# Claves de API Utiliza las claves de API para autenticar las peticiones de API. Stripe autentica las peticiones a la API con las claves de API de tu cuenta. Si una petición no incluye una clave válida, Stripe devuelve un [error de petición no válida](https://docs.stripe.com/error-handling.md#invalid-request-errors). Si una petición incluye una clave eliminada o caducada, Stripe devuelve un [error de autenticación](https://docs.stripe.com/error-handling.md#authentication-errors). Usa el [Dashboard de desarrolladores](https://dashboard.stripe.com/test/apikeys) para crear, mostrar, eliminar y cambiar claves de API. Puedes acceder a tus claves de API en la pestaña [Claves de API](https://dashboard.stripe.com/test/apikeys). > #### Si eres nuevo en Stripe > > - **Protege a tu empresa:** consulta nuestras [prácticas recomendadas](https://docs.stripe.com/keys-best-practices.md) para gestionar las claves. - **Creando y probando**: utiliza tus *claves del entorno de prueba (modo de prueba)*. Las claves del entorno de prueba empiezan por `pk_test_` (publicable), `rk_test_` (restringida) y `sk_test_` (secreta). Te permiten realizar pruebas sin afectar a los datos activos. - **Cuando estás listo para aceptar pagos reales**: cambia a tus **claves a modo activo**, que empiezan por `pk_live_`, `rk_live_`, and `sk_live_`. Consulta [Cambiar a modo activo](https://docs.stripe.com/keys.md#switch-to-live-mode) para ver las instrucciones. - **Si buscas tu clave secreta de firma de webhook**: las claves secretas de webhook son independientes de las claves API. Las encontrarás en la sección [Webhooks](https://dashboard.stripe.com/webhooks) del Dashboard, debajo de cada punto de conexión de webhook. ## Tipos de claves Cuando creas tu cuenta de Stripe, generamos tres tipos de claves de API para ti: | Tipo | Es seguro exponerlo | Descripción | | ------------------------------------------- | ------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | | Clave de API restringida (RAK)`rk_...` | No | Clave de API con permisos que tú controlas. Limita el daño a tu empresa que podría causar un actor malicioso si obtuviera tu clave. Crea tantas RAK como quieras y asígnalas a distintas partes de tu solicitud de acceso. [Esta guía](https://docs.stripe.com/keys/restricted-api-keys.md) explica cómo configurar y usar las RAK. | | Clave de API publicable | Sí | Clave de API que puedes incluir en el código de front end o en las aplicaciones que distribuyes. | | Clave de API secreta`sk_...` | No | Clave de API con permisos sin restricciones en todas las API de Stripe. Como no puedes limitar sus permisos, no recomendamos usar claves secretas para nuevos casos de uso y, para las integraciones existentes, recomendamos migrar el consumo de claves secretas a RAK. | | Clave de API de la organización`sk_org_...` | No | Clave de API que funciona a nivel de organización. Igual que las claves restringidas o secretas de cuenta, pero diseñada para operar a nivel de [organización](https://docs.stripe.com/get-started/account/orgs.md) y gestionar varias cuentas de Stripe simultáneamente. [Esta guía](https://docs.stripe.com/keys/organization-api-keys.md) explica cómo configurar y utilizar las claves de API de organización. | También admitimos [claves de API gestionadas](https://docs.stripe.com/keys/managed-api-keys.md) emitidas por determinadas plataformas de alojamiento. Las claves gestionadas son claves secretas que la plataforma proporciona directamente a tus aplicaciones alojadas. No necesitas administrarlas manualmente, ya que tu proveedor de alojamiento se encarga de emitirlas y rotarlas. > #### Secretos de firma de webhooks > > Los secretos de firma webhook no son claves API, son secretos por webhook que el receptor de tu webhook utiliza para autenticar que los webhooks realmente provienen de Stripe. Puedes encontrar el secreto de firma para cada punto de conexión webhook en la sección [Webhooks](https://dashboard.stripe.com/webhooks) del Dashboard. Si creaste tu cuenta de Stripe antes de mayo de 2026, es posible que no tengas ninguna clave de API restringida. Te recomendamos crear RAK y migrar desde las claves secretas. Eres responsable de gestionar tus claves de API de forma segura. Lee