Session Keys (Claves de Sesión)

⚡ Definición Rápida

Una session key (clave de sesión) es un par de claves criptográficas temporal, de corta duración y con permisos limitados que una cuenta inteligente (smart account) delega a una aplicación dApp para que ejecute transacciones en nombre del usuario. A diferencia del sistema de allowances ERC-20 (autorizaciones de gasto por token), las session keys permiten delegar la firma de cualquier tipo de transacción, desde movimientos en un juego de criptomonedas hasta swaps complejos, sin necesidad de que el usuario apruebe manualmente cada operación.

Una vez que el usuario otorga el permiso, la dApp puede operar con la session key de forma autónoma, sujeto a las restricciones predefinidas (límite de gasto, tiempo de vida, contratos y funciones autorizadas). Este mecanismo es un componente clave de la abstracción de cuentas (ERC-4337) y está transformando la experiencia de usuario en Web3.

Términos relacionados: account abstraction • smart account • paymaster-erc-4337 • erc-20 allowance • Erc-20

❓¿Qué son las Session Keys y por qué eliminan la fricción en Web3?

La experiencia de usuario en Web3 ha sido tradicionalmente frustrante. Aprobar cada transacción en la wallet era un proceso que rompía la fluidez de la interacción con las dApps.

En el sector del gaming blockchain, esta barrera es especialmente crítica. Un jugador que realiza acciones cada pocos segundos tendría que firmar decenas de ventanas emergentes cada hora, una experiencia que ahuyenta a cualquier usuario.

Los proyectos que no implementan soluciones fluidas pierden entre el 80% y el 90% de los usuarios potenciales por culpa de la fricción en los procesos de firma de transacciones. Las session keys eliminan este obstáculo permitiendo que la aplicación actúe como un «firmante delegado» durante toda la sesión de uso, ofreciendo una experiencia web2.5 completamente fluida.

📖 Definición Técnica

Una session key es un par de claves asimétricas de corta duración y con permisos limitados que se delega a una aplicación o agente externo.

El flujo funciona en tres pasos: definición del alcance, aprobación humana y ejecución automatizada. En la definición de alcance, el usuario establece límites precisos como el gasto máximo, los contratos específicos a los que puede acceder e incluso las funciones concretas que puede ejecutar, además de fijar una fecha de caducidad. Estas reglas se codifican en la lógica de validación de la wallet inteligente.

La aprobación humana se realiza firmando un mensaje con la clave principal de la wallet para delegar los permisos a la session key, exactamente igual que se firmaría para aprobar una transferencia. Tras la delegación, el agente utiliza la session key para firmar UserOperations (el formato estándar de transacción en ERC-4337) de forma autónoma hasta que el permiso expire o sea revocado. El contrato inteligente de la cuenta verifica la firma, comprueba los límites y ejecuta la operación.

⚙️ Cómo Funcionan las Session Keys en el Ecosistema ERC-4337

Las session keys forman parte del ecosistema de la abstracción de cuentas (ERC-4337). La siguiente tabla resume los actores clave implicados en este flujo.

Actor	Función en el flujo
Smart Account	La wallet inteligente que contiene la lógica de autorización.
User	Propietario de la cuenta, quien firma la delegación inicial y establece límites.
Session Key	Par de claves temporal, con permisos limitados, que firma operaciones.
dApp / AI Agent	Entidad que posee la session key y ejecuta acciones automáticas en nombre del usuario.
Bundler	Recoge múltiples UserOperations de la mempool alternativa y las envía al EntryPoint.
EntryPoint	Contrato central de ERC-4337 que verifica y ejecuta las UserOperations.

La adopción de las cuentas inteligentes está creciendo de forma acelerada. Hacia mediados de 2025 se contabilizaban más de 30 millones de cuentas inteligentes ERC-4337 en uso, una cifra que se ha duplicado desde finales de 2024. Este crecimiento es un indicador directo del avance y la consolidación de tecnologías como las session keys, que serán la base para la próxima generación de aplicaciones descentralizadas.

🎮 Casos de Uso Reales de las Session Keys

🕹️ Web3 Gaming

Un jugador firma una única sesión para moverse, atacar y recoger objetos durante una partida, eliminando por completo las ventanas de firma. Los juegos basados en sesiones de duración determinada (TTL) o con un número máximo de operaciones (max ops) eliminan la fricción y permiten una experiencia de juego fluida.

🤖 Agentes de IA y trading automatizado

Un inversor otorga una session key a un bot de trading para que ejecute órdenes de compra/venta cuando se cumplan ciertas condiciones de mercado (por ejemplo, si el precio de ETH baja un 5%, comprar hasta un límite de 100 USDC). El agente opera de forma completamente autónoma, sin necesidad de firmas manuales.

