Tutoriales practicos de Binance Nosotros Aviso legal
EN JA KO ES FR
TK Crypto Noticias TK Crypto Noticias Acceso oficial Binance · Descarga · Cuenta · Billetera
Buscar tutoriales de Binance
Inicio Todos los tutoriales Categorias Descargar APP Sobre nosotros Aviso legal
Primeros pasosInstalacionVerificacion de identidadDepositos y retirosGuia de tradingExchangesSeguridadPoliticas por paisGuia de billetera
Inicio Todos los tutorialesSeguridadGuia de trading¿Es segura la API Key de Binance? Cómo administrarla y eliminarla

¿Es segura la API Key de Binance? Cómo administrarla y eliminarla

TK Crypto Noticias · 2026-04-08 · Aprox.26min·Seguridad·Guia de trading

La API Key es la llave para el trading algorítmico y programático, pero también es la puerta trasera favorita de los hackers. Muchos de los casos de "me robaron la cuenta y mi contraseña no fue filtrada" ocurren porque hubo un problema con la API Key. Este artículo explica claramente el sistema de permisos, las listas blancas de IP, el principio de mínimo privilegio y cómo eliminar regularmente las Keys que ya no usa. Puede administrar sus Keys desde la configuración de su cuenta iniciando sesión en el sitio oficial de Binance y entrando en la página de Gestión de API. En móviles, también puede revisarlas desde la APP oficial de Binance. Los usuarios de Apple pueden consultar el tutorial de instalación de iOS.

¿Qué es una API Key?

La API Key (Clave de Interfaz de Programación de Aplicaciones) es la credencial que permite a un programa operar su cuenta en su nombre.

Una clave API se compone de dos partes:

  • API Key (Clave pública): Identifica quién es usted, por ejemplo: xH3kL9...
  • Secret Key (Clave secreta): Se utiliza para firmar solicitudes, nunca debe ser filtrada.

Al poseer estas dos claves + los permisos correspondientes, cualquier programa puede operar su cuenta de Binance como si fuera usted mismo: verificar el saldo, colocar órdenes, realizar retiros, etc.

¿Cuándo necesita una API Key?

Escenario 1: Trading Cuantitativo (Trading Bot)

Escribir un bot de trading usando lenguajes como Python o Node.js y ejecutar órdenes automáticamente a través de la API. Necesitará los permisos de Lectura de cuenta + Trading Spot (al contado) + Trading de Futuros.

Escenario 2: Sincronización de señales de trading (Copy Trading)

Copiar las posiciones de un exchange a otro. Necesita los permisos de Lectura de posiciones + Realizar órdenes.

Escenario 3: Seguimiento de cartera (Asset Tracking)

Conectar herramientas de gestión de cartera como CoinGecko o CoinStats para actualizar sus tenencias automáticamente. Solo se requiere el permiso de Solo Lectura (Read-only).

Escenario 4: Software de cálculo de impuestos

Herramientas de cálculo de impuestos criptográficos como Koinly o Cointracker necesitan leer su historial de transacciones. Solo se requiere el permiso de Solo Lectura (Read-only).

Si no tiene ninguna de estas necesidades → No cree una API Key. La sola existencia de una API Key es un riesgo potencial.

Tipos de permisos de una API Key

Las API Keys de Binance admiten permisos granulares, y se pueden seleccionar varios a la vez:

1. Lectura (Por defecto)

  • Puede: Ver la información de la cuenta, consultar órdenes, descargar el historial.
  • No puede: Colocar órdenes, hacer retiros, transferir fondos.
  • Nivel de seguridad: El más alto.

2. Habilitar Spot y Margin Trading (Trading al contado y margen)

  • Puede: Colocar órdenes, cancelar órdenes, consultar órdenes.
  • No puede: Retirar fondos.
  • Nivel de seguridad: Medio (el riesgo máximo es perder los fondos disponibles para operar debido a malas operaciones).

3. Habilitar Futuros (Futures)

  • Puede: Colocar órdenes de futuros, abrir y cerrar posiciones, ajustar el apalancamiento.
  • No puede: Retirar fondos.
  • Nivel de seguridad: Medio-Bajo (el alto apalancamiento puede liquidar rápidamente los fondos).

4. Transferencias Universales (Universal Transfer)

  • Puede: Transferir activos entre sus propias subcuentas y entre billeteras (Spot/Futuros/Earn).
  • No puede: Retirar fondos a una dirección externa en la blockchain.
  • Nivel de seguridad: Medio.

5. Habilitar Retiros (Withdrawals)

  • Puede: Retirar fondos a cualquier dirección (por defecto) o a direcciones en la lista blanca.
  • Está desactivado por defecto, debe marcarse manualmente.
  • Nivel de seguridad: El más bajo.
  • Viene desactivado al crear una nueva Key; recomendamos encarecidamente nunca activarlo.