nuestra guía de [prácticas recomendadas para proteger las claves de API](https://docs.stripe.com/keys-best-practices.md). ### Entorno de prueba frente a modo activo Todas las peticiones a la API de Stripe se realizan en un ‘*‘entorno de prueba’* (A sandbox is an isolated test environment that allows you to test Stripe functionality in your account without affecting your live integration. Use sandboxes to safely experiment with new features and changes)’ o en ‘*‘modo activo’* (Use this mode when you’re ready to launch your app. Card networks or payment providers process payments)’. Puedes usar un entorno de prueba para probar tu integración y acceder a datos de prueba, y el modo activo para acceder a los datos reales de tu cuenta. Cada modo tiene su propio conjunto de claves de API, y los objetos de un modo no son accesibles desde el otro. Por ejemplo, un [objeto de producto](https://docs.stripe.com/api/products/object.md) del entorno de prueba no puede formar parte de un pago en modo activo. | Tipo | Cuándo usarlo | Objetos | Cómo se usa | Consideraciones | | ------------------ | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Entornos de prueba | Usa un entorno de prueba y sus claves de API de prueba asociadas a medida que crees tu integración. En un entorno de prueba, las redes de tarjetas y los proveedores de servicios de pago no procesan pagos. | Las llamadas a la API devuelven objetos simulados. Por ejemplo, puedes recuperar y usar objetos de prueba de `account`, `payment`, `customer`, `charge`, `refund`, `transfer`, `balance` y `subscription`. | Utiliza [cuentas y tarjetas de crédito de prueba](https://docs.stripe.com/testing.md#cards). No puedes aceptar métodos de pago reales ni trabajar con cuentas reales. | [Identidad](https://docs.stripe.com/identity.md) no efectúa comprobaciones de verificación. Además, los [objetos de cuentas](https://docs.stripe.com/api/accounts/object.md) de Connect no devuelven campos confidenciales. | | Modo activo | Usa el modo activo y sus claves de API activas asociadas cuando estés listo para lanzar tu integración y aceptar dinero real. En el modo activo, las redes de tarjetas y los proveedores de servicios de pago sí procesan pagos. | Las llamadas a la API devuelven objetos reales. Por ejemplo, puedes recuperar y usar objetos reales de `account`, `payment`, `customer`, `charge`, `refund`, `transfer`, `balance` y `subscription`. | Acepta tarjetas de crédito reales y trabaja con cuentas de clientes. Puede aceptar autorizaciones de pago reales, cargos y capturas para tarjetas de crédito y cuentas. | Las disputas tienen un flujo con algunos matices y un [proceso de prueba](https://docs.stripe.com/testing.md#disputes) más sencillo. Además, algunos [métodos de pago](https://docs.stripe.com/payments/payment-methods.md) tienen un flujo con más matices y requieren más pasos. | ## Protege tus claves Solo las claves publicables son seguras para exponerlas fuera del back end de tu aplicación. Eres responsable de proteger el resto de las claves de API de Stripe, incluidas las claves de API restringidas. A continuación se indican algunas formas de proteger tus claves: - Guarda las claves confidenciales en un almacén de secretos que proporcione tu plataforma de alojamiento. [Esta entrada del blog](https://stripe.dev/blog/securing-stripe-api-keys-aws-automatic-rotation) ofrece un ejemplo. Si no puedes usar un almacén de secretos, utiliza variables de entorno para proporcionar las claves a tus aplicaciones de back end. - No incluyas claves en el código fuente ni en los archivos de configuración que se guarden en el control de versiones. - [Limita las claves a direcciones IP específicas](https://docs.stripe.com/keys.md#limit-api-secret-keys-ip-address) para que solo tus servidores puedan usarlas. - [Gira las claves](https://docs.stripe.com/keys.md#rolling-keys) cuando los miembros del equipo con acceso a ellas abandonen tu organización. - No compartas claves por correo electrónico, chat u otros canales sin cifrar. Para obtener una guía completa, consulta [las prácticas recomendadas para gestionar las claves secretas de API](https://docs.stripe.com/keys-best-practices.md). También mantenemos [una biblioteca de