¿Pueden robar mis criptomonedas si se filtra mi API key de Binance?

Los operadores algorítmicos, los usuarios de bots de grid y los que hacen arbitraje entre plataformas, todos dependen de las API keys. Pero, ¿qué sucede si una API key se filtra? Vamos primero a la conclusión: Si solo habilitaste el permiso de "Lectura" y configuraste una lista blanca de IP, el riesgo de filtración es casi nulo; pero si habilitaste el permiso de "Retiro" sin lista blanca, tus fondos podrían desaparecer en cuestión de minutos. La diferencia radica en cómo configures los permisos. Este artículo explica claramente la jerarquía de permisos de la API key, cómo configurarla correctamente, el uso de listas blancas de IPs, la rotación periódica y la mitigación de daños en caso de filtración. En la configuración de la API antes, inicia sesión a través del sitio oficial de Binance, ya que la configuración web es la más intuitiva; para la gestión diaria también puedes usar la App oficial de Binance; si eres usuario de iPhone y no encuentras la aplicación, revisa el tutorial de instalación de iOS primero.

¿Qué es exactamente una API key?

Una API (Application Programming Interface) es una interfaz que los exchanges abren a los programas; cada par de claves API consta de dos partes:

• API Key: La parte pública, que equivale al nombre de usuario.
• Secret Key: La parte privada, que equivale a la contraseña, y solo se muestra una vez al crearla.

Programas de terceros (bots de grid, estrategias cuantitativas, recolectores de datos) que posean este par de claves pueden operar en nombre de tu cuenta sin necesidad de iniciar sesión en la web.

El peligro de la API key radica en que: puede eludir el 2FA. Al crearse, pasa por una verificación 2FA, y después de eso, las llamadas del programa ya no requieren autenticación. Por eso, la configuración de permisos requiere aún más precaución que la de un 2FA.

Niveles de permisos de la API de Binance

Binance divide los permisos de la API en varios niveles, ordenados de menor a mayor riesgo.

Permiso	¿Qué permite hacer?	Estado predeterminado	Riesgo de filtración
Lectura	Consultar saldos, órdenes, gráficos	Habilitado	Bajo
Trading Spot	Comprar y vender en el mercado Spot	Debe habilitarse	Medio
Margin Trading	Operaciones con margen/préstamos	Debe habilitarse	Medio-Alto
Futuros	Abrir posiciones de futuros	Debe habilitarse	Medio-Alto
Transferencias	Transferencias internas de fondos	Debe habilitarse	Alto
Retiros	Retirar fondos a direcciones blockchain	Debe habilitarse	Extremo
Transferencias Internas	Transferir a usuarios de Binance	Debe habilitarse	Extremo

Regla de Oro: Habilita solo los permisos estrictamente necesarios para tu negocio, ni uno más. Las estrategias cuantitativas generalmente solo necesitan "Lectura + Trading Spot", no "Retiros".

Plantilla de configuración de API más estricta

Esta es la configuración recomendada, aplicable a casi todos los escenarios.

Escenario 1: Recolección de datos sin ejecución de órdenes

• Lectura: Activado
• Otros: Apagados
• Lista blanca de IPs: Activada (vincula la IP de tu servidor)
• Validez: Caduca a los 180 días automáticamente

Escenario 2: Bot de Grid / Trading algorítmico

• Lectura: Activado
• Trading Spot: Activado
• Futuros: Según necesidad
• Transferencias: Apagado (Crítico)
• Retiros: Absolutamente apagado
• Lista blanca de IPs: Activada (vincula la IP del servidor del bot)
• Validez: 30 a 90 días

Escenario 3: Arbitraje entre plataformas (necesita transferencias y retiros)

• Lectura: Activado
• Trading Spot: Activado
• Retiros: Activado (Solo hacia direcciones en lista blanca)
• Lista blanca de retiros: Solo añadir direcciones de depósito del exchange objetivo
• Lista blanca de IPs: Activada
• Validez: 7 a 30 días

Escenario 4: Estadísticas de cuenta y auditoría

• Lectura: Activado
• Otros: Apagados
• Lista blanca de IPs: Activada
• Validez: 30 días

La lista blanca de IP es el segundo cerrojo de tu API

La lista blanca de IP y los permisos de API tienen un efecto multiplicador: si no activas la lista blanca de IP, incluso si solo habilitas el permiso de lectura, podría usarse maliciosamente (revisando la privacidad de tu portafolio).

