Google suspendió la cuenta de Google Cloud de mi empresa por tercera vez

 (agwa.name)
1 puntos por GN⁺ 2025-11-04 | 2 comentarios | Compartir por WhatsApp
  • La cuenta de Google Cloud de SSLMate fue suspendida por tercera vez sin previo aviso, interrumpiendo repetidamente sus funciones de integración de servicios
  • Para la integración con Cloud DNS y Cloud Domains de los clientes, usaban una estructura basada en crear y delegar cuentas de servicio siguiendo la documentación de Google, pero este método sigue siendo objeto de suspensión
  • La primera suspensión (2024) provocó mucha confusión por la ineficiencia del proceso de recuperación y la falta de claridad sobre la causa, y en las dos suspensiones posteriores también solo se repitieron correos automatizados sin notificación previa
  • Como alternativa, la autenticación basada en claves de larga duración es débil desde el punto de vista de la seguridad, y OIDC (OpenID Connect) tiene un proceso de configuración excesivamente complejo
  • En consecuencia, en las integraciones con Google Cloud se evidencia una limitación estructural en la que solo se pueden elegir dos entre seguridad, facilidad de uso y estabilidad

Casos repetidos de suspensión de cuentas de Google Cloud

  • La cuenta de Google Cloud de SSLMate fue suspendida sin previo aviso dos veces seguidas en viernes, en 2024 y 2025
    • Ya había ocurrido la misma suspensión en 2024, y en las tres ocasiones no se proporcionó una razón clara ni una forma de evitar que volviera a pasar
  • SSLMate usa un método de delegación de cuentas de servicio para integrarse con las cuentas de Google Cloud de sus clientes
    • Para cada cliente, crea una cuenta de servicio dentro de un proyecto de SSLMate, y el cliente concede a esa cuenta permisos de acceso a Cloud DNS y Cloud Domains
    • SSLMate puede, cuando lo necesita, hacerse pasar virtualmente (impersonate) por esa cuenta de servicio para acceder
    • Esta estructura se basa en el método recomendado por la documentación oficial de Google y es una forma segura y sencilla de configurar, sin credenciales de larga duración

Primera suspensión (2024)

  • En la primera suspensión, todas las funciones de integración con clientes fallaron y se bloqueó el acceso a la consola
    • El equipo de soporte de Google respondió, pero el proceso de recuperación fue ineficiente, por ejemplo porque los correos rebotaban al estar la cuenta desactivada
    • Le pidieron el ID del proyecto, pero no podía proporcionarlo porque no tenía acceso a la consola
    • Tras verificar un número de teléfono, solo se recuperaron algunos proyectos, y al día siguiente volvió a recibir un correo automático notificando restricción de acceso
    • Después de varios correos automáticos, la recuperación total llegó unas 19 horas después
  • Google no reveló la causa de la suspensión y tampoco envió un aviso previo por correo
    • Después de eso, SSLMate añadió una verificación de estado para monitorear la tasa de errores de integración e intentar detectar el problema antes

Segunda suspensión (alrededor de octubre de 2025)

  • La verificación de estado falló y la mayoría de las integraciones devolvieron el error “Invalid grant: account not found”
    • Sí era posible iniciar sesión en la consola, pero por cada proyecto solo llegaron correos que decían que se había recuperado “según la información proporcionada”
    • El correo de notificación de suspensión seguía sin llegar
    • Más tarde, las funciones de integración volvieron a la normalidad

Tercera suspensión (noviembre de 2025)

  • Tras un nuevo fallo de la verificación de estado, al entrar a la consola apareció un nuevo tipo de mensaje de error
    • La mayoría de los proyectos fueron suspendidos, incluidos los proyectos usados para integraciones con clientes
    • Se presentó una apelación el viernes, pero el domingo llegó un correo notificando la suspensión de toda la cuenta
    • El lunes, justo después de que la publicación apareciera en Hacker News, se recuperó la mayoría de los proyectos y, unas horas después, se restauró todo el acceso
    • Una vez más, no se explicó la causa de la suspensión ni cómo prevenirla

Caso excepcional de un cliente

  • Durante todos los periodos de suspensión, solo la integración con un cliente siguió funcionando normalmente
    • Aunque usaba una cuenta de servicio dentro del mismo proyecto, no se vio afectada
    • No hubo explicación adicional sobre la causa