habilidades](https://github.com/stripe/ai/tree/main/skills) para ayudar a los agentes de IA a seguir estas prácticas recomendadas. ## Gestiona tus claves de API Usa el [Dashboard](https://dashboard.stripe.com/apikeys) para crear, mostrar, modificar, eliminar y cambiar tus claves de API. #### Cómo crear una clave de API restringida Usa [claves de API restringidas](https://docs.stripe.com/keys/restricted-api-keys.md) (RAK) para la mayoría de los casos de uso. Con una RAK, puedes asignar exactamente los permisos que necesita tu integración, lo que reduce el daño que un actor malintencionado podría causar a tu empresa si obtuviera tu clave. - Sigue las instrucciones de [Claves de API restringidas](https://docs.stripe.com/keys/restricted-api-keys.md) para crear una RAK, configurar sus permisos y migrar desde claves secretas. #### Cómo crear una clave de API secreta Crea una clave de API secreta sin restricciones solo cuando tu integración requiera acceso a todas las API y los recursos de Stripe sin restricción. Si un actor malintencionado obtiene tu clave secreta, puede perjudicar a tu empresa. Recomendamos usar RAK en su lugar. 1. En la pestaña [Claves API](https://dashboard.stripe.com/test/apikeys), haz clic en **Crear clave secreta**. 1. En el cuadro de diálogo, introduce el código de verificación que te enviamos por correo electrónico o mensaje de texto. Si el cuadro de diálogo no continúa automáticamente, haz clic en **Continuar**. 1. Introduce un nombre en el campo **Nombre de la clave** y, a continuación, haz clic en **Crear**. 1. Haz clic en el valor clave para copiarlo. 1. Guarda el valor de la clave. No podrás recuperarlo más tarde. 1. En el campo **Añadir una nota**, introduce la ubicación donde has guardado la clave y haz clic en **Listo**. ### Revelar una clave API Cuando crees una clave secreta en modo activo, la mostramos una sola vez antes de que la guardes. Copia la clave antes de guardarla, ya que no podrás consultarla más adelante. En modo activo, solo puedes consultar las claves de API que nosotros creamos para ti, como una clave secreta predeterminada o una clave generada por un cambio programado. En el entorno de prueba, siempre puedes ver todas tus claves de API, incluidas las claves restringidas y secretas. > Guarda las claves confidenciales en un lugar donde no puedas perderlas, como un almacén de secretos que proporcione tu plataforma. No incluyas claves en el código de tu aplicación. Las claves de API publicables no son confidenciales, por lo que las mostramos de forma predeterminada y no necesitas hacer nada para consultarlas. No podemos recuperar las claves que hayas olvidado o a las que hayas perdido el acceso. Si pierdes una clave, cámbiala o elimínala y crea otra. #### Para consultar una RAK en modo activo Solo puedes consultar las RAK en modo activo que nosotros hayamos creado para ti. Si creas una RAK tú mismo, no podrás consultarla después de haberla visto una vez. 1. En la pestaña [Claves de API](https://dashboard.stripe.com/apikeys) en modo activo, en la lista **Claves restringidas**, haz clic en **Mostrar clave activa** para la clave que quieras consultar. 1. Haz clic en el valor clave para copiarlo. 1. Guarda el valor de la clave en el [almacén de secretos](https://docs.stripe.com/keys-best-practices.md#use-a-secrets-vault) de tu plataforma. Si tu plataforma no dispone de uno, usa una variable de entorno. 1. Haz clic en **Ocultar clave activa**. #### Para consultar una clave de API secreta en modo activo Solo puedes consultar las claves secretas en modo activo que nosotros hayamos creado para ti. Si creas una clave secreta tú mismo, no podrás consultarla después de haberla visto una vez. 1. En la pestaña [Claves de API](https://dashboard.stripe.com/apikeys) en modo activo, en la lista **Claves Standard**, haz clic en **Mostrar clave activa** para la clave que quieras consultar. 1. Haz clic en el valor clave para copiarlo. 1. Guarda el valor de la clave en el [almacén de secretos](https://docs.stripe.com/keys-best-practices.md#use-a-secrets-vault) de tu plataforma. Si tu plataforma no dispone de uno, usa una variable de entorno. 1. Haz clic en **Ocultar clave activa**. 