Una clave de interfaz de programación de aplicaciones (API) es un código único que se utiliza en una API para identificar la aplicación o el usuario que llama. Las claves API se utilizan para rastrear y controlar quién usa la API y cómo, y para autenticar y autorizar aplicaciones, de manera similar a cómo funcionan los nombres de usuario y las contraseñas. Una clave API puede ser una única clave o un conjunto de varias claves. Los usuarios deben seguir las mejores prácticas para mejorar su protección general contra el robo de claves API y evitar las consecuencias asociadas de que sus claves API se vean comprometidas.
API y clave API
Para comprender qué es una clave API, primero debe comprender qué es una API. Una interfaz de programación de aplicaciones, o API, es un intermediario de software que permite que dos o más programas intercambien información. Por ejemplo, la API CoinMarketCap permite que otras aplicaciones recuperen y utilicen datos de criptomonedas, como el precio, el volumen y la capitalización de mercado.
La clave API puede tener diferentes formas. Puede ser una única clave o un conjunto de varias claves. En varios sistemas, estas claves se utilizan para la autenticación y autorización de aplicaciones de la misma manera que se utilizan un nombre de usuario y una contraseña. El cliente API utiliza la clave API para autenticar la aplicación que llama a la API.
Por ejemplo, si Binance Academy desea utilizar la API CoinMarketCap, se generará una clave API en CoinMarketCap y se utilizará para autenticar a Binance Academy (cliente API) que solicita acceso a la API. Cuando Binance Academy accede a la API de CoinMarketCap, esta clave de API debe enviarse a CoinMarketCap con la solicitud.
Esta clave API solo debe usarse a través de Binance Academy y no puede compartirse ni enviarse a otros. Compartir esta clave API permitirá que un tercero acceda a CoinMarketCap como Binance Academy, y cualquier acción del tercero aparecerá como si se originara en Binance Academy.
La clave API también puede utilizar la API CoinMarketCap para confirmar que la aplicación puede acceder al recurso solicitado. Además, los propietarios de API utilizan claves de API para monitorear la actividad de la API, como los tipos de solicitudes, el tráfico y el volumen.
¿Qué es una clave API?
La clave API se utiliza para controlar y rastrear quién usa la API y cómo se usa. El término "clave API" puede significar diferentes cosas para diferentes sistemas. Algunos sistemas tienen un código, otros pueden tener varios códigos para una única "Clave API".
Por lo tanto, una "Clave API" es un código único o un conjunto de códigos únicos utilizados en una API para autenticar y autorizar al usuario o aplicación que llama. Algunos códigos se utilizan para la autenticación, mientras que otros se utilizan para crear firmas criptográficas que confirman la legitimidad de la solicitud.
Estos códigos de autenticación se denominan comúnmente "clave API", mientras que los códigos utilizados para las firmas criptográficas tienen varios nombres, como "clave secreta", "clave pública" o "clave privada". La autenticación implica identificar a las personas involucradas y confirmar que son quienes dicen ser.
La autorización, por otro lado, especifica a qué servicios API se permite acceder. La función de la clave API es similar a la función del nombre de usuario y contraseña de la cuenta; También se puede conectar a otras funciones de seguridad para aumentar la seguridad general.
Normalmente, el propietario de la API genera cada clave de API para un objeto específico (consulte los detalles a continuación) y siempre que se realiza una llamada al punto final de la API que requiere autenticación o autorización del usuario, o ambas, se utiliza la clave correspondiente.
Firmas criptográficas
Algunas claves API utilizan firmas criptográficas como capa adicional de verificación. Cuando un usuario desea enviar ciertos datos a la API, se puede adjuntar a la solicitud una firma digital generada por otra clave. Mediante criptografía, el propietario de la API puede verificar que esta firma digital coincida con los datos enviados.
Firmas simétricas y asimétricas.
Los datos enviados a través de la API se pueden firmar con claves criptográficas que se clasifican en las siguientes categorías:
Claves simétricas
Se trata del uso de una única clave secreta para firmar datos y verificar la firma. Cuando se utilizan claves simétricas, la clave API y la clave secreta generalmente las genera el propietario de la API, y el servicio API debe usar la misma clave secreta para verificar la firma. La principal ventaja de utilizar una única clave es que todo sucede más rápido y requiere menos potencia informática para generar y verificar la firma. Un buen ejemplo de clave simétrica es HMAC.