¿Cómo vincular una lista blanca de IPs?

1. Inicia sesión en Binance → Cuenta → Gestión de API;
2. Encuentra la API key correspondiente y haz clic en "Editar";
3. En "Restricciones de acceso IP", selecciona "Solo permitir acceso a IPs de confianza";
4. Introduce la IP pública de tu servidor (puedes ingresar varias separadas por comas);
5. Envía para guardar.

¿Cómo averiguar tu IP pública?

• En el servidor, ejecuta curl ifconfig.me o curl ip.sb;
• Visita ip.sb en tu navegador local para verla.

¿Y si la IP es dinámica?

• El internet doméstico suele tener IPs públicas dinámicas que pueden cambiar cada día;
• Soluciones: ① Alquilar un VPS con IP fija para el bot; ② Usar DDNS + API de Binance para actualizar la lista periódicamente; ③ Cambiar a una IP de salida fija de un proveedor de la nube.

Una API key sin lista blanca de IP habilitada equivale a estar al desnudo si se filtra.

Escenarios comunes de filtración de API keys

Muchas personas no saben cómo se filtró su API key; a continuación se presentan los métodos más típicos.

Escenario A: Subida de código a GitHub

El más común. Codificar en duro la API_KEY y la SECRET en un script de Python y luego subirlo a un repositorio público. En GitHub hay bots escaneando 24/7 y, tras filtrarse, se aprovechará en minutos.

Prevención: Guarda las claves en variables de entorno o en archivos .env, y asegúrate de agregar *.env a tu .gitignore.

Escenario B: Pegar en herramientas de terceros

Plataformas de trading algorítmico o de señales desconocidas que te piden tu API key para "monitoreo" muy probablemente almacenarán tus claves.

Prevención: Usa solo socios certificados en la lista oficial de Binance o plataformas conocidas (como 3Commas, CoinGlass, etc.).

Escenario C: Troyano en la computadora

El troyano puede espiar tu portapapeles y los archivos de configuración comunes para leer claves locales.

Prevención: Una computadora para bots debe estar dedicada solo a bots, no la uses para navegar o ver videos; corre software antivirus común; cambia la API regularmente.

Escenario D: Un empleado se va y se lleva las claves

El equipo comparte una API key, y al irse, un empleado olvida restablecerla.

Prevención: Cada persona debe tener su propia key y esta debe ser invalidada cuando el empleado se vaya; usar direcciones de lista blanca para operaciones importantes.

Escenario E: Servidor en la nube vulnerado

Contraseñas débiles en servidores y exposición de SSH a internet público conducen a la intrusión por fuerza bruta.

Prevención: Cambia el puerto de SSH + desactiva el inicio de sesión por contraseña + permite solo el inicio de sesión por clave; configura el firewall para abrir solo puertos necesarios; mantén tu sistema actualizado.

Estrategia de rotación periódica de API keys

Incluso si no se ha filtrado hoy, la probabilidad aumenta con el tiempo. Se recomienda rotarla de acuerdo a un ciclo.

Ciclos de rotación

• Trading de alta frecuencia: Cada 30 días;
• Frecuencia media: Cada 60-90 días;
• Solo consulta de datos: Cada 180 días;
• Para depuración de una vez: Bórralo apenas termines.

Pasos de rotación

1. Crea una nueva API key;
2. Actualiza la configuración en tus scripts o bots;
3. Comprueba que la nueva key funciona;
4. Elimina la vieja API key en el backend de Binance;
5. Anota el momento de esta rotación.

¿Qué hacer si mi API key ya se ha filtrado?

Sigue esta lista de comprobación y opera lo más rápido posible.

Respuesta de emergencia (en menos de 5 minutos)

1. Inicia sesión en Binance → Gestión de API → Elimina INMEDIATAMENTE la API filtrada;
2. Revisa las posiciones de la cuenta para detectar alteraciones anómalas;
3. Verifica los registros de fondos para detectar transferencias o retiros inusuales;
4. Congela la cuenta (si notas un volumen alto de transacciones sospechosas);
5. Cambia tu contraseña + restablece 2FA (algunos atacantes usan la API para deducir información de la cuenta).