1. Haz clic en el menú adicional (⋯) y elige **Editar clave** para la clave en la que quieres añadir una nota. 1. En el campo **Nota**, introduce la ubicación donde guardaste la clave y luego haz clic en **Guardar**. ### Limitar una clave API a determinadas direcciones IP Puedes limitar una clave API secreta o una clave API restringida a un rango de direcciones IP, o a una o más direcciones IP específicas. Stripe recomienda habilitar las restricciones de IP en todas las claves en modo activo para evitar su uso desde ubicaciones no autorizadas. Utiliza listas de IP permitidas separadas para claves diferentes cuando sea aplicable (por ejemplo, para distinguir entre entornos de prueba y de producción). Las direcciones IP deben usar el protocolo IPv4. Puedes especificar cualquier rango de CIDR válido. Por ejemplo, un rango válido podría ser `100.10.38.0 - 100.10.38.255`, especificado como `100.10.38.0/24`. Todas las direcciones del rango deben comenzar por `100.10.38`. 1. En la pestaña [Claves de API](https://dashboard.stripe.com/test/apikeys), en la lista **Claves restringidas** o **Claves Standard**, haz clic en el menú de desbordamiento (‘⋯’) para la clave que quieras consultar. 1. Selecciona **Gestionar restricciones de IP** > **Limitar el uso a un conjunto de direcciones IP**. 1. Realiza una de las siguientes acciones: - Introduce una o más direcciones IP particulares en el campo **Dirección IP**. - Para un rango de direcciones IP, introduce la primera dirección en la nota de enrutamiento entre dominios sin clases (CIDR). En el campo **Dirección IP**, introduce la primera dirección en el rango. En el campo **CIDR**, introduce el tamaño del prefijo de red. 1. Para añadir otra dirección o rango de IP, haz clic en **+ Añadir**. 1. Haz clic en **Guardar**. ### Cambiar el nombre o la nota de una clave de API 1. En la pestaña [Claves API](https://dashboard.stripe.com/test/apikeys), haz clic en el menú adicional (⋯) para ver la clave que quieres cambiar. 1. Selecciona **Editar clave**. 1. Haz lo siguiente: - Para cambiar el nombre, introduce un nuevo nombre en el campo **Nombre de la clave**. - Para cambiar el texto de la nota, introduce el nuevo texto de la nota en el campo **Nota**. 1. Haz clic en **Guardar**. ### Caducar una clave API Si caducas una clave API secreta o restringida, debes crear una nueva y actualizar cualquier código que utilice la clave caducada. Cualquier código que utilice la clave caducada ya no podrá realizar llamadas a la APIc > No puedes caducar una clave publicable. 1. En la pestaña [Claves de API](https://dashboard.stripe.com/test/apikeys), en la lista **Claves restringidas** o **Claves Standard**, haz clic en el menú de desbordamiento (‘⋯’) para la clave que quieras expirar. 1. Selecciona **Clave de caducidad**. 1. En el cuadro de diálogo, haz clic en **Caducar clave**. Si ya no quieres caducar la clave, haz clic en **Cancelar**. ### Rotar una clave API Al rotar una clave API se revoca y se genera una clave de reemplazo lista para usarse de inmediato. También puedes programar que una clave API rote después de un cierto tiempo. La clave de reemplazo se nombra de la siguiente manera: - El nombre de la clave de reemplazo para publicar siempre es `Clave para publicar`. - El nombre de la clave secreta siempre es `Clave secreta`. - El nombre de la clave restringida de reemplazo es el mismo que el de la clave rotada. Puedes volver a nombrar una clave API secreta o restringida editando la clave. Rota una clave API en situaciones como: - Si pierdes una clave API secreta o restringida en modo activo y no puedes recuperarla desde el Dashboard. - Si una clave API secreta o restringida se ve comprometida, debes revocarla para bloquear cualquier solicitud de API potencialmente maliciosa que pueda usarla. - Si un miembro del equipo con acceso a la clave abandona tu organización o cambia de puesto. - Si tu política requiere que se cambien las claves en intervalos determinados. #### Para rotar una clave API 1. En la pestaña [Claves API](https://dashboard.stripe.com/test/apikeys), haz clic en el menú adicional (⋯) de la clave que quieres rotar. 1. Selecciona **Rotar clave**. 