La creación de una API Key en Binance se divide en 6 pasos: inicie sesión en el sitio web oficial de Binance (la función de API solo está disponible en la versión web, la aplicación no admite la creación), vaya a "Cuenta - Gestión de API", haga clic en "Crear API", seleccione "Generada por el sistema", ingrese un nombre de etiqueta personalizado y pase la verificación triple de correo electrónico + 2FA + SMS. El sistema mostrará la API Key y la Secret Key por única vez; cópielas y guárdelas inmediatamente (¡la Secret Key solo se muestra una vez!). Finalmente, configure los permisos (Operaciones en Spot/Futuros/Retiros/Lectura, etc.) y la lista blanca de IP. Recomendación muy importante: cualquier API Key creada debe estar vinculada a una lista blanca de IP. Una API Key sin lista blanca de IP, una vez filtrada, equivale a regalar directamente sus activos. Según las estadísticas de Binance de 2024, el 93% de las pérdidas de fondos debido a API Keys robadas ocurrieron en Keys que no estaban vinculadas a una lista blanca de IP. Después de vincular una lista blanca de IP, incluso si se filtra la Secret Key, los atacantes no podrán llamar a la API desde sus propios servidores. Aunque la APP oficial de Binance no puede crear API Keys, sí permite ver y eliminar las Keys existentes, lo cual es útil para el manejo de emergencias. Si aún no ha instalado la aplicación, consulte el tutorial de instalación para iOS. Este artículo cubre el ciclo de vida completo de creación, configuración de permisos, listas blancas, uso, monitoreo y respuesta ante emergencias por filtraciones.
¿Qué es una API Key? ¿Para qué sirve?
Una API Key (Clave de Interfaz de Programación de Aplicaciones) es una credencial que permite que programas externos operen su cuenta de Binance en su nombre. Con una API Key, los programas pueden leer los datos de su cuenta, realizar pedidos y consultar el historial las 24 horas del día sin necesidad de ingresar una contraseña en cada inicio de sesión.
Hay cinco escenarios de uso típicos: Trading cuantitativo (como ejecutar estrategias en Python para comprar y vender automáticamente), Copy trading (dejar que un programa copie las posiciones de un influencer), Obtención de datos del mercado (descarga masiva de velas K históricas para backtesting), Inventario de activos (calcular automáticamente los activos totales en múltiples cuentas) y Contabilidad (integración con sistemas financieros empresariales).
Una API Key consta de dos partes: La API Key (clave pública) utilizada para identificar la identidad, que puede mostrarse públicamente; la Secret Key (clave privada) utilizada para firmar solicitudes, que debe mantenerse estrictamente confidencial. Haciendo una analogía con una tarjeta bancaria, la API Key es equivalente al número de tarjeta y la Secret Key es equivalente al PIN: mostrar el número de tarjeta a otros está bien, pero filtrar el PIN es la ruina.
Pasos detallados para crear una API Key
Paso 1: Ingrese a la página de Gestión de API. Inicie sesión en el sitio web oficial de Binance (el navegador móvil también funciona, pero la creación no es compatible actualmente dentro de la APP), haga clic en su avatar en la esquina superior derecha y seleccione "Gestión de API" (API Management). En la parte superior de la página se muestran todas sus API Keys creadas y en la parte inferior está el botón "Crear API".
Paso 2: Elija el método de creación. Binance ofrece dos métodos: "Generada por el sistema" (System-generated) es adecuada para la mayoría de los usuarios, donde Binance genera las claves de forma aleatoria; "Generada por el usuario" (Self-generated) es adecuada para usuarios avanzados con pares de claves RSA/Ed25519, quienes generan sus claves pública y privada y suben la clave pública a Binance para mayor seguridad (Binance nunca conocerá su clave privada).
Se recomienda que los usuarios habituales elijan "Generada por el sistema", que es lo suficientemente segura. Se recomienda a los usuarios empresariales y a los equipos cuantitativos profesionales que utilicen pares de claves Ed25519 "Generadas por el usuario". Binance recomienda este método desde mayo de 2024, ya que el rendimiento de la firma es más de 10 veces más rápido que HMAC-SHA256.
