El punto principal

  • Las claves de la interfaz de programación de aplicaciones (API) se pueden utilizar para proporcionar un fácil acceso a los datos del usuario para ciertos programas.

  • Sin embargo, las claves API pueden verse comprometidas si no se administran adecuadamente. Aprender a utilizar sus claves API de forma segura es fundