Secretos de las claves API: qué son y por qué no se deben repartir a diestra y siniestra

La clave API es tu pase digital personal al mundo de las interfaces de programación. Yo mismo las uso constantemente y he entendido una cosa: debes tratarlas como las llaves de tu apartamento: si las pierdes, personas ajenas entrarán en tu espacio.

¿Qué es API y para qué necesitamos claves?

Imagina que el API es un camarero en un restaurante. Usted (aplicación) quiere un plato (datos), y el camarero corre entre la cocina (servidor) y usted. Sin el camarero, usted tendría que ir a la cocina por su cuenta, ¡y ahí habría caos!

Cuando utilicé por primera vez el API de servicios de criptomonedas, me sorprendió lo conveniente que es. Con una sola solicitud, se pueden obtener las tasas, los volúmenes de comercio y la capitalización. Pero el sistema debe saber: soy yo quien lo solicita, y no algún estafador.

Y aquí aparece la clave API: un código único que le dice al sistema: "Sí, soy yo, déjame pasar".

Anatomía de la clave API

En algunas plataformas, la clave API es simplemente una cadena de caracteres. En otras, es un conjunto completo de claves. He trabajado con diferentes plataformas de trading, y en todas es diferente: en algunas hay dos claves (pública y secreta), en otras hay tres.

Estas claves cumplen dos funciones principales:

• Autenticación: "¿Eres realmente quien dices ser?"
• Autorización: "¿Qué se te permite hacer?"

Firmas y cifrado — magia matemática

Particularmente interesantes son las firmas criptográficas. Cuando envío una solicitud a través de la API, el sistema puede requerir una firma — es como un sello en un documento que confirma su autenticidad.

Existen dos enfoques:

Claves simétricas: se utiliza el mismo secreto para crear y verificar la firma. Rápido, pero menos confiable si se roba el secreto.

Claves asimétricas: un par de claves — la privada (solo para mí) y la pública (se puede mostrar a todos). Firmo con la privada, y cualquier persona que tenga la pública puede verificar. Una vez, accidentalmente subí la clave pública a un repositorio — eso estaba bien, pero con la privada no se puede hacer eso!

¿Qué tan seguros son las claves API?

¿Honesto? No mucho. Una vez dejé la clave API en el código que subí a GitHub. Una hora después noté actividad sospechosa: ¡alguien intentaba realizar transacciones! Afortunadamente, revocé la clave a tiempo.

Los hackers literalmente están cazando claves API en repositorios públicos. Lanzan bots que escanean GitHub en busca de claves publicadas por accidente.

Cómo protejo mis API-keys

Después de ese incidente, desarrollé mi ritual:

1. Cambio las claves cada mes. Sí, es un poco complicado con la configuración de los scripts, pero la seguridad es más importante.

2. Uso de la lista blanca de direcciones IP. Incluso si alguien roba la clave, solo podrá usarla desde las direcciones permitidas.

3. Creo diferentes claves para diferentes tareas. Una para leer datos, otra para comerciar, la tercera para retirar fondos — con diferentes niveles de acceso.

4. Almaceno las claves de forma cifrada, utilizando un gestor de contraseñas.

5. NUNCA comparto mis claves. Un conocido mío me pidió la clave "solo para verificar algo" — me negué rotundamente. Es como darle a alguien tu tarjeta bancaria con el PIN.

Si de repente notas algo extraño, ¡desconecta las llaves de inmediato! Es mejor ser precavido y perder un poco de tiempo que perder todo tu dinero.

Las claves API son su pasaporte digital. Cuídelo como a la niña de sus ojos, especialmente cuando se trata de operaciones financieras.