Paso 3: Nombre la API Key. Ingrese un nombre de etiqueta significativo, como "Estrategia Spot Grid", "Market Making Futuros" o "Monitoreo de saldo". La etiqueta solo es visible para usted y le ayudará a distinguir los diferentes usos más adelante. Se recomienda usar una Key por estrategia, y no usar una misma Key para múltiples propósitos.
Paso 4: Verificación de identidad. Ingrese el código de verificación de 6 dígitos recibido por correo electrónico, el código de verificación de 6 dígitos recibido por SMS y el código dinámico de 6 dígitos del Google Authenticator. Debe pasar las tres verificaciones para avanzar al siguiente paso.
Paso 5: Guarde la Secret Key. Después de pasar la verificación, la página mostrará la API Key y la Secret Key. La Secret Key solo se muestra esta única vez; una vez que cierre la página, nunca más podrá volver a verla. Asegúrese de copiarla y pegarla inmediatamente en un lugar seguro. Recomendaciones:
- El campo de "Notas seguras" en un administrador de contraseñas (1Password, Bitwarden).
- Un archivo local cifrado (encriptado con GPG y guardado en una memoria USB).
- Lo más seguro: Escrita en papel y guardada en una caja fuerte (adecuado para cuentas de gran valor).
Nunca recomendado: Favoritos de WeChat, borradores de correo, archivos de texto sin formato (txt) o almacenamiento en la nube sin cifrar, ya que se filtran fácilmente.
Paso 6: Configuración de permisos e IP (se detalla a continuación).
Sistema de permisos de cuatro niveles
Los permisos de la API de Binance se dividen en cuatro niveles, de menor a mayor, según el principio de "privilegio mínimo": habilite solo los permisos necesarios para su estrategia.
Nivel 1: Solo lectura (Read Only). Puede consultar el saldo de la cuenta, el historial de órdenes y las posiciones actuales, pero no puede colocar órdenes, retirar fondos ni modificar ninguna configuración. Este es el nivel más seguro, adecuado para el monitoreo de activos, la conciliación financiera y la declaración de impuestos.
Nivel 2: Operaciones en Spot y Margen (Spot & Margin Trading). Sobre la base del Nivel 1, agrega la función de colocar órdenes, permitiendo comprar y vender en spot (contado) y margen. No puede operar futuros ni realizar retiros. Adecuado para estrategias cuantitativas en spot.
Nivel 3: Operaciones de Futuros (Futures Trading). Interruptor independiente que puede habilitar permisos de operaciones para futuros USDS-M, futuros COIN-M y opciones. Los futuros tienen apalancamiento y alto riesgo; se recomienda habilitar este permiso solo para estrategias que hayan sido probadas exhaustivamente (backtesting).
Nivel 4: Habilitar retiros (Enable Withdrawals). El nivel de mayor riesgo. Una vez habilitado, ¡los programas pueden retirar activos de su cuenta! El 99% de los usuarios nunca necesita habilitar este permiso. Los retiros siempre deben hacerse manualmente. Solo en escenarios muy contados, como arbitraje entre exchanges o consolidación automática, se requiere, y la lista blanca de direcciones de retiro debe estar estrictamente limitada.
A mayor nivel de permisos, mayor es la superficie de ataque. Principio sugerido: habilite lectura, spot y futuros según sea necesario, y nunca habilite retiros. Si algún día descubre que su estrategia "necesita permiso de retiro", primero piense si puede usar transferencias internas (como de futuros USDS-M a spot) en lugar de retiros; en la mayoría de los escenarios es posible.
La lista blanca de IP es su salvavidas
Esta es la parte más importante de este artículo. La filtración de una API Key sin una lista blanca de IP equivale al robo de la cuenta.
