Inicio/ Todos los artículos/Seguridad/¿Qué hacer si se filtra la API key de Binance? Cómo congelarla de emergencia

¿Qué hacer si se filtra la API key de Binance? Cómo congelarla de emergencia

Actualizado el 2026-04-14 · 25 minSeguridad

Tras la filtración de una API key de Binance, el primer paso es eliminar esa key inmediatamente desde la APP (operación de 5 segundos, con efecto global). A continuación, revisa el registro reciente de llamadas a la API para encontrar abusos, modifica la contraseña de tu cuenta y refuerza los ajustes de seguridad de la API para el futuro. La probabilidad de recuperar fondos tras un abuso de API es ligeramente mayor que en el robo de cuentas, ya que los atacantes suelen usar el "wash trading" (arbitraje) en lugar de retirar directamente. Antes de operar con tu cuenta, verifica tu identidad en el sitio oficial de Binance, descarga el APK desde la APP oficial de Binance, y consulta los procesos para todas las plataformas en el Centro de descargas. Este artículo presenta el proceso de respuesta completo.

Qué es una API key

La API key de Binance es una "llave" que permite a un programa operar tu cuenta automáticamente:

  • API key (clave pública): identifica tu identidad.
  • API secret (clave privada): firma las peticiones.
  • Usadas en conjunto, permiten llamar a la API de Binance para realizar transacciones, consultas, enviar órdenes, etc.

La API se utiliza normalmente para:

  • Programas de trading cuantitativo.
  • Herramientas de contabilidad de terceros.
  • Herramientas de gestión de múltiples cuentas.
  • Estrategias automatizadas (como grid, arbitraje).

Vías de filtración de una API key

Escenarios comunes de filtración:

Escenario Probabilidad
Enviada por error a GitHub Alta
Compartida en una captura de pantalla que incluye el secret Media
Escrita en ejemplos de código de un blog Media
Interceptada por sniffing de red (Wi-Fi inseguro) Baja
Filtrada en registros (logs) del programa Media
Herramienta de terceros hackeada Media

Una gran cantidad de bots de "escaneo de datos sensibles" en GitHub buscan automáticamente API keys filtradas e intentan usarlas. Por lo tanto, si subes código con un secret a GitHub, en pocos minutos podrías ser atacado.

Respuesta urgente tras la filtración

Paso 1: Eliminar la API key de inmediato (lo más importante)

Ejecutar en 5 segundos, con efecto global:

  1. Abre la APP de Binance.
  2. Ve a "Perfil → Ajustes → Gestión de API".
  3. Localiza la API key filtrada.
  4. Toca en "Eliminar".
  5. Introduce la verificación 2FA.

Una vez eliminada, la key pierde su validez de forma inmediata y el atacante no podrá seguir usándola para operar tu cuenta.

Paso 2: Revisar el registro reciente de llamadas a la API

  • Ve a "Gestión de API → Dicha key → Registro de llamadas".
  • Revisa todas las llamadas de las últimas 24-72 horas.
  • Busca elementos sospechosos:
    • Llamadas desde IPs desconocidas.
    • Transacciones anómalas (grandes importes, pérdidas).
    • Intentos de retiro inusuales.

Paso 3: Comprobar la pérdida de activos

  • ¿Ha disminuido el saldo de tu cartera Spot?
  • ¿Tus posiciones en Futuros se han cerrado de forma anómala?
  • ¿Hay retiros no autorizados?
  • ¿Hay anomalías en las transferencias internas?

Paso 4: Modificar la contraseña de la cuenta + Restablecer 2FA

Si la API key filtrada estaba asociada a otra información sensible:

  • Modifica la contraseña de inicio de sesión de tu cuenta.
  • Restablece Google Authenticator (para prevenir filtraciones relacionadas).

Paso 5: Contactar con soporte e informar

  • En la APP, ve a "Soporte al cliente → Apelación por abuso de API".
  • Proporciona:
    • Los primeros 8 caracteres de la API key filtrada.
    • Capturas de pantalla del registro de llamadas.
    • Detalles de los activos perdidos.
    • Las medidas que ya has tomado.

Paso 6: Identificar el origen de la filtración

  • Averigua cómo se filtró la API key.
  • Soluciona el problema de origen (por ejemplo, elimina el repositorio público en GitHub, retira capturas de pantalla).
  • Evita que se filtre más información sensible.

