Saltar al contenido principal
English (US) Português do Brasil

Whitelist de Acceso API

Actualización

¡Potencia la Seguridad de tu API con la Nueva Whitelist de Acceso! 😉

En Buk, tu tranquilidad y la seguridad de tu información son nuestro centro. Por eso, hemos creado la funcionalidad de Whitelist de Acceso a la API, una herramienta poderosa para que tengas control total sobre quién puede acceder a los recursos de tu empresa a través de nuestra API.

Sabemos que, especialmente para clientes del sector financiero o aquellos que manejan datos sensibles, es crucial tener mecanismos para prevenir accesos no autorizados si una llave de API (api-key) se llegara a filtrar. Con esta nueva funcionalidad, podrás definir explícitamente qué direcciones IP tienen permiso para comunicarse con tu API, bloqueando cualquier intento de conexión desde una ubicación no autorizada.

Antes de Empezar: Conceptos Clave

Para sacarle el máximo provecho a esta herramienta, es bueno que manejemos algunos conceptos. ¡No te preocupes, es más fácil de lo que suena!

  • ¿Qué es una Whitelist (o Lista Blanca)? Imagina que es la lista de invitados VIP para tu API. Solo las direcciones IP que estén en esta lista podrán acceder. Cualquier IP que no esté registrada, no podrá entrar. Si la lista está vacía, todos tienen acceso.
  • ¿Qué es una Dirección IP? Es como la dirección de una casa en internet. Cada dispositivo conectado a la red tiene una (ej: 203.0.113.100).
  • ¿Qué es un Rango CIDR? Es una forma abreviada y muy práctica de agrupar muchas direcciones IP en una sola regla, en lugar de agregarlas una por una. Por ejemplo, en vez de listar 256 direcciones IP, puedes usar una sola línea como 192.168.1.0/24.

¡Manos a la Obra! Cómo Configurar tu Whitelist

El proceso es muy sencillo e intuitivo. Sigue estos pasos para empezar a proteger tu API.

Paso 1: Accede a la Nueva Pestaña "Whitelist de Acceso"

  1. Dirígete al menú de Administración en tu plataforma Buk.
  2. Haz clic en la opción Accesos API.
  3. Dentro de "Configuración API", verás una nueva pestaña llamada Whitelist de Acceso. Haz clic en ella para ingresar.

Paso 2: Crea tu Primera Regla de Acceso

En la vista principal de la Whitelist, encontrarás una tabla que mostrará todas tus reglas. Para agregar la primera:

  1. Haz clic en el botón azul "Crear".
  2. Se abrirá una ventana modal llamada "Agregar IP al Whitelist".
  3. Completa los siguientes campos:
    • Descripción: Un nombre para que identifiques la regla fácilmente. Por ejemplo, "Oficinas Corporativas" o "Servidor de Integración".
    • Rango CIDR: Aquí ingresas la dirección IP específica o el rango de IPs que quieres permitir. (¡Revisa los ejemplos en el glosario si tienes dudas!).
    • Estado: Puedes elegir si la regla estará Activa o Inactiva. Esto es útil para habilitar o deshabilitar accesos temporalmente sin tener que borrar la regla.
  4. Cuando termines, presiona el botón "Guardar". ¡Listo! Tu primera regla ha sido creada y verás una notificación de éxito.

Paso 3: Administra tus Reglas Existentes

Una vez que tengas reglas en tu tabla, podrás gestionarlas de forma muy simple desde la vista principal. La tabla te mostrará las columnas: ID, Descripción, Rango CIDR, Estado y Fecha de Creación.

  • Para Editar una Regla:
    • Busca la regla que quieres modificar en la tabla.
    • A la derecha, haz clic en el ícono del lápiz (Editar).
    • Se abrirá el mismo modal de creación, pero con la información ya cargada. Realiza los cambios que necesites y haz clic en "Guardar".
  • Para Eliminar una Regla:
    • Haz clic en el ícono del basurero (Eliminar) junto a la regla que deseas quitar.
    • Aparecerá una ventana de confirmación para asegurarse de que no lo hagas por accidente. Te preguntará: "¿Estás seguro de eliminar esta regla de whitelist?".
    • Si estás seguro, haz clic en el botón "Eliminar".

⚠️ ¡Muy Importante! Consideraciones Clave

  • El Primer Paso es Decisivo: Al agregar la primera dirección IP a tu Whitelist, el acceso desde CUALQUIER OTRA IP que no esté en la lista quedará automáticamente bloqueado. Asegúrate de incluir todas las IPs necesarias para no interrumpir tus integraciones actuales.
  • Seguridad por Capas: Esta funcionalidad es un excelente control de acceso a nivel de aplicación. Para un cumplimiento normativo más robusto (como las directrices de la CMF), se recomienda complementar esta medida con un Rate Limiting a nivel de WAF para protegerte contra ataques de denegación de servicio (DDoS).
  • Riesgo de Autobloqueo: Ten mucho cuidado al configurar las reglas para no bloquear accidentalmente a tus propios equipos o servicios que necesiten acceder a la API. Siempre verifica las IPs antes de guardar.
  • Integraciones Internas de Buk: ¡No te preocupes! Hemos diseñado la solución para que las IPs de nuestros productos internos como Capacitaciones, Asistencia o Adelantos se agreguen por defecto para no ser bloqueadas y que tus servicios sigan funcionando sin problemas.

Glosario de Términos Técnicos

Aquí te explicamos de forma sencilla los conceptos más técnicos que mencionamos:

  • API (Interfaz de Programación de Aplicaciones): Es un conjunto de reglas que permite que diferentes aplicaciones se comuniquen entre sí. En este caso, permite que tus sistemas externos interactúen con los datos de Buk de forma segura.
  • Dirección IP (Protocolo de Internet): Es un número único que identifica a un dispositivo en internet o en una red local. Es como el número de teléfono de tu computador.
  • Rango CIDR (Enrutamiento entre Dominios sin Clases): Es la notación estándar para especificar un rango de direcciones IP. El número después de la barra (/) indica cuántas IPs incluye el rango.
    • 203.0.113.100/32: Una única dirección IP.
    • 192.168.1.0/24: Un rango de 256 direcciones (desde 192.168.1.0 hasta 192.168.1.255).
    • 10.0.0.0/8: Un rango muy grande de más de 16 millones de direcciones IP.
  • WAF (Web Application Firewall): Es un "escudo" o firewall que protege a las aplicaciones web filtrando y monitoreando el tráfico malicioso antes de que llegue a la aplicación.
  • Rate Limiting (Límite de Tasa): Es una técnica para controlar la cantidad de solicitudes que un usuario puede hacer a la API en un período de tiempo determinado. Es muy útil para prevenir abusos y ataques.
  • DDoS (Ataque de Denegación de Servicio Distribuido): Es un tipo de ciberataque que intenta hacer que un servicio en línea no esté disponible al abrumarlo con tráfico desde múltiples fuentes.