Una clave de interfaz de programación de aplicaciones (API) es un código único utilizado por una API para identificar una aplicación o un usuario. Las claves API se utilizan para rastrear y controlar quién usa la API y cómo, y para autenticar y autorizar aplicaciones de manera similar a las contraseñas y los inicios de sesión. Una clave API puede ser una única clave o un conjunto de varias claves. Los usuarios deben prestar atención a su seguridad para protegerse del robo y la fuga de datos.
API y clave API
Para comprender qué es una clave API, primero debe observar la API misma. Una interfaz de programación de aplicaciones, o API, es un intermediario de software que permite el intercambio de información entre dos o más aplicaciones. Por ejemplo, la API CoinMarketCap permite que otras aplicaciones recuperen y utilicen datos de criptomonedas, como el precio, el volumen y la capitalización de mercado.
Una clave API puede ser una única clave o un conjunto de varias claves. Varios sistemas utilizan estas claves para autenticar y autorizar aplicaciones, al igual que los inicios de sesión y las contraseñas. El cliente API utiliza la clave API para autenticar la aplicación que llama a la API.
Por ejemplo, si Binance Academy quiere utilizar la API CoinMarketCap, CoinMarketCap generará una clave API y la usará para autenticar la Binance Academy (cliente API) que solicita acceso a la API. Cuando Binance Academy accede a la API de CoinMarketCap, la clave de API se envía a CoinMarketCap junto con la solicitud.
En este ejemplo, solo Binance Academy puede usar la clave API sin compartirla con terceros. Compartir esta clave API permitirá que un tercero acceda a CoinMarketCap y realice acciones en nombre de Binance Academy.
Además, la API de CoinMarketCap puede utilizar la clave API para verificar que la aplicación esté autorizada para acceder al recurso solicitado. Los propietarios de API también pueden utilizar claves de API para realizar un seguimiento de la actividad de la API, incluidos los tipos de solicitudes, el tráfico y el volumen.
¿Qué es una clave API?
La clave API se utiliza para controlar y rastrear quién utiliza la API y cómo. El término "clave API" en sí puede tener varios significados. Algunos sistemas tienen un solo código, mientras que otros tienen varios códigos para una única clave API.
En otras palabras, una clave API es un código único o un conjunto de códigos únicos utilizados por una API para autenticar y autorizar al usuario o aplicación que llama. Algunos códigos se utilizan para la autenticación, mientras que otros se utilizan para crear firmas criptográficas que confirman la legitimidad de la solicitud.
Estos códigos de autenticación se denominan "clave API", mientras que los códigos para crear firmas criptográficas tienen varios nombres como "clave secreta", "clave pública" o "clave privada". La autenticación implica identificar las entidades involucradas y confirmar la identidad.
La autorización, a su vez, determina los servicios API a los que se permite el acceso. Una clave API funciona de manera similar al inicio de sesión y la contraseña de una cuenta, y también se puede vincular a otras funciones de seguridad para mejorar la seguridad general.
El propietario de la API genera cada clave de API específicamente para una entidad específica (más sobre esto a continuación), y cada vez que se llama a un punto final de API que requiere autenticación y/o autorización del usuario, se utiliza la clave correspondiente.
Firmas criptográficas
Algunas claves API utilizan firmas criptográficas como capa adicional de verificación. Cuando un usuario desea pasar ciertos datos a la API, se puede agregar a la solicitud una firma digital generada por una clave diferente. Mediante criptografía, el propietario de la API podrá verificar que la firma digital coincida con los datos enviados.
Firmas simétricas y asimétricas.
Las siguientes categorías de claves criptográficas se utilizan para firmar datos enviados a través de la API:
Claves simétricas
Implican el uso de una clave secreta para firmar datos y verificar la firma. Cuando se utilizan claves simétricas, el propietario de la API genera una clave API y una clave secreta, que los servicios API utilizan para la verificación de firmas. La principal ventaja de utilizar una única clave es que acelera el proceso de generación y verificación de firmas y requiere menos potencia informática. Un ejemplo de una buena clave simétrica es HMAC.