El principio de una lista blanca de IP: Usted agrega la dirección IP del servidor que ejecuta la estrategia (por ejemplo, la IP pública de un servidor en la nube AWS: 47.98.xx.xx) a la lista blanca. El servidor API de Binance solo aceptará solicitudes de estas IP; las solicitudes desde otras IP serán rechazadas incluso si la firma con su Secret Key es correcta.
Opciones de configuración de IP durante la creación:
- Restringir el acceso solo a IP confiables (Recomendado): Ingrese de 1 a 20 direcciones IP, una por línea. Formato IPv4 como "47.98.123.45", los bloques CIDR (como 192.168.1.0/24) no son compatibles.
- Sin restricciones (Altamente No Recomendado): Cualquier IP puede usar esta Key. Binance ha limitado la validez de las Keys "Sin restricción de IP" a 90 días desde 2024. Vencen automáticamente y requieren volver a crearlas, obligando así a los usuarios a usar listas blancas de IP.
Cómo comprobar la IP de su servidor: Después de iniciar sesión en el servidor a través de SSH, ejecute curl ifconfig.me o curl ip.sb; el resultado es la IP pública. Los usuarios de banda ancha doméstica deben tener en cuenta que la mayoría de las IP domésticas son dinámicas y pueden cambiar cada vez que se reconectan, lo que no es adecuado para listas blancas de API. Se recomienda utilizar un VPS (IP estática) o servicios de funciones en la nube.
Implementación en múltiples regiones: Si su estrategia se ejecuta en varios servidores (principal/reserva o múltiples regiones), agregue todas las IP a la lista blanca. Binance permite un máximo de 20 IP.
Depuración temporal: Durante la fase de desarrollo, si desea depurar una estrategia en su computadora local, puede agregar temporalmente su IP pública doméstica a la lista blanca. Una vez que termine la depuración, elimínela inmediatamente y mantenga solo la IP del servidor.
Prácticas de seguridad en el uso de la API
Práctica 1: Nunca programe (hardcode) la Secret Key en el código. No la escriba directamente en archivos .py o .js para evitar enviarla a un repositorio de Git (especialmente en repositorios públicos). El enfoque correcto es utilizar variables de entorno (export BINANCE_SECRET=xxx) o archivos de configuración (.env, que debe agregarse al .gitignore).
Práctica 2: Utilice subcuentas independientes para aislar el riesgo. Binance permite la creación de hasta 200 subcuentas de forma gratuita. Se recomienda ejecutar cada estrategia en una subcuenta independiente, manteniendo la cuenta principal con solo una pequeña cantidad de fondos para transferencias. Incluso si se roba la API Key de una subcuenta, la pérdida se limita al saldo de esa subcuenta.
Práctica 3: Separación de permisos. Utilice una Key de solo lectura para comprobar saldos y una Key de operaciones en Spot para operar. La Key de lectura utilizada para la visualización del frontend y los informes puede no tener restricción de IP, mientras que la Key de operaciones está estrictamente vinculada a una IP y cuenta con permisos específicos.
Práctica 4: Rotación periódica. Vuelva a crear la API Key cada 90 días y elimine la antigua. Incluso si la Key antigua está siendo monitoreada a largo plazo, dejará de ser válida a los 90 días. La página de Gestión de API de Binance muestra el momento de creación de cada Key para facilitar el seguimiento.
Práctica 5: Monitorear llamadas anormales. Binance proporciona estadísticas de llamadas para las API Keys. En la página "Gestión de API", haga clic en "Ver detalles" a la derecha de la Key para ver la cantidad de llamadas por minuto, el consumo máximo de peso y la cantidad de veces que se activó el límite de tasa. Si el volumen de llamadas de una Key se duplica de repente, alguien podría estar abusando de ella.
¿Qué hacer si se filtra la API Key?
Paso 1: Elimine inmediatamente la API Key en la APP o en la Web. Vaya a la página de Gestión de API, haga clic en el botón "Eliminar" a la derecha de la Key filtrada y, al confirmar, la Key dejará de ser válida inmediatamente. La eliminación es irreversible, no lo dude.