Métodos comunes de ataque a la API

1. Retiro directo (el más directo)

Si tu API key tenía activado el permiso de "Retiro":

  • El atacante utiliza la API para iniciar un retiro hacia su propia cartera.
  • Los fondos se transfieren.

Prevención: Nunca actives el permiso de retiro en una API key (a menos que tu negocio lo requiera estrictamente).

2. Wash trading (blanqueo cruzado)

Más oculto, más difícil de detectar:

  • El atacante usa tu API para colocar una orden de compra (a un precio alto) en una criptomoneda de baja capitalización.
  • Utiliza su propia cuenta para colocar una orden de venta (a un precio bajo).
  • Hace que ambas se ejecuten, blanqueando tus USDT hacia su cuenta.
  • Tú crees que has sufrido una "pérdida", pero en realidad han robado tu dinero.

Prevención:

  • Desactiva el permiso de "Trading Spot" en la API key (a menos que lo necesites).
  • Monitorea el historial de transacciones de tu cuenta.

3. Consumo mediante órdenes pequeñas de alta frecuencia

  • El atacante utiliza la API para colocar pequeñas órdenes con alta frecuencia.
  • Genera pérdidas deliberadas, drenando tu cuenta poco a poco.
  • No se lleva el dinero directamente, pero la pérdida acumulada es enorme.

Prevención:

  • Configura alertas para la frecuencia de llamadas a la API.
  • Revisa regularmente las estadísticas de tus transacciones.

4. Liquidación en margen / futuros

Si la API tiene activados los permisos para Futuros:

  • El atacante abre posiciones con apalancamiento de 100x.
  • Realiza operaciones contrarias al mercado de forma deliberada.
  • Provoca la liquidación de tu cuenta.

Prevención:

  • No actives el permiso de Futuros en la API.
  • No dejes grandes cantidades de fondos en la cuenta de Futuros.

Posibilidad de recuperar los activos

Tipo de ataque Probabilidad de recuperación Observaciones
Retiro on-chain < 5% Irreversible
Wash trading 30-50% Es posible congelar la cuenta de la contraparte
Transferencia interna 50-70% Soporte puede congelarla
Liquidación en futuros < 10% Hecho consumado

La probabilidad de recuperación tras un abuso de API es ligeramente mayor que en un robo directo, porque:

  • La mayoría de los ataques a API consisten en wash trading (los activos no salen del ecosistema de Binance).
  • Soporte puede congelar la cuenta de la contraparte.
  • Las pruebas en el sistema son sólidas.

Aun así, no te hagas demasiadas ilusiones; prevenir siempre es más fácil que recuperar.

Mejores prácticas de seguridad al crear una API key

1. Vincular lista blanca de IPs (lo más crítico)

Al crear una API key, marca "Activar lista blanca de IPs":

  • Permite que solo las IPs especificadas llamen a esta key.
  • Incluso si la key se filtra, un atacante no podrá usarla desde otra IP.
  • Si la IP de tu servidor es estática, actívalo obligatoriamente.

Solo las IPs estáticas pueden usar la lista blanca de IPs. Si usas una IP dinámica (conexión de casa), puedes no activarlo, pero el riesgo aumentará.

2. Desactivar permisos innecesarios

Opciones de permisos de una API key:

  • Trading Spot / Margen: Actívalo solo si es necesario.
  • Trading de Futuros: Actívalo solo si es necesario (alto riesgo).
  • Retiro universal: Desactivado por defecto (a menos que tu negocio lo exija).
  • Transferencia interna: Actívalo solo si es necesario.

Principio del mínimo privilegio: activa solo lo que vayas a usar.

3. Rotación periódica

Cada 3-6 meses:

  • Elimina la API key antigua.
  • Genera una key nueva.
  • Actualízala en tu programa.

Para evitar que una key filtrada sea abusada durante mucho tiempo.

4. No subir a repositorios públicos

Al usar control de versiones en tu código:

  • Coloca la API key en un archivo .env.
  • Añade el .env a tu archivo .gitignore.
  • Cárgala utilizando variables de entorno.

Nunca la escribas directamente ("hardcode") en tu código.

