Google ha empezado a exigir autenticación multifactor (MFA) para la Google Ads API. El despliegue arrancó el 21 de abril de 2026 a nivel de la API, y desde el 7 de mayo de 2026 las nuevas configuraciones de transfer en BigQuery Data Transfer Service para Google Ads también requieren MFA cuando la autenticación es a nivel de usuario individual. El cambio afecta a cualquier flujo que use user authentication para acceder a datos de Google Ads a través de la API, Google Ads Editor, Google Ads Scripts, BigQuery Data Transfer Service y Data Studio.
La buena noticia para la mayoría de equipos: los refresh tokens de OAuth ya existentes siguen funcionando, y cualquier flujo que use service accounts está exento del nuevo requisito. La parte menos cómoda: cualquiera que vaya a configurar un transfer de BigQuery nuevo, una integración nueva en Apps Script, o que vaya a dar de alta a un nuevo miembro del equipo en Google Ads Editor se va a chocar con el prompt de MFA. Esta guía explica qué cambió, a quién afecta y cuál es el plan de acción para que tu reporting siga funcionando.
Qué cambió
Hay dos despliegues relacionados que ocurren en fechas distintas. Ambos vienen de la misma actualización de seguridad.
El cambio forma parte de un endurecimiento de seguridad que Google está aplicando a sus productos para developers. El comunicado oficial en el Google Ads Developer Blog lo explica como un paso para que "una contraseña comprometida ya no sea suficiente para entrar". La fecha específica del 7 de mayo para BigQuery está documentada en las release notes de BigQuery. El impacto técnico para marketers y analistas se concentra en los flujos de user authentication.
A quién afecta (y a quién no)
Las exenciones importan tanto como el requisito en sí.
No se ven afectados: service accounts. Si tu transfer de BigQuery o tu Apps Script autentica con una service account, el MFA no aplica. Las service accounts se autentican con un JSON key, no con usuario y contraseña, así que el concepto de segundo factor no existe ahí. Google recomienda explícitamente service accounts para cualquier caso automatizado o sin intervención humana.
No se ven afectados: refresh tokens de OAuth ya existentes. Si configuraste tu transfer en 2024 o antes y el refresh token sigue siendo válido, no tienes que hacer nada. No vas a tener prompt de re-autorización a no ser que regeneres el token o el actual caduque.
Sí afectados: setups nuevos con user authentication. Cualquiera que dé de alta una conexión nueva desde una cuenta de Google (no service account) hacia Google Ads API, BigQuery DTS, Google Ads Editor, Google Ads Scripts o Data Studio va a ver el prompt de MFA. Si esa cuenta de Google aún no tiene 2-Step Verification activado, se le pedirá activarlo antes de poder continuar.
Sí afectados: instalaciones nuevas y migraciones. Si cambias de portátil, pierdes un OAuth token, das de alta a un nuevo miembro del equipo que necesita acceso a Google Ads, o migras un script a otro proyecto, vas a tener que re-autorizar. La re-autorización dispara el MFA.
Qué significa esto para tu reporting
Para la mayoría de equipos, el impacto práctico es bajo si ya están en service accounts. Para los que siguen en user authentication, hay tres impactos concretos:
Los nuevos transfers de BigQuery DTS no se completan sin MFA. Si arrancas un setup nuevo a partir del 7 de mayo y la cuenta de usuario no tiene 2-Step Verification activado, el setup falla en el paso de auth. Tendrás que activar MFA en esa cuenta o cambiar el transfer a una service account. Nuestra guía de Google Ads a BigQuery automated setup cubre ambas opciones de principio a fin.
Las integraciones de Apps Script contra Google Ads necesitan planificar la re-autenticación. Si tu Apps Script usa refresh tokens de OAuth que están a punto de caducar o necesitan rotación, ten en cuenta el prompt de MFA durante la re-autorización. El código del script no necesita cambios; lo que cambia es el flujo de auth.
Data Studio te va a pedir MFA al crear conexiones nuevas. Quien dé de alta una fuente de datos nueva de Google Ads en Data Studio después del despliegue verá el reto de MFA. Las fuentes de datos ya existentes siguen actualizándose con normalidad porque usan tokens de OAuth ya guardados.
Los pipelines cross-channel se ven afectados solo en la parte de Google Ads. Tus pipelines existentes que cruzan datos de Google Ads, Meta, LinkedIn y TikTok siguen funcionando. Lo cubrimos en detalle en nuestra guía de LinkedIn Ads a Google Sheets y en la de Meta Ads a Google Sheets; el cambio de MFA no toca ninguna de esas conexiones ya establecidas.
Plan de acción: qué hacer esta semana
Cinco pasos para mantener tu reporting funcionando durante el despliegue.
- Audita tu método de autenticación. Para cada conexión de Google Ads en BigQuery DTS, Apps Script, Google Ads Editor y Data Studio, identifica si usa service account o user authentication. La consola de BigQuery DTS muestra el tipo de auth en los detalles de configuración de cada transfer.
- Activa MFA en cada cuenta de Google que toque la Google Ads API. Aunque hoy no necesites re-autorizar, activar MFA por adelantado evita sorpresas el día que alguien necesite dar de alta una conexión nueva. Revisa la pestaña Seguridad en la configuración de cada cuenta de Google y busca el ajuste de Verificación en 2 pasos.
