La API Key de Binance es un par de claves compuesto por una clave pública de 64 bits y una clave secreta de 64 bits, utilizadas en escenarios automatizados como estrategias cuantitativas, arbitraje entre exchanges y suscripción de datos de mercado. El principio central para su protección es la minimización de permisos, la activación obligatoria de la lista blanca de IP y evitar el almacenamiento de claves en texto plano. Los nuevos usuarios pueden acceder al menú "Gestión de API" en su cuenta del sitio web oficial de Binance. Los usuarios de móviles pueden crearla a través de "Más - Gestión de API" en la APP oficial de Binance. Si se utiliza por primera vez en un dispositivo iOS nuevo, consulte primero el tutorial de instalación de iOS para completar la activación del dispositivo. Respuesta rápida: el permiso más crítico es el de retiro (Withdraw); el 99% de los usuarios individuales no necesitan marcarlo. Mantener solo Read y Trade, junto con la lista blanca de IP, reduce el riesgo de pérdida por robo de la API a casi cero.
I. Composición de la API Key y mecanismo de firma
Paso 1: Entender el par de claves
Cada API Key consta de un par de cadenas Base64: la clave pública (public key) sirve para identificar la identidad en el encabezado de la solicitud, y la clave secreta (secret key) se utiliza para generar la firma localmente. Los servidores de Binance solo guardan la clave pública y sus permisos asociados; nunca guardan la clave secreta, por lo que si se olvida esta última, solo queda volver a crear la API Key.
Paso 2: Firma HMAC-SHA256
Cada vez que se llama a una interfaz privada, el cliente debe ordenar los parámetros de la solicitud por orden lexicográfico, formar una cadena de consulta (querystring) y realizar un cálculo HMAC-SHA256 utilizando la clave secreta como clave para obtener una firma hexadecimal de 64 caracteres. El servidor realiza el mismo cálculo y solo permite el acceso si las firmas coinciden. Este mecanismo evita que las claves viajen directamente por internet.
Paso 3: Ventana de tiempo (Timestamp)
Las solicitudes deben incluir el parámetro timestamp. Se permite por defecto una desviación de 5000 milisegundos, ajustable hasta un máximo de 60,000 milisegundos. Una ventana demasiado amplia permitiría ataques de repetición, por lo que se recomienda mantener el valor predeterminado y sincronizar la hora local mediante NTP.
II. Diferencias entre las tres categorías de permisos y estrategia recomendada
Los permisos de la API de Binance se dividen en tres niveles de riesgo ascendente que el usuario puede marcar según sus necesidades:
- Read (Solo lectura): Permite consultar activos de la cuenta, historial de transacciones y órdenes abiertas. Incluso si se filtra, solo se expone información, no hay pérdida de fondos. Casi todos los bots, paneles y software de impuestos solo necesitan esta opción.
- Trade (Trading): Permite colocar órdenes, cancelar órdenes y transferencias entre cuentas spot y de futuros. Si se filtra, un atacante podría realizar operaciones cruzadas para beneficiar a otra cuenta, causando pérdidas indirectas, pero los fondos permanecen dentro del exchange.
- Withdraw (Retiro): Permite retirar activos directamente a direcciones en la cadena. Si se filtra, los activos pueden desaparecer en segundos. Se desaconseja encarecidamente activarlo en scripts de trading convencionales.
Además, hay dos interruptores específicos: Universal Transfer controla las transferencias internas de spot a futuros, y Margin controla la cuenta de margen. Si solo realiza estrategias spot, puede dejarlos desactivados por defecto.
La ruta para crear una API Key es: Centro de cuenta → Gestión de API → Crear API → Ingresar nombre de la clave (ej. "grid-bot-btc") → Marcar permisos → Ingresar lista blanca de IP → Verificación dual por correo y 2FA. Tras la creación, la clave secreta se mostrará solo una vez; asegúrese de guardarla inmediatamente en un gestor de contraseñas fuera de línea.
