DPoP Explicado: Cómo Hacer Inútiles los Tokens Robados

Descubre cómo DPoP protege tus APIs haciendo que los tokens robados no tengan valor.

10 jun 2026 • 4 min read • Q2BSTUDIO Team

Protege tus APIs con la Prueba de Posesión (DPoP)

La seguridad en las APIs representa uno de los frentes más críticos para cualquier empresa que maneje datos sensibles o procesos transaccionales. Tradicionalmente, los tokens de acceso funcionan como dinero en efectivo: quien los posee puede utilizarlos sin más verificación. Un token robado, ya sea por un fallo XSS, un registro mal saneado o un proxy mal configurado, permite a un atacante replicar las mismas peticiones que el usuario legítimo. El estándar DPoP (Demonstrating Proof of Possession), definido en la RFC 9449, aborda exactamente este punto: enlaza cada token a una clave privada que permanece exclusivamente en el cliente, de modo que un token sustraído resulta inservible sin dicha clave.

El mecanismo es robusto pero conceptualmente sencillo. El cliente genera un par de claves asimétricas (por ejemplo, ES256) y registra la huella digital de la clave pública en el propio token mediante el campo cnf.jkt. Cada petición a la API incluye dos elementos: el token en la cabecera Authorization con el esquema DPoP, y un JWT firmado en la cabecera DPoP que contiene el método HTTP, la URL destino, un identificador único y la marca de tiempo. El servidor verifica la firma, comprueba que la huella de la clave pública coincida con la almacenada en el token y confirma que el JWT no haya sido reutilizado. De esta forma, incluso si un atacante intercepta el token, no podrá generar las pruebas necesarias al carecer de la clave privada.

La implantación real requiere atención a múltiples detalles operativos. El uso de nonces generados por el servidor cierra cualquier ventana de reutilización aunque el cliente y el servidor tengan relojes ligeramente desincronizados. Los identificadores jti deben almacenarse en una caché compartida como Redis con un TTL acorde a la ventana de tiempo aceptada para evitar ataques de repetición entre instancias. La normalización de la URL destino es otro punto delicado: si el cliente firma https://api.ejemplo.com/recurso pero el servidor recibe https://interno:8080/recurso por la terminación TLS, la validación fallará. Por eso es imprescindible configurar trust proxy y estandarizar el formato de la URI eliminando puertos por defecto, fragmentos y cadenas de consulta.

DPoP no sustituye a otras capas de seguridad como cortafuegos de aplicaciones web o limitadores de tasa, sino que las complementa. Su valor principal aparece en entornos donde los tokens pueden filtrarse con facilidad: aplicaciones web de página única, aplicaciones móviles o cualquier cliente público incapaz de custodiar un secreto estático. También es especialmente relevante en APIs reguladas o de alto valor, como las de pagos, sanidad o verificación de identidad, donde una suplantación masiva tendría consecuencias económicas o legales graves. En estos escenarios, combinar DPoP con ciclos de vida cortos del token y rotación periódica de claves proporciona una defensa en profundidad muy efectiva.

Desde la perspectiva de una empresa de desarrollo como Q2BSTUDIO, implementar DPoP es una práctica habitual cuando construimos aplicaciones a medida que exponen APIs a clientes móviles o web. Nuestros equipos integran esta protección junto con ciberseguridad avanzada, auditando cada flujo de autenticación para detectar puntos de fuga. Además, muchos de nuestros proyectos requieren desplegarse en servicios cloud AWS y Azure, donde orquestamos la infraestructura necesaria para el almacenamiento distribuido de nonces y la validación de pruebas a escala.

La adopción de DPoP también se alinea con tendencias más amplias de seguridad inteligente. Por ejemplo, combinamos la verificación de posesión con ia para empresas y agentes IA que analizan patrones de petición en tiempo real, detectando comportamientos anómalos aunque las pruebas criptográficas sean válidas. De igual modo, los logs generados por la validación DPoP alimentan dashboards de Power BI y servicios inteligencia de negocio, permitiendo a los equipos de seguridad monitorizar intentos de reutilización o errores de configuración.

En definitiva, DPoP transforma la confianza ciega en los tokens en una verificación activa de identidad. No impide que un atacante intente llamar a la API, pero garantiza que cualquier token sustraído sea un trozo de datos inútil. Para organizaciones que buscan robustecer sus sistemas sin añadir complejidad excesiva, esta técnica representa un paso firme hacia la madurez en ciberseguridad. Si tu empresa desarrolla software a medida y maneja información sensible, incorporar DPoP en tu arquitectura de APIs es una decisión que aporta valor tangible y refuerza la confianza de tus usuarios.

A BREAK?

Play for a moment before you go

OUR SERVICES

How we can help you

Artificial intelligence

AI agents, chatbots, and intelligent assistants that automate tasks and serve your customers 24/7 to improve the efficiency of your business.

More info

Software Development

Web, mobile, and desktop applications, intranets, e-commerce, SaaS, and management platforms designed for your company's specific needs.

More info

Cloud services

Migration, infrastructure, managed hosting, high availability, and security on Microsoft Azure and Amazon Web Services to help your business scale without limits.

More info

Cybersecurity and pentesting

Security audits, penetration testing and protection of applications, data and infrastructure on-premise and cloud, with ethical hacking and regulatory compliance.

More info

Business Intelligence

Dashboards and data analysis with Power BI: we integrate your sources, design dashboards and KPIs and turn your data into decisions.

More info

Process automation

We automate repetitive tasks and connect your applications with n8n, Power Automate, Make, and RPA, eliminating manual work and increasing productivity.

More info

Training for Companies

We train your teams in technology with criteria: web development, databases, Git, best practices and security, automation with n8n, artificial intelligence for companies and creation of AI solutions with Azure AI Foundry.

More info

Code Auditing

We audit the code that you, your team or an AI create: we tell you what is good and what to improve, we secure it and make it ready for production, web or app.

More info

AI Image Generation

We create for you the images that your business needs with artificial intelligence: product, networks, advertising, illustration and avatars. You tell us what you want and we deliver it ready to use.

More info

AI Video Generation

We create videos with artificial intelligence for you: promotional, networking, virtual presenters, dubbing and animations. You tell us the idea and we will deliver it assembled and ready to publish.

More info

AI Conversational Avatars

We create conversational avatars with AI – digital humans with a face and voice – that serve your customers and teams with the knowledge of your company, on your website, interactive monitors, WhatsApp or Teams.

More info

Online Marketing and AI

Google Ads, Meta Ads, LinkedIn Ads and AI Engine Positioning (GEO/AEO): we attract customers and make your brand appear where they search for you, also on ChatGPT, Gemini and Perplexity.

More info

Do you have a project in mind?

Tell us your vision and we'll turn it into a software solution. Whatever the scope, we make your idea real.

Live Chat