# Claves de API Utiliza las claves de API para autenticar las solicitudes de API. Stripe autentica las solicitudes de API mediante las claves de API de tu cuenta. Si una solicitud no incluye una clave válida, Stripe devuelve un [error de solicitud no válida](https://docs.stripe.com/error-handling.md#invalid-request-errors). Si una solicitud incluye una clave eliminada o vencida, Stripe devuelve un [error de autenticación](https://docs.stripe.com/error-handling.md#authentication-errors). Usa el [Dashboard para desarrolladores](https://dashboard.stripe.com/test/apikeys) con el fin de crear, revelar, eliminar y rotar claves API. Puedes acceder a tus claves API en la pestaña [Claves API](https://dashboard.stripe.com/test/apikeys). > #### Si eres nuevo en Stripe > > - **Mantén la seguridad de tu empresa:** consulta nuestras [prácticas recomendadas](https://docs.stripe.com/keys-best-practices.md) para gestionar las claves. - **Crear y probar:** usa tus **claves de entorno de prueba (modo de prueba)*. Las claves de entorno de prueba comienzan con `pk_test_` (publicables), `rk_test_` (restringidas) y `sk_test_` (secretas). Te permiten probar sin afectar los datos activos. - **Cuando esté todo listo para aceptar pagos reales** cambia a tus **claves de modo activo**, que comienzan con `pk_live_`, `rk_live_` y `sk_live_`. Consulta [Cómo cambiar a modo activo](https://docs.stripe.com/keys.md#switch-to-live-mode) para obtener instrucciones. - **Si necesitas hallar un secreto de firma de webhook** los secretos de webhook son diferentes de las claves de API. Búscalos en la sección [Webhooks](https://dashboard.stripe.com/webhooks) del Dashboard debajo de cada punto de conexión de webhook. ## Tipos de claves Cuando creas una cuenta de Stripe, te generamos tres tipos de claves de API: | Tipo | Seguro de exponer | Descripción | | ---------------------------------------- | ----------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Clave de API restringida (RAK)`rk_...` | No | Clave de API con permisos que tú controlas. Limita el daño a tu empresa que un actor malicioso podría causar si obtuviera tu clave. Crea tantas RAK como quieras y asígnalas a distintas partes de tu solicitud. [Esta guía](https://docs.stripe.com/keys/restricted-api-keys.md) explica cómo configurar y usar las RAK. | | Clave de API publicable | Sí | Clave API que puedes incluir en código front-end o en aplicaciones que distribuyes. | | Clave de API secreta`sk_...` | No | Clave de API con permisos sin restricciones en todas las API de Stripe. Como no es posible limitar sus permisos, no recomendamos usar claves secretas para nuevos casos de uso; para las integraciones existentes, recomendamos migrar el consumo de claves secretas a RAK. | | Clave de API de organización`sk_org_...` | No | La clave de API que funciona a nivel de organización. Similar a las claves de API restringidas o secretas a nivel de cuenta, pero opera a nivel de [organización](https://docs.stripe.com/get-started/account/orgs.md) para gestionar varias cuentas de Stripe a la vez. [Esta guía](https://docs.stripe.com/keys/organization-api-keys.md) explica cómo configurar y usar las claves de API de organización. | También admitimos [claves de API administradas](https://docs.stripe.com/keys/managed-api-keys.md) emitidas por ciertas plataformas de alojamiento. Las claves de API administradas son claves de API secretas que una plataforma de alojamiento entrega directamente a tus aplicaciones alojadas. No es necesario que gestiones las claves de API administradas de forma directa; tu proveedor de alojamiento las emite y las rota por ti. > #### Secretos de firma de webhooks > > Los secretos de firma webhook no son claves de API, son secretos por webhook que tu receptor de webhooks utiliza para autenticar que los webhooks realmente provienen de Stripe. Puedes encontrar el secreto de firma para cada punto de conexión webhook en la sección [Webhooks](https://dashboard.stripe.com/webhooks) del Dashboard. Si creaste tu cuenta de Stripe antes de mayo de 2026, es posible que no tengas claves de API restringidas. Te recomendamos crear RAK y migrar desde las claves secretas. Eres responsable