⚡ Suscripciones y pagos recurrentes

Una dApp de suscripción recibe una session key que le permite cobrar una cantidad fija de tokens cada mes, automatizando por completo el proceso de pago recurrente sin interacción del usuario.

🌉 Transacciones delegadas multicadena

Un relayer de una wallet inteligente utiliza una session key para ejecutar transacciones en cadenas de capa 2 (Arbitrum, Polygon, Optimism) pagando el gas en nombre del usuario, lo que permite una experiencia de usuario libre de comisiones (gasless).

✅ Ventajas Clave de las Session Keys

Experiencia de usuario fluida (UX): Elimina la fricción de las firmas constantes, permitiendo interacciones rápidas y continuas. La sesión se activa con un solo «clic» de aprobación, y la dApp opera de forma transparente hasta que la sesión caduca.
Reducción de costes de gas: El usuario puede delegar en un relayer externo el pago de las comisiones de transacción (paymaster), pudiendo incluso operar con un saldo cero en ETH, algo impensable con wallets tradicionales.
Seguridad por diseño: Las session keys operan dentro de límites estrictos de gasto, tiempo y contratos específicos. Si la session key se ve comprometida, el atacante solo podrá operar dentro de estos límites y no tendrá acceso a la clave principal ni al resto de los fondos de la wallet.
Casos de uso imposibles hasta ahora: Desde juegos de alta frecuencia hasta agentes de IA autónomos, las session keys permiten aplicaciones que antes eran inviables por la imposibilidad técnica o la pésima experiencia de usuario.

⚠️ Riesgos y Desventajas Importantes

Centralización de la confianza: Se confía en que la dApp (o el agente de IA) no abuse de los permisos concedidos. Aunque los límites están definidos, una dApp maliciosa podría intentar extraer el máximo valor dentro del margen permitido.
Riesgo de fugas de información: La session key se almacena del lado del cliente. Es fundamental aplicar medidas de seguridad como cifrarla con la WebCrypto API y almacenarla preferiblemente en sessionStorage en lugar de localStorage para evitar ataques XSS.
Ausencia de estandarización global: Aunque se basan en ERC-4337, la implementación de session keys varía entre wallets (ZeroDev, Biconomy, Rhinestone) y no existe un estándar único, lo que puede generar problemas de compatibilidad.
Complejidad de implementación: Implementar session keys correctamente no es trivial. Los desarrolladores deben definir con precisión los permisos (target contract, function selector, spending limits, TTL) y gestionar la revocación de la sesión por parte del usuario.
Riesgo de phishing avanzado: Un atacante podría engañar al usuario para que firme una delegación maliciosa con permisos amplios (por ejemplo, acceso completo a todo el saldo). Es esencial que las wallets muestren claramente los alcances de la sesión que se está autorizando.

🔐 Session Keys vs. Permit (EIP-2612) vs. Allowances ERC-20

Es crucial diferenciar las session keys de otros mecanismos de autorización en Ethereum:

Mecanismo	Alcance	Ventajas	Limitaciones
Session Keys	Cualquier transacción on-chain (calls a cualquier contrato).	Máxima flexibilidad; ideal para dApps complejas (juegos, IA).	Requiere smart account; no es nativo de EOAs; sin estándar único.
Permit (EIP-2612)	Solo transferencias de ERC-20.	Se delega la firma off-chain con un mensaje EIP-712; ideal para una transferencia.	No sirve para interacciones complejas (swap, stake); solo para el token específico.
ERC-20 Allowance	Solo transferencias de ERC-20 específicos.	Estándar universal desde 2015; soportado por todos los tokens.	Requiere dos transacciones (approve + transferFrom); sin caducidad.

🧠 Implementación Técnica para Desarrolladores

Los desarrolladores pueden implementar session keys utilizando herramientas y frameworks específicos. En primer lugar, se debe elegir un stack de desarrollo que soporte session keys. ZeroDev Kernel es una de las implementaciones más maduras con arquitectura de plugins, mientras que Biconomy Smart Account y Rhinestone Module SDK ofrecen un enfoque modular basado en ERC-7579.

En cuanto a la infraestructura, se necesitan bundlers como Alto (Pimlico) o Stackup para enviar UserOperations, y librerías cliente como permissionless.js de Pimlico. La configuración de una session key implica establecer permisos granulares: dirección del contrato permitido (target), la función específica (function selector), límites de gasto por transacción (valueLimit) y por sesión (callCountLimit), y una ventana de validez (validAfter y validUntil). Es crucial implementar un mecanismo de revocación on-chain de la session key para poder desactivarla en caso de fuga o abuso.

