google plataforma compleja

Esta última semana he estado “entretenido” con varias reuniones con ingenieros de Google.


¿La razón? Un problema de acceso a una de las cuentas de un cliente de CyberBrainers.

Te lo cuento, que tiene “chicha”.

Sin posibilidad de acceso a una cuenta antigua de Google

Este cliente en particular es una empresa mediana, que utiliza de ecosistema en la nube GSuite desde bastante antes de que GSuite se llamase GSuite.

Concretamente, y al menos que yo haya podido ver, tienen cuenta desde 2007.

Ahora la empresa está en un proceso de rebranding y reestructuración interna, ya que había crecido demasiado y de forma totalmente descontrolada, y el objetivo actual es volver a gestionarse como una empresa pequeña: como una startup… pero con 25 años de mochila histórica.

Este último punto es el importante, ya que claramente no es algo sencillo de conseguir.

Y dentro de las labores de asesoramiento que estamos realizando, nos encontramos con la disyuntiva de que la mayoría de perfiles en redes sociales (y demás servicios…) habían sido estos últimos años creados con cualquier cuenta (la que usara el “becario” de turno).


Seguimos de hecho trabajando en ello, que ya hemos conseguido recuperar tanto su cuenta de Instagram, como la de Twitter, la página de Facebook, el Google MyBusiness… Todo asociándolo ahora sí a un mismo correo (si es posible) y con el mismo segundo factor de autenticación (un móvil de empresa a nombre del presidente), para que todo esté bien fichado y segurizado.

Sin embargo, no hemos podido recuperar la cuenta de Youtube. Todo, de hecho, por un error en el sistema de gestión de cuentas de Google.

Me explico:

La cuenta de Youtube fue creada en 2007, apenas dos años después de que la propia plataforma fuese creada. Y para ello, se utilizó una cuenta personal a nombre del presidente de la compañía.

Sin embargo, más adelante esa cuenta se asoció con un correo corporativo, y este a su vez, con la plataforma de pago de Google (lo que ahora llamamos GSuite).

Esto, a priori, no debería ser ningún problema. Youtube forma parte de Google, por lo que en el momento en el que la cuenta, antes gratuita, pasa a ser cuenta corporativa de Google, debería haberse migrado el acceso y todos felices.

Pero esto no ocurrió.


El tema es que, cuando nos pusimos a entrar en dicha cuenta, nos dimos cuenta que en vez de haberse hecho una migración completa, la cuenta que gestionaba el canal de Youtube pasó a ser una cuenta temporal de Google.

Para que te hagas una idea, si la cuenta principal del presidente es del tipo info@[nombredelaempresa].com, desde donde accede a todos los servicios de Google, la de Youtube es algo así como info%[nombredelaempresa][email protected].

A ojos de cualquiera con dos dedos de frente es la misma cuenta. Pero a ojos de los sistemas de Google, son dos cuentas distintas.

Y aquí viene lo bueno: Para acceder a ella nos pide que le devolvamos un código que acaba de enviar a un número de teléfono… que ya no existe.

Es más, ni siquiera el dueño de la empresa sabe qué número es ese, por lo que es muy probable que se tratase del teléfono personal de algún becario que por aquel entonces fue el encargado de crear la cuenta de marras.

Después de ver el paripé, e intentarlo de mil maneras posibles, no me quedó otra que llamar al soporte técnico de Google.

Piensa que hablamos de una cuenta corporativa de pago, ergo tenemos un número de atención al cliente. Así que comenté esto con el chico que me atendió, probamos unas cuantas cosas (que yo ya había probado, todo sea dicho), y me comentó que tendría que hablarlo con algún ingeniero de nivel 1 de la compañía, ya que esto se le escapaba.


Me llamó al día siguiente, para explicarme que era la primera vez que se encontraban con una situación semejante (qué me va a decir, el pobre…).

Afortunadamente, dentro del propio panel de administración de cuentas corporativas existe la posibilidad de migrar cuentas que, por lo que sea, se han quedado sin migrar al nuevo sistema. Lo intentamos de mil y un maneras (cambiando el alias de la principal e intentando migrar la antigua como nuevo usuario, haciéndolo justo al contrario…) y nada.

A ojos del sistema de migración, paradójicamente, eran la misma cuenta. Solo que luego estaban siendo gestionadas como cuentas distintas.

Lo peor de todo es que, al ser, a efectos prácticos (internos de Google), la misma cuenta, el número de teléfono que usa de segundo factor de autenticación debería ser el mismo.

Esto, según el chico, era imposible que estuviera ocurriendo.

Pero era lo que estaba ocurriendo…

Lo pasamos entonces a los ingenieros del nivel 2, que estuvieron otros tres días revisando el caso.

Todo para a final de semana recibir una llamada, nuevamente del chico con el que hablé, en el que me comentaba que habían incluso intentando “hackear” el sistema de loging, ya que con las herramientas con las que cuentan internamente no lo habían conseguido.

Que era una pena porque hace apenas un par de meses habían dado con 0day que hubiera permitido bypasear el 2FA de la cuenta, pero que ya estaba parcheado.

Los de Google, intentando atacarse a sí mismos…

Y que solo había una solución: Que hablásemos con la compañía de telecomunicaciones, explicándoles el caso, para que nos dieran acceso aunque fuera de forma temporal, a dicho número de teléfono (del cual, por cierto, solo sabíamos los últimos 2 caracteres) y poder acceder así a la cuenta, cambiar el número de teléfono, y hacer entonces la migración completa.

Hasta nos prepararon una carta oficial de Google para constatar de que realmente lo que decíamos era cierto. Que no estábamos intentando timar a nadie.

¿Cómo te quedas?

El clásico problema de la mochila histórica… pero digital

Al final, y viendo el jaleo, se ha decidido obviar aquella cuenta y se creará una nueva. Dudo mucho que la operadora esté por la labor incluso con la carta de Google, y en todo caso conllevaría aún más trabajo del que realmente se merece (tienen una cuenta con menos de 100 seguidores, y probablemente muchos de los vídeos subidos se irían a borrar igualmente con vistas a ese nuevo rebranding que estamos realizando).

Pero me ha parecido un buen ejemplo de lo complicado que suele ser gestionar cuentas en entornos con una mochila histórica muy dilatada.

  • Lo está siendo para este cliente, que ha decidido hacer borrón y cuenta nueva para intentar digitalizarse a marchas forzadas y de forma estructurada.
  • Y lo es también incluso para una de las grandes empresas tecnológicas de nuestro siglo. Precisamente ese tipo de empresas que esperas que tengan esto de la digitalización más que controlado, por ser, de hecho, el core de su negocio y un referente mundial.

Un ejemplo más de cómo este tipo de problemáticas nos afectan a todos, ya seamos pequeños o grandes, ya seamos digitales o no.

Y un aviso a navegantes de aquí al día de mañana. Tanto a nivel personal como corporativo, por cierto.

Newsletter nuevas tecnologias seguridad

Imagínate recibir en tu correo semanalmente historias como esta

Suscríbete ahora a “Las 7 de la Semana”, la newsletter sobre Nuevas Tecnologías y Seguridad de la Información. Cada lunes a las 7AM horario español un resumen con todo lo importante de estos últimos días.