Cómo configurar los permisos de API de Binance de forma segura

16 min de lectura 2026-03-30 Seguridad Avanzada

La API de Binance le permite usar herramientas de terceros o programas propios para operar de forma automatizada, pero si la configuración no es correcta, la API puede convertirse en una vulnerabilidad de seguridad. Puede realizar la configuración en la página de gestión de API del sitio web oficial de Binance, o gestionar las claves API desde la app oficial de Binance. Los usuarios de Apple pueden consultar primero el tutorial de instalación para iOS.

Qué es la API de Binance

API significa Application Programming Interface (Interfaz de Programación de Aplicaciones). En términos simples, es una forma de permitir que programas externos "se comuniquen" con su cuenta de Binance.

A través de la API, puede:

  • Usar bots de trading cuantitativo para comprar y vender automáticamente
  • Usar software de terceros para consultar el estado de la cuenta
  • Usar herramientas de gestión de portafolio para rastrear activos
  • Escribir sus propios programas para implementar estrategias de trading automatizadas

Sin embargo, la API implica otorgar ciertos permisos a programas externos para operar su cuenta, por lo que la configuración de seguridad es fundamental.

Pasos para crear una clave API

  1. Inicie sesión en el sitio web de Binance, haga clic en el avatar de la esquina superior derecha y seleccione "Gestión de API"
  2. Asigne un nombre a su API (por ejemplo, "Bot de trading cuantitativo") para facilitar la gestión
  3. Complete la verificación de seguridad (código de correo electrónico, código de Google Authenticator, etc.)
  4. El sistema generará dos elementos: API Key y Secret Key
  5. La Secret Key se muestra solo una vez; asegúrese de copiarla y guardarla inmediatamente. Una vez que cierre la página, no podrá verla de nuevo

Tipos de permisos de API

La API de Binance tiene varios permisos que se pueden activar o desactivar individualmente:

Permiso de lectura (Enable Reading)

Permite que la API consulte información de su cuenta, saldo, historial de transacciones, etc. Este permiso es relativamente seguro y generalmente necesita estar activado.

Permiso de trading (Enable Spot & Margin Trading)

Permite que la API realice operaciones de spot y margen. Si utiliza un bot de trading, necesitará activar este permiso.

Permiso de futuros (Enable Futures)

Permite que la API realice operaciones de futuros. Actívelo solo si necesita usar la API para futuros.

Permiso de retiro (Enable Withdrawals)

Este es el permiso más peligroso. Una vez activado, la API puede retirar criptomonedas directamente de su cuenta. A menos que tenga una necesidad muy específica (como creadores de mercado que necesitan transferir fondos automáticamente), nunca active este permiso.

Principios fundamentales de configuración segura

Principio uno: Mínimo privilegio

Active solo los permisos que realmente necesita; desactive todos los demás. Por ejemplo, si solo usa la API para consultar el estado de la cuenta, active únicamente el permiso de lectura, no el de trading. Si usa la API para trading spot, no active el permiso de futuros.

En la gran mayoría de los casos, no necesita activar el permiso de retiro.

Principio dos: Lista blanca de IP

Esta es la configuración de seguridad más importante. Al crear la API, puede establecer una lista blanca de IP que solo permita que direcciones IP específicas utilicen esa API.

Por ejemplo, si su bot de trading cuantitativo se ejecuta en un servidor con IP fija, introduzca la dirección IP de ese servidor en la lista blanca. Así, aunque la clave API se filtre, los estafadores no podrán usarla desde otras direcciones IP.

Si no conoce su dirección IP, puede buscar "cuál es mi IP" en cualquier motor de búsqueda.

Si usa una conexión de banda ancha doméstica, la dirección IP puede cambiar. En ese caso, puede solicitar una IP fija a su proveedor de internet o usar un servidor en la nube para ejecutar su programa.

Principio tres: Renueve las claves API periódicamente

Al igual que las contraseñas, las claves API también deben renovarse periódicamente. Se recomienda generar nuevas claves API cada 1 a 3 meses y eliminar las antiguas.

Principio cuatro: Use APIs diferentes para usos diferentes

Si tiene múltiples usos (por ejemplo, un bot de trading y una herramienta de monitoreo de mercado), cree claves API separadas para cada uno con permisos diferentes. De esta forma, si una API se filtra, el alcance del impacto será limitado.

Qué hacer si se filtra la clave API

Si sospecha que su clave API ha sido filtrada, ejecute inmediatamente las siguientes acciones:

  1. Inicie sesión en Binance y vaya a la página de gestión de API
  2. Encuentre la clave API que podría estar comprometida y elimínela
  3. Revise el saldo de la cuenta y el historial de transacciones recientes en busca de operaciones anómalas
  4. Si detecta transacciones anómalas, congele la cuenta de inmediato y contacte al soporte
  5. Si es necesario, cree una nueva clave API con la configuración de seguridad adecuada

Precauciones al usar API en plataformas de terceros

Muchas personas conectan sus API a plataformas de trading de terceros o herramientas de trading cuantitativo. Tenga en cuenta lo siguiente:

Elija plataformas reconocidas y confiables: No introduzca su clave API en plataformas desconocidas o poco confiables.

No otorgue permiso de retiro a la plataforma: Las plataformas de trading de terceros legítimas solo necesitan permisos de trading, no de retiro. Si alguna plataforma le solicita activar el permiso de retiro, desconfíe.

Configure la lista blanca de IP: Si la plataforma de terceros proporciona sus direcciones IP de servidor, agréguelas a la lista blanca.

Revise el uso de la API periódicamente: En la página de gestión de API de Binance puede ver la última vez que se usó cada API y desde qué IP. Revise periódicamente si hay algo anormal.

Errores comunes sobre seguridad de API

Error uno: "Con mi contraseña es suficiente" Si la clave API se filtra, no se necesita la contraseña para operar su cuenta. La seguridad de la API y la seguridad de la contraseña son cosas diferentes.

Error dos: "Si no activo el permiso de retiro, no pasa nada" Aunque sin el permiso de retiro los estafadores no pueden retirar directamente, pueden transferir sus fondos indirectamente mediante operaciones maliciosas (por ejemplo, colocando órdenes a precios extremos y ejecutándolas con su API). Por eso la lista blanca de IP también es importante.

Error tres: "Puedo compartir la clave API con un amigo para que me ayude" La clave API es como una contraseña; no la comparta con nadie. Si un amigo necesita ver su cuenta, puede enviarle capturas de pantalla directamente, sin necesidad de darle acceso por API.

Aviso de seguridad

La seguridad de la API es una parte importante de la seguridad de la cuenta. Se recomienda revisar periódicamente la configuración de API en el sitio web oficial de Binance y eliminar las claves API que ya no utilice. Con la app oficial de Binance puede consultar y gestionar las API rápidamente. Si no está seguro de si una API todavía está en uso, es mejor eliminarla y crear una nueva que dejar una vulnerabilidad de seguridad.

Resumen

La API es una función muy útil, pero la configuración de seguridad debe ser rigurosa. Recuerde tres puntos clave: no active el permiso de retiro, vincule una lista blanca de IP y renueve las claves periódicamente. Si cumple con estos tres puntos, la seguridad de su API estará garantizada.