WowStack Docs Tutoriales independientes de terceros sobre depósitos / C2C / pagos en Binance — cada paso es reproducible
EN ES FR JP KR

¿Cómo configurar los permisos de la API de Binance? Estrategias de seguridad: solo lectura, trading y retiros

Publicado 2026-04-22 25 min de lectura Seguridad de la cartera

Si has utilizado robots de trading cuantitativo, programas de monitorización de mercado o software de impuestos, es muy probable que te hayas encontrado con la configuración de las API keys de Binance. Una API key es una credencial que permite a programas de terceros actuar en tu nombre dentro de tu cuenta. Una configuración incorrecta de estos permisos puede derivar directamente en la pérdida de activos. Si aún no tienes cuenta, puedes registrarte en el sitio oficial de Binance; para usuarios de la aplicación, utiliza la descarga oficial. A continuación, desglosamos la gestión de permisos de las API keys.

1. ¿Qué es una API key?

En esencia, una API key es un par de cadenas de texto: la API Key (identificador público) y la Secret Key (clave privada). Los programas de terceros utilizan este par de credenciales para llamar a las interfaces de Binance a través de REST API o WebSocket. Lo que el programa puede hacer depende de los permisos que le hayas otorgado.

Imagina que le das a un programa externo una "tarjeta de delegado" donde se especifica claramente qué puede y qué no puede hacer. La tarjeta en sí es extremadamente confidencial (especialmente la Secret Key); si se filtra, estarías entregando parte de las capacidades de tu cuenta a otra persona.

El acceso para generar API keys en Binance se encuentra en "Centro de cuenta → Gestión de API". Al crearlas, se requiere verificación por correo, 2FA y reconocimiento facial (según el nivel de permiso). La Secret Key generada se muestra solo una vez; debes guardarla inmediatamente, ya que no podrás verla de nuevo tras cerrar la página.

2. Niveles de permisos de la API

Los permisos de la API de Binance se dividen en las siguientes categorías, que pueden seleccionarse de forma independiente:

Solo lectura (Read Only): permite únicamente consultar la información de la cuenta y los datos del mercado. No permite colocar órdenes ni realizar transferencias. Es el nivel más seguro.

Habilitar trading de Spot y Margen (Enable Spot & Margin Trading): permite colocar y cancelar órdenes, y realizar operaciones de spot y apalancamiento. Sin embargo, no permite retirar fondos, realizar transferencias internas ni ajustar el apalancamiento.

Habilitar Futuros (Enable Futures): permite operar con contratos USDS-M y COIN-M. Tampoco permite retirar fondos.

Habilitar Retiros (Enable Withdrawals): permite iniciar retiros a direcciones externas (solo direcciones en lista blanca). Este es el nivel de mayor riesgo; al activarlo, Binance exige reconocimiento facial, 2FA, lista blanca de IP y lista blanca de direcciones como medidas de seguridad múltiple.

Funciones generales de la billetera: incluye transferencias entre cuentas internas, suscripción a productos de ahorro, participación en IEO, etc. Se activa según la función específica.

La estrategia de configuración correcta es el principio de privilegio mínimo: si tu programa solo necesita leer precios e información de cuenta, activa solo la lectura; si necesitas ejecutar una estrategia de trading, activa el trading pero nunca los retiros. Casi ningún usuario común necesita otorgar permisos de "retiro" a un programa.

3. Configuraciones recomendadas según el escenario

Sugerencias basadas en el uso:

Escenario 1: Software de impuestos (Koinly, CoinTracker) Permiso recomendado: Solo lectura. Estos programas solo necesitan leer tu historial de transacciones y posiciones actuales; bajo ningún concepto deben tener permisos de trading o retiro. Si un software de impuestos exige permisos de trading, cambia de software inmediatamente.

Escenario 2: Programas de monitorización de mercado / alertas de precio Permiso recomendado: Solo lectura. Leen los datos del mercado y te envían una notificación cuando se cumple una condición. No requieren permisos de escritura.

