Una clave API eliminada de Google Cloud puede seguir activa durante minutos

Aikido probó este comportamiento creando nuevas claves, eliminándolas y enviando solicitudes de autenticación repetidas después de la eliminación. En 10 pruebas realizadas durante dos días, siguieron recibiendo autenticaciones exitosas hasta que la revocación terminó de propagarse, generando la ventana observada de 8 a 23 minutos con una mediana de aproximadamente 16 minutos.

Esto significa que una clave que aparece como "eliminada" en la consola puede seguir funcionando temporalmente en algunas partes de la plataforma.

Por qué esta ventana representa un riesgo real

Cuando una organización detecta que una clave API ha sido filtrada o comprometida, eliminarla suele ser la primera medida para cortar el acceso. Sin embargo, este retraso crea un período en el que un atacante podría seguir utilizándola incluso después de que el equipo de seguridad crea haberla desactivado.

Durante ese intervalo, un actor malicioso podría:

• Acceder a APIs habilitadas dentro del proyecto
• Enviar nuevas solicitudes a los servicios
• Generar consumo inesperado de recursos o cargos en la facturación

Los investigadores confirmaron el comportamiento usando claves configuradas para Gemini, y observaron el mismo retraso con otras APIs de Google Cloud como BigQuery y Google Maps. Esto sugiere que el problema está relacionado con el tipo de credencial (las API keys) y no con un servicio específico.

Cómo respondió Google inicialmente

Según los informes sobre la divulgación del hallazgo, Google inicialmente consideró el comportamiento como un retraso de propagación esperado dentro de un sistema distribuido, en lugar de una vulnerabilidad crítica. Algunos reportes indican que el informe fue cerrado inicialmente como “won’t fix”.

Posteriormente, tras una revisión adicional, el reporte fue reabierto y clasificado internamente como un bug P0, lo que indica una prioridad alta para investigación y análisis.

Debido a que la causa está ligada a la propagación gradual de cambios dentro de la infraestructura de Google, el tiempo exacto de revocación puede variar dependiendo de qué sistemas backend procesen cada solicitud.

Qué pueden hacer ahora los equipos de desarrollo y seguridad

Hasta que la revocación sea realmente inmediata, los equipos deberían asumir que eliminar una clave API no bloquea el acceso al instante.

Algunas precauciones recomendadas incluyen:

Considerar la eliminación como un paso de contención con retraso
Planificar una ventana de riesgo temporal —aproximadamente hasta 30 minutos— en la que una clave comprometida aún podría funcionar.

Supervisar registros y facturación tras la revocación
Un aumento inesperado de llamadas a la API o del consumo poco después de eliminar la clave puede indicar que sigue siendo utilizada durante el periodo de propagación.

Aplicar restricciones estrictas a las claves API
Google recomienda limitar su uso mediante restricciones de IP, dominios de referencia o APIs específicas, de modo que una clave filtrada tenga menos utilidad para un atacante.

Rotar y reemplazar credenciales rápidamente
En lugar de confiar solo en la eliminación, conviene generar nuevas claves y actualizar los servicios para que utilicen las credenciales nuevas lo antes posible.

La lección para la seguridad en la nube

Este hallazgo ilustra una realidad importante de los sistemas distribuidos a gran escala: los cambios de configuración —incluida la revocación de credenciales— no siempre se aplican de forma instantánea en toda la infraestructura.

Para desarrolladores y equipos de seguridad, la conclusión es simple: en entornos cloud, "eliminado" no siempre significa "inactivo inmediatamente". Las estrategias de respuesta a incidentes deberían tener en cuenta posibles retrasos de propagación cuando se revocan credenciales sensibles.