Clave de API (API Key)
¿Qué es Clave de API (API Key)?
Clave de API (API Key)Cadena secreta estatica emitida por un servicio para identificar y autenticar al llamador, enviada normalmente en una cabecera o query parameter de cada peticion.
Las API keys son cadenas largas y aleatorias que identifican un proyecto, cuenta de servicio o desarrollador frente a una API backend. Son faciles de emitir y usar, pero ofrecen garantias debiles: identifican al llamador y no al usuario, por defecto no caducan y conceden todos los permisos asociados. Buenas practicas: almacenarlas en un gestor de secretos, no incrustarlas en codigo cliente ni en repos publicos, limitar su scope, restringirlas por IP o referrer, rotarlas y revocarlas de inmediato si se filtran. Para autorizacion de usuario final u operaciones criticas, prefiere OAuth 2.0, mTLS o peticiones firmadas.
● Ejemplos
- 01
Authorization: ApiKey sk_live_abc123...
- 02
APIs de Stripe, Google Maps o Twilio accedidas con claves por proyecto.
● Preguntas frecuentes
¿Qué es Clave de API (API Key)?
Cadena secreta estatica emitida por un servicio para identificar y autenticar al llamador, enviada normalmente en una cabecera o query parameter de cada peticion. Pertenece a la categoría de Identidad y acceso en ciberseguridad.
¿Qué significa Clave de API (API Key)?
Cadena secreta estatica emitida por un servicio para identificar y autenticar al llamador, enviada normalmente en una cabecera o query parameter de cada peticion.
¿Cómo funciona Clave de API (API Key)?
Las API keys son cadenas largas y aleatorias que identifican un proyecto, cuenta de servicio o desarrollador frente a una API backend. Son faciles de emitir y usar, pero ofrecen garantias debiles: identifican al llamador y no al usuario, por defecto no caducan y conceden todos los permisos asociados. Buenas practicas: almacenarlas en un gestor de secretos, no incrustarlas en codigo cliente ni en repos publicos, limitar su scope, restringirlas por IP o referrer, rotarlas y revocarlas de inmediato si se filtran. Para autorizacion de usuario final u operaciones criticas, prefiere OAuth 2.0, mTLS o peticiones firmadas.
¿Cómo defenderse de Clave de API (API Key)?
Las defensas contra Clave de API (API Key) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
● Términos relacionados
- appsec№ 459
Secretos en el código (hardcoded)
Incrustar credenciales, claves API, tokens o material criptográfico directamente en el código, ficheros de configuración o imágenes de contenedor, donde se descubren y abusan con facilidad.
- appsec№ 052
Seguridad de API
Disciplina de diseñar, construir y operar APIs de forma que autenticación, autorización, exposición de datos y resistencia al abuso se mantengan bajo ataque.
- identity-access№ 088
Token portador (Bearer Token)
Credencial opaca o estructurada (RFC 6750) que concede acceso a un recurso solo por su posesion, sin prueba de que el portador sea el legitimo.
- identity-access№ 749
OAuth 2.0
Marco abierto de autorización que permite al propietario de un recurso conceder a una aplicación de terceros acceso limitado y delimitado a una API, sin compartir credenciales.
- identity-access№ 1011
Cuenta de servicio
Identidad no humana utilizada por una aplicación, script o servicio para autenticarse ante otros sistemas, normalmente sin inicio de sesión interactivo.
- identity-access№ 233
Bóveda de credenciales
Servicio centralizado y auditado que almacena, rota y media de forma segura el acceso a secretos como contraseñas, claves de API, certificados y claves SSH.