Buenas prácticas en el uso de claves API

  1. Mantenga sus claves API en secreto.

    • Nunca los compartas en correos electrónicos, chats, capturas de pantalla o foros públicos.

    • Trátalos como contraseñas: sólo compártelos con sistemas de confianza, nunca con personas.

    • Utilice controles de acceso para limitar quién de su equipo puede ver o gestionar las claves.

  2. No codifique las claves.

    • Evite incrustar claves directamente en su código o repositorios.

    • Utilice variables de entorno, administradores de secretos (por ejemplo, AWS Secrets Manager, Vault) o archivos de configuración excluidos del control de versiones.

    • Ejecute escaneos automatizados para detectar la exposición accidental de claves en commits.

  3. Rote las llaves con regularidad.

    • Sustituya las llaves según un calendario fijo (por ejemplo, cada 60-90 días).

    • Rote las llaves inmediatamente si un miembro del equipo se marcha o cambian las funciones.

  4. Revocar claves no utilizadas.

    • Borra las teclas que ya no se utilicen.

    • Audite periódicamente todas las llaves y confirme que siguen teniendo una finalidad válida.

    • Las claves inactivas u olvidadas son vectores de ataque habituales.

  5. Supervise el uso de la clave API.

    • Revise regularmente los registros de uso para detectar actividades inusuales. Esté atento a las solicitudes procedentes de direcciones IP, zonas geográficas u horas inesperadas.

    • Establezca alertas para detectar actividades sospechosas, como volúmenes elevados de solicitudes o nuevos patrones.

  6. Guarde las llaves de forma segura.

    • Utiliza cámaras acorazadas seguras, gestores de contraseñas o soluciones de almacenamiento cifrado.

    • Nunca guardes las claves en archivos de texto plano u hojas de cálculo.

    • Limite el almacenamiento local de claves en las máquinas de los desarrolladores siempre que sea posible.

  7. Actuar con rapidez en el compromiso.

    • Si sospechas que una clave se ha filtrado, revócala inmediatamente.

    • Genere una nueva clave y actualice sin demora todos los sistemas afectados.

    • Investigar la causa del compromiso y tomar medidas para evitar que se repita.

     

Vea cómo añadir la primera clave API y migrar a la autenticación por clave API.