de gestionar tus claves de API de forma segura. Lee nuestra guía sobre [prácticas recomendadas para proteger las claves de API](https://docs.stripe.com/keys-best-practices.md). ### Comparación entre el entorno de prueba y el modo activo Todas las solicitudes API de Stripe se realizan en el *entorno de prueba* (A sandbox is an isolated test environment that allows you to test Stripe functionality in your account without affecting your live integration. Use sandboxes to safely experiment with new features and changes) o en el *modo activo* (Use this mode when you’re ready to launch your app. Card networks or payment providers process payments). Usa el entorno de prueba para probar tu integración y acceder a los datos de prueba y el modo activo con el fin de acceder a los datos de la cuenta real. Cada modo tiene su propio conjunto de claves API. Los objetos en un modo no son accesibles en el otro. Por ejemplo, un [objeto producto](https://docs.stripe.com/api/products/object.md) del entorno de prueba no puede formar parte de un pago en modo activo. | Tipo | Cuándo usar | Objetos | Cómo usar | Consideraciones | | ------------------ | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Entornos de prueba | Usa un entorno de prueba y sus claves de API de prueba asociadas mientras creas tu integración. En el entorno de prueba, las redes de tarjetas y los proveedores de servicios de pago no procesan los pagos. | Las llamadas de la API devuelven objetos simulados. Por ejemplo, puedes recuperar y usar objetos de prueba del tipo `account`, `payment`, `customer`, `charge`, `refund`, `transfer`, `balance` y `subscription`. | Usa [tarjetas de crédito y cuentas de prueba](https://docs.stripe.com/testing.md#cards). No puedes aceptar métodos de pago reales ni trabajar con cuentas reales. | [Identity](https://docs.stripe.com/identity.md) no realiza comprobaciones de verificación. Además, los [objetos account](https://docs.stripe.com/api/accounts/object.md) de Connect no devuelven campos confidenciales. | | Modo activo | Cuando tengas todo listo para lanzar tu integración y aceptar dinero real, usa el modo activo y sus claves de API activas asociadas. En el modo activo, las redes de tarjetas y los proveedores de servicios de pago procesan los pagos. | Las llamadas de la API devuelven objetos reales. Por ejemplo, puedes recuperar y usar objetos reales del tipo `account`, `payment`, `customer`, `charge`, `refund`, `transfer`, `balance` y `subscription`. | Acepta tarjetas de crédito reales y trabaja con cuentas de clientes. Puede aceptar autorizaciones de pago, cargos y capturas reales de tarjetas de crédito y cuentas. | Las disputas tienen un flujo con más matices y un [proceso de prueba](https://docs.stripe.com/testing.md#disputes) más simple. Además, algunos [métodos de pago](https://docs.stripe.com/payments/payment-methods.md) tienen un flujo con más matices y requieren más pasos. | ## Protege tus claves Solo las claves publicables son seguras para exponer fuera del back-end de tu aplicación. Eres responsable de proteger las demás claves API de Stripe, incluidas las claves API restringidas. Estas son algunas formas de proteger tus claves: - Almacena las claves sensibles en una bóveda de secretos proporcionada por tu plataforma de hosting. [Esta publicación del blog](https://stripe.dev/blog/securing-stripe-api-keys-aws-automatic-rotation) ofrece un ejemplo. Si no puedes usar una bóveda de secretos, utiliza variables de entorno para proporcionar las claves a tus aplicaciones back-end. - No incluyas claves en el código fuente ni en archivos de configuración almacenados en el control de versiones. - [Limita las claves a direcciones IP específicas](https://docs.stripe.com/keys.md#limit-api-secret-keys-ip-address) para que solo tus servidores puedan usarlas. - [Cambia las claves](https://docs.stripe.com/keys.md#rolling-keys) cuando los miembros del equipo con acceso a ellas abandonen tu organización. - No compartas claves por correo electrónico, chat u otros canales sin cifrar. Para obtener una guía completa, consulta [prácticas recomendadas para gestionar claves de API secretas](https://docs.stripe.com/keys-best-practices.md). También