desarrollador se fue a dormir con una alerta de 10 d\u00f3lares en Google Cloud: despert\u00f3 con una factura de m\u00e1s de 18.000 <\/p>\n fue publicada originalmente en<\/p>\n Xataka <\/p>\n por <\/p>\n Javier Marquez<\/p>\n .\u00a0\u00a0\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":" La nube tiene algo de invisible hasta que llega la factura. Levantamos una aplicaci\u00f3n, probamos una API, dejamos un presupuesto configurado y seguimos con nuestra vida pensando que el sistema avisar\u00e1 si algo se sale de lo previsto. El problema es que avisar no es lo mismo que detener. Y esa diferencia, que puede parecer […]<\/p>\n","protected":false},"author":1,"featured_media":23457,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"amp_status":"","footnotes":""},"categories":[6],"tags":[],"class_list":["post-23456","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciencia-y-tecnologia"],"_links":{"self":[{"href":"https:\/\/ermdigital.com\/index.php\/wp-json\/wp\/v2\/posts\/23456","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ermdigital.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ermdigital.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ermdigital.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/ermdigital.com\/index.php\/wp-json\/wp\/v2\/comments?post=23456"}],"version-history":[{"count":0,"href":"https:\/\/ermdigital.com\/index.php\/wp-json\/wp\/v2\/posts\/23456\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/ermdigital.com\/index.php\/wp-json\/wp\/v2\/media\/23457"}],"wp:attachment":[{"href":"https:\/\/ermdigital.com\/index.php\/wp-json\/wp\/v2\/media?parent=23456"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ermdigital.com\/index.php\/wp-json\/wp\/v2\/categories?post=23456"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ermdigital.com\/index.php\/wp-json\/wp\/v2\/tags?post=23456"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Una alerta puede sonar mientras la factura sigue creciendo<\/strong><\/h2>\n
\n\n\n<\/div>\n<\/p><\/div>\n<\/p><\/div>\n<\/div>\n\n\n![\"Desarrollador\"](\"https:\/\/i.blogs.es\/ad8a75\/desarrollador\/450_1000.jpeg\")
<\/p><\/div>\n<\/div>\n\n\n\n\n
\n ![\"Ya](\"https:\/\/i.blogs.es\/f40b9b\/malware-ia-portada\/375_142.jpeg\")
\n <\/a>\n <\/div>\n\n\n En Xataka<\/a>\n <\/div>\n\n\nLa factura de 25.672,86 d\u00f3lares australianos termin\u00f3 siendo anulada<\/div>\n<\/p><\/div>\n<\/div>\n
La noticia
\n
\n Un desarrollador se fue a dormir con una alerta de 10 d\u00f3lares en Google Cloud: despert\u00f3 con una factura de m\u00e1s de 18.000 <\/em>
\n <\/a>
\n fue publicada originalmente en
\n
\n Xataka <\/strong>
\n <\/a>
\n por
\n
\n Javier Marquez
\n <\/a>
\n . <\/p>\n
\nAh\u00ed aparece una de las partes m\u00e1s confusas del caso. El usuario explica que, al principio, no encontraba esa clave en la lista habitual de claves de AI Studio, aunque Google la se\u00f1alaba como origen del consumo. M\u00e1s tarde, seg\u00fan su actualizaci\u00f3n en Reddit, logr\u00f3 localizarla en otra secci\u00f3n del panel de Google Cloud gracias a la pista de otro usuario. La clave coincid\u00eda por el nombre visible, no por la clave completa, lo que complicaba seguir el rastro.<\/p>\n
\nEl otro punto delicado est\u00e1 en el nivel de la cuenta. Venturaxi sostiene que su cuenta de facturaci\u00f3n fue elevada autom\u00e1ticamente a un nivel superior por su antig\u00fcedad e historial de pagos, aunque el proyecto afectado era mucho m\u00e1s reciente. Seg\u00fan la explicaci\u00f3n que dice haber recibido de Google, ese cambio respond\u00eda a una relaci\u00f3n de confianza asociada a la cuenta, no necesariamente al proyecto concreto. El resultado, siempre seg\u00fan su relato, fue que pudo consumir m\u00e1s de lo que esperaba, sin una notificaci\u00f3n clara ni un consentimiento espec\u00edfico.<\/p>\n
\nSeg\u00fan el desarrollador, la factura de 25.672,86 d\u00f3lares australianos termin\u00f3 siendo anulada y Google tambi\u00e9n habr\u00eda devuelto los 9.800 d\u00f3lares que, siempre seg\u00fan su relato, se hab\u00edan repartido en cinco intentos de cobro crecientes. El desenlace econ\u00f3mico, por tanto, habr\u00eda quedado resuelto a su favor. Aun as\u00ed, el usuario sostiene que segu\u00eda sin respuestas claras sobre varios puntos del incidente: c\u00f3mo qued\u00f3 expuesta la clave, qu\u00e9 activ\u00f3 el salto de nivel de la cuenta o de d\u00f3nde proced\u00eda exactamente el tr\u00e1fico.<\/p>\n