Problema de dependencia de Google Cloud y alternativas

  • SSLMate concluyó que no puede depender de una cuenta de Google en producción
    • El sistema de Google está estructurado de forma que una cuenta, un proyecto o incluso todo GCP pueden ser suspendidos arbitrariamente
  • Alternativa 1: que el cliente cree directamente una cuenta de servicio y entregue autenticación a SSLMate con una clave de larga duración (long-lived key)
    • La configuración es sencilla, pero la seguridad es débil por el riesgo de filtración de la clave y la imposibilidad de rotarla
  • Alternativa 2: usar OpenID Connect (OIDC)
    • Es el método estándar usado en integraciones con GitHub Actions o Azure, y permite un acceso seguro sin credenciales de larga duración
    • Sin embargo, en Google Cloud la configuración es un proceso de 7 pasos excesivamente complejo

Complejidad de la configuración de OIDC

  • Para usar OIDC, se requieren los siguientes pasos
    1. Habilitar IAM Service Account Credentials API
    2. Crear una cuenta de servicio
    3. Crear un Workload Identity Pool
    4. Crear un Workload Identity Provider dentro del Pool
    5. Otorgar permisos para que SSLMate pueda hacerse pasar por la cuenta de servicio
    6. Asignar roles (Role) a la cuenta de servicio
    7. Entregar a SSLMate el ID de la cuenta de servicio creada y el Provider ID
  • Cada paso necesita el ID del recurso creado en el paso anterior, por lo que es difícil para los clientes seguir el proceso
  • El autor señala los siguientes pasos como procedimientos innecesarios
    • Debería ser posible asignar roles directamente sin crear una cuenta de servicio
    • En la mayoría de los casos, el Pool solo contiene un Provider, por lo que la creación del Pool en sí es una duplicación innecesaria
    • Debería ser posible asignar roles directamente a la URL del emisor OIDC y al subject, sin necesidad de crear un Provider

Problema estructural y conclusión

  • Actualmente, en las integraciones con Google Cloud solo se pueden elegir dos de las siguientes tres opciones
    1. No usar credenciales de larga duración
    2. Que el cliente pueda configurarlo fácilmente
    3. Estar a salvo de suspensiones arbitrarias
  • El método basado en cuentas de servicio de SSLMate garantiza seguridad y facilidad de uso, pero mantiene el riesgo de suspensión
  • El método de cuenta de servicio + clave es fácil de configurar y tiene menor riesgo de suspensión, pero es débil en seguridad
  • El método OIDC ofrece seguridad y resistencia frente a suspensiones, pero la configuración es compleja
  • La conclusión es que, a menos que Google simplifique OIDC como un método de integración de primera clase, será difícil lograr una integración segura y estable

Resumen de comentarios de lectores

  • Un lector comentó: “Usa otro proveedor de nube; GCP es el peor
  • El autor respondió: “Lo necesita para la integración porque sus clientes usan GCP”
  • Otro lector señaló que “la seguridad y la confiabilidad chocan con la simplicidad” y que los clientes que priorizan la simplicidad quizá no sean adecuados

Lecturas relacionadas

2 comentarios

 
ndrgrd 2025-11-06

"Android developer verification terminaría exactamente así. Mucha gente sería vetada de desarrollar para Android."

Es una de las opiniones de Hacker News que más recuerdo. No creo que falte mucho.
 
GN⁺ 2025-11-04
Comentarios de Hacker News

  • La gente piensa en Google como un socio confiable, pero en realidad es un sistema diseñado como una fábrica minorista a gran escala
    atiende a millones, y una sola medida de protección automática equivocada puede arruinar la vida de miles de personas
    la ausencia de soporte al cliente o las respuestas automatizadas sin sentido no parecen solo recorte de costos, sino una estrategia para minimizar la responsabilidad legal

    • Me da risa cuando dicen “confío en Google”
      la mayoría sabe que una cuenta de Google puede ser suspendida en cualquier momento y sin motivo
      de hecho, casi todos conocen a una o dos personas que perdieron acceso a su cuenta
      salvo que se trate de un contrato de millones de dólares, creo que casi nadie ve a Google como un socio de verdad

  • Todas las plataformas priorizan la escalabilidad
    es imposible mantener una relación humana con cada usuario individual y al mismo tiempo sostener una rentabilidad al nivel de un narcotraficante
    si una persona inocente cae por error, se considera un “costo necesario”
    ayer fue Wise, antes fueron cuentas de GitHub bloqueadas de esta manera
    las empresas no funcionan como democracias, sino como feudos
    si un sistema automatizado decide que eres un criminal, te castiga de inmediato sin juicio

    • Por eso siempre trato de elegir empresas pequeñas
      puedes hablar con una persona real y no con un simple chatbot
      ahora uso Tuta Mail, y me gusta su cifrado resistente a la computación cuántica y que no tenga anuncios
      además puedo crear todas las direcciones alias que quiera con mi propio dominio

