¿Qué es una API key?

Para acceder a un programa o una aplicación a través de una interfaz de programación, se necesita una API key o clave API, esto es, una clave única formada por una cadena de caracteres secretos que autoriza el acceso. Con una clave, la API reconoce a los usuarios autorizados y protege los programas.

Definición de API key

Las interfaces de programación, más conocidas como API (Application Programming Interface), sirven para conectar e intercambiar funcionalidades entre dos programas. Una API ofrece a los programadores, aplicaciones y proyectos, la posibilidad de interactuar con otro servicio o programa. De este modo, a través de una API puede controlarse quién puede realizar solicitudes entre API, quién recibe autorización y qué formatos de datos se utilizan.

El acceso se controla mediante claves de autenticación únicas denominadas API keys o claves API. Las API keys pueden solicitarse a través de los operadores API correspondientes, entre otros. Si los usuarios o las aplicaciones disponen de la clave correspondiente, el servidor API concede el acceso.

¿Cómo funciona una API key?

Las claves API funcionan de forma similar a las contraseñas. En cuanto una API “llama” a otra y solicita acceso, la autorización de acceso se concede mediante el intercambio de la clave. La API key se asigna al servicio o programa que llama y se transmite al servidor API. Si el servidor API confirma la autenticidad de la API key, se concede el acceso al programa o a determinadas funcionalidades. Además, las API keys pueden utilizarse para realizar acciones entre aplicaciones a través de las interfaces API.

Las reglas de acceso, los formatos de datos o el alcance de las acciones son definidos por los operadores de la API. De este modo, es posible determinar exactamente qué tipo de usuarios o proyectos reciben permisos de acceso y qué acciones están permitidas a través de las interfaces de programación. Las API keys también pueden anclarse directamente en lenguajes de programación como JavaScript o Python. Por tanto, los usuarios o servicios deben solicitar la clave en JavaScript al servidor API correspondiente.

¿Para qué se utilizan las API keys?

Las API keys se utilizan principalmente para las siguientes funciones:

• Identificación: una clave API puede identificar las API, proyectos o servicios que llaman al servidor API. Esto permite registrar quién solicita acceso, lo recibe o se le deniega.
• Autenticación: mediante el intercambio de la API key, es posible comprobar si los clientes están realmente autorizados a acceder. También se comprueba si la API solicitada está activa.
• Autorización: tras identificar el proyecto o servicio, las reglas de acceso al servidor API determinan en qué medida se concede el acceso.

¿Cómo solicitar una API key?

La forma de solicitar o de que se te asignen claves API depende de la API a la que desees conectarte. Las normas de acceso varían en función del tipo de operador de API. Sin embargo, por regla general, la asignación de API keys se lleva a cabo de la siguiente manera:

• Se accede a la página del proveedor cuya API se va a utilizar para el acceso y se inicia sesión en la página del desarrollador.
• Se seleccionan API keys para proyectos existentes o para nuevos proyectos.
• Se puede asignar un nombre a la clave API para una mejor asignación.
• Después de crear y asignar la API key, se puede insertar en la página web o app para el posterior acceso y transferencia de datos. Para llamadas posteriores, el servidor API reconocerá la aplicación que llama a través de la API key.

Ventajas de las API keys

La principal ventaja de las claves API es permitir la autenticación sencilla y rápida de los derechos de acceso de usuarios, servicios o programas. Esto sucede sobre todo cuando se conectan diferentes aplicaciones para intercambiar datos o realizar acciones entre programas. Las claves de autenticación también ofrecen ventajas a los programadores que crean una aplicación y acceden a un programa a través de la API. Los servidores API pueden utilizar claves similares a contraseñas para garantizar que los usuarios malintencionados no puedan acceder al sistema.

Las siguientes funciones son proporcionadas por las API keys para mejorar y hacer más complejos los procesos de autenticación:

• Registro de API, programas, servicios o proyectos que desean acceder a una API específica.
• Los servidores y operadores de la API definen los derechos de acceso para determinar qué APIs pueden autorizar qué tipo de acciones y accesos.
• Resumen de los accesos anteriores permitidos o denegados.
• Las claves API proporcionan seguridad adicional al ser claves únicas, de un solo uso y secretas.
• Permiten bloquear el tráfico no identificable en la red.
• Pueden limitar el número de llamadas a una API y controlar así la carga.
• Permiten filtrar mejor determinados tipos o patrones de acceso y asignarlos a API keys específicas.

¿Qué papel desempeñan las API keys en la seguridad?

Las API keys por sí solas no son una medida de seguridad suficiente, sino que proporcionan un nivel adicional de seguridad de acceso. Dado que las claves API son propiedad de los clientes de forma similar a las contraseñas, existe el riesgo de que puedan ser robadas por hackers. Al igual que una contraseña robada, las API keys robadas pueden conducir rápidamente al acceso de terceros a un sistema. Las API keys suelen permanecer visibles en los registros de los servidores y pueden dar acceso a los hackers bajo la apariencia de un acceso supuestamente autorizado. A menudo son un factor importante en los ciberataques, como los ataques en DDoS, los ataques man-in-the-middle o las inyecciones.

Con las API keys deben respetarse los siguientes aspectos de seguridad:

• Las claves API no identifican a usuarios concretos, sino solo a las APIs o los programas que solicitan acceso.
• A diferencia de las contraseñas, las API keys no suelen almacenarse cifradas en el lado del cliente y permanecen visibles en los registros del servidor.
• Al igual que las contraseñas inseguras, las API keys pueden ser robadas por hackers para acceder a una aplicación.

¿Cómo utilizar las claves API de forma segura?

Dado que los programas intercambian datos sensibles a través de las APIs y conceden acceso a aplicaciones internas, es importante contar con una seguridad fiable en su uso. Algunas medidas de seguridad que ayudan a la protección de las APIs incluyen:

• El acceso a las API keys almacenadas en el lado del cliente debe permanecer restringido y protegido.
• Utilizar una API key distinta para cada proyecto y aplicación.
• Las API keys que ya no se necesiten deben eliminarse.
• Las API keys almacenadas deben cifrarse como credenciales en reposo para evitar su robo.
• Las API keys no deben integrarse en el código de forma claramente legible ni almacenarse en la estructura de fuentes.
• Se debe supervisar el uso y la aplicación de las API keys, por ejemplo, si varios programadores utilizan Rest APIs a través de Open API.

Claves API y protección de datos

Otro aspecto importante de las API keys es la protección de datos. Esto comienza cuando instalas una nueva aplicación en tu móvil que solicita permisos adicionales. Puede suceder que no revises detenidamente qué permisos solicita una aplicación. En algunos casos, es posible que permitas involuntariamente el acceso a todos tus datos de Facebook, fotos o memoria del móvil. La consecuencia puede ser una recopilación exhaustiva de datos o, en el peor de los casos, la toma del control del sistema. Por ello, asegúrate de permitir únicamente el acceso de aplicaciones de confianza a través de la API keys para evitar un uso indebido de los datos.