🌐 ES

🔑 Generador de claves API

Genera claves API aleatorias y seguras. Úsalas para API REST, tokens de autenticación y claves secretas.

Formato de la clave API
GUÍA

Más información

01

1. La importancia de la seguridad de las claves API

Las claves API son elementos de seguridad fundamentales para la autenticación entre aplicaciones. Las claves débiles son vulnerables a ataques de fuerza bruta, y su exposición conduce a un acceso no autorizado a la API. Una clave API robusta debe tener al menos 32 caracteres aleatorios y generarse con un generador de números pseudoaleatorios criptográficamente seguro (CSPRNG). Los formatos UUID v4, Base64 y Hex son ampliamente utilizados, y cada clave debe ser única e impredecible. Si una clave se expone, revócala de inmediato y sustitúyela por una nueva, y nunca la subas a repositorios públicos como GitHub.

02

2. Comparación de métodos de generación de claves

Existen varios métodos para generar claves API. UUID v4 usa 122 bits aleatorios con una probabilidad de colisión extremadamente baja, por lo que es ampliamente adoptado. Base64 codifica datos binarios como texto, aportando aproximadamente 192 bits de entropía en 32 caracteres. Hex se representa en hexadecimal, ofreciendo alta legibilidad y una seguridad de 256 bits en 64 caracteres. El formato alfanumérico usa solo letras y números para ser seguro en URL, y añadir prefijos (sk_, api_) facilita identificar el tipo de clave. Stripe, AWS y OpenAI usan formatos de clave distintos para diferenciar las claves de cada servicio.

03

3. UUID frente a cadenas aleatorias

UUID v4 es un identificador estandarizado de 128 bits que garantiza unicidad global. El formato 8-4-4-4-12 (por ejemplo: 550e8400-e29b-41d4-a716-446655440000) tiene una estructura clara conforme al estándar RFC 4122. Las cadenas aleatorias personalizadas, en cambio, ofrecen flexibilidad de longitud y formato. Mientras que los UUID son adecuados como clave primaria de base de datos, las cadenas aleatorias resultan más concisas y prácticas para claves API. La fortaleza de seguridad es similar, pero las cadenas aleatorias facilitan implementar lógica de validación añadiendo prefijos y sumas de verificación.

04

4. Recomendaciones para el almacenamiento de claves

Nunca almacenes claves API en texto plano. Guárdalas en variables de entorno (.env) y añade este archivo a .gitignore para excluirlo del control de versiones. En producción, utiliza sistemas dedicados de gestión de secretos como AWS Secrets Manager, HashiCorp Vault o Azure Key Vault. Al almacenarlas en bases de datos, conviértelas en hashes (SHA-256) y aplica cifrado (AES-256) cuando sea necesario. Evita codificar las claves directamente en el código; utiliza en su lugar secretos de Docker o Secrets de Kubernetes. Enmascara las claves en los registros para evitar su exposición y supervisa el historial de uso de las claves.

05

5. Políticas de rotación de claves

Las claves API deben rotarse periódicamente. Es habitual rotarlas cada 90 días, y revocarlas de inmediato si se sospecha una filtración. Para una rotación sin interrupciones, activa dos claves simultáneamente, cambia a la nueva clave y luego desactiva la antigua. AWS IAM y las claves API de Google Cloud ofrecen funciones de rotación automática. Establece una fecha de caducidad para cada clave con el fin de invalidar automáticamente las antiguas, y registra el historial de rotaciones en un registro de auditoría. Usar autenticación basada en tokens como OAuth 2.0 o JWT en lugar de claves API ofrece mayor seguridad con caducidad automática.

06

6. Limitación de tasa y restricciones de uso

Aplica siempre una limitación de tasa (rate limiting) a las claves API para prevenir abusos. Establece límites como 100 solicitudes por minuto por IP o 1000 por hora por clave. Implementa cuotas para limitar el número máximo de llamadas diarias, devolviendo un código 429 Too Many Requests cuando se supere. Configura listas blancas de IP para permitir el uso de la clave solo desde direcciones específicas, y detecta patrones anómalos (grandes volúmenes de solicitudes en poco tiempo) para bloquear automáticamente. Las pasarelas API como Cloudflare, Kong y AWS API Gateway simplifican la implementación de la limitación de tasa. Establece permisos específicos por clave (scopes) para restringir el acceso a solo lectura, solo escritura, etc.

Preguntas frecuentes

¿Las claves generadas se envían a un servidor?
No. Todas las claves se generan únicamente en tu navegador y nunca se envían a un servidor, por lo que son seguras de usar.
¿Qué formato debería elegir?
En general, UUID v4 es ampliamente utilizado por su baja probabilidad de colisión. Elige alfanumérico para compatibilidad con URL, o Hex para mayor legibilidad.