Llaves perdidas con Auto Unseal – Vault

Guía sobre Vault Auto Unseal y Recovery Seal Type: gestión de llaves, riesgos de pérdida, Shamir, rekey y generación de root; servicios de consultoría de seguridad de Q2BSTUDIO.

20 sept 2025 • 6 min read • Q2BSTUDIO Team

Inteligencia-Artificial-

Introducción: HashiCorp Vault y el riesgo de llaves perdidas con Auto Unseal

Vault es una solución centralizada para la gestión de secretos y el acceso privilegiado, diseñada para entornos on premises, cloud o híbridos. Su modo Auto Unseal permite automatizar el proceso de desescalado del cierre criptográfico usando un servicio de confianza como AWS KMS o Azure Key Vault. Sin embargo, cuando las llaves físicas o los secretos de recuperación no se gestionan correctamente, puede ocurrir una situación crítica: la pérdida de las llaves de recuperación que impide operaciones como restaurar snapshots, generar tokens root o rekey.

Qué es la Recovery Seal Type y por qué importa

Vault puede operar en varios modos de sellado. En el modo Recovery Seal Type Vault almacena una llave de recuperación protegida por un wrapper en la ruta de almacenamiento, normalmente en un archivo llamado _recovery-key. Cuando se configura Auto Unseal con AWS KMS, las operaciones de encriptación y desencriptación del wrapper se realizan mediante KMS y una clave de envoltura indicada por AWSKMS_WRAPPER_KEY_ID en el fichero de configuración de Vault. Si esa clave o el acceso a KMS se pierde, la trayectoria para recuperar el root token o para aplicar un rekey se complica.

Shamir y la distribución segura de la llave de recuperación

HashiCorp usa a menudo Shamir secret sharing para dividir una llave de recuperación en n partes con un umbral t necesario para recomponerla. Esto permite que varios operadores controlen el acceso sin depender de una sola persona. Por ejemplo, generar 5 shares con un threshold de 3 significa que se requieren 3 de las 5 piezas para reconstruir la llave.

Situación típica de pérdida y diagnóstico

Escenario: Auto unseal estaba configurado con AWS KMS pero se detecta que Vault no puede desencriptar la llave de recuperación o que el root token no existe tras un restore. Para diagnosticar use vault status y compruebe el campo Recovery Seal Type. Si la llave está presente en disco, puede verse en la ruta storage core como /opt/vault/core/_recovery-key. Ese archivo contiene un valor en base64 dentro de un JSON, por ejemplo .Value, que debe extraerse y decodificarse para operar sobre la llave cifrada.

Pasos prácticos para extraer y preparar la llave cifrada

1 Extraer y decodificar la llave cifrada desde el archivo de almacenamiento sudo cat /opt/vault/core/_recovery-key | jq -r .Value | base64 -d > key.enc

2 Usar la librería wrapper de HashiCorp o la utilidad personalizada para llamar a AWS KMS y desencriptar. En setups donde el wrapper está en go se utiliza wrapper.Decrypt o una herramienta que implemente la misma lógica. Si el wrapper requiere la variable AWSKMS_WRAPPER_KEY_ID debe estar presente en la configuración de Vault o en el entorno que ejecute la herramienta.

3 Si solo dispone de la llave cifrada y necesita repartirla con Shamir puede usar una utilidad en go para generar n shares y un threshold t. Un ejemplo de comando conceptual es go run main.go -enc-key key.enc -env awskms -shamir-shares 5 -shamir-threshold 3 que desencripta el contenido y produce las partes SSS para distribución segura entre operadores.

Reinicializar el proceso de Recovery Key en Vault

Si la llave original está irrecuperable pero necesita crear un nuevo esquema de recuperación puede iniciar un rekey para el target recovery. Por ejemplo vault operator rekey -target=recovery -init -key-shares=5 -key-threshold=3 inicia la operación y genera las porciones Shamir. El siguiente paso es que los operadores ejecuten vault operator rekey -target=recovery -submit con sus porciones hasta alcanzar el threshold y completar la rekey.

Generación de root token temporal con generate-root

En procesos de emergencia Vault ofrece generate-root que inicia un flujo de decodificación del token root mediante OTP y Nonce auxiliar. Al ejecutar vault operator generate-root -init se muestra un Nonce y un One Time Password que necesitará para decodificar el token que resultará una vez cumplidos los pasos solicitados y alcanzado el umbral de firmas. Es importante almacenar el OTP y la Nonce en un lugar seguro, ya que son necesarios para decodificar el token root generado.

Buenas prácticas de seguridad y recuperación

- Segmentar responsabilidades y usar Shamir para evitar un único punto de fallo. - Almacenar las porciones en localizaciones físicas y lógicas distintas, preferiblemente con cifrado y control de acceso. - Integrar Auto Unseal con HSM o servicios cloud gestionados como AWS KMS o Azure Key Vault y mantener políticas de IAM estrictas. - Hacer backups periódicos de snapshots y comprobar que se puede restaurar en un entorno de prueba. - Evitar exponer la variable AWSKMS_WRAPPER_KEY_ID en entornos no controlados. - Registrar y auditar cada operación de rekey, generate-root y restore para análisis forense posterior.

