Como compartir API keys y secrets de forma segura con tu equipo
Aprende a compartir claves API, secret keys y variables de entorno de forma segura en tu equipo de desarrollo. Evita metodos peligrosos y adopta mejores practicas de gestion de secretos.
Como compartir API keys y secrets de forma segura con tu equipo
Si trabajas en desarrollo de software, casi con seguridad has necesitado compartir API keys, secret keys, contrasenas de bases de datos o credenciales de servidores con un companero. La cuestion es como hacerlo sin crear una vulnerabilidad de seguridad en el proceso.
Metodos peligrosos de compartir
Empecemos por lo que nunca debes hacer. Sorprendentemente, muchos equipos de desarrollo siguen dependiendo de estos enfoques.
1. Hacer commit en Git
Subir archivos .env a un repositorio Git es el error mas comun y mas peligroso.
# Nunca hagas esto
git add .env
git commit -m "agregar variables de entorno"
git push origin main
Una vez que un secreto entra en el historial de Git, eliminarlo con git rm no lo borra del historial. En repositorios publicos, bots automatizados detectan secretos expuestos en segundos.
2. Pegar en Slack o Discord
Pegar API keys directamente en un canal de mensajeria es igualmente arriesgado. Todos los que tengan acceso al canal pueden verlo, la busqueda de mensajes lo hace descubrible despues, y el mensaje persiste incluso cuando un empleado se va.
3. Enviar por correo electronico
El correo electronico no esta cifrado por defecto. Los mensajes pueden ser interceptados en transito y las credenciales permanecen permanentemente en la bandeja del destinatario.
El costo real de una fuga de API keys
Una fuga de API keys no es solo un incidente de seguridad. Se traduce directamente en dano financiero.
Ejemplos de fugas de claves AWS
| Incidente | Dano |
|---|---|
| Desarrollador individual con clave AWS expuesta | $6,000 cobrados en una noche |
| Repositorio publico de una startup en GitHub | Mas de $50,000 en 3 dias |
| Fuga desde wiki interna de empresa | Brecha de datos millonaria |
Cuando se filtran claves de AWS, GCP o Azure, los atacantes despliegan recursos de computo masivos en minutos, tipicamente para minar criptomonedas.
Formas seguras de compartir API keys
Metodo 1: Nota secreta de LOCK.PUB (compartir al instante)
El enfoque mas practico cuando necesitas entregar claves a un companero ahora mismo.
Flujo de trabajo:
- Crea una nota secreta en LOCK.PUB
- Introduce la API key y el contexto relevante
- Establece una contrasena y un tiempo de expiracion corto (ej. 1 hora)
- Envia el enlace por Slack y la contrasena por un DM separado
# Ejemplo de contenido de nota secreta
AWS_ACCESS_KEY_ID=AKIA...
AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI...
AWS_REGION=eu-west-1
Nota: Estas claves son solo para el entorno staging.
Solicita las claves de produccion por separado.
Ventajas:
- Se autoeliminan tras el tiempo de expiracion
- Se requiere contrasena para ver el contenido
- Se almacenan cifradas en el servidor
- No quedan claves en el historial de Slack
Metodo 2: Herramientas de gestion de secretos (a nivel de equipo)
Conforme los equipos crecen, las herramientas dedicadas de gestion de secretos se vuelven esenciales.
| Herramienta | Fortaleza | Ideal para |
|---|---|---|
| HashiCorp Vault | Gestion de secretos mas potente | Grandes empresas |
| AWS Secrets Manager | Integracion con ecosistema AWS | Infraestructura centrada en AWS |
| 1Password Teams | UI amigable para desarrolladores | Startups, equipos pequenos |
| Doppler | Sincronizacion automatica de env vars | Equipos enfocados en DevOps |
Metodo 3: Gestion de variables de entorno (patron .env.example)
Incluir un archivo .env.example en tu proyecto es practica estandar. Siempre anade .env a tu .gitignore.
Mejores practicas de gestion de secretos
1. Rota las claves regularmente
| Tipo de clave | Rotacion recomendada |
|---|---|
| API keys de produccion | 90 dias |
| Contrasenas de base de datos | 60 dias |
| Tokens de servicio | 30 dias |
| Claves de dev/test | Inmediatamente cuando alguien se va |
2. Usa claves separadas por entorno
Usa claves diferentes para desarrollo, staging y produccion.
3. Aplica el principio de minimo privilegio
Otorga solo los permisos minimos necesarios a cada API key.
4. Automatiza la deteccion de fugas
Usa herramientas como GitHub Secret Scanning, GitGuardian o TruffleHog para detectar automaticamente secretos en repositorios de codigo.
Flujos de trabajo rapidos con LOCK.PUB
Incorporacion de nuevos miembros
Cuando un nuevo desarrollador se une, compila todas las variables de entorno en una nota secreta con expiracion de 24 horas.
Compartir claves con socios externos
Emite una clave dedicada para el socio, entregala via nota secreta con expiracion corta, y revocala cuando termine la colaboracion.
Compartir claves de emergencia durante incidentes
Crea una nota secreta con expiracion de 1 hora, comunica la contrasena por telefono y rota la clave tras resolver el incidente.
Conclusion
La gestion de API keys y secretos es fundamental para la seguridad en desarrollo. Pegar claves en Slack o enviarlas por correo puede parecer comodo, pero una sola fuga puede costar miles o incluso millones.
Si necesitas compartir una clave con un companero ahora mismo, prueba con una nota secreta.
Palabras clave
Crea tu enlace protegido con contraseña ahora
Comparte información de forma segura y gratuita. Sin registro.
Comenzar Gratis