Como compartir claves SSH y certificados de forma segura con tu equipo

"Mandame la clave SSH por Slack." Una frase comun en equipos de desarrollo. El acceso al servidor es urgente, un nuevo integrante necesita configurar su entorno, el despliegue esta a minutos y falta la clave.

Pero esta simple solicitud puede ser el inicio de un incidente de seguridad serio.

Por que compartir claves SSH es especialmente peligroso

Las claves SSH no son contrasenas comunes. Otorgan acceso completo al servidor.

Factor	Contrasena	Clave SSH
Alcance	Cuenta especifica	Servidor completo
Impacto si se filtra	Esa cuenta	Todos los datos del servidor
Facilidad de rotacion	Cambio inmediato	Regenerar + actualizar todos los servidores
2FA	Disponible	La clave es la autenticacion

Metodos peligrosos de compartir

1. Slack/Discord DM

El historial de chat se almacena permanentemente. Cualquiera puede buscar "ssh" o "key" para encontrar claves compartidas anteriormente.

2. Correo electronico

Se archiva permanentemente en servidores de correo e incontrolable una vez reenviado.

3. Google Drive/Notion compartido

Control de acceso granular dificil. Las copias locales persisten cuando se sincronizan.

4. Commit en repositorio Git

El metodo mas peligroso. Las claves persisten en el historial de Git para siempre.

Metodos seguros

Metodo 1: Memo secreto de LOCK.PUB (ideal para transferencias unicas)

1. Crear un memo secreto en LOCK.PUB
2. Pegar el contenido de la clave SSH o certificado
3. Establecer una contrasena fuerte
4. Configurar la expiracion mas corta posible (1-4 horas)
5. Enviar el enlace por Slack, compartir la contrasena por telefono
6. Despues de que el destinatario guarde la clave, el enlace expira

Metodo 2: Gestores de secretos (para equipos grandes)

HashiCorp Vault, AWS Secrets Manager o Google Secret Manager.

Metodo 3: Autoridad de certificados SSH (solucion a largo plazo)

Operar una CA SSH que emita certificados individuales para cada usuario.

Metodo 4: Claves individuales (mas recomendado)

Principio: Clave compartida < Claves individuales
Clave compartida filtrada → Todo el equipo afectado
Clave individual filtrada → Solo ese usuario afectado

Lista de verificacion cuando debes compartir

Antes de transferir

• Has configurado el minimo alcance de permisos?
• Seria suficiente una clave de solo lectura?
• Puedes aplicar restricciones de IP?

Durante la transferencia

• Envias la clave y la contrasena por canales diferentes?
• La expiracion es lo mas corta posible?

Despues de transferir

• Confirmar que el destinatario almaceno la clave de forma segura
• Verificar que el enlace/memo ha expirado
• Monitorear los registros de uso de la clave

Calendario de rotacion de claves

Tipo de clave	Rotacion recomendada
Claves de servidor de produccion	90 dias
Claves de despliegue	90 dias
Certificados SSL	En cada renovacion
Secretos de API	90 dias
Claves de desarrollo/staging	180 dias

Lista de seguridad para equipos DevOps

• Se usan claves SSH individuales para todos los servidores?
• Las claves compartidas tienen restricciones de IP?
• Las claves de empleados que se van se desactivan inmediatamente?
• Existe un calendario de rotacion de claves?
• Nunca se han comprometido claves SSH en un repositorio Git?
• No hay claves en texto plano en historiales de chat?
• Se usa un canal con expiracion para transferir secretos?

Resumen

Las claves SSH y certificados son la columna vertebral de la seguridad del servidor. Enviarlas por Slack o correo es como pegar la llave de tu casa en un tablero publico. Emite claves individuales cuando sea posible. Cuando debas compartir, usa un memo secreto con la expiracion mas corta posible.

Crea un memo secreto ahora para transferir claves SSH de forma segura.

Crear un Memo Secreto