Como compartir claves SSH y certificados de forma segura con tu equipo
Las claves SSH otorgan acceso completo al servidor. Aprende por que compartirlas por Slack o correo es peligroso y como usar memos secretos con expiracion para transferencias seguras.
Como compartir claves SSH y certificados de forma segura con tu equipo
"Mandame la clave SSH por Slack." Una frase comun en equipos de desarrollo. El acceso al servidor es urgente, un nuevo integrante necesita configurar su entorno, el despliegue esta a minutos y falta la clave.
Pero esta simple solicitud puede ser el inicio de un incidente de seguridad serio.
Por que compartir claves SSH es especialmente peligroso
Las claves SSH no son contrasenas comunes. Otorgan acceso completo al servidor.
| Factor | Contrasena | Clave SSH |
|---|---|---|
| Alcance | Cuenta especifica | Servidor completo |
| Impacto si se filtra | Esa cuenta | Todos los datos del servidor |
| Facilidad de rotacion | Cambio inmediato | Regenerar + actualizar todos los servidores |
| 2FA | Disponible | La clave es la autenticacion |
Metodos peligrosos de compartir
1. Slack/Discord DM
El historial de chat se almacena permanentemente. Cualquiera puede buscar "ssh" o "key" para encontrar claves compartidas anteriormente.
2. Correo electronico
Se archiva permanentemente en servidores de correo e incontrolable una vez reenviado.
3. Google Drive/Notion compartido
Control de acceso granular dificil. Las copias locales persisten cuando se sincronizan.
4. Commit en repositorio Git
El metodo mas peligroso. Las claves persisten en el historial de Git para siempre.
Metodos seguros
Metodo 1: Memo secreto de LOCK.PUB (ideal para transferencias unicas)
1. Crear un memo secreto en LOCK.PUB
2. Pegar el contenido de la clave SSH o certificado
3. Establecer una contrasena fuerte
4. Configurar la expiracion mas corta posible (1-4 horas)
5. Enviar el enlace por Slack, compartir la contrasena por telefono
6. Despues de que el destinatario guarde la clave, el enlace expira
Metodo 2: Gestores de secretos (para equipos grandes)
HashiCorp Vault, AWS Secrets Manager o Google Secret Manager.
Metodo 3: Autoridad de certificados SSH (solucion a largo plazo)
Operar una CA SSH que emita certificados individuales para cada usuario.
Metodo 4: Claves individuales (mas recomendado)
Principio: Clave compartida < Claves individuales
Clave compartida filtrada → Todo el equipo afectado
Clave individual filtrada → Solo ese usuario afectado
Lista de verificacion cuando debes compartir
Antes de transferir
- Has configurado el minimo alcance de permisos?
- Seria suficiente una clave de solo lectura?
- Puedes aplicar restricciones de IP?
Durante la transferencia
- Envias la clave y la contrasena por canales diferentes?
- La expiracion es lo mas corta posible?
Despues de transferir
- Confirmar que el destinatario almaceno la clave de forma segura
- Verificar que el enlace/memo ha expirado
- Monitorear los registros de uso de la clave
Calendario de rotacion de claves
| Tipo de clave | Rotacion recomendada |
|---|---|
| Claves de servidor de produccion | 90 dias |
| Claves de despliegue | 90 dias |
| Certificados SSL | En cada renovacion |
| Secretos de API | 90 dias |
| Claves de desarrollo/staging | 180 dias |
Lista de seguridad para equipos DevOps
- Se usan claves SSH individuales para todos los servidores?
- Las claves compartidas tienen restricciones de IP?
- Las claves de empleados que se van se desactivan inmediatamente?
- Existe un calendario de rotacion de claves?
- Nunca se han comprometido claves SSH en un repositorio Git?
- No hay claves en texto plano en historiales de chat?
- Se usa un canal con expiracion para transferir secretos?
Resumen
Las claves SSH y certificados son la columna vertebral de la seguridad del servidor. Enviarlas por Slack o correo es como pegar la llave de tu casa en un tablero publico. Emite claves individuales cuando sea posible. Cuando debas compartir, usa un memo secreto con la expiracion mas corta posible.
Crea un memo secreto ahora para transferir claves SSH de forma segura.
Palabras clave
También te puede interesar
Cómo compartir tu contraseña de Netflix de forma segura
Conoce las políticas de Netflix sobre compartir contraseñas, los riesgos de enviarlas por WhatsApp y métodos seguros como gestores de contraseñas y LOCK.PUB.
Como Compartir la Contrasena del Wi-Fi de la Oficina de Forma Segura
Metodos seguros para compartir la contrasena Wi-Fi de la oficina. Redes de invitados, codigos QR, riesgos de contrasenas expuestas y soluciones.
Cómo hacer una denuncia anónima de forma segura
¿Fuiste testigo de fraude, acoso o irregularidades en tu trabajo? Aprende a denunciar de forma anónima sin exponer tu identidad, los errores comunes que delatan a los denunciantes y las herramientas más seguras.
Crea tu enlace protegido con contraseña ahora
Crea enlaces protegidos, notas secretas y chats cifrados de forma gratuita.
Comenzar Gratis