Cómo utilizar una clave API de forma segura: 5 consejos de Binance

Conclusiones principalesLas claves de la interfaz de programación de aplicaciones (API) se pueden utilizar para otorgar a ciertos programas un acceso conveniente a los datos del usuario.
Sin embargo, las claves API pueden verse comprometidas si no se administran adecuadamente. Aprender a utilizar sus claves API de forma segura es esencial para evitar que sus activos se vean comprometidos.
Binance ahora admite pares de claves API RSA para mayor seguridad. Descubra cómo generarlos y utilizarlos.
Las claves API permiten a los usuarios acceder a sus datos cómodamente. Desde pares de claves RSA hasta listas blancas de claves IP, aprenda cinco consejos de Binance para mantener seguras sus claves API.
¿Qué es una Clave API?Las interfaces de programación de aplicaciones (API) son una forma eficiente de otorgar a ciertos programas acceso a los datos del usuario, permitiéndoles actuar en nombre del usuario. Con las API, los datos pueden ser extraídos de Binance para interactuar con aplicaciones externas según sea necesario. Sin embargo, las claves API pueden traer vulnerabilidades si no se almacenan y utilizan correctamente. Por ejemplo, actores maliciosos que roban o suplantan las claves API de sus víctimas podrían potencialmente acceder a sus fondos. Aprende a mantener tus activos seguros con nuestros cinco consejos de seguridad para claves API.
Cinco Consejos para Asegurar tus Claves API de Binance1. No Compartas Tu Clave API con OtrosLa clave secreta de tu API (HMAC) y la clave privada (Ed25519, RSA) son datos muy sensibles. Nunca compartas las claves API con terceros. Con la clave secreta de tu API, cualquiera puede iniciar una solicitud API en tu nombre sin ser detectado por nuestro sistema de monitoreo de riesgos.
También debes revisar frecuentemente las claves API activas en tu cuenta a través de la página de gestión de API. Si sospechas que la seguridad de alguna clave API está comprometida, cámbiala de inmediato. También es una buena idea rotar frecuentemente las claves API, de manera similar a como algunos sistemas requieren que se cambien las contraseñas cada 30-90 días, independientemente de si las usas activamente o no.
2. Sé Diligente en la Gestión de AccesoLas claves API son útiles para tareas como el comercio automatizado, la monitorización de posiciones y riesgos, y propósitos fiscales. Por lo tanto, puede ser tentador habilitar todos los permisos en una sola clave API y usarla para múltiples propósitos, como el comercio API y consultas de datos. Sin embargo, esto reduce la seguridad de la clave: si tu clave API se ve comprometida, un hacker podría obtener acceso total a tu cuenta y fondos.
Es más seguro usar una clave API para una sola aplicación y habilitar solo los permisos requeridos para ese propósito. Por ejemplo, si deseas monitorear el riesgo de comercio, reportar impuestos y ejecutar comercio de spot y futuros por API, deberías crear al menos cuatro claves, una para cada uno de los siguientes propósitos:
Comercio Spot
Comercio de Futuros
Consulta de Datos Fiscales
Consulta de Datos de Comercio (permiso de solo lectura)
En Binance, puedes crear hasta 30 claves API para cada subcuenta.
3. Almacena Tus Datos de Clave API de Forma SeguraComo se mencionó, si tus claves API caen en manos de un actor malicioso, tus activos pueden verse comprometidos. Al igual que protegerías tus claves privadas, no almacenes los detalles de tu API en texto plano. En su lugar, cifrarlos o utiliza un gestor de secretos confiable. También deberías evitar usar soluciones basadas en la nube para mantener tus claves API, ya que pueden ser vulnerables a ataques.
También se recomienda evitar almacenar tus claves API dentro del código fuente o repositorio de tu aplicación. Si estás utilizando Github u otros SCM, te recomendamos usar escáneres de secretos como gitLeaks o git-secrets para asegurarte de que tu token y otros secretos utilizados por tus herramientas no persistan en el repo.
Considera almacenar los datos de tu clave API en archivos o variables de entorno fuera del sistema de gestión de terceros que estás utilizando para evitar compartir tu información privada con ellos. Usa protección adicional con frase de paso para los archivos de clave privada.
4. Usa una Lista Blanca de IPRecomendamos encarecidamente que los usuarios utilicen una lista blanca de IP en todas sus claves API, independientemente de los permisos o propósitos de estas claves. Con una lista blanca de IP, tus claves API solo pueden ser accedidas desde direcciones IP específicas. Esto previene que actores maliciosos usen tus claves API en caso de que se vean comprometidas.
Aunque una clave API no puede ser utilizada para iniciar solicitudes de retiro sin una lista blanca de IP, hay otras formas en que las claves pueden ser abusadas. Si un hacker obtiene acceso a tus claves, podría usar activos con un volumen de comercio relativamente bajo para hacer comercio en pares y lentamente extraer activos de tu billetera. Ejecutar compras de activos no deseados desde la cuenta del hacker y comerciarlos con tus activos de primera línea (BTC, BNB, TUSD, etc.) eventualmente te dejará con altcoins que nunca tuviste la intención de comprar. En otras palabras, el hacker puede usar tus claves API para comerciar tus activos contra sus activos en un mercado que tiene una liquidez relativamente baja.