mantenemos [una biblioteca de habilidades](https://github.com/stripe/ai/tree/main/skills) para ayudar a los agentes de IA a seguir estas prácticas recomendadas. ## Gestiona tus claves de API Usa el [Dashboard](https://dashboard.stripe.com/apikeys) para crear, revelar, modificar, eliminar y rotar tus claves de API. #### Crea una clave de API restringida Usa [claves de API restringidas](https://docs.stripe.com/keys/restricted-api-keys.md) (RAK) para la mayoría de los casos. Con una RAK, puedes asignar exactamente los permisos que necesita tu integración, lo que reduce el daño que un actor malintencionado podría causar a tu empresa si obtiene tu clave. - Sigue las instrucciones de [Claves de API restringidas](https://docs.stripe.com/keys/restricted-api-keys.md) para crear una RAK, configurar sus permisos y migrar desde claves secretas. #### Crea una clave de API secreta Crea una clave de API secreta sin restricciones solo cuando tu integración requiera acceso a todas las API y recursos de Stripe sin restricciones. Si un actor malintencionado obtiene tu clave secreta, puede dañar tu empresa. Recomendamos usar RAK en su lugar. 1. En la pestaña [Claves API](https://dashboard.stripe.com/test/apikeys), haz clic en **Crear clave secreta**. 1. En el cuadro de diálogo, ingresa el código de verificación que te enviamos por correo electrónico o mensaje de texto. Si el cuadro de diálogo no continúa automáticamente, haz clic en **Continuar**. 1. Ingresa un nombre en el campo **Nombre de la clave** y luego haz clic en **Crear**. 1. Haz clic en el valor clave para copiarlo. 1. Guarda el valor de la clave. No puedes recuperarlo más tarde. 1. En el campo **Agregar una nota**, ingresa la ubicación donde guardaste la clave y haz clic en **Listo**. ### Mostrar una clave API Cuando creas una clave secreta en modo activo, la mostramos una sola vez antes de que la guardes. Copia la clave antes de guardarla, ya que no podrás revelarla más adelante. En modo activo, solo puedes revelar las claves de API que creamos para ti, como una clave secreta predeterminada o una clave generada por una rotación programada. En el entorno de prueba, siempre puedes ver todas tus claves de API, incluidas las claves restringidas y secretas. > Guarda las claves confidenciales en un lugar donde no las pierdas, como una bóveda de secretos que proporcione tu plataforma. No incluyas claves en el código de tu aplicación. Las claves de API publicables no son confidenciales, por lo que las mostramos de forma predeterminada y no necesitas hacer nada para revelarlas. No podemos recuperar las claves que hayas olvidado o a las que hayas perdido el acceso. Si pierdes una clave, rótala o elimínala y crea otra. #### Para revelar una RAK en modo activo Solo puedes revelar las RAK en modo activo que creamos para ti. Si creas una RAK tú mismo, no podrás revelarla después de haberla visto una vez. 1. En la pestaña [Claves de API](https://dashboard.stripe.com/apikeys) en modo activo, en la lista **Claves restringidas**, haz clic en **Revelar clave activa** para la clave que deseas revelar. 1. Haz clic en el valor clave para copiarlo. 1. Guarda el valor de la clave en la [bóveda de secretos](https://docs.stripe.com/keys-best-practices.md#use-a-secrets-vault) de tu plataforma. Si tu plataforma no ofrece una, usa una variable de entorno. 1. Haz clic en **Ocultar clave activa**. #### Para revelar una clave de API secreta en modo activo Solo puedes revelar las claves secretas en modo activo que creamos para ti. Si creas una clave secreta tú mismo, no podrás revelarla después de haberla visto una vez. 1. En la pestaña [Claves de API](https://dashboard.stripe.com/apikeys) en modo activo, en la lista **Claves estándar**, haz clic en **Revelar clave activa** para la clave que deseas revelar. 1. Haz clic en el valor clave para copiarlo. 1. Guarda el valor de la clave en la [bóveda de secretos](https://docs.stripe.com/keys-best-practices.md#use-a-secrets-vault) de tu plataforma. Si tu plataforma no ofrece una, usa una variable de entorno. 1. Haz clic en **Ocultar clave activa**. 