{"id":105,"date":"2026-02-28T12:14:59","date_gmt":"2026-02-28T12:14:59","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/02\/28\/miles-de-claves-api-publicas-de-google-cloud-expuestas-con-gemini-access-despues-de-la-habilitacion-de-api-cyberdefensa-mx\/"},"modified":"2026-02-28T12:14:59","modified_gmt":"2026-02-28T12:14:59","slug":"miles-de-claves-api-publicas-de-google-cloud-expuestas-con-gemini-access-despues-de-la-habilitacion-de-api-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/02\/28\/miles-de-claves-api-publicas-de-google-cloud-expuestas-con-gemini-access-despues-de-la-habilitacion-de-api-cyberdefensa-mx\/","title":{"rendered":"Miles de claves API p\u00fablicas de Google Cloud expuestas con Gemini Access despu\u00e9s de la habilitaci\u00f3n de API \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Una nueva investigaci\u00f3n ha descubierto que se podr\u00eda abusar de las claves API de Google Cloud, generalmente designadas como identificadores de proyecto con fines de facturaci\u00f3n, para autenticarse en puntos finales sensibles de Gemini y acceder a datos privados.<\/p>\n

Los hallazgos provienen de Truffle Security, que descubri\u00f3 casi 3.000 claves API de Google (identificadas por el prefijo \u00abAIza\u00bb) incrustadas en el c\u00f3digo del lado del cliente para proporcionar servicios relacionados con Google, como mapas incrustados en sitios web.<\/p>\n

\u00abCon una clave v\u00e1lida, un atacante puede acceder a los archivos cargados, a los datos almacenados en cach\u00e9 y cargar el uso de LLM a su cuenta\u00bb, dijo el investigador de seguridad Joe Leon. dicho<\/a>a\u00f1adiendo las claves \u00abahora tambi\u00e9n se autentican en Gemini aunque nunca fueron destinadas a ello\u00bb.<\/p>\n

El problema ocurre cuando los usuarios habilitan la API de Gemini en un proyecto de Google Cloud (es decir, API de lenguaje generativo), lo que hace que las claves de API existentes en ese proyecto, incluidas aquellas a las que se puede acceder a trav\u00e9s del c\u00f3digo JavaScript del sitio web, obtengan acceso subrepticio a los puntos finales de Gemini sin ninguna advertencia o aviso.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Esto permite efectivamente que cualquier atacante que raspe sitios web obtenga dichas claves API y las utilice con fines nefastos y robo de cuotas, incluido el acceso a archivos confidenciales a trav\u00e9s de los puntos finales \/files y \/cachedContents, as\u00ed como realizar llamadas a la API Gemini, acumulando enormes facturas para las v\u00edctimas.<\/p>\n

Adem\u00e1s, Truffle Security descubri\u00f3 que la creaci\u00f3n de una nueva clave API en Google Cloud tiene como valor predeterminado \u00abSin restricciones\u00bb, lo que significa que es aplicable para todas las API habilitadas en el proyecto, incluido Gemini.<\/p>\n

\u00abEl resultado: miles de claves API que se implementaron como tokens de facturaci\u00f3n benignos ahora son credenciales de Gemini activas en la Internet p\u00fablica\u00bb, dijo Leon. En total, la compa\u00f1\u00eda dijo que encontr\u00f3 2.863 claves activas accesibles en la Internet p\u00fablica, incluido un sitio web asociado con Google.<\/p>\n

La divulgaci\u00f3n se produce cuando Quokka public\u00f3 un informe similar, en el que encontr\u00f3 m\u00e1s de 35.000 claves API \u00fanicas de Google integradas en su an\u00e1lisis de 250.000 aplicaciones de Android.<\/p>\n

\u00abM\u00e1s all\u00e1 del posible abuso de costos a trav\u00e9s de solicitudes automatizadas de LLM, las organizaciones tambi\u00e9n deben considerar c\u00f3mo los puntos finales habilitados para IA podr\u00edan interactuar con mensajes, contenido generado o servicios en la nube conectados de manera que ampl\u00eden el radio de explosi\u00f3n de una clave comprometida\u00bb, dijo la empresa de seguridad m\u00f3vil. dicho<\/a>.<\/p>\n