III. Lista blanca de IP y estrategia de rotación de claves
La siguiente tabla muestra la configuración recomendada para diferentes tipos de usuarios:
| Tipo de usuario | Read | Trade | Withdraw | Lista blanca IP | Ciclo de rotación |
|---|---|---|---|---|---|
| Solo visualización | On | Off | Off | Obligatorio 1 | 180 días |
| Bots de grid | On | On | Off | Obligatorio 1 | 90 días |
| Market Makers | On | On | Off | Obligatorio 1-3 | 60 días |
| Arbitraje entre CEX | On | On | Off | Obligatorio 2 | 60 días |
| Custodia corporativa | On | On | Opcional | Obligatorio 1 + doble aprobación | 30 días |
| Scripts de un solo uso | On | On | Off | Obligatorio 1 | Eliminar tras uso |
Es fundamental enfatizar: una API Key sin lista blanca de IP activada supone una pérdida de activos casi irreversible si se filtra. Incluso si solo se marca el permiso Trade, un atacante puede reducir el valor de la cuenta mediante operaciones coordinadas. Con la lista blanca activada, el servidor de Binance verifica la IP de origen en cada solicitud y solo permite el paso de las direcciones listadas.
La importancia de la rotación de claves es que: incluso si una clave se filtra accidentalmente (por ejemplo, subiéndola por error a GitHub o en una copia de seguridad de registros), la clave caducará automáticamente en 90 días, impidiendo que el atacante la use a largo plazo. Al rotar, cree primero la nueva clave, actualice todos los scripts y luego elimine la antigua, evitando tener dos claves activas simultáneamente por mucho tiempo.
IV. Escenarios típicos y ejemplos de riesgo
Escenario 1: Un principiante sube código por error a un repositorio público. Los bots de escaneo de secretos de GitHub pueden encontrar la clave en texto plano en minutos, permitiendo que atacantes tomen el control de la cuenta. Forma correcta: use variables de entorno o archivos .env y exclúyalos en .gitignore.
Escenario 2: Intrusión en un servidor en la nube. Una clave sin lista blanca de IP será extraída directamente por el atacante del archivo de configuración del servidor y usada desde cualquier IP del mundo. Con la lista blanca, incluso si la clave se filtra, las solicitudes desde IP no autorizadas serán rechazadas.
Escenario 3: Inducción mediante páginas de phishing. Algunas plataformas de trading de terceros piden pegar la API Key para conectarse. Si falsifican la interfaz, registrarán su clave. Nunca pegue su clave secreta en sitios de terceros desconocidos; cualquier herramienta legítima admite OAuth o autorización oficial del exchange.
Escenario 4: Filtración por empleados internos. En entornos corporativos donde varias personas operan, se recomienda usar subcuentas con API Keys independientes para aislar permisos y auditar los registros de acceso. Recupere la clave correspondiente cada vez que un empleado deje la empresa o cambie de puesto.
Resumen de riesgos: una clave secreta de 64 bits debe considerarse filtrada en cuanto sale de su entorno local. Cualquier grabación de pantalla, sincronización en la nube o captura de chat puede causar una exposición accidental. Manténgase alerta tanto a los riesgos electrónicos como físicos de filtración.
V. FAQ - Preguntas frecuentes
P: ¿Puede una misma API Key usarse en varios programas a la vez? R: Técnicamente sí, pero no se recomienda. Usar la misma clave en varios programas dificulta el seguimiento de los registros. Es mejor crear una clave individual para cada estrategia o máquina para localizar comportamientos inusuales.
P: ¿La lista blanca de IP solo permite IP fijas? R: Sí, debe ser una IP pública fija. Si usa una conexión doméstica con IP dinámica, necesitará un VPS o DDNS para fijar la salida. Generalmente, la lista blanca admite hasta 20 entradas, cubriendo servidores en múltiples ubicaciones.
P: ¿Qué pasa si olvido la clave secreta? R: La clave secreta solo se muestra una vez al crearla y no se puede recuperar. Deberá eliminar la clave antigua y crear una nueva, actualizando la configuración en todos sus scripts. Esta es la diferencia fundamental con una contraseña común.
P: ¿Cuál es la validez por defecto de una API Key? R: Por defecto es indefinida, pero Binance notificará al usuario para que la extienda manualmente si no hay actividad en 90 días. Se recomienda rotarla activamente cada 90 días en lugar de esperar a que caduque.
P: ¿Qué es lo primero que debo hacer si mi API Key se filtra? R: Entre inmediatamente en la página de gestión de API de su cuenta y elimine la clave. Active la lista blanca para bloquear retiros, restablezca su contraseña de inicio de sesión y 2FA, y revise el historial reciente de transacciones para detectar órdenes inusuales; si es necesario, presente una apelación al servicio de atención al cliente.