5. Monitorear el registro de llamadas

Revisa periódicamente (semanal/mensualmente) el registro de llamadas a la API:

  • ¿Es la IP la que esperabas?
  • ¿Es normal la frecuencia de las llamadas?
  • ¿Hay llamadas en horas inusuales?

Trata cualquier anomalía de forma inmediata.

6. Configurar alertas

Algunas plataformas de trading cuantitativo soportan alertas:

  • Alerta por superar el umbral de frecuencia de llamadas a la API.
  • Alerta por llamadas desde una IP desconocida.
  • Alerta de transacciones de gran importe.

Selección del tipo de API key

Binance ofrece dos tipos de API key:

1. HMAC SHA-256 (por defecto)

  • Rápida de generar.
  • Buena compatibilidad.
  • Soportada por la mayoría de los programas.
  • Desventaja: Debes guardar la clave privada (secret).

2. Autenticación de clave pública Ed25519

  • Más segura.
  • La clave privada solo se genera localmente y no se envía.
  • Soportada por algunas herramientas nuevas.
  • Desventaja: Compatibilidad un poco peor.

Si utilizas las herramientas cuantitativas más modernas, es más seguro priorizar Ed25519.

Riesgos de las herramientas de terceros

Si proporcionas tu API key a herramientas de terceros (como software de contabilidad, plataformas de trading cuantitativo):

Riesgos

  • La plataforma de terceros es hackeada → roban tu API key.
  • Empleados malintencionados en la plataforma de terceros → blanquean tus fondos.
  • La plataforma desaparece (exit scam) → tu API key se queda en su base de datos.

Protección

  • A las API keys para terceros se les debe desactivar el permiso de retiro.
  • Prioriza herramientas con buena reputación (como 3Commas, Bitsgap).
  • Revisa regularmente los registros de acceso de la herramienta de terceros.
  • Cuando dejes de usar una herramienta, elimina inmediatamente la key correspondiente.

Preguntas frecuentes

P: ¿Cuánto tarda en hacerse efectiva la eliminación de una API key? R: Tiene efecto inmediato (en segundos, a nivel global). Tras eliminarla, se rechazará cualquier llamada a esa key.

P: ¿Se puede desactivar temporalmente sin eliminarla? R: Sí. En "Gestión de API" hay un interruptor para "Activar/Desactivar"; al desactivarla pierde validez de inmediato, y puedes volver a activarla cuando la necesites.

P: La API key se filtró pero no veo pérdidas de activos, ¿aun así necesito actuar? R: Debes eliminarla de inmediato. El atacante podría estar analizando tu cuenta y esperando el momento oportuno para atacar.

P: Si pierdo dinero con trading cuantitativo por API, ¿cuenta como un ataque? R: Depende de la causa concreta. Si tus propias estrategias han fallado, es un riesgo normal. Si tu API ha sido abusada por un desconocido, entonces es un ataque. La clave para distinguirlo es revisar las IPs en el registro de llamadas.

P: ¿Se puede limitar una API key a solo órdenes pequeñas? R: No se puede limitar el importe directamente, pero puedes: ① usar lista blanca de IPs, ② desactivar el permiso de retiro, ③ establecer límites de transacción diarios (algo que soportan ciertas plataformas de trading cuantitativo).

P: ¿Puedo pedirle compensación a soporte por pérdidas en estrategias cuantitativas? R: No. Binance proporciona la herramienta (la API); el riesgo de las estrategias realizadas con dicha herramienta lo asume el usuario.

Conclusión

Eliminar una API key filtrada en 5 segundos es la operación clave (efecto inmediato a nivel global). Después, revisa el registro de llamadas, modifica tu contraseña y contacta a soporte. La probabilidad de recuperar fondos tras el abuso de una API es del 30-50% (muy superior al < 5% del robo de cuentas), porque la mayoría de ataques son wash trading y no retiros directos. La prevención es lo más importante: al crear una API key, debes vincular obligatoriamente una lista blanca de IPs + desactivar el retiro + minimizar los permisos. Rota la key cada 3-6 meses, nunca subas el secret a un repositorio público de código y revisa periódicamente los registros de llamadas. Aplica límites estrictos a las API keys de herramientas de terceros (cierra el retiro sin excepción).