Paso 2: Verifique los registros de operaciones de la cuenta. Revise las transacciones, los retiros y los depósitos de las últimas 24 horas para identificar transacciones anormales. Si el atacante ha utilizado la Key para colocar órdenes comprando monedas "basura" poco conocidas (un típico ataque de pump and dump), póngase en contacto con el servicio de atención al cliente de inmediato para congelar la cuenta.
Paso 3: Restablecer otras configuraciones de seguridad relevantes. Cambie su contraseña de inicio de sesión, restablezca el 2FA y verifique si otras API Keys son seguras. Los atacantes podrían haber adquirido otras credenciales de su cuenta de forma simultánea.
Paso 4: Investigar el canal de filtración. Las rutas de filtración comunes incluyen: código subido a repositorios públicos de Git (busque su propia Secret Key usando herramientas como github.com/searchcode), intrusión en el servidor (verifique auth.log), captura accidental en una captura de pantalla, proporcionar claves a "atención al cliente" (estafas) o usar marcos cuantitativos de código abierto maliciosos. Solo al encontrar la causa raíz podrá evitar que se vuelva a filtrar.
Paso 5: Enviar un ticket. Incluso si no hay pérdidas, se recomienda enviar un ticket al servicio de atención al cliente de Binance explicando la situación y solicitar habilitar el "Período de enfriamiento de filtración de API": la cuenta ingresa a un estado de revisión estricta de retiros durante 7 días y cualquier retiro requiere una revisión manual.
Códigos de error comunes y su manejo
| Código de error | Significado | Método de manejo |
|---|---|---|
| -1021 | La marca de tiempo está fuera de la ventana de tiempo del servidor | Calibre el tiempo del servidor usando NTP |
| -1022 | Firma no válida | Verifique la Secret Key y el orden de concatenación de los parámetros |
| -2010 | Orden fallida: Saldo insuficiente | Verifique el saldo disponible y los fondos congelados |
| -2014 | Formato de API Key no válido | Compruebe si la cadena de la Key está completa |
| -2015 | API Key no válida / deshabilitada / La lista blanca de IP no coincide | Concéntrese en verificar la lista blanca de IP |
| -1003 | Demasiadas solicitudes | Reduzca la frecuencia de llamadas, preste atención al "Weight" (peso) |
| -4131 | El permiso de la API de Futuros no está habilitado | Habilite el permiso de futuros en la página de Gestión de API |
El motivo más común para encontrarse con el error -2015 es una lista blanca de IP configurada incorrectamente, o que la IP de su servidor ha cambiado. Utilice curl ifconfig.me para confirmar la IP actual de nuevo y compárela con la lista blanca.
Preguntas Frecuentes (FAQ)
P: ¿Cuántas API Keys se pueden crear? R: Actualmente, una sola cuenta está limitada a un máximo de 30 API Keys. Esto es suficiente para la mayoría de los usuarios.
P: ¿Qué pasa si pierdo mi Secret Key? R: Solo puede crear una nueva API Key; la combinación antigua de Key + Secret nunca se podrá recuperar. Esta es la razón por la que debe guardar la Secret Key inmediatamente después de su creación.
P: ¿Existen tarifas por el uso de las API Keys? R: Es gratis. Las tarifas de trading son las mismas que en el trading manual; no hay tarifas adicionales por el uso de la API.
P: ¿Caducan las API Keys? R: Son válidas permanentemente (las claves sin lista blanca de IP están limitadas a 90 días a partir de 2024). Sin embargo, se recomienda rotarlas activamente cada 90 días para mejorar la seguridad.
P: ¿Puedo enviar mi API Key a atención al cliente para que me ayuden a solucionar problemas? R: ¡Absolutamente no! El verdadero servicio de atención al cliente nunca le pedirá que proporcione su Secret Key. Cualquiera que solicite su Secret Key es un estafador.