Caso de parálisis operativa por la suspensión de una cuenta de Google Workspace

 (zencapital.substack.com)
1 puntos por GN⁺ 24 일 전 | 1 comentarios | Compartir por WhatsApp
  • Un incidente en el que una cuenta de Google Workspace fue suspendida por sospecha de hackeo, bloqueando el acceso al correo y a los servicios, y la recuperación se retrasó incluso después de demostrar la propiedad del dominio mediante autenticación DNS
  • Una sola cuenta de administrador funcionaba como centro de autenticación para todos los sistemas de trabajo, incluidos correo, Drive, Calendar, nómina y CRM, por lo que la suspensión provocó de inmediato una imposibilidad de acceso en toda la empresa
  • Tras eliminar el número de teléfono de recuperación mientras estaba en el extranjero, se generó una alerta de seguridad errónea que derivó en una situación en la que ni los códigos de respaldo ni las passkeys sirvieron para iniciar sesión
  • La recuperación se retrasó por el procedimiento de espera de 30 días y la confusión repetida con los tickets del equipo de soporte de Google, y aun consultando por la comunidad y redes sociales solo recibió respuestas de “espere”
  • Después de más de 40 horas de interrupción, la cuenta se recuperó con la intervención de un empleado de Google, dejando en evidencia que depender de una sola cuenta es un riesgo crítico para la continuidad del negocio

Caso de parálisis operativa por la suspensión de una cuenta de Google Workspace

  • Caso en el que una cuenta de Google Workspace fue suspendida por “sospecha de hackeo” y se bloqueó el acceso al correo

    • En realidad, era el propio usuario iniciando sesión durante un viaje de negocios al extranjero, pero Google lo interpretó erróneamente como una toma de control de la cuenta
    • Aunque se demostró la propiedad del dominio mediante autenticación DNS, el envío y la recepción de correos quedaron completamente interrumpidos

  • Una sola cuenta de administrador funcionaba como centro de autenticación de todos los servicios

    • Correo, Drive, Calendar, sistema de nómina, CRM (Pipedrive), app de gestión de tareas y sistemas internos dependían de Google OAuth
    • En cuanto la cuenta fue suspendida, se bloqueó el acceso a todos los servicios y se produjo una interrupción operativa en toda la empresa

  • Cómo ocurrió el problema

    • El 4 de abril, alrededor de las 5 a. m., durante un viaje de negocios en el extranjero, eliminó el número de teléfono de recuperación para evitar la autenticación por SMS
    • Justo después, apareció una alerta de seguridad errónea que decía que “se eliminó la app de autenticación”, y la cuenta pasó a un estado en el que no se podía iniciar sesión
    • Ni los códigos de respaldo, ni las passkeys, ni los dispositivos ya autenticados funcionaron como método de verificación

  • Intentos de recuperación y confusión en el soporte de Google

    • Se completó la verificación mediante registros DNS CNAME/TXT, pero el procedimiento de recuperación por correo requería una espera de 30 días
    • Se solicitó soporte desde otra cuenta de Workspace, pero solo se proporcionó un enlace que requería iniciar sesión, por lo que no se pudo avanzar
    • Se repitió el caos de tickets duplicados, cerrados y reabiertos entre distintos agentes de soporte
    • Incluso al consultar en los foros de la comunidad y por X.com, la única respuesta reiterada fue “espere”

  • Impacto en el trabajo y tiempo transcurrido

    • Con más de 40 horas de retraso en la recuperación, quedaron detenidos el procesamiento de nómina, las reuniones por Google Meet y las agendas de negociaciones comerciales
    • Se sustituyeron algunas tareas con un correo personal, pero había límites por la necesidad de mantener la separación con la cuenta de trabajo

  • Actualizaciones adicionales

    • Update 1: Era posible cambiar el registro MX a otro servicio de correo, pero no recuperar los correos y calendarios existentes
    • Update 2: El soporte de Google repitió la promesa de “actualizar en 1 a 2 horas”, pero la solución siguió retrasándose
    • Update 3: Finalmente se logró recuperar el acceso con la intervención directa de un empleado de Google