🔮 El Futuro de las Session Keys

ERP‑7702 y estandarización para EOAs: La propuesta EIP-7702 permitirá que las cuentas de propiedad externa (EOA) actúen temporalmente como wallets inteligentes, habilitando session keys sin necesidad de migrar a una smart account, lo que podría acelerar masivamente su adopción.
Integración con Passkeys (WebAuthn): Las wallets inteligentes ya están integrando session keys con biometría, permitiendo que la delegación inicial se autorice con Face ID o huella dactilar en lugar de una clave privada tradicional, mejorando aún más la experiencia de usuario.
Modularidad con ERC-6900 y ERC-7579: Estos estándares de cuentas modulares permitirán que las session keys se instalen y desinstalen como plugins independientes, facilitando que diferentes wallets adopten el mismo formato de permisos.
Explosión de agentes de IA: La verdadera revolución de las session keys será en el mundo de los agentes autónomos de IA, que podrán operar en blockchain de forma delegada y segura, abriendo un abanico de aplicaciones de automatización complejas que hoy son imposibles.
Recursos externos para seguir la evolución: Documentación oficial de ERC-4337 Session Keys, guía de thirdweb sobre session keys, artículo sobre session keys de Ledger Academy y la documentación del estándar EIP-7702.

🎯 Conclusión

Las session keys son una pieza fundamental de la evolución de la experiencia de usuario en Web3. Permiten que las aplicaciones actúen con la fluidez de una app web2, pero con la seguridad y transparencia de la blockchain, un paso indispensable para la adopción masiva del ecosistema.

En sectores como el gaming, el trading algorítmico o las suscripciones DeFi, la eliminación de la fricción que suponen las firmas constantes es la diferencia entre una experiencia viable y un callejón sin salida. Con la llegada de EIP-7702 y la integración con passkeys biométricos, las session keys están destinadas a convertirse en un estándar de facto en los próximos años.

Para los desarrolladores, implementar session keys es una inversión en la calidad del producto que se traduce directamente en retención y satisfacción del usuario. Para los usuarios, representa la promesa de una Web3 que funciona de manera invisible y segura, donde la tecnología se adapta al ser humano y no al revés.

❓ Preguntas Frecuentes sobre Session Keys

¿Puede una session key drenar todos mis fondos si la dApp es maliciosa?

No, si los permisos están bien definidos. Las session keys operan dentro de límites estrictos (spending limits, contract/function whitelist, TTL). Si la dApp es maliciosa, solo podrá operar dentro de esos márgenes (por ejemplo, gastar hasta 100 USDC). La clave principal y el resto de los fondos permanecen seguros.

¿Puedo usar una session key con mi wallet MetaMask?

MetaMask como EOA no soporta session keys de forma nativa. Para usarlas, necesitas una smart account (ERC-4337) o esperar a la implementación de EIP-7702 en tu wallet. Wallets como Safe, Biconomy o ZeroDev ya las soportan.

¿Cuánto duran las session keys?

La duración es configurable por el usuario. Puede ser de minutos, horas o días. Las session keys tienen un mecanismo TTL (Time-to-Live) y caducan automáticamente al alcanzar la fecha límite, sin necesidad de revocación.

¿Puedo revocar una session key manualmente?

Sí, la wallet inteligente permite al usuario revocar manualmente cualquier session key activa en cualquier momento. La revocación se ejecuta on-chain mediante una transacción que invalida el permiso.

¿Las session keys funcionan en todas las EVM chains?

Sí, las session keys basadas en ERC-4337 funcionan en cualquier blockchain compatible con EVM (Ethereum, Polygon, Arbitrum, Optimism, BNB Chain, Avalanche C-Chain, etc.) donde se haya desplegado el EntryPoint y haya bundlers activos.

¿Qué diferencia hay entre una session key y una clave de API de Web2?

Una clave de API es un secreto compartido almacenado en un servidor central, con acceso total a los datos del usuario. Una session key es un par de claves criptográficas autónomo, delegado bajo límites estrictos, que opera sobre contratos inteligentes inmutables. Es más segura porque nunca expone la clave principal y sus acciones son verificables on-chain.

📚 ¿Quieres profundizar?

🚀 ¿Empezando en Crypto?

Lee nuestra guía completa gratuita para principiantes y descubre todo lo que necesitas saber para empezar de forma segura.

📋 ¿Por qué confiar en esta definición? Cada término de la Cryptopedia sigue una metodología de verificación con fuentes primarias, whitepapers y legislación oficial. Conoce nuestro proceso →

⚠️ Disclaimer: Este artículo es informativo y educativo. No constituye asesoramiento financiero. Las session keys son una tecnología emergente sin estandarización definitiva. Su implementación y seguridad dependen de la correcta configuración de permisos. Siempre investiga por tu cuenta (DYOR), utiliza wallets de confianza y nunca delegues permisos excesivos.

📅 Actualizado: Mayo 2026
📖 Categoría: Wallets y Custodia / Seguridad y Claves

« Volver al Glosario