- Migra los pipelines críticos a service accounts. Para cualquier reporting de producción que corra en agenda, cambia user authentication por service account. Las service accounts no están afectadas por el requisito de MFA y además son más fiables a largo plazo porque no dependen del OAuth token de una persona concreta. Da permisos de lectura a la service account sobre las cuentas de Google Ads relevantes desde la página de IAM de Google Cloud.
- Documenta el fallback de MFA en el runbook del equipo. Cuando entre un nuevo analista o alguien cambie de equipo, la primera vez que autorice una herramienta de Google Ads va a tener prompt de MFA. Asegúrate de que tu doc de onboarding diga "vas a tener un prompt de 2FA, ten el móvil a mano".
- Planifica los onboardings teniendo el despliegue presente. Si tienes nuevos clientes de agencia o nuevos miembros del equipo recibiendo accesos esta semana, agenda el setup de auth en una sesión donde alguien con admin del Google Workspace pueda echar una mano si MFA tiene que activarse en frío.
Para agencias que llevan esto en varios clientes, nuestra guía de dashboard de atribución multi-channel cubre los patrones que escalan la gestión de auth entre plataformas.
Timeline
El despliegue es por fases. Espera unas semanas de estados mixtos entre cuentas antes de que MFA sea universal en todos los puntos de acceso a la Google Ads API.
- 21 de abril de 2026. Google Ads API empieza a exigir MFA en flujos de user authentication. El rollout llega a todos los usuarios en las semanas siguientes.
- 7 de mayo de 2026. Las nuevas configuraciones de BigQuery Data Transfer Service para Google Ads exigen MFA. Los transfers existentes siguen funcionando con normalidad.
- A lo largo de mayo y junio 2026. Todos los flujos de user auth en Google Ads Editor, Apps Script y Data Studio completan el despliegue.
- De cara al futuro. Considera MFA como el default para cualquier conexión nueva a Google Ads API. Reserva user authentication para setups puntuales y service accounts para todo lo automatizado.
FAQ
¿Va a romperse mi BigQuery Data Transfer de Google Ads ya existente el 7 de mayo?
No. El requisito de MFA solo aplica a configuraciones de transfer nuevas. Los transfers existentes siguen actualizándose en su agenda habitual porque usan refresh tokens de OAuth ya autorizados. El cambio mira hacia adelante, no hacia atrás.
¿Las service accounts necesitan MFA?
No. Las service accounts se autentican con un JSON key, no con usuario y contraseña, así que el MFA no aplica. Google recomienda explícitamente service accounts para cualquier flujo automatizado o sin intervención humana.
¿Qué pasa si no tengo 2-Step Verification activado en mi cuenta de Google?
Cuando intentes dar de alta una conexión nueva a Google Ads API o re-autorizar una existente, se te pedirá activar 2-Step Verification antes de completar el flujo de auth. Sigue las indicaciones en la pestaña Seguridad de tu cuenta de Google.
¿El cambio afecta a los usuarios de Google Ads Editor?
Sí en autorizaciones nuevas. Si instalas Google Ads Editor en un dispositivo nuevo o entras con una cuenta de Google distinta, vas a tener prompt de MFA además del usuario y la contraseña. Las instalaciones existentes con tokens válidos siguen funcionando.
¿Las integraciones de Apps Script con Google Ads se ven afectadas?
Sí cuando hay re-autenticación. El código del script en sí no necesita cambios. Pero cuando un refresh token de OAuth caduca o se regenera, el usuario que autorice va a ver el prompt de MFA.
¿El cambio afecta a la auth de Meta, LinkedIn o TikTok?
No. Solo a la parte de Google Ads. Meta, LinkedIn y TikTok tienen sus propios flujos de auth independientes de este cambio. Los pipelines existentes que cruzan las cuatro plataformas siguen corriendo porque cada plataforma tiene su auth por separado.
¿Las conexiones de Looker Studio (ahora Data Studio) a Google Ads se van a romper?
Las conexiones existentes de Data Studio a Google Ads siguen actualizándose porque usan tokens de OAuth ya guardados. Solo los setups nuevos de fuente de datos de Google Ads en Data Studio van a disparar el prompt de MFA durante la autorización inicial.
Conclusión
El despliegue de MFA en la Google Ads API es un endurecimiento de seguridad, no un cambio de funcionalidad. El flujo de datos a través de BigQuery, Apps Script, Google Ads Editor y Data Studio es idéntico; lo único que cambia es que el paso de autorización ahora requiere un segundo factor. La mayoría de pipelines de reporting siguen funcionando sin cambios porque los tokens de OAuth ya existentes están protegidos y las service accounts están exentas. La fricción se concentra en los setups nuevos, en los nuevos miembros del equipo y en las cuentas que aún no han activado la verificación en 2 pasos.
Si llevas reporting de Google Ads y quieres saltarte la configuración de BigQuery Data Transfer Service, empieza una prueba gratis de Dataslayer. El OAuth inicial respeta el MFA de tu cuenta; una vez conectado, Dataslayer renueva los access tokens automáticamente y gestiona el acceso multi-cuenta, así que el despliegue en curso queda invisible en tu workflow.
