En resumen
Sí, Postman almacena claves API y otras credenciales cuando las guardas en variables de entorno con la sincronización en la nube habilitada, que es la configuración predeterminada. Esto no significa que Postman esté haciendo un uso indebido de tus claves, pero sí significa que tus credenciales existen en un servidor de terceros. Entender esto te ayuda a decidir si la configuración predeterminada de Postman se ajusta a tus requisitos de seguridad y cuándo una herramienta local como Apidog es la mejor opción.
Introducción
La pregunta "¿Postman almacena mis claves API?" surge regularmente en las comunidades de desarrolladores. Busca en r/webdev o r/programming de Reddit y encontrarás hilos de desarrolladores preguntando lo mismo, a menudo motivados por un hallazgo de auditoría de seguridad o una conversación con su equipo de seguridad.
La preocupación es legítima. Las claves API son esencialmente contraseñas para tus servicios. Una clave API filtrada para un procesador de pagos puede resultar en cargos fraudulentos. Una clave de proveedor de nube filtrada puede llevar a la creación de recursos no autorizados, exfiltración de datos o una factura de decenas de miles de dólares. Los desarrolladores que almacenan estas claves en sus herramientas de desarrollo están extendiendo su confianza a esa herramienta.
La mayoría de los desarrolladores saben que no deben enviar claves API a repositorios públicos de GitHub. La concienciación sobre las herramientas de cliente API es menor. Postman tiene más de 30 millones de usuarios, lo que significa que un gran número de desarrolladores están almacenando credenciales en una herramienta sin comprender completamente a dónde van esas credenciales.
Este artículo ofrece una respuesta directa y técnica a la pregunta sobre el almacenamiento de claves API y explica qué puedes hacer al respecto.
La respuesta directa: sí, con un contexto importante
Postman almacena claves API en los siguientes escenarios:
Cuando utilizas variables de entorno. El sistema de entornos de Postman es la forma estándar de almacenar credenciales para usarlas en las solicitudes. Si creas una variable de entorno llamada API_KEY con un valor de sk-abc123..., ese valor se sincroniza con los servidores en la nube de Postman cuando la sincronización en la nube está activa. Este es el comportamiento predeterminado.
Cuando utilizas variables de colección. Las variables almacenadas a nivel de colección se sincronizan de la misma manera.
Cuando utilizas variables globales. Las variables globales se sincronizan con tu cuenta de Postman.
Cuando las credenciales aparecen en los cuerpos o encabezados de las solicitudes. Si codificas una credencial en un encabezado de solicitud (como Authorization: Bearer sk-abc123...) y guardas la colección, ese valor se sincroniza.
Lo que no se sincroniza por defecto: Los valores almacenados en Postman Vault. Vault es un almacén local de credenciales que explícitamente no se sincroniza con la nube de Postman. Requiere almacenar manualmente las credenciales allí en lugar de en variables de entorno.
Qué significa realmente la "sincronización en la nube"
La sincronización en la nube en Postman significa que una copia de los datos de tu espacio de trabajo se mantiene continuamente en los servidores de Postman. Esto ocurre automáticamente en segundo plano. No necesitas hacer clic en "guardar" o "sincronizar". A medida que trabajas, los cambios se propagan a la nube.
El propósito es la colaboración y la persistencia. Si tu portátil se estropea, tu trabajo no se pierde porque está en la nube de Postman. Si cambias de máquina, tus colecciones y entornos te seguirán porque se sincronizan con tu cuenta.
La implicación de seguridad es que tus claves API, que podrías pensar que residen en la aplicación de tu portátil, en realidad residen en ambos lugares: tu portátil y la nube de Postman.
Postman cifra estos datos. El esquema específico es el cifrado AES-256 para los datos en reposo y TLS para los datos en tránsito. Este es un cifrado estándar y razonable. Las claves no se encuentran en texto plano en una base de datos de Postman en algún lugar.
Pero el cifrado no significa inaccesibilidad. Postman puede acceder a los datos para proporcionar el servicio. Si tu cuenta de Postman se ve comprometida (mediante phishing, relleno de credenciales o una brecha de datos en Postman), tus claves API almacenadas son potencialmente accesibles para quien haya obtenido el acceso.
Qué dice la política de privacidad de Postman sobre tus credenciales
La política de privacidad de Postman los describe como un procesador de datos, no un controlador de datos, para el contenido de tus espacios de trabajo. Procesan tus datos para proporcionar el servicio. No venden el contenido de tu espacio de trabajo a terceros.