Lecciones después del incidente y reacción de la comunidad

  • Los usuarios de Hacker News señalaron que se produjeron al mismo tiempo múltiples señales de riesgo, como cambio de país, eliminación del teléfono de recuperación y falta de cambio del MX
  • El autor explicó que había usado el servicio normalmente durante 6 días desde la misma IP tras el cambio de país, y que la eliminación del número de teléfono fue el detonante directo
  • Era posible cambiar el MX a Fastmail o Protonmail, pero por los problemas con correos existentes, calendarios e inicios de sesión con OAuth, eso no fue una alternativa real
  • A pesar de contar con autenticación en dos pasos, passkeys, códigos de respaldo, correo de recuperación y acceso desde el mismo dispositivo, la recuperación falló
  • Este caso mostró que la dependencia excesiva de una sola cuenta de Google Workspace es un riesgo grave para la continuidad del negocio

Lecturas relacionadas

1 comentarios

 
GN⁺ 24 일 전
Opiniones en Hacker News

  • Antes Google parecía ser la «big tech menos malvada», pero la experiencia real con su soporte al cliente ha sido terrible.
    Compré un Pixel, pero no recibí la suscripción de 1 año a Gemini AI Pro que habían prometido, y atención al cliente no resolvió nada.
    Un amigo pasó por lo mismo y también vivió una falta de respuesta parecida durante un cambio de plan de Google One.
    A estas alturas, no veo por qué elegir servicios de Google a menos que gastes millones de dólares.

    • Compré un Pixel 6a y la batería murió después de 400 ciclos de carga. Google dijo que me compensaría con 100 dólares, pero incluso después de entregar todos los documentos, nunca recibí el dinero. Google es lo peor.
    • Google siempre fue una «empresa malvada» igual que las demás big tech. “Don’t be evil” era solo una frase de PR.
      Alrededor de 2008 consulté por un bug de Blogspot y un voluntario «diamante» me ignoró. No había manera de llegar al equipo de soporte real.
    • Me pregunto si en estos casos se puede resolver por small claims court. Quisiera saber si es una forma realista para que un consumidor responda a un incumplimiento de contrato.
    • Mi cuenta de Adsense estuvo suspendida durante 13 años y luego la reactivaron sin decirme por qué. Supongo que algún competidor enviaba clics falsos.
    • Google ya había roto su promesa de no usar datos de usuarios para publicidad hace 10 años.
      Según el artículo Google’s broken privacy promise, eliminaron la cláusula que decía que no combinarían con datos publicitarios la información obtenida de servicios como Gmail.

  • Salió otro artículo de “el proveedor cloud me bloqueó la cuenta y lo perdí todo”.
    No solo con Google: cualquiera que dependa de servicios cloud como Amazon, Microsoft o Apple debería tener un plan para una suspensión de cuenta.
    Si estás confiando datos importantes, tener respaldo o alternativas es indispensable.

    • Una vez alguien dijo: “No te encariñes con un servicio cloud del que no puedas irte en 30 segundos” — cita de Robert De Niro.
    • En nuestra empresa usamos Cubebackup para respaldar Google Workspace.
      Tener un «external backup» restaurable fuera del servicio SaaS es más difícil de lo que parece, pero es indispensable.
    • Esta advertencia es de las cosas que más se repiten en HN. Solo la supera “si no usas Claude Code te vas a quedar atrás”.
    • Lo especialmente grave con Google es que la gente común, sin conocimientos técnicos, puede perder su única cuenta de correo y no tener idea de cómo recuperarla.
    • Esto se parece a que “te echen del edificio que rentabas y además tiren tus cosas a la basura”. Al final, hay que cambiar la ley.

  • La función “Login with Google/Apple/Facebook” debería evitarse cuando sea posible.
    Crea un punto único de falla. Si se puede, es más seguro usar un sistema de inicio de sesión propio.
    Como ex-Googler, solo usaba Gmail mientras tenía acceso interno, y después de irme también dejé Gmail.

    • Vi un artículo que decía que el sistema eIDAS de Alemania exige cuentas de Google o Apple. Eso implica que la identidad nacional queda subordinada a las big tech.
    • Nuestra app también ofrece inicio de sesión con Google/Facebook, pero ambas empresas bloquean logins automatizados como los de Selenium, así que las pruebas E2E son imposibles.
    • Tailscale me pareció raro porque es la única empresa que solo ofrece inicio de sesión de terceros. ¿Alguien sabe por qué?
    • En cambio, Tailscale sí ofrece SSO personalizado gratis.

  • Soy administrador voluntario de sistemas del foro Buildhub.
    Durante 10 años aparecimos en los primeros resultados de Google, pero el 28 de diciembre de 2025 desaparecimos de golpe del índice.
    Los foros de Google están vacíos y no hay nadie a quien contactar. Como usuario de pago de Workspace, estoy pensando seriamente en un plan de respaldo.