Principio de Mínimo Privilegio

Cuantos menos permisos otorgue a una API Key, más segura será su cuenta.

Escenarios de Solo Lectura

Marque únicamente "Habilitar lectura" (Enable Reading). Incluso si la clave se filtra, el atacante solo podrá observar, no podrá mover sus fondos. Use esto para herramientas de impuestos y plataformas de seguimiento de carteras.

Escenarios de Trading sin Retiros

Marque "Lectura + Spot & Margin Trading + Futuros", y NUNCA marque "Habilitar Retiros". Este es el estándar para los bots de trading cuantitativo. Incluso si la Key es robada, el hacker, en el peor de los casos, podrá realizar órdenes al azar, pero no podrá transferir sus criptomonedas fuera de Binance.

Escenarios de Copy Trading (Cross-platform)

Marque "Lectura + Trading". No active ni las Transferencias ni los Retiros.

En resumen: No active permisos si no es absolutamente necesario, y limite los permisos al máximo posible.

Lista blanca de IP: La línea de defensa más fuerte

La lista blanca de IP asegura que la API Key solo pueda ser utilizada desde las direcciones IP específicas que usted designe. Si la llamada a la API proviene de cualquier otra IP, será denegada incluso si se tiene la Key correcta.

Cómo configurar la lista blanca de IP

  1. Al crear la API Key → Marque "Restringir acceso solo a IPs confiables" (Restrict access to trusted IPs only).
  2. Ingrese las direcciones IP permitidas (puede ingresar varias, separadas por espacios o comas).
  3. Guarde.

Cómo conocer su propia dirección IP

  • Si ejecuta en su computadora local: Visite whatismyipaddress.com para ver su IP pública.
  • Si ejecuta en un servidor en la nube (VPS): Verifique la IP pública de la instancia en el panel de control del proveedor de la nube.
  • Si tiene una IP dinámica (Dinamic IP): No puede usar la lista blanca de IP (solo funciona con IPs estáticas o un servidor VPS).

El poder de la lista blanca de IP

Incluso si un atacante obtiene completamente su API Key y su Secret Key, no podrá utilizarlas desde su propia computadora, porque su dirección IP no está en la lista blanca. Esta es la solución definitiva para protegerse contra filtraciones de la API.

Limitaciones de la lista blanca de IP

  • Por lo general, solo admite IPv4 (IPv6 puede ser inestable).
  • Si su IP cambia, debe actualizar la lista blanca manualmente.
  • No es adecuada para conexiones a Internet domésticas con IP dinámica.

Pasos para crear una API Key

Paso 1: Acceda a la Gestión de API

  1. Inicie sesión en binance.com.
  2. Haga clic en el ícono del perfil en la esquina superior derecha → "Gestión de API" (API Management).
  3. Haga clic en "Crear API".

Paso 2: Seleccione el tipo de API

  • Generada por el sistema (System generated) (Recomendado): El sistema genera automáticamente el par de claves.
  • Claves asimétricas (Self-generated) (Avanzado): Usted genera su propio par de claves RSA/Ed25519 y sube la clave pública.

Paso 3: Ingrese una etiqueta (Nombre)

Dele a la API un nombre descriptivo, por ejemplo:

  • Bot_Quant_Estrategia_BTC
  • Koinly_Impuestos
  • CopyTrading_Bitget

Las etiquetas lo ayudarán a identificar el propósito de cada clave cuando haga limpiezas futuras.

Paso 4: Complete la verificación de seguridad

  • Código de verificación de correo electrónico.
  • Código de verificación por SMS (si lo vinculó).
  • Código de 6 dígitos de Google Authenticator.

Paso 5: Configure los permisos

Aplique el principio de mínimo privilegio; no marque ningún permiso que no sea estrictamente necesario.

Paso 6: Configure la lista blanca de IP

Se recomienda encarecidamente activarla. Ingrese la dirección IP de su servidor.

Paso 7: Guarde y registre el Secret Key (Clave Secreta)

El Secret Key solo se mostrará una vez, durante la creación. Cópielo y guárdelo de inmediato en un lugar seguro (No tome capturas de pantalla, no lo envíe por correo, no lo guarde en la nube pública). Una vez que cierre la página, nunca más podrá volver a verlo.

Limpieza regular de las API Keys que no utiliza

¿Por qué debe limpiar?

  • Cada Key es una superficie potencial de ataque.
  • Podría haber olvidado dónde sigue ejecutándose una determinada Key.
  • Los permisos de claves antiguas pueden no ser seguros actualmente.