Escenario 3: Robots de trading cuantitativo Permisos recomendados: Solo lectura + Trading de Spot/Futuros. El robot debe poder colocar y cancelar órdenes, por lo que necesita permisos de trading. Pero nunca actives los permisos de retiro, el robot no necesita sacar las criptomonedas.

Escenario 4: Estrategias de grid / programas de inversión recurrente (DCA) Permisos recomendados: Solo lectura + Trading de Spot. Al igual que con los robots, el permiso de retiro es totalmente innecesario.

Escenario 5: Arbitraje entre plataformas Permisos recomendados: Solo lectura + Trading de Spot. La acción de retirar fondos debe ser activada manualmente por una persona, no de forma automática por el programa.

Escenario 6: Herramientas de conciliación de desarrollo propio Permiso recomendado: Solo lectura.

Como puedes ver, en el 99% de los casos no es necesario activar los permisos de retiro. Hacerlo solo implica un aumento del riesgo sin un beneficio equivalente.

4. La lista blanca de IP es la defensa clave

Binance permite configurar una lista blanca de direcciones IP: solo se procesarán las solicitudes de API que provengan de las IP listadas. Incluso si alguien obtiene tu Secret Key, no podrá usarla desde otra IP.

Se recomienda encarecidamente activar la lista blanca de IP en todas las API keys. Escenarios específicos:

  • Si tu robot corre en un servidor en la nube: añade la IP fija de ese servidor a la lista blanca.
  • Si corres un script en tu ordenador personal: añade la IP pública de tu conexión doméstica.
  • Si usas el servicio desde varios lugares: enumera todas las IP necesarias (soporta hasta 10).

La ventaja es que, aunque la Secret Key se filtre (por un troyano, un commit accidental en GitHub o phishing), el atacante no podrá llamar a la API desde su propia IP. Es una defensa muy robusta.

Si tu programa corre en un entorno de IP dinámica (como una conexión doméstica donde la IP cambia al reiniciar el router), considera:

  • Configurar una IP estática en un servidor en la nube para ejecutar allí el programa.
  • Usar una VPN/proxy para que todas tus solicitudes salgan por una IP fija.
  • Bajar el nivel de permiso a "Solo lectura", donde la IP no sea tan crítica.

5. Almacenamiento de la Secret Key

La Secret Key nunca debe aparecer en los siguientes lugares:

  • Escrita directamente en el código (hardcoded): muchas personas han subido código a GitHub con la Secret Key expuesta, y los robots de escaneo la roban en segundos.
  • Archivos de configuración en texto plano: si se hace una copia de seguridad en la nube, la plataforma también tendrá acceso a tu clave.
  • Historiales de chat o correos electrónicos: ninguna herramienta de comunicación debe usarse para transmitir la Secret Key.
  • Capturas de pantalla compartidas: al pedir ayuda, una ocultación deficiente puede exponer la clave.
  • Notas o documentos sin cifrar: sincronizar aplicaciones de notas con la nube implica que la clave también estará allí.

Prácticas correctas:

  • Guardarla en un gestor de contraseñas especializado (1Password, Bitwarden).
  • En servidores, inyectarla al programa mediante variables de entorno o gestores de secretos (secrets manager), nunca en el código.
  • Usar archivos cifrados (VeraCrypt, archivos comprimidos con contraseña) para copias de seguridad privadas.
  • Realizar escaneos de código antes de hacer un commit (herramientas como git-secrets evitan subir secretos accidentalmente).

6. Rotación periódica de las API keys

Una API key no debería permanecer inalterada durante un año. Se recomienda rotarlas al menos cada 3 o 6 meses: genera una nueva clave, cambia el programa a la nueva y desactiva la antigua.

Beneficios de la rotación:

  • Limita la ventana de exposición (si la clave se filtra, el daño se detiene en la siguiente rotación).
  • Sirve como recordatorio para revisar los permisos.
  • Limpia claves en desuso (las que no uses deben eliminarse directamente).

La página de gestión de API de Binance muestra la fecha del último uso de cada clave. Si no has usado una en tres meses, bórrala; si no sabes para qué sirve, es mejor eliminarla.

