SANTA-IA
Clase 04 · Seguridad

Ya se filtró un secreto: rotar primero, limpiar después

incidente
01

Limpiar no es proteger

Borrar la llave del código no la apaga. Sigue viva hasta que la revocas en el servicio.

LIMPIAR EL CÓDIGO NO APAGA LA LLAVE Borras la llave del código .env · .gitignore archivoAPI_KEY=•••••el rastro desaparece pero la llave sigue afuera LLAVE VIVAalguien que la copió la sigue usandoabierta La revocas en el servicio el panel que la entregó panel del serviciorevocar el servicio la deja de aceptar LLAVE MUERTAya no abre nada, la copien o nocerrada Borrar esconde la evidencia. La puerta solo se cierra al revocar.
Limpiar el código no apaga la llave. Si no la revocas, la puerta sigue abierta.
02

El orden correcto

Rotar, luego limpiar, luego documentar. El orden no es negociable.

SI YA FILTRASTE UNA LLAVE · 3 PASOS EN ORDEN 1 · ROTARen el serviciorevoke + crear nuevala llave vieja queda muerta2 · LIMPIARel historial gitgit filter-repoel rastro desaparece3 · ANOTARqué pasópara no repetirlo el orden importa: si limpias git antes de rotar, la llave sigue activa.
Una sola regla: rotar primero, limpiar después.
03

La historia real

31 de mayo: tres tokens en texto plano. Dos medían 94 bytes, el mismo repetido. Rotarlo una vez apagaba los dos.

04

En equipo

Quien creó el token es quien lo rota. La pendiente se anota con dueño y fecha de revisión.

Volver a Seguridad

hecho con mucho amor

espero les sea útil

santa-ia · 2026 · @santaia.lab