Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 058

Clave de API (API Key)

Revisado porCybersecurity entrepreneur & security researcher

¿Qué es Clave de API (API Key)?

Clave de API (API Key)Cadena secreta estatica emitida por un servicio para identificar y autenticar al llamador, enviada normalmente en una cabecera o query parameter de cada peticion.


Las API keys son cadenas largas y generadas aleatoriamente que identifican un proyecto, una cuenta de servicio o un desarrollador frente a una API backend. Son faciles de emitir y usar, pero ofrecen garantias debiles: identifican al llamador, no al usuario; por defecto no caducan; y conceden todos los permisos que tengan asociados. Al ser secretos de portador estaticos, cualquiera que obtenga la cadena puede suplantar al llamador legitimo hasta que la clave se revoque.

El modo de fallo dominante es la filtracion a traves del control de versiones. GitHub informo de que en 2024 se expusieron mas de 39 millones de secretos en su plataforma, y la investigacion State of Secrets Sprawl de GitGuardian encontro claves AWS IAM en cerca del 8% de los repositorios privados analizados. Un ejemplo de 2025 fue el repositorio publico "Private-CISA", donde el investigador de GitGuardian Guillaume Valadon descubrio credenciales de AWS GovCloud expuestas, contrasenas en texto plano y certificados SAML vinculados a sistemas del gobierno de EE. UU. Las claves tambien se filtran via apps moviles (APK descompilados), bundles de JavaScript de front-end, logs de CI y capturas de pantalla.

Defensas: almacenar las claves en un gestor de secretos en lugar de en el codigo, activar el escaneo de secretos y la proteccion contra push del proveedor, limitar cada clave a los endpoints minimos, restringir por IP o referrer HTTP, fijar caducidad y rotar de forma programada, y revocar de inmediato ante una exposicion. Para la autorizacion de usuarios finales u operaciones de alto valor, prefiere OAuth 2.0, mTLS o peticiones firmadas con HMAC, que vinculan la credencial a un usuario, una audiencia y una vida util corta.

flowchart LR
  A[Desarrollador emite la API key] --> B[Clave incrustada en app/config]
  B --> C{Almacenada de forma segura?}
  C -->|Gestor de secretos + escaneo| D[Llamador -> peticion API<br/>cabecera Authorization]
  C -->|Subida a repo / APK / logs| E[Escaneres de secretos + atacantes<br/>recolectan la clave]
  E --> F[Suplantacion y abuso<br/>hasta su revocacion]
  D --> G[Scope + lista de IP permitidas + rotacion<br/>limitan el radio de impacto]

Ejemplos

  1. 01

    Authorization: ApiKey sk_live_abc123...

  2. 02

    APIs de Stripe, Google Maps o Twilio accedidas con claves por proyecto.

Preguntas frecuentes

¿Qué es Clave de API (API Key)?

Cadena secreta estatica emitida por un servicio para identificar y autenticar al llamador, enviada normalmente en una cabecera o query parameter de cada peticion. Pertenece a la categoría de Identidad y acceso en ciberseguridad.

¿Qué significa Clave de API (API Key)?

Cadena secreta estatica emitida por un servicio para identificar y autenticar al llamador, enviada normalmente en una cabecera o query parameter de cada peticion.

¿Cómo defenderse de Clave de API (API Key)?

Las defensas contra Clave de API (API Key) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

Términos relacionados