Un fallo de seguridad recientemente descubierto en Google ha expuesto claves API que, sin el conocimiento de los desarrolladores, han otorgado acceso a la API Gemini, una plataforma de inteligencia artificial generativa. La vulnerabilidad, revelada por Truffle Security, surge de una práctica de Google de utilizar un único formato de clave API para fines de identificación pública y autenticación sensible, una práctica que ha sido instruida a los desarrolladores durante más de una década.
Según el análisis de Truffle Security, Google ha aconsejado a los desarrolladores que incluyan claves API directamente en el código JavaScript de páginas web públicas, especialmente para servicios como Google Maps y Firebase, argumentando que estas claves son seguras para este propósito, ya que sirven principalmente para fines de facturación y pueden restringirse mediante controles como la lista de referencias HTTP. Sin embargo, la introducción de la API Gemini ha cambiado este panorama. Al habilitar Gemini en un proyecto de Google Cloud, las claves API existentes, incluso las incrustadas en código público, silenciosamente adquieren acceso a los puntos finales sensibles de Gemini, sin notificación ni confirmación al desarrollador.
El problema se agrava por dos factores principales: la expansión retroactiva de privilegios y los valores predeterminados inseguros. La primera se refiere a la situación en la que una clave API creada para un propósito específico, como Google Maps, de repente adquiere acceso a Gemini sin el conocimiento del desarrollador. La segunda se refiere a que, por defecto, las nuevas claves API se crean como 'Ilimitadas', lo que les otorga acceso a todas las API habilitadas en el proyecto, incluido Gemini. Google reconoce este problema como una 'Escalada de Privilegios de Servicio Único, LECTURA' (Tier 1).
El impacto potencial de esta vulnerabilidad es significativo. Los atacantes pueden acceder a datos privados almacenados a través de la API Gemini, como archivos subidos y contenido almacenado en caché. Además, pueden generar facturas elevadas por el uso de la API Gemini, agotando las cuotas del proyecto y potencialmente interrumpiendo los servicios legítimos. Truffle Security identificó 2,863 claves API vulnerables en el rastreo del Common Crawl de noviembre de 2025, afectando a una amplia gama de organizaciones, incluyendo instituciones financieras, empresas de seguridad, firmas de reclutamiento globales e incluso a Google mismo. Un ejemplo concreto es la detección de una clave API incrustada en el código fuente de un sitio web de Google, utilizada desde febrero de 2023 para fines de Google Maps, pero que ahora también otorga acceso a la API Gemini.
La línea de tiempo de la divulgación revela una serie de interacciones entre Truffle Security y Google. El informe inicial se presentó el 21 de noviembre de 2025, y Google inicialmente lo consideró un problema del cliente. Sin embargo, después de que Truffle Security proporcionara ejemplos de claves API vulnerables en la propia infraestructura de Google, el problema fue reclasificado como un error y se inició una investigación. Google ha implementado medidas correctivas, incluyendo la restricción de claves API expuestas para evitar el acceso a Gemini y el desarrollo de una solución para abordar la causa raíz. Se ha establecido una canalización interna para descubrir claves API filtradas y se espera que se implemente una solución definitiva antes de la fecha de divulgación.
Esta vulnerabilidad subraya la importancia de una gestión segura de las claves API y la necesidad de una separación clara entre claves públicas y privadas. La práctica de Google de utilizar un único formato de clave para ambos fines ha demostrado ser un riesgo significativo, y la falta de notificación a los desarrolladores cuando se habilitan nuevas API ha exacerbado el problema. El incidente sirve como una lección para otras empresas que dependen de claves API para la autenticación y la facturación, enfatizando la necesidad de una revisión exhaustiva de las prácticas de seguridad y la implementación de controles más estrictos para proteger los datos sensibles. Aunque Google ha tomado medidas para mitigar el problema, la vulnerabilidad ha puesto de relieve la necesidad de una mayor transparencia y control para los desarrolladores sobre el acceso a sus datos y los servicios de API.