Puntos clave de su documentación sobre el manejo de datos:
Limitación de propósito. Postman declara que utilizan el contenido del espacio de trabajo para proporcionar y mejorar el servicio, no para marketing o reventa.
Subprocesadores. Postman utiliza servicios de terceros para infraestructura, soporte y análisis. Estos subprocesadores pueden procesar tus datos como parte de la prestación del servicio. Postman publica una lista de subprocesadores en su documentación.
Solicitudes gubernamentales. Como empresa estadounidense, Postman está sujeto a solicitudes de las fuerzas del orden de EE. UU., incluidas las cartas de seguridad nacional. Los datos almacenados en servidores de EE. UU. pueden ser requeridos mediante un proceso legal.
Notificación de brecha. Los términos de Postman incluyen provisiones de notificación de brecha de seguridad. Si tus datos están involucrados en una brecha, Postman está contractualmente obligado a notificártelo.
Eliminación de datos. Cuando eliminas tu cuenta, Postman elimina tus datos. Los programas de retención de copias de seguridad varían.
Esta es una política normal para una empresa SaaS B2B. No indica mala intención. La pregunta es si la política de seguridad de tu organización permite almacenar credenciales API con un servicio en la nube de terceros, y si has revisado esa política en comparación con lo que Postman realmente hace.
La dimensión de visibilidad del espacio de trabajo
Más allá de la sincronización en la nube, existe una segunda dimensión en el riesgo de las claves API de Postman: la visibilidad del espacio de trabajo.
Los espacios de trabajo de Postman pueden ser Públicos, de Equipo o Privados. Los espacios de trabajo públicos son accesibles para cualquier persona sin autenticación. Se pueden buscar en la red API pública de Postman.
En 2023, investigadores de CloudSEK encontraron más de 30.000 espacios de trabajo públicos de Postman que contenían claves API reales, tokens y otras credenciales. Empresas como Razorpay y New Relic tenían credenciales sensibles en espacios de trabajo públicos. La exposición no fue producto de una brecha. Fue porque los desarrolladores configuraron los espacios de trabajo como públicos sin darse cuenta de que el mismo espacio de trabajo contenía credenciales reales en variables de entorno.
Este es el segundo riesgo, y es distinto. Incluso si confías en la seguridad en la nube de Postman, una configuración errónea de la visibilidad del espacio de trabajo puede exponer tus credenciales a toda la internet.
Quién está más en riesgo
No todos los desarrolladores se enfrentan al mismo nivel de riesgo por el manejo de credenciales de Postman. El riesgo es mayor cuando:
Almacenas credenciales de producción en Postman. Probar APIs de producción con claves de producción significa que las credenciales de producción están en la nube de Postman. Esto es común y realmente arriesgado.
Tu espacio de trabajo en equipo tiene acceso amplio. Si todos en una empresa de 50 personas están en el mismo equipo de Postman con acceso a todos los espacios de trabajo, una única cuenta comprometida expone todas las credenciales.
Trabajas en una industria regulada. Las organizaciones de atención médica, finanzas, gobierno y defensa a menudo tienen reglas explícitas sobre dónde se pueden almacenar ciertos datos. Almacenar claves API que otorgan acceso a sistemas que contienen información de salud protegida (PHI) o datos financieros en una nube de terceros puede violar esas reglas.
Tus claves API tienen altos privilegios. Una clave de solo lectura para una API pública es de bajo riesgo. Una clave de administrador para tu infraestructura en la nube o procesador de pagos es de alto riesgo. Las consecuencias de la exposición aumentan con el nivel de privilegio de la clave.
Eres contratista o consultor. Almacenar credenciales API de clientes en tu cuenta personal de Postman significa que las credenciales del cliente existen en un servidor de terceros vinculado a tu cuenta personal. Si esa cuenta se ve comprometida, la seguridad del cliente está en riesgo.
Cómo Postman Vault cambia el panorama
Postman Vault, introducido para abordar estas preocupaciones, almacena los valores de las credenciales localmente en tu máquina. Los valores en el Vault no se sincronizan con la nube de Postman. Los referencias en las solicitudes usando la sintaxis {{vault:nombre_de_variable}}.
Esta es una mejora de seguridad significativa. Las claves API almacenadas en Vault no están en los servidores de Postman.
Las limitaciones: requiere un cambio de comportamiento deliberado. Los desarrolladores tienen años de memoria muscular en torno a las variables de entorno. Vault requiere que cada miembro del equipo configure su propio almacén local, lo que significa que las credenciales no se comparten a través de las funciones de equipo de Postman. Necesitas un mecanismo de intercambio de secretos separado para incorporar a los miembros del equipo.