Para prevenir tales estafas, Binance ha implementado una política de eliminación automática de claves API. Si tu clave API no está en la lista blanca de IP y está inactiva durante 30 días, será eliminada. Para evitar la eliminación automática, debes crear tu lista blanca de IP.
También recomendamos ser diligente en el uso de bibliotecas y herramientas de terceros. Existen bibliotecas maliciosas diseñadas específicamente para exfiltrar claves API. Además de escáneres de virus y malware, considera usar una herramienta de análisis de composición de software (SCA) y revisar cuidadosamente las bibliotecas de terceros antes de incluirlas.
5. Usa Pares de Claves AsimétricasUn par de claves asimétricas es un mecanismo que utiliza claves públicas y privadas para asegurar la transmisión de datos. Con un par de claves asimétricas, la clave privada utilizada para crear firmas no tiene que ser compartida. Esto significa que, siempre que la clave privada se mantenga en secreto y segura, nadie más puede iniciar una solicitud auténtica en tu nombre.
Binance ahora admite el uso de claves Ed25519 y RSA (Rivest-Shamir-Adleman) para crear solicitudes API firmadas. El esquema de firma digital Ed25519 proporciona un alto grado de seguridad comparable a claves RSA de 3072 bits mientras tiene firmas mucho más pequeñas que son más rápidas de calcular.
Cómo Generar una Clave API en BinanceAhora puedes crear pares de claves públicas y privadas Ed25519 y RSA, registrar las claves públicas en Binance y usar la clave privada correspondiente para crear solicitudes API firmadas.
Guía Paso a Paso para Crear un Par de Claves AsimétricasDescarga la última versión de nuestro Generador de Claves Asimétricas oficial
Lanza la aplicación. Puedes generar, copiar o guardar claves. También puedes ajustar el tamaño de tu clave.
Para registrar tu clave pública a través de la App de Binance, ve a [Perfil] -> [Gestión de API] -> [Crear API] -> [Clave API autogenerada].
Copia la clave pública del generador de claves asimétricas y pégala en el cuadro para registrarla.
Ingresa un nombre para tu clave API, haz clic en [Siguiente] y completa el 2FA para completar el registro.
Para más detalles, consulta nuestra guía sobre Cómo Generar un Par de Claves Ed25519 para Enviar Solicitudes API en Binance.
5 Errores Comunes de Seguridad de Claves API que Debes EvitarCompartir Tu Clave API: Nunca compartas tus claves API con terceros. Hacerlo puede permitir el acceso no autorizado a tu cuenta, lo que podría llevar a una posible pérdida de fondos.
Habilitar Permisos Excesivos: Evita habilitar todos los permisos en una sola clave API. Usa claves separadas para diferentes propósitos para minimizar el riesgo si una clave se ve comprometida.
Almacenar Claves API de Manera Insegura: No almacenes tus claves API en texto plano o dentro del código fuente de tu aplicación. Usa cifrado o gestores de secretos confiables para mantenerlas seguras.
No Usar Listas Blancas de IP: Siempre utiliza una lista blanca de IP para restringir el acceso a tus claves API desde direcciones IP específicas, previniendo el uso no autorizado incluso si las claves están comprometidas.
Descuidar los Pares de Claves Asimétricas: Utiliza pares de claves asimétricas (Ed25519 o RSA) para crear solicitudes API firmadas, asegurando que tu clave privada permanezca segura.
Reflexiones FinalesAsegurar tus claves API es crucial para proteger tus activos y garantizar interacciones seguras con aplicaciones externas. Siguiendo las mejores prácticas como no compartir tus claves API, gestionar el acceso diligentemente, almacenar las claves de forma segura, usar listas blancas de IP y aprovechar los pares de claves asimétricas, puedes reducir significativamente el riesgo de acceso no autorizado y potencial pérdida de fondos. Mantente vigilante y proactivo en la gestión de tus claves API para mantener siempre tus activos digitales seguros en Binance.
Lectura AdicionalCómo Identificar y Evitar Estafas Comunes de Suplantación de Identidad en Cripto
Servicios de Recuperación Fraudulentos: Cómo No Caer en una Estafa Dos Veces
Cómo Detectar y Evitar Estafas y Fraudes P2P
.css-1iqe90x{box-sizing:border-box;margin:0;min-width:0;color:#EAECEF;}Conclusiones principales

¿Qué es una Clave API?

Cinco Consejos para Asegurar tus Claves API de Binance

1. No Compartas Tu Clave API con Otros

2. Sé Diligente en la Gestión de Acceso

3. Almacena Tus Datos de Clave API de Forma Segura

4. Usa una Lista Blanca de IP

5. Usa Pares de Claves Asimétricas

Cómo Generar una Clave API en Binance

Guía Paso a Paso para Crear un Par de Claves Asimétricas

5 Errores Comunes de Seguridad de Claves API que Debes Evitar

Reflexiones Finales

Lectura Adicional

Conclusiones principales