1. Selecciona una fecha de caducidad en el menú desplegable **Caducidad**. Si eliges **Ahora**, se elimina la clave antigua. Si especificas una hora, el tiempo restante hasta que caduque la clave se mostrará debajo del nombre de dicha clave. 1. Haz clic en **Rotar clave API**. 1. Haz clic en el valor clave para copiarlo. 1. Guarda el valor de la clave. No podrás recuperarlo más tarde. 1. En el campo **Añadir una nota**, introduce la ubicación donde guardaste la clave y luego haz clic en **Guardar** o **Listo**. ### Restaurar el acceso a una clave de API El acceso a una clave API puede verse limitado si no se ha utilizado para crear transferencias, pagos o actualizar destinos de pago durante más de 180 días. No puedes utilizar una clave con acceso limitado para crear pagos y transferencias ni para crear destinos de pago. Puedes restablecer el acceso para utilizar la clave con normalidad o para realizar una acción bloqueada. #### Para restaurar el acceso a una clave API 1. En la pestaña [Claves API](https://dashboard.stripe.com/test/apikeys), haz clic en el menú de desbordamiento (⋯) de la clave que quieres restaurar. 1. Selecciona **Restablecer acceso**. 1. Haz clic en **Restaurar**. ## Ver los registros de peticiones de API de una clave Para [abrir los registros de solicitudes de API](https://docs.stripe.com/development/dashboard/request-logs.md), haz clic en el menú adicional (⋯) de cualquier clave y, a continuación, elige **Ver registros de solicitudes**. Al abrir los registros, regresarás al Dashboard de Stripe. ## Cambiar al modo activo Cuando estés listo para aceptar pagos reales, usa claves API modo activo en lugar de claves de entorno de prueba. En la página de [claves API](https://dashboard.stripe.com/apikeys), cambia del **modo en entorno de prueba** al **modo activo**. La página ahora muestra tus claves API en modo activo. > #### Lista de verificación para pasar a modo activo completa > > Cambiar las claves de API es solo un paso. Revisa la [lista de verificación para pasar a modo activo](https://docs.stripe.com/get-started/checklist/go-live.md) completa para asegurarte de que tu integración esté lista para la producción. ### Claves publicables (del lado del cliente) Copia tu **clave publicable en modo activo** (comienza por `pk_live_`) y reemplaza la clave `pk_test_` en tu código del lado del cliente. Es seguro incluir esta clave en tu código o aplicaciones. ### Claves API restringidas o secretas (del lado del servidor) Las claves de API del lado del servidor son confidenciales, así que revisa nuestras [prácticas recomendadas para gestionar las claves secretas de API](https://docs.stripe.com/keys-best-practices.md). Recomendamos generar [claves de API restringidas](https://docs.stripe.com/keys/restricted-api-keys.md) para tu código del lado del servidor con el fin de limitar el daño a tu empresa en caso de que tus claves queden expuestas o en riesgo. 1. Antes de empezar a usar una clave de modo activo en tu solicitud de acceso de back-end, elimina las claves API codificadas de forma fija en tu código. En su lugar, usa un [almacén de secretos](https://docs.stripe.com/keys-best-practices.md#use-a-secrets-vault) para proporcionar la clave del entorno de prueba y comprueba que tu solicitud de acceso sigue funcionando. Si tu plataforma no dispone de un almacén de secretos, puedes usar una variable de entorno. 1. [Consulta](https://docs.stripe.com/keys.md#reveal-an-api-key) y copia tus **claves en modo activo** (que comienzan por `rk_live_` o `sk_live_`) y guárdalas de forma segura en tu entorno de servidor. 1. Configura el entorno de tu servidor para suministrar claves en modo activo en lugar de claves en entorno de prueba a tu aplicación. #### Claves de firma de webhook (lado del servidor) Si usas webhooks, actualiza la URL de cada punto de conexión del webhook y copia la nueva **clave secreta de firma** de la sección [Webhooks](https://dashboard.stripe.com/webhooks) del Dashboard. ## See also - [Prácticas recomendadas para gestionar claves de API secretas](https://docs.stripe.com/keys-best-practices.md) - [Protección contra claves de API comprometidas](https://support.stripe.com/questions/protecting-against-compromised-api-keys) - [¿Por qué mi clave API tiene acceso limitado?](https://support.stripe.com/questions/why-does-my-api-key-have-limited-access)