Skip to content

¿Cómo deben gestionarse los secretos como claves de API y contraseñas de base de datos en una aplicación?

Respuesta breve

Nunca codifiques secretos en el código fuente ni los subas a git. Guárdalos en un gestor de secretos o bóveda dedicada, inyéctalos en tiempo de ejecución, acota el acceso con privilegios mínimos, rótalos con regularidad y prefiere credenciales dinámicas de corta duración frente a las estáticas persistentes. Audita cada acceso.

Los secretos —claves de API, contraseñas de BD, claves de firma, tokens— son objetivos de alto valor porque uno solo filtrado puede desbloquear sistemas enteros. Gestionarlos bien consiste sobre todo en mantenerlos fuera de los lugares donde tienden a filtrarse y limitar el daño si alguno lo hace.

La regla cardinal: no en el código

Los secretos no deben residir nunca en el código fuente, archivos de configuración subidos al control de versiones, imágenes de contenedor o bundles del lado del cliente. El historial de git es para siempre: un secreto subido una vez queda comprometido incluso después de borrarlo, por lo que debe rotarse, no solo eliminarse. Incrustar secretos en un binario compilado tampoco ayuda; se extraen trivialmente.

Centralizar e inyectar

Guarda los secretos en un gestor de secretos o bóveda específico (HashiCorp Vault, AWS Secrets Manager, almacenes respaldados por KMS de nube). La aplicación los obtiene en tiempo de ejecución mediante una identidad autenticada, o se inyectan como variables de entorno/archivos montados por la plataforma. Esto centraliza el control, el cifrado y la auditoría.

Limitar el radio de impacto

  • Privilegio mínimo: cada servicio solo puede leer los secretos específicos que necesita.
  • Rotación: rota los secretos según un calendario e inmediatamente ante sospecha de exposición.
  • Credenciales dinámicas de corta duración: el mejor patrón — la bóveda genera una credencial bajo demanda que expira en minutos, de modo que un secreto filtrado es inútil casi de inmediato y no hay nada persistente que robar.
  • Registro de auditoría: registra cada acceso a secretos para detectar usos indebidos.

El problema de arranque

Siempre hay un «secreto cero» — la credencial inicial que una aplicación usa para autenticarse ante la bóveda. Resuélvelo con identidad de carga de trabajo proporcionada por la plataforma (roles de instancia, federación OIDC, mTLS) en lugar de otro secreto estático más.

Qué buscan los entrevistadores

La base es «nunca codificar en duro, usar una bóveda». La señal de nivel intermedio es la rotación, el acotamiento con privilegios mínimos y, sobre todo, favorecer credenciales dinámicas de corta duración, además de la conciencia del reto de arranque del secreto cero.

Posibles preguntas de seguimiento

  • ¿Por qué son mejores las credenciales dinámicas de corta duración que las estáticas?
  • Un secreto se filtró en el historial de git, ¿qué haces?
  • ¿Cómo manejas el problema de arranque del «secreto cero»?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.