Herramientas y automatización

Algunas organizaciones implementan scripts que automatizan la extracción del fichero _recovery-key, la llamada al wrapper de KMS y la generación automática de porciones SSS para su custodia. Sin embargo cualquier automatización debe ser evaluada por su riesgo operativo y su superficie de ataque. Q2BSTUDIO puede ayudar a diseñar y validar flujos seguros que integren Vault con servicios cloud, sistemas de gestión de secretos y procesos de recuperación automatizados como parte de una solución completa de gestión de identidad y secretos.

Integración con servicios cloud y ciberseguridad

Si su entorno está en AWS o Azure es indispensable configurar Auto Unseal con las mejores prácticas del proveedor. En Q2BSTUDIO ofrecemos consultoría para integrar Vault con servicios cloud aws y azure y para evaluar la resistencia del proceso de recuperación. También proporcionamos servicios de auditoría y hardening de Vault dentro de nuestra oferta de ciberseguridad y pentesting.

Servicios y experiencia de Q2BSTUDIO

Q2BSTUDIO es una empresa de desarrollo de software especializada en aplicaciones a medida y software a medida, con experiencia en inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio y soluciones como power bi. Ofrecemos diseño de arquitecturas seguras, desarrollo de automatizaciones y agentes IA, integración de Vault en pipelines de CI CD y programas de formación para equipos operativos. Podemos ayudar a crear planes de recuperación, generar y custodiar porciones SSS, y montar soluciones que reduzcan el riesgo de pérdida de llaves.

Recomendaciones finales

Prevención es clave: combine Auto Unseal con controles de acceso estrictos, registre cada actividad y reparta las porciones Shamir entre operadores independientes. En caso de pérdida, extraiga y preserve cualquier archivo _recovery-key existente, utilice herramientas seguras para desencriptar con el wrapper KMS y, si procede, inicie un rekey controlado y auditado. Para evaluar y ejecutar estas tareas con garantía y sin riesgos innecesarios, contacte con Q2BSTUDIO y aproveche nuestra experiencia en software a medida, inteligencia artificial, agentes IA y servicios de inteligencia de negocio para diseñar soluciones de recuperación y continuidad seguras y adaptadas a su organización.

Contacto y próximo paso

Si necesita asistencia inmediata o un plan de recuperación a medida, solicite una consultoría con Q2BSTUDIO y valore nuestras soluciones integrales que abarcan desde la implementación técnica hasta la formación en operaciones seguras y la integración con Power BI para reporting y análisis.

A BREAK?

Play for a moment before you go

OUR SERVICES

How we can help you

Artificial intelligence

AI agents, chatbots, and intelligent assistants that automate tasks and serve your customers 24/7 to improve the efficiency of your business.

More info

Software Development

Web, mobile, and desktop applications, intranets, e-commerce, SaaS, and management platforms designed for your company's specific needs.

More info

Cloud services

Migration, infrastructure, managed hosting, high availability, and security on Microsoft Azure and Amazon Web Services to help your business scale without limits.

More info

Cybersecurity and pentesting

Security audits, penetration testing and protection of applications, data and infrastructure on-premise and cloud, with ethical hacking and regulatory compliance.

More info

Business Intelligence

Dashboards and data analysis with Power BI: we integrate your sources, design dashboards and KPIs and turn your data into decisions.

More info

Process automation

We automate repetitive tasks and connect your applications with n8n, Power Automate, Make, and RPA, eliminating manual work and increasing productivity.

More info

Training for Companies

We train your teams in technology with criteria: web development, databases, Git, best practices and security, automation with n8n, artificial intelligence for companies and creation of AI solutions with Azure AI Foundry.

More info

Code Auditing

We audit the code that you, your team or an AI create: we tell you what is good and what to improve, we secure it and make it ready for production, web or app.

More info

AI Image Generation

We create for you the images that your business needs with artificial intelligence: product, networks, advertising, illustration and avatars. You tell us what you want and we deliver it ready to use.

More info

AI Video Generation

We create videos with artificial intelligence for you: promotional, networking, virtual presenters, dubbing and animations. You tell us the idea and we will deliver it assembled and ready to publish.

More info

AI Conversational Avatars

We create conversational avatars with AI – digital humans with a face and voice – that serve your customers and teams with the knowledge of your company, on your website, interactive monitors, WhatsApp or Teams.

More info

Online Marketing and AI

Google Ads, Meta Ads, LinkedIn Ads and AI Engine Positioning (GEO/AEO): we attract customers and make your brand appear where they search for you, also on ChatGPT, Gemini and Perplexity.

More info

Do you have a project in mind?

Tell us your vision and we'll turn it into a software solution. Whatever the scope, we make your idea real.

Live Chat