1. Haz clic en el menú de opciones (⋯) y selecciona **Editar clave** para la clave a la que deseas agregar una nota. 1. En el campo **Nota**, ingresa la ubicación donde guardaste la clave y, luego, haz clic en **Guardar**. ### Limitar una clave API a ciertas direcciones IP Puedes limitar una clave API secreta o restringida a un rango de direcciones IP, o a una o más direcciones IP específicas. Recomendamos habilitar las restricciones IP en todas las claves de modo activo para evitar el uso de ubicaciones no autorizadas. Usa diferentes listas de IP permitidas para claves distintas cuando corresponda (p. ej., a fin de distinguir entre entornos de preparación y producción). Las direcciones IP deben usar el protocolo IPv4. Puedes especificar cualquier rango de CIDR válido. Por ejemplo, un rango válido podría ser `100.10.38.0 - 100.10.38.255`, especificado como `100.10.38.0/24`. Todas las direcciones IP en el rango deben comenzar con `100.10.38`. 1. En la pestaña [Claves de API](https://dashboard.stripe.com/test/apikeys), en la lista **Claves restringidas** o **Claves estándar**, haz clic en el menú de contenido adicional (‘⋯’) de la clave que deseas mostrar. 1. Selecciona **Gestionar restricciones IP** > **Limitar el uso a un conjunto de direcciones IP**. 1. Realiza una de las siguientes acciones: - Ingresa una o más direcciones IP particulares en el campo **Dirección IP**. - Para el rango de direcciones IP, introduce la primera dirección del rango que usa la notación de enrutamiento entre dominios sin clases (CIDR) en el campo **Dirección IP**. Introduce el tamaño del prefijo de red en el campo **CIDR**. 1. Para agregar otra dirección o rango IP, haz clic en **+ Agregar**. 1. Haz click en **Guardar**. ### Cambia el nombre o la nota de una clave API 1. En la pestaña [Claves API](https://dashboard.stripe.com/test/apikeys), haz clic en el menú de opciones (⋯) para ver la clave que quieres cambiar. 1. Selecciona **Editar clave**. 1. Haz lo siguiente: - Para cambiar el nombre, ingresa un nuevo nombre en el campo **Nombre de la clave**. - Si desea cambiar el texto de la nota, ingresa el nuevo texto en el campo **Nota**. 1. Haz click en **Guardar**. ### Hacer vencer una clave de API Si se vence una clave secreta o restringida de API, debes crear una nueva y actualizar cualquier código que utilice la clave vencida. Cualquier código que utilice la clave vencida ya no podrá realizar llamadas API. > No se puede hacer vencer una clave publicable. 1. En la pestaña [Claves de API](https://dashboard.stripe.com/test/apikeys), en la lista **Claves restringidas** o **Claves estándar**, haz clic en el menú de contenido adicional (‘⋯’) de la clave que deseas vencer. 1. Selecciona **Hacer vencer clave**. 1. En el cuadro de diálogo, haz clic en **Eliminar clave**. Si ya no quieres eliminar la clave, haz clic en **Cancelar**. ### Rota una clave de API Rotar una clave API la revoca y genera una clave de reemplazo que está lista para usar de inmediato. También puedes programar que una clave API para rotar después de un cierto tiempo. La clave de reemplazo se nombra de la siguiente manera: - El nombre de la clave publicable de reemplazo siempre es `clave publicable`. - El nombre de la clave secreta de reemplazo siempre es `clave secreta`. - El nombre de la clave restringida de reemplazo es el mismo que el de la clave rotada. Puedes cambiar el nombre de una clave de API secreta o restringida editando la clave. Rotar una clave API en escenarios como los siguientes: - Si pierdes una clave API secreta o restringida en modo activo y no puedes recuperarla desde el Dashboard. - Si una clave API secreta o restringida se ve comprometida, tienes que revocarla para bloquear cualquier solicitud API potencialmente nociva que puedan usar la clave. - Si un miembro del equipo con acceso a la clave abandona tu organización o cambia de función. - Si tu política requiere rotar las claves a ciertos intervalos. #### Para rotar una clave API 1. En la pestaña [Claves API](https://dashboard.stripe.com/test/apikeys), haz clic en el menú de opciones (⋯) para ver la clave que quieres rotar. 1. Selecciona **Rotar clave**. 