Tipos de credenciales y su seguridad
La API de WhatsApp Business utiliza dos tipos principales de credenciales: el token de usuario del sistema de Meta (para acceso directo a la API Meta Cloud) y las claves API del proveedor BSP (para acceso a traves de un intermediario como Chat API). No los confundas: tienen un alcance y ciclos de vida diferentes.
Para mayor seguridad, usa tokens con alcance limitado: crea un usuario del sistema en Meta Business Manager con permisos estrictamente necesarios para las operaciones de envio y recepcion, sin permisos de administracion de la cuenta.
Gestion segura de credenciales en el codigo
Nunca incrustes credenciales de API directamente en el codigo fuente. Usa variables de entorno: el codigo lee la clave de process.env.CHAT_API_KEY en lugar de tenerla codificada.
Usa un gestor de secretos para los sistemas en produccion. En los pipelines CI/CD, usa las funciones de gestion de secretos de tu proveedor. Nunca pases credenciales como argumentos de linea de comandos.
Rotacion de credenciales
Implementa una politica de rotacion de credenciales: rota las claves API al menos cada 90 dias, o inmediatamente si sospechas que han sido comprometidas.
Verificacion de la firma de los webhooks
Los webhooks enviados por la API de WhatsApp Business incluyen una firma HMAC-SHA256 en la cabecera. Verifica siempre esta firma antes de procesar el payload.
La verificacion de la firma previene ataques en los que un actor malicioso envia solicitudes falsas a tu endpoint de webhook para activar acciones no autorizadas.