Sugerencias para la limpieza

  • Revise su lista de API Keys una vez al mes.
  • Si una Key no ha sido utilizada en más de 30 días → Elimínela.
  • Si no recuerda para qué servía una Key → Elimínela.
  • Si una Key tiene demasiados permisos innecesarios → Elimínela y cree una nueva.

Cómo eliminar una Key

  1. Vaya a «Gestión de API» → Encuentre la Key que desea eliminar.
  2. Haga clic en "Eliminar".
  3. Complete la verificación de identidad.
  4. Confirme.
  5. Se inhabilitará de inmediato, cualquier programa que la usara perderá el acceso instantáneamente.

Eliminación masiva

Solo puede eliminar una a la vez, no existe una función para eliminarlas en masa. Pero puede desactivarlas y luego eliminarlas una por una.

Señales de que su API Key ha sido comprometida

Señal 1: Órdenes anómalas

  • Órdenes que usted no realizó pero que aparecen en su historial de transacciones.
  • Especialmente órdenes de compra de criptomonedas de muy baja capitalización (un método común de lavado de dinero).
  • Múltiples órdenes pequeñas de alta frecuencia (un comportamiento típico de bots/API).

Señal 2: Transferencias de fondos inusuales

  • Transferencias masivas repentinas entre su billetera Spot y la de Futuros.
  • Transferencias inusuales entre sus subcuentas.

Señal 3: Direcciones IP desconocidas en el registro de la API

  • Vaya a «Gestión de API» → Revise las IP de llamadas recientes.
  • Si encuentra una dirección IP desconocida → Su clave ha sido robada.

Señal 4: Los permisos de la API fueron modificados

  • Si configuró una Key como "Solo lectura", y de repente ve que está como "Lectura + Trading".
  • Alguien manipuló su API Key.

Si nota cualquiera de estas señales → Elimine INMEDIATAMENTE todas sus API Keys y revise la seguridad de su cuenta.

Causas comunes de filtración de una API Key

Causa 1: Subir el código fuente a GitHub

Escribió la API Key de forma explícita en su código fuente ("hardcoded") y luego lo subió a un repositorio público en GitHub. Los bots de rastreo de GitHub la encontrarán en minutos y su cuenta será vaciada en segundos.

Solución: Use siempre variables de entorno o archivos de configuración (y agréguelos a .gitignore); NUNCA escriba la Key directamente en el código.

Causa 2: El archivo de configuración fue hackeado

Su servidor VPS fue hackeado y el archivo config.json fue leído.

Solución: Mantenga el servidor actualizado, deshabilite el inicio de sesión con contraseña (use llaves SSH), active un firewall y asegure su servidor.

Causa 3: Un servicio de terceros fue vulnerado

Le dio su API Key a un "proveedor de señales" o a un "bot de copy trading" y este servicio sufrió un hackeo.

Solución: Entregue su Key solo a servicios en los que confíe absolutamente + use la lista blanca de IP + active solo el permiso de trading (nunca retiros).

Causa 4: Troyanos o Malware en su computadora local

Su PC con Windows o Mac está infectada con software malicioso que robó su API Key.

Solución: Instale un buen software antivirus + no descargue programas pirateados + ejecute programas críticos en entornos aislados o máquinas virtuales.

Preguntas frecuentes

P: ¿Qué filtración es más grave: la API Key o la contraseña de la cuenta?

R: Depende de los permisos. Si a la API Key se le otorgó permiso de retiro → Es tan grave como la filtración de la contraseña. Si solo tenía permiso de "Lectura" → El daño será mínimo. Esto reafirma la importancia del principio de mínimo privilegio.

P: ¿Cuántas API Keys puedo crear como máximo por cuenta?

R: Binance permite hasta 30 API Keys simultáneas por cuenta. Si elimina una, puede crear otra en su lugar. Generalmente, para un usuario individual, entre 1 y 3 Keys son suficientes.

P: ¿Las API Keys tienen fecha de vencimiento?

R: La mayoría de las Keys no tienen una fecha de vencimiento obligatoria. Sin embargo, si la Key no recibe ninguna llamada durante 90 días, Binance la desactivará automáticamente. Tendrá que ir a la página de Gestión de API para reactivarla manualmente.

P: ¿Puedo configurar permisos de subcuenta para una API Key?

R: . Las subcuentas tienen API Keys independientes; sus permisos y activos están aislados de la cuenta principal. Recomendamos encarecidamente realizar el trading cuantitativo dentro de una subcuenta, ya que incluso si la Key es comprometida, no afectará los fondos de la cuenta principal.

Siguiente paso Ir al sitio oficial de Binance Descargar APP de Binance