1. Selecciona una fecha de vencimiento en el menú desplegable **Vencimiento**. Si eliges **Ahora**, se elimina la clave antigua. Si especificas una hora, el tiempo restante hasta que venza la clave se muestra debajo del nombre de la clave. 1. Haz clic en **Rotar clave de API**. 1. Haz clic en el valor clave para copiarlo. 1. Guarda el valor de la clave. No puedes recuperarlo más tarde. 1. En el campo **Agregar nota**, ingresa la ubicación donde guardaste la clave y, luego, haz clic en **Guardar** o **Listo**. ### Restaurar el acceso a una clave de API El acceso de una clave de API puede limitarse si no se usó para crear transferencias o para actualizar sus destinos durante más de 180 días. No puedes usar una clave con acceso limitado para crear transferencias ni sus destinos. Puedes restaurar el acceso para usar la clave con normalidad o realizar una acción bloqueada. #### Para restaurar el acceso a una clave de API 1. En la pestaña [Claves de API](https://dashboard.stripe.com/test/apikeys), haz clic en el menú de opciones (⋯) de la clave que quieres restaurar. 1. Selecciona **Restaurar el acceso**. 1. Haz clic en **Restaurar**. ## Ver registros de solicitudes de API para una clave Para [abrir los registros de solicitudes API](https://docs.stripe.com/development/dashboard/request-logs.md), haz clic en el menú de opciones (⋯) de una clave y, luego, selecciona **Ver registros de solicitudes**. Si abres los registros, irás al Dashboard de Stripe. ## Pasar al modo activo Cuando esté todo listo para aceptar pagos reales, usa claves de API en modo activo en lugar de claves entorno de prueba. En la página de [claves de API](https://dashboard.stripe.com/apikeys), cambia del **modo de entorno de prueba** al **modo activo**. La página ahora muestra tus claves de API en modo activo. > #### Completar lista de verificación de modo activo > > Cambiar las claves de API es solo un paso. Revisa la [lista de verificación de modo activo](https://docs.stripe.com/get-started/checklist/go-live.md) completa para asegurarte de que tu integración esté lista para producción. ### Claves publicables (del lado del cliente) Copia tu **clave publicable en modo activo** (comienza con `pk_live_`) y reemplaza la clave `pk_test_` en tu código del lado del cliente. Es seguro insertar esta clave en tu código o aplicaciones. ### Claves de API restringidas o secretas (del lado del servidor) Las claves de API del lado del servidor son confidenciales, así que revisa nuestras [prácticas recomendadas para gestionar las claves de API secretas](https://docs.stripe.com/keys-best-practices.md). Te recomendamos que generes [claves de API restringidas](https://docs.stripe.com/keys/restricted-api-keys.md) para tu código del lado del servidor a fin de limitar el daño a tu empresa si tus claves se ven expuestas o comprometidas. 1. Antes de empezar a usar una clave en modo activo en tu aplicación de back-end, elimina las claves de API codificadas de forma rígida de tu código. En su lugar, usa una [bóveda de secretos](https://docs.stripe.com/keys-best-practices.md#use-a-secrets-vault) para suministrar la clave del entorno de prueba y confirmar que tu solicitud sigue funcionando correctamente. Si tu plataforma no ofrece una bóveda de secretos, puedes usar una variable de entorno. 1. [Revela](https://docs.stripe.com/keys.md#reveal-an-api-key) y copia tus **claves en modo activo** (que comienzan con `rk_live_` o `sk_live_`) y guárdalas de forma segura en tu entorno de servidor. 1. Configura el entorno de tu servidor para suministrar claves en modo activo en lugar de claves de entorno de prueba a tu aplicación. #### Claves de firma de webhook (del lado del servidor) Si usas webhooks, actualiza la URL de cada punto de conexión de webhook y copia el nuevo **secreto de firma** desde la sección [Webhooks](https://dashboard.stripe.com/webhooks) del Dashboard. ## See also - [Prácticas recomendadas para gestionar claves secretas de API](https://docs.stripe.com/keys-best-practices.md) - [Protección contra claves de API comprometidas](https://support.stripe.com/questions/protecting-against-compromised-api-keys) - [¿Por qué mi clave de API tiene acceso limitado?](https://support.stripe.com/questions/why-does-my-api-key-have-limited-access)