Teclas asimétricas
Implican el uso de dos claves: privada y pública, diferentes entre sí, pero que tienen una conexión criptográfica. La clave privada se utiliza para generar la firma y la clave pública para verificarla. El propietario de la API genera la clave API y el usuario genera las claves pública y privada. Para verificar la firma, el propietario de la API utiliza sólo la clave pública, mientras que la clave privada se mantiene en secreto.
La principal ventaja de utilizar claves asimétricas es una mayor seguridad al separar las tareas de generación y verificación de firmas. Esto permite que sistemas externos verifiquen firmas sin poder generarlas. Además, algunos sistemas de cifrado asimétrico admiten agregar una contraseña a las claves privadas. Un ejemplo es un par de claves RSA.
Seguridad de clave API
La seguridad de la clave API es responsabilidad del usuario. Las claves API actúan como contraseñas y requieren el mismo cuidado. No debe compartir su clave API con terceros, ya que esto será similar a compartir su contraseña y puede poner en riesgo su cuenta.
Las claves API suelen ser el objetivo de los ciberataques porque pueden utilizarse para realizar operaciones sensibles del sistema, como solicitar información personal o realizar transacciones financieras. Ya ha habido casos en los que los atacantes atacaron bases de datos en línea con códigos y robaron claves API.
El robo de claves API puede tener consecuencias negativas y pérdidas financieras importantes. Además, algunas claves API no caducan, por lo que los atacantes pueden usarlas antes de que se deshabiliten.
Consejos para utilizar claves API de forma segura
Las claves API brindan acceso a datos confidenciales, por lo que es fundamental utilizarlas de forma segura. Siga estas pautas para el uso seguro de las claves API:
Intente cambiar las claves API periódicamente. Para cambiar la clave, debe eliminar la clave API actual y crear una nueva. Cuando se utilizan varios sistemas, eliminar y generar claves API no es difícil. Así como algunos sistemas requieren cambios de contraseña cada 30 a 90 días, los propietarios de claves deben cambiar las claves API con la misma frecuencia si es posible.
Cree una lista blanca de direcciones IP. Al crear una nueva clave API, cree una lista de direcciones IP a las que se les permitirá usar esta clave (lista blanca de IP). Además, también puede especificar una lista de direcciones IP bloqueadas (lista negra de IP). Entonces, si roban la clave, la dirección IP no reconocida no podrá utilizarla.
Utilice varias claves API. Tener varias claves y distribuir tareas entre ellas reduce los riesgos, ya que la seguridad de la cuenta no dependerá de que una clave se utilice para todas las tareas a la vez. Además, para cada clave puedes crear diferentes listas blancas de direcciones IP, aumentando así significativamente el nivel de seguridad.
Asegúrese de que las claves API se almacenen de forma segura. No almacene claves en lugares públicos, en computadoras públicas o en formato de texto sin formato. Para aumentar la seguridad de cada clave, utilice cifrado o un servicio de gestión de datos confidenciales y tenga cuidado de no revelarla accidentalmente.
No comparta sus claves API con nadie. Darle a alguien una clave API es lo mismo que darle una contraseña. En este caso, el tercero recibe las mismas capacidades de autenticación y autorización que usted. En caso de una fuga de datos, la clave API podría ser robada y utilizada para piratear su cuenta. La clave API solo debe ser utilizada por usted y el sistema que la genera.
Si su clave API cae en manos de terceros, asegúrese de desactivarla para evitar daños mayores. En caso de pérdida financiera, tome capturas de pantalla de información clave sobre el incidente y comuníquese con las organizaciones pertinentes, además de presentar un informe policial. De esta manera puede aumentar sus posibilidades de recuperar los fondos perdidos.
En conclusión
Las claves API proporcionan funciones de autenticación y autorización, por lo que los usuarios deben almacenarlas de forma segura y utilizarlas con precaución. Hay muchos niveles y formas de proteger las claves API. La clave API debe tratarse de la misma manera que la contraseña de su cuenta.
Lectura recomendada
Principios generales de seguridad
5 tipos comunes de estafas con criptomonedas y cómo evitarlas