Monitoreo continuo (dentro de 24 horas)

1. Revisa tu correo por si hay notificaciones de nuevas llamadas a la API;
2. Verifica los saldos y posiciones cada hora;
3. Revisa GitHub, repositorios de código y almacenamiento en la nube por otros posibles orígenes de filtración de claves;
4. Activa las notificaciones de inicios de sesión inusuales de Binance;
5. Si hubieron pérdidas financieras, contacta al soporte e inicia el proceso de apelación.

Fortalecimiento a largo plazo (en menos de 7 días)

1. Limpia todos los repositorios históricos de posibles fugas de claves;
2. Habilita el GitHub Secret Scanning;
3. Convierte todos los usos de la API para que utilicen variables de entorno;
4. Fortalece el servidor (cambia puertos de SSH, instala firewalls);
5. Considera usar una llave de hardware para tu doble factor.

¿Cuáles fondos están en mayor peligro tras la filtración de la API key?

Listados por probabilidad de ser robados:

1. Saldos Spot: Si el trading Spot está habilitado, venderán en mercado para comprar a precios bajos y usaran otra cuenta para hacerse con la contrapartida. Conocido como "lavado de órdenes".
2. Cuenta de Futuros: Si están activos los futuros, abrirán posiciones en dirección opuesta con alto apalancamiento, haciendo que te liquiden.
3. Activos en la cadena: Si tienes activados los retiros sin listas blancas, tus activos desaparecerán en minutos.
4. Privacidad del historial de órdenes: Incluso con solo el permiso de lectura, pueden espiar tus posiciones y registros afectando tu privacidad.
5. Convertirse en una cuenta zombi: Te integrarán en una red de "volumen de lavado", generando una inmensa cantidad de micro transacciones.

Preguntas frecuentes

¿Puede la API key restablecer la Secret Key?

No. La Secret Key solo se muestra cuando se crea y luego desaparece para siempre. Si se pierde o se filtra, la única opción es borrar la API key y crear una nueva.

¿Se pueden cambiar los permisos de una API key en cualquier momento?

Sí. Puedes editarlos en la Gestión de API, donde puedes cambiar permisos y la lista blanca de IP. Hacer cambios requiere validación con 2FA.

¿Las API Keys de Binance tienen un tiempo de caducidad?

Si se activan permisos avanzados (como Retiros), Binance te requerirá establecer un tiempo de vigencia, usualmente hasta 90 días por defecto, tras los cuales la API expira automáticamente. Las API keys regulares no tienen una expiración rígida, pero si no se usan a largo plazo serán eliminadas.

¿Cuántas API keys puede crear una misma cuenta?

El límite generalmente es de unas 30. Es aconsejable que uses una key por cada tarea, facilitando su aislamiento y administración.

¿Están aisladas las API keys de las subcuentas respecto de las cuentas maestras?

Sí, completamente aisladas. Las APIs de las subcuentas solo pueden operar sobre los activos de esa subcuenta. Esta es la razón por la que se aconsejan subcuentas para manejar grandes montos.

¿Cuáles son los límites de frecuencia de solicitudes (Rate limits)?

Para Spot es aproximadamente de 1200 en peso por segundo y para Futuros de 2400 por segundo. Una única IP tiene unas 6000 solicitudes por minuto. Las estrategias cuantitativas deben manejar estos límites con cuidado para evitar bloqueos. Revisa la documentación oficial de la API de Binance para más detalles.

Resumen

El riesgo de tu API key depende totalmente de cómo la hayas configurado, no de ella en sí misma. Tres reglas doradas: ① Minimalismo de permisos (si no lo necesitas, apágalo), ② Lista blanca de IP obligatoria (con tu servidor), ③ Rotación periódica (cada 30 a 90 días). Si sumas el autodisciplinarte a no hacer push de los Secret Key a ningún repositorio de código, el nivel de seguridad de tu API estará por los cielos. Los que hacen trading algorítmico deberían priorizar la seguridad de la API al mismo nivel que su capital: ya que, en sí misma, es la llave de su dinero. Así que abre el sitio oficial de Binance ahora mismo en su sección de Gestión de API, borra todos los permisos no usados que pasen los 90 días, e impón a los demás una estricta lista blanca de IP.