Teclas asimétricas
Se trata del uso de dos claves: una clave privada y una clave pública, que son diferentes pero relacionadas criptográficamente. La clave privada se utiliza para crear la firma y la clave pública se utiliza para verificar la firma. La clave API la genera el propietario de la API y el usuario genera el par de claves pública y privada. El propietario de la API debe utilizar únicamente la clave pública para verificar la firma, de modo que la clave privada permanezca local y secreta.
La principal ventaja de utilizar claves asimétricas es la mayor seguridad de la separación entre la generación de firmas y la verificación de claves. Esto permite que sistemas externos verifiquen firmas sin poder generarlas. Otra ventaja es que algunos sistemas de cifrado asimétrico admiten agregar una contraseña a las claves privadas. Un buen ejemplo es un par de claves RSA.
¿Son seguras las claves API?
La clave API es responsabilidad del usuario. Las claves API son similares a las contraseñas y deben manejarse con el mismo cuidado. Compartir una clave API es similar a compartir una contraseña y, por lo tanto, no debe compartirse con otras personas, ya que esto pondrá en riesgo la cuenta del usuario.
Las claves API suelen ser el objetivo de los ciberataques porque pueden utilizarse para realizar operaciones potentes en los sistemas, como solicitar información personal o transacciones financieras. De hecho, ha habido casos en los que los rastreadores han atacado con éxito bases de datos de códigos en línea para robar claves API.
Las consecuencias del robo de claves API pueden ser graves y provocar pérdidas financieras importantes. Además, dado que algunas claves API no caducan, los atacantes pueden usarlas indefinidamente después del robo hasta que las claves sean revocadas.
Directrices para el uso de claves API
Debido a su acceso a datos confidenciales y su vulnerabilidad general, el uso seguro de las claves API es de suma importancia. Puede seguir estas mejores prácticas al utilizar claves API para mejorar su seguridad general:
Cambie sus claves API con frecuencia. Esto significa que debe eliminar su clave API actual y generar una nueva. Generar y eliminar claves API es bastante fácil en la mayoría de los sistemas. Así como algunos sistemas requieren que cambie su contraseña cada 30 a 90 días, debe cambiar sus claves API con la misma frecuencia si es posible.
Utilice una lista blanca de IP: al crear una clave API, cree una lista de direcciones IP que puedan usar la clave (lista blanca de IP). También puede especificar una lista de direcciones IP bloqueadas (lista negra de IP). De esa manera, incluso si le roban su clave API, una dirección IP desconocida aún no podrá acceder a ella.
Utilice varias claves API: tener varias claves y dividir las responsabilidades entre ellas reducirá el riesgo de seguridad porque su seguridad no dependerá de una única clave con permisos extendidos. También puede configurar diferentes listas blancas de IP para cada clave, lo que reduce aún más el riesgo de seguridad.
Almacene las claves API de forma segura: no almacene claves en lugares públicos, en computadoras públicas ni en formato de texto sin formato. En su lugar, almacene cada clave con cifrado o un administrador de contraseñas para mayor seguridad, y tenga cuidado de no revelarlas accidentalmente.
No comparta sus claves API con nadie. Compartir una clave API es similar a compartir su contraseña. Al hacerlo, otorga sus privilegios de autenticación y autorización a la otra parte. Si estos se ven comprometidos, su clave API puede ser robada y utilizada para piratear su cuenta. Una clave API solo debe usarse entre usted y el sistema que la genera.
Si su clave API está comprometida, primero debe desactivarla para evitar daños mayores. Si hay pérdidas financieras, tome capturas de pantalla de información clave relacionada con el incidente, comuníquese con las organizaciones pertinentes y presente un informe policial. Esta es la mejor manera de aumentar sus posibilidades de recuperar los fondos perdidos.
Resultados
Las claves API proporcionan funciones básicas de autenticación y autorización, y los usuarios deben administrar y proteger cuidadosamente sus claves. Hay muchos niveles y aspectos para garantizar el uso seguro de las claves API. En general, la clave API debe considerarse como la contraseña de su cuenta.
Artículos relacionados
Principios generales de seguridad
5 estafas comunes con criptomonedas y cómo evitarlas