    • En los foros de Google, Microsoft y Apple hay mucha gente armando portafolio con respuestas sin sentido.
      Algunos parecen estar gamificando el sistema con la esperanza de conseguir una invitación al HQ de Google.

  • Fui usuario temprano de Google Glass en 2013. Recibí capacitación directamente en el HQ de Nueva York y hasta tenía un número de soporte dedicado que respondía 24/7.
    Rompí el dispositivo dos veces y me lo reemplazaron gratis. Antes sí era posible dar este tipo de atención al cliente.

    • En ese tiempo, en realidad éramos básicamente personal voluntario de pruebas. Cuando el producto pasa a otro equipo, se pierde el interés.
    • Si comparas a los primeros 8,000 usuarios de Glass con los cientos de millones de usuarios de Workspace, la diferencia en calidad de soporte es obvia.
    • Esa política de reemplazo ilimitado en ese entonces era solo un costo de I+D, no caridad.
    • Antes llamé al número de soporte de Google Wifi y me atendieron de inmediato, pero ahora solo escuchas un mensaje de “soporte finalizado”.
    • Con los reembolsos de Stadia, de forma excepcional, sí recibí el reembolso completo de todo lo pagado.
      La calidad del soporte al cliente de Google varía muchísimo según la división de producto. Workspace es especialmente pésimo.

  • Esta situación es prácticamente ilegal. A medida que las grandes corporaciones controlan más partes de la vida, la gente común queda cada vez más indefensa.
    Si ofrecen servicios esenciales, deben asumir la responsabilidad que eso implica.

    • Los servicios cloud usados por más del 1% de la población deberían estar obligados a tener centros de atención presenciales en cada ciudad.
      Como las telefónicas, debería haber personal en cada sucursal, y Google puede pagarlo sin problema.
    • Hace falta una ventanilla gubernamental de reclamos contra las big tech.
    • Que diga “Excreting power” en vez de “Exerting power” está mal, pero la imagen mental es divertida.

  • Pasé por el proceso de recuperación de una cuenta de administrador y la política de seguridad era contradictoria.
    Me desbloquearon la cuenta manualmente, pero aun así seguía pidiéndome verificación por SMS a un número eliminado.
    Aunque agregara una llave de seguridad o TOTP, el SMS seguía siendo obligatorio. Si te roban el número, se acabó.

    • A mi cuenta de Gmail también le activaron 2FA por la fuerza sin aviso.
      Aunque tenía usuario, contraseña y correo de recuperación, me exigían verificación por SMS a un número que ya no existía, así que no podía entrar.
      Meta al menos tiene gente que te lo resuelve si pagas; Google no tiene nada de eso.

  • Si usas Google Workspace sin un equipo de operaciones de nivel enterprise, una sola cuenta de administrador se vuelve un punto único de falla.
    Caí en un bucle de autenticación y se bloquearon todas las vías; solo después de amenazar varias veces con acciones legales logré hablar con una persona y resolverlo.

  • También existe la posibilidad de que al autor lo hayan hackeado. Tal vez les quitaron el dispositivo OTP o el acceso al DNS, pero no alcanzaron a llevarse el número telefónico.
    En una situación así no hay forma de demostrar que eres el dueño. Estaría bien que hubiera una oficina donde pudieras presentarte en persona con pasaporte para verificarte.

    • Estaría bien tener una opción para registrar una identificación oficial de manera opcional.
      El modelo de verificar identidad en una oficina de correos, como en login.gov, resulta interesante.
      Aun así, implementarlo comercialmente sería difícil y también genera rechazo la tendencia a obligar la verificación de identidad en línea.
    • Si este usuario realmente fue hackeado, recuperar la cuenta de Gmail sería imposible.
      Google prefiere bloquear la cuenta antes que decidir quién tiene razón.

  • Cuesta creerlo, pero Microsoft (Office365) sí tiene un equipo de soporte al que puedes llamar por teléfono.
    La UI es terrible, pero al final sí me resolvieron el problema.

    • También hubo un artículo que decía que Azure tiene una automatización desastrosa y que miles de contratistas arreglan problemas manualmente.
      Pero justamente por eso también existe la ventaja de que haya mucha gente capaz de resolver un problema real.
      Artículo relacionado: HN discussion