  • Hace unos años me bloquearon mi cuenta de YouTube Premium por spam
    aunque solo veía videos, borraron la cuenta y también me bloquearon el acceso a la página de pagos
    mientras pasaba por un proceso de apelación robótico que solo era posible una vez cada 3 semanas, me siguieron cobrando
    incluso el soporte pagado de Google One fue inútil porque decían que “era otro equipo y no podían ayudar”
    al final lo resolví cancelando la tarjeta, y meses después recibí un mensaje diciendo que “había sido un error”
    irónicamente, WeChat lo resolvió en un día con una llamada con una persona — me hizo pensar que la atención al cliente de un Estado censor es mejor

  • El problema no es solo Google, sino toda la estructura de las grandes empresas dependientes de algoritmos
    en Reddit también me hicieron shadowban a una cuenta de 20 años sin explicación
    ignoraron la apelación, y filtraron todas mis publicaciones y comentarios
    el Fediverse muestra un mejor modelo alternativo — la clave son comunidades pequeñas y una alta proporción de moderadores

    • Pero el Fediverse tampoco es perfecto
      una sola etiqueta #fediblock puede provocar bloqueos automáticos en cientos de servidores, lo que termina repitiendo una censura sin responsabilidad
      de hecho, así fue como murió la instancia de Mastodon de nuestra ciudad, y todos se fueron a Bluesky
    • Google tiene dinero de sobra
      no sería difícil tener unas 100 personas dedicadas a manejar estos casos límite
      pero no lo hacen porque reduciría sus márgenes
    • Que empresas de billones de dólares digan que “no hay otra opción más que usar algoritmos” es una excusa
      no es que no tengan dinero, es que eligen no gastarlo

  • Creo que este tipo de problema también llegará a la API de Gemini
    si un cliente genera una imagen que infrinja las reglas, podrían suspender de forma permanente de inmediato incluso el Gmail empresarial o el Gmail personal usado para recuperación

    • Si clientes externos ingresan datos o generan imágenes, hay que activar sí o sí las herramientas de moderación integradas

  • Parece que la certificación para desarrolladores de Android también va por ese camino
    es muy probable que a muchos desarrolladores les suspendan la cuenta de desarrollador sin motivo claro

    • De hecho, ya está en un nivel grave
      antes vi un caso donde también bloquearon las cuentas personales de empleados de una pequeña empresa con el argumento de que estaban “relacionadas con una cuenta de desarrollador previamente suspendida”
    • En el fondo, desarrollar para Android es una estructura parecida a la de un campesino arrendatario cultivando en tierra ajena
      creo que es difícil mantener la especialización cuando dependes tanto de una plataforma

  • Nuestro servicio solo usaba el botón “Login with Google”, pero de repente nos bloquearon la cuenta
    la única razón que dieron fue una vaga “violación de los términos”
    presentamos una apelación y, mientras preparábamos a toda prisa una alternativa de login para usuarios, al día siguiente llegó de repente un correo diciendo “apelación aprobada”
    al final sí la restauraron, pero quedó una sensación de desconfianza

    • Yo dejaría de ofrecer soporte para “Login with Google” a partir de ahora
    • Creo que es mejor usar usuario/contraseña, MFA y Passkey en vez de inicio de sesión social

  • Mi cuenta de AdSense fue suspendida tres veces por poner un signo de exclamación en un anuncio
    al final cerré la cuenta, pero siento que todavía me siguen marcando como una “posible cuenta fraudulenta”

    • Es absurdo. Si existe un sistema que puede bloquear automáticamente anuncios que violan las reglas, al menos debería advertirte mientras redactas el anuncio
      si la estructura hace que a un usuario nuevo lo suspendan en una hora, entonces uno se pregunta por qué hicieron tan fácil el proceso de registro desde el principio
    • A mi cuenta también la suspendieron permanentemente por la misma razón. Fue hace años, pero todavía me parece ridículo
    • Que el problema sea un signo de exclamación no tiene sentido; en la publicidad impresa siempre ha sido un signo de puntuación común
    • Me pregunto si de verdad los signos de exclamación estaban prohibidos, o si solo fue un simple error del sistema

  • En una situación así, uno se pregunta si hay que demandar a Google o exigir una regulación más estricta

    • Pero solo porque “una empresa se negó a hacer negocios conmigo” no parece haber una base muy fuerte para demandar
    • Aun así, en tribunales de reclamos menores sí podría haber posibilidades
      he oído que muchas veces Google no se presenta o que intentar justificarse con los TOS termina jugándoles en contra ante el juez

  • Me pregunto qué pasa con una cuenta de acceso solo con Passkey registrada con un correo suspendido
    casi seguro muy poca gente ha probado si una Passkey sincronizada con Google Password Manager sigue funcionando después de la suspensión de la cuenta,
    o si al perder acceso al correo ya no hay forma de recuperarla