Gestión de Dispositivos

¿Cómo usar la API key de Binance de la forma más segura? Niveles de permisos y lista blanca de IP

2026-01-30 · 14 min · Equipo Editorial de SentinelGuard

Gestión de seguridad para los tres permisos de la API key de Binance (solo lectura, trading y retiro): vinculación de lista blanca de IP, conservación de claves, rotación periódica y emergencia por robo.

La API es la herramienta de los usuarios avanzados para crear estrategias y procesos de automatización, pero también es la vía más común de robo. Este artículo te enseñará la configuración segura. Acceso de descarga: sitio oficial de Binance, para móvil la App oficial de Binance, si en iOS no tienes la App instalada, mira la guía de instalación de iOS.

I. Permisos de la API key

PermisoPredeterminadoRecomendación
Solo lectura (Read)ActivadoActivado
Trading Spot / MargenDesactivadoActivar según sea necesario
Trading de futurosDesactivadoActivar según sea necesario
Transferencia universalDesactivadoActivar según sea necesario
RetiroDesactivado**Nunca lo actives**

II. El peligro de habilitar permisos de retiro

Una vez habilitados los permisos de retiro en la API:

  • Al obtener la clave (key), es posible retirar sin necesidad de 2FA.
  • No hay un retardo de 24 horas.
  • No existen limitaciones de lista blanca (a menos que se configure una adicionalmente).

Casi todos los grandes eventos de robo mediante API ocurren por haber habilitado permisos de retiro. A menos que tengas extremada confianza y uses un servidor aislado físicamente, jamás deberías habilitarlos.

III. Lista blanca de IP

La API key se puede vincular a direcciones de IP específicas:

  • La dirección IP de tu servidor.
  • La IP pública de la pasarela de red de tu casa.

Una vez vinculadas, solo se aceptarán las solicitudes provenientes de dichas direcciones IP. Incluso si tu clave se filtra, el atacante no podrá usarla desde otra dirección IP.

Configuración

Gestión de API → Editar la clave (key) → Lista blanca de IP → Agregar IP (se pueden agregar varias).

Limitaciones

La IP de tu red de hogar puede variar ocasionalmente (es dinámica). Los servidores privados virtuales comerciales (VPS) con IP estática son mucho más estables.

IV. Almacenamiento de claves

El secreto (secret) generado tras la creación de una API se muestra únicamente una vez. Dónde guardarla:

Recomendado

  • 1Password / Bitwarden u otros administradores de contraseñas.
  • Notas cifradas.
  • En un archivo .env en tu servidor (permisos a 600).

Tabúes

  • Subir a GitHub / GitLab.
  • Enviarla por correo a ti mismo.
  • Enviarla a través de Slack o WeChat al equipo.
  • Almacenarla a través de capturas de pantalla en la nube.
  • Escribirla dentro de los comentarios de código.

V. Señales de robo de la API

Verifica la página de Gestión de API con regularidad:

  1. ¿Hay alguna clave que tú no hayas creado?
  2. ¿Han cambiado los permisos de las claves existentes (especialmente el de retiro)?
  3. ¿Se modificó la lista blanca de IP?
  4. Observa el tiempo de acceso de llamadas recientes.

Cualquier anomalía exige la eliminación inmediata de la clave.

VI. Rotación periódica

Frecuencia

  • Alto riesgo (Trading cuantitativo): Una vez al mes.
  • Estrategias normales: Cada tres meses.
  • Solamente monitoreo (Solo lectura): Cada seis meses.

Proceso

  1. Crea una nueva clave (key).
  2. Actualiza los códigos de las estrategias.
  3. Asegúrate de que tu nueva clave funcione.
  4. Elimina la antigua clave.
  5. Nunca conserves varias claves para un mismo uso por periodos de tiempo prolongados.

VII. Emergencia por el robo de API

En el caso de notar algo extraño en la clave:

De Inmediato

  1. Inicia sesión en binance.com → Gestión de API.
  2. Elimina todas las claves (existe una opción de eliminar todo con un solo clic).
  3. Modifica tu contraseña de Binance.
  4. Reinicia tu 2FA (el atacante también podría haberla obtenido).

A Continuación

  1. Observa el historial de trading / el historial de retiros.
  2. Presenta un ticket por robo de "API".
  3. Usa un escáner antivirus en cada dispositivo en el cual almacenaste la clave.
  4. Identifica la fuente de filtración (¿GitHub público?, ¿la computadora de un compañero?).

A Largo Plazo

  • Activa todas las protecciones que puedas al volver a generar una clave (lista blanca de IP, restricciones de permiso).
  • Jamás vuelvas a habilitar los permisos de retiro.

VIII. La relación entre API y 2FA

Las solicitudes a la API no necesitan la verificación de 2FA — esa es la ventaja de la API. Sin embargo:

  • Crear / borrar claves requiere de 2FA.
  • Cambiar permisos de clave necesita 2FA.
  • Modificar las IP listas blancas exige 2FA.

Por consiguiente, tener un 2FA muy seguro = tus API creadas estarán bien salvaguardadas = los atacantes no podrán originar fácilmente una clave maliciosa.

IX. Cuidado al conectar a plataformas de terceros con la API

Varias de las plataformas de copia de operaciones o arbitrajes te solicitan proveer la clave de API:

Evaluación

  • ¿Cumple la plataforma con la legalidad requerida?
  • ¿Demanda permiso para hacer retiros? (Si es sí → rehúsate)
  • ¿Vincula por defecto la IP? (Si no vincula la IP → estate alerta)

Recomendación

  • Cede nada más el permiso de "solo lectura + trading".
  • Bloquea solo la IP pública a la dirección IP de la plataforma correspondiente.
  • Asegúrate de verificar cada mes el estado de la clave (key).

Preguntas Frecuentes

P1: ¿Cuándo vencen o caducan las claves (API keys)? No caducan de forma automática. Deberás rotarlas y eliminarlas de forma manual.

P2: ¿Qué sucede si elimino mi clave pero hay un bot de trading operando con ella? Se cerrarán de inmediato las operaciones. Todo pedido sucesivo lanzará un aviso de falla de autenticación.

P3: ¿Es viable limitar o frenar un volumen de dinero negociado o intercambiado diariamente a través de la API? Existe una limitación sobre la rapidez que está incluida en la API de la plataforma de Binance. Pero los individuos a nivel personal no podrían definir sus "cuotas diarias" por sí mismos de esa manera. Se tienen que escribir e implementar esos propios términos en las estrategias generadas en el código programado por ti.

P4: ¿Por qué encuentro algunas claves en activo y me percato de que yo no me acuerdo que he creado una llave con esas denominaciones? Elimínala de forma rápida e inmediata. Has sido vulnerable y tratarla o considerarla desde ese ángulo es preciso como de un caso de robos en proceso.

Lecturas Adicionales

Sigue avanzando

Después de este artículo, vuelve al índice de temas y elige el siguiente de la misma categoría.

Temas

Guías de seguridad relacionadas

¿Se puede recuperar una cuenta de Binance robada? 2026-04-21 ¿Qué hacer si hay un inicio de sesión desconocido en tu gestión de dispositivos de Binance? Lista de verificación de emergencia 2026-04-17 ¿Cómo apelar si tu cuenta de Binance es congelada? Lista de tickets y documentos para la apelación 2026-01-27