\"\"<\/a><\/div>\n

\u00abIncluso si no se puede acceder a datos directos del cliente, la combinaci\u00f3n de acceso a inferencia, consumo de cuotas y posible integraci\u00f3n con recursos m\u00e1s amplios de Google Cloud crea un perfil de riesgo que es materialmente diferente del modelo de identificador de facturaci\u00f3n original en el que confiaron los desarrolladores\u00bb.<\/p>\n

Aunque inicialmente se consider\u00f3 que el comportamiento era intencionado, desde entonces Google intervino para solucionar el problema.<\/p>\n

\u00abSomos conscientes de este informe y hemos trabajado con los investigadores para abordar el problema\u00bb, dijo un portavoz de Google a The Hacker News por correo electr\u00f3nico. \u00abProteger los datos y la infraestructura de nuestros usuarios es nuestra principal prioridad. Ya hemos implementado medidas proactivas para detectar y bloquear claves API filtradas que intentan acceder a la API de Gemini\u00bb.<\/p>\n

Actualmente no se sabe si este problema alguna vez fue explotado en la naturaleza. Sin embargo, en un publicaci\u00f3n en Reddit<\/a> publicado hace dos d\u00edas, un usuario afirm\u00f3 que una clave API de Google Cloud \u00abrobada\u00bb result\u00f3 en cargos de $82,314.44 entre el 11 y el 12 de febrero de 2026, frente a un gasto regular de $180 por mes.<\/p>\n

Nos comunicamos con Google para obtener m\u00e1s comentarios y actualizaremos la historia si recibimos una respuesta.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Se recomienda a los usuarios que hayan configurado proyectos de Google Cloud que verifiquen sus API y servicios, y verifiquen si las API relacionadas con la inteligencia artificial (IA) est\u00e1n habilitadas. Si est\u00e1n habilitadas y son de acceso p\u00fablico (ya sea en JavaScript del lado del cliente o registradas en un repositorio p\u00fablico), aseg\u00farese de que las claves est\u00e9n rotadas.<\/p>\n

\u00abEmpiece primero con las claves m\u00e1s antiguas\u00bb, dijo Truffle Security. \u00abEs m\u00e1s probable que se hayan implementado p\u00fablicamente bajo la antigua gu\u00eda de que las claves API se pueden compartir de forma segura y luego obtuvieron privilegios de Gemini de manera retroactiva cuando alguien de su equipo habilit\u00f3 la API\u00bb.<\/p>\n

\u00abEste es un gran ejemplo de c\u00f3mo el riesgo es din\u00e1mico y c\u00f3mo las API pueden tener permisos excesivos despu\u00e9s del hecho\u00bb, dijo Tim Erlin, estratega de seguridad de Wallarm, en un comunicado. \u00abLas pruebas de seguridad, el escaneo de vulnerabilidades y otras evaluaciones deben ser continuas\u00bb.<\/p>\n

\u00abLas API son complicadas en particular porque los cambios en sus operaciones o los datos a los que pueden acceder no son necesariamente vulnerabilidades, pero pueden aumentar directamente el riesgo. La adopci\u00f3n de IA que se ejecuta en estas API y su uso solo acelera el problema. Encontrar vulnerabilidades no es suficiente para las API. Las organizaciones tienen que perfilar el comportamiento y el acceso a los datos, identificar anomal\u00edas y bloquear activamente la actividad maliciosa\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Una nueva investigaci\u00f3n ha descubierto que se podr\u00eda abusar de las claves API de Google Cloud, generalmente designadas como identificadores de proyecto con fines de facturaci\u00f3n, para autenticarse en puntos finales sensibles de Gemini y acceder a datos privados. Los hallazgos provienen de Truffle Security, que descubri\u00f3 casi 3.000 claves API de Google (identificadas por […]<\/p>\n","protected":false},"author":1,"featured_media":55,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[260,49,254,257,31,24,261,258,259,256,262,253,255],"class_list":["post-105","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-access","tag-api","tag-claves","tag-cloud","tag-con","tag-cyberdefensa-mx","tag-despues","tag-expuestas","tag-gemini","tag-google","tag-habilitacion","tag-miles","tag-publicas"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/105","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=105"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/105\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/55"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=105"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=105"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=105"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}