Una clave API de Google Gemini de un desarrollador fue robada, generando más de 80,000 dólares en gastos en 48 horas

IT之家 4 de marzo, según reporta Tom’s Hardware, un usuario de Google Gemini publicó en Reddit que se encontraba “en estado de shock y pánico”, debido a un problema con la factura reciente que recibió su empresa de desarrollo de software.

Este usuario de Reddit, RatonVaquero, normalmente gasta solo 180 dólares al mes en el servicio Gemini AI (nota de IT: aproximadamente 1245 yuanes chinos al tipo de cambio actual). Sin embargo, en solo 48 horas el mes pasado, su cuenta generó un coste de 82,314.44 dólares (aproximadamente 569,000 yuanes chinos al tipo de cambio actual).

Alguien usurpó su cuenta, realizando llamadas masivas a Gemini 3 Pro para generar una gran cantidad de imágenes y textos. Si Google no decide eximirle de esta enorme factura causada por una posible fuga de la clave API, esa empresa podría enfrentarse a la bancarrota.

Sin embargo, ya era demasiado tarde. RatonVaquero acaba de tomar varias medidas correctivas: eliminar la clave comprometida, desactivar la API de Gemini, rotar las credenciales, activar la verificación en dos pasos en toda la plataforma, restringir estrictamente los permisos IAM y presentar un ticket de soporte. Pero, según la respuesta inicial del servicio de atención al cliente de Google, es muy probable que esa factura aún deba ser asumida por el usuario.

Por lo que ha comunicado con Google, lo más probable es que la compañía intente eludir su responsabilidad basándose en que el acuerdo exige a los usuarios gestionar su propia verificación de identidad, políticas de acceso, seguridad de red y protección de las claves API. Además, muchos usuarios de Reddit señalaron que el origen del problema de la fuga de la clave API podría estar en Google mismo, ya que la compañía habría relajado las reglas de confidencialidad de las claves API, permitiendo que los hackers las explotasen.

Como uno de los tres desarrolladores de la empresa de software mexicana afectada, RatonVaquero pide a Google “que tenga misericordia” y se queja de que Google ni siquiera cuenta con medidas básicas para proteger contra usos anómalos catastróficos.

El aumento de uso de 180 dólares mensuales a más de 82,000 dólares en solo 48 horas es, sin duda, un incremento extremadamente anormal.

También afirmó que Google debería ofrecer servicios temporales de congelación para revisión y límites de consumo por API.

Tras investigar este incidente de factura exorbitante, se puede concluir que:

Los usuarios personales o comunes de Gemini tienen límites de uso que no superan la tarifa mensual fija;

Los desarrolladores o usuarios de Google AI Studio en versión empresarial pueden establecer cuotas (limitando solicitudes diarias o por minuto);

Los usuarios de Google Cloud (Vertex AI) pueden configurar alertas de presupuesto, que notifican cuando se alcanza un monto determinado.

RatonVaquero indicó que en breve volverá a comunicarse con el soporte de Google y ya ha presentado una denuncia por ciberdelitos ante el FBI. Por ahora, solo puede esperar que la actitud de Google se suavice. Planea proporcionar los registros de anomalías que muestran un aumento de uso 455 veces superior, y solicitar una reducción de buena voluntad como víctima de un incidente de seguridad cibernética.