7. Monitorización de actividad sospechosa en la API

Revisa periódicamente estas señales:

  • IP de las llamadas a la API en la página de gestión: cualquier solicitud desde una IP que no esté en tu lista blanca significa que alguien está intentando usarla.
  • "Actividad de la cuenta" en Binance: comprueba si hay órdenes o transferencias de origen desconocido.
  • Errores de límite de frecuencia (rate limit): si tu programa empieza a activar límites de frecuencia de forma inusual, podría ser que otra persona esté usando tu clave.
  • Notificaciones de movimiento de activos: activa las alertas de Binance para saber al instante si hay depósitos o retiros inusuales.

Acciones de emergencia ante anomalías:

Desactiva inmediatamente la API key en la página de gestión de Binance → Cambia la contraseña de la cuenta → Restablece el 2FA → Revisa y limpia la lista blanca de retiros → Abre un ticket explicando la situación. Todo esto debe hacerse en menos de diez minutos.

8. Mecanismos de seguridad de la propia Binance

Binance ha reforzado la seguridad en su capa de API en los últimos años:

  • Gestión del ciclo de vida: por defecto, las API keys tienen una validez de 90 días; tras este periodo caducan automáticamente y deben reactivarse.
  • Lista blanca de IP obligatoria: para activar el permiso de "retiro", es obligatorio configurar una lista blanca de IP; no se puede omitir.
  • Retraso en retiros de grandes importes: los retiros vía API que superen cierto umbral activan revisiones adicionales (confirmación humana o notificaciones).
  • Monitorización de comportamiento anómalo: Binance cuenta con sistemas antifraude que suspenden la API y te notifican si detectan patrones de llamada inusuales.
  • Doble confirmación 2FA: las operaciones altamente sensibles (modificar permisos de API, lista blanca de retiros) requieren una segunda verificación.

Estos mecanismos son la red de seguridad de la plataforma, pero tu propia política de "permisos mínimos + lista blanca de IP + no activar retiros" es tu defensa principal.

9. Riesgos adicionales al conectar plataformas de terceros

Al entregar una API key a una plataforma externa (proveedores de robots, software de impuestos, herramientas de trading agregado), hay un riesgo añadido: sus servidores podrían ser atacados, filtrando las API keys de sus usuarios de forma masiva.

En el pasado han ocurrido incidentes de este tipo: una plataforma de trading cuantitativo famosa fue hackeada, los atacantes obtuvieron las API keys de todos los usuarios y saquearon las cuentas de Binance que tenían activado el permiso de "retiro". En las cuentas con permiso de "trading" activado (pero no el de retiro), los atacantes utilizaron una técnica de manipulación de mercado para comprar caro y vender barato contra sus propias cuentas, transfiriendo así los activos de las víctimas.

Por eso es vital no otorgar nunca permisos de retiro a terceros. Incluso si hackean la plataforma externa, tus activos estarán limitados al exchange y no podrán ser retirados, manteniendo las pérdidas bajo control.

10. Resumen

El principio fundamental en la gestión de permisos de las API keys de Binance es la minimización: si puedes usar solo lectura, no actives el trading; si puedes usar trading, no actives los retiros. La lista blanca de IP es tu segunda línea de defensa física. Guarda la Secret Key en gestores de contraseñas y nunca la expongas en código o archivos planos. Rota las claves, vigila anomalías y actúa rápido ante actividades sospechosas. Nunca otorgues permisos de retiro a plataformas de terceros. Siguiendo estas reglas, podrás bloquear la gran mayoría de los ataques relacionados con las API.

Empieza ya

Inicia tu camino en Binance

Descarga la app oficial, completa el KYC y compra tu primera cripto con seguridad.

Descargar app Binance Visitar Binance
Acceso oficialÍndice de espejosVerificar el sitioDescarga de la appInstalación realCompra C2CDepósito fiatDepósito USDTRetirosMétodos de pagoAcceso oficialÍndice de espejosVerificar el sitioDescarga de la appInstalación realCompra C2CDepósito fiatDepósito USDTRetirosMétodos de pago