Vault tampoco aborda las credenciales que aparecen directamente en los encabezados o cuerpos de las solicitudes, o las credenciales en variables de colección y globales.
Herramientas "local-first" y el modelo alternativo
La diferencia fundamental con las herramientas "local-first" es el valor predeterminado. Con Postman, la sincronización en la nube está activada a menos que la desactives (e incluso entonces, requiere Vault específicamente para las credenciales). Con Apidog, los datos permanecen locales a menos que actives la sincronización.
Las variables de entorno de Apidog se almacenan en bases de datos SQLite locales en tu máquina. No se sincronizan en ningún lugar sin tu acción explícita. Si nunca habilitas la sincronización en equipo, tus claves API nunca salen de tu máquina.
Para los desarrolladores que necesitan que la herramienta maneje los secretos de forma segura sin ninguna configuración, esta es una diferencia significativa. No tienes que conocer Vault, configurarlo y capacitar a todo tu equipo para usarlo. El comportamiento seguro es el comportamiento predeterminado.
Bruno va más allá: almacena todo en archivos en tu sistema de archivos. No existe ninguna opción de nube al estilo Apidog. Si la opción solo local es un requisito estricto, Bruno elimina la cuestión por completo.
Recomendaciones prácticas
Audita lo que tienes almacenado ahora. Abre tus entornos de Postman y revisa cada variable. Busca claves API, tokens, contraseñas y secretos. Saber qué hay en la nube de Postman.
Traslada las credenciales a Postman Vault. Para cualquier credencial que necesite permanecer en Postman, migrarla a Vault. Actualiza la documentación de tu equipo y el proceso de incorporación.
Utiliza claves con alcance y privilegios limitados para las pruebas. Crea claves API específicamente para desarrollo y pruebas con los permisos mínimos requeridos. Si una clave de prueba se filtra, el impacto es limitado. Nunca utilices claves de administrador o de producción en herramientas de desarrollo.
Revisa la visibilidad del espacio de trabajo. Asegúrate de que ningún espacio de trabajo con credenciales esté configurado como Público. Configura por defecto como Privado para todos los espacios de trabajo.
Considera tu modelo de amenaza. Para proyectos personales y APIs no sensibles, la configuración actual de Postman probablemente esté bien. Para credenciales de producción, datos regulados o trabajo con clientes, los pasos adicionales para lograr seguridad con Postman pueden ser más fáciles de evitar simplemente usando una herramienta local.
Preguntas frecuentes
¿Postman vende mis claves API o datos del espacio de trabajo?No. La política de privacidad de Postman establece que no venden el contenido del espacio de trabajo del usuario. Lo utilizan para proporcionar y mejorar el servicio.
Si mi cuenta de Postman se ve comprometida, ¿puede un atacante obtener mis claves API?Sí, si esas claves se almacenan en variables de entorno que se sincronizan con la nube. Por eso es importante utilizar Postman Vault para las credenciales y habilitar la autenticación multifactor en tu cuenta de Postman.
¿Postman admite la autenticación multifactor?Sí. Postman admite MFA a través de aplicaciones de autenticación. Habilitar MFA reduce significativamente el riesgo de compromiso de la cuenta.
¿Son seguras las claves API en Postman Vault?Las claves almacenadas en Postman Vault se guardan localmente y no se sincronizan con la nube de Postman. Son tan seguras como tu máquina local. Si tu máquina se ve comprometida, el contenido de Vault es accesible. Pero no son accesibles para Postman ni para alguien que comprometa tu cuenta de Postman sin comprometer también tu máquina.
¿Qué debo usar si no puedo almacenar claves API en ninguna herramienta en la nube?Bruno es la opción más restrictiva, sin ningún componente en la nube. Apidog en modo local almacena todo en el dispositivo. Para entornos de equipo sin ninguna herramienta en la nube, Hoppscotch autoalojado o Apidog autoalojado te ofrecen colaboración sin depender de una nube de terceros.
¿Cómo elimino mis claves API de la nube de Postman?Ve a tus entornos de Postman, elimina las variables que contienen credenciales y reemplázalas con referencias a Vault. Si quieres eliminar datos de sincronización históricos, tendrías que eliminar el espacio de trabajo y cualquier dato asociado desde la configuración de tu cuenta de Postman.
La respuesta a "¿Postman recopila mis claves API?" es sí, bajo la configuración predeterminada y los patrones de uso comunes. Eso no convierte a Postman en un mal producto. Significa que necesitas comprender el modelo de datos antes de almacenar credenciales sensibles, y usar Vault o una herramienta alternativa cuando tus requisitos de seguridad lo exijan.