Las integraciones de API no solo requieren control de acceso, sino también garantía de autenticidad e integridad de cada solicitud. Para ello, admitimos firmas HMAC (Hash-based Message Authentication Code), así como cifrado de cuerpo y parámetros de consulta, lo que garantiza la protección de los datos incluso cuando se transmiten a través de redes abiertas.
Con HMAC, cada parte (cliente y servidor) confirma que la solicitud fue creada por una parte autorizada, no fue modificada a lo largo de la ruta y tiene contenido cifrado.
Qué se ha implementado
| Mecanismo | Propósito y beneficios |
|---|---|
| Firmas HMAC | Firma de cada solicitud utilizando una clave secreta |
| Control de integridad | Comprobar que el contenido no se ha modificado durante la transmisión |
| Cifrado de cuerpo de solicitud | Uso de AES o RSA para proteger los datos confidenciales |
| Firma con timestamp's | Protección contra ataques repetidos y retrasados (replay attack) |
| Firma de opciones de consulta | Validación de query string y payload a través de la función hash |
Cómo funciona
1. El cliente forma el cuerpo de la consulta y agrega timestamp
2. Calculado por HMAC (por ejemplo, SHA256) basado en el secreto y el contenido
3. La firma se agrega al título (por ejemplo, 'X-Signature')
4. El servidor comprueba la firma, el tiempo de espera y la IP válida
5. Si la firma coincide - la solicitud se ejecuta, de lo contrario se rechaza
Beneficios para las integraciones de API
Protección contra la sustitución o distorsión de la solicitud
Posibilidad de interacción segura sin TLS (en redes cerradas)
Aumentar la confianza en el canal de datos
Independencia de una plataforma o idioma en particular
Implementación flexible para diferentes tipos de clientes: taquillas, puertas de enlace, proveedores
Donde es especialmente importante
Integraciones con sistemas de pago, de caja o fiscales
APIs que se ejecutan en un entorno multiarrendamiento o partner
Sistemas con requisitos de verificación de solicitudes mejorados
Interacción entre servicios internos sin autorización permanente
La firma y cifrado HMAC es su bloqueo API de la falsificación y la interferencia. Estos mecanismos permiten una integración sólida, incluso en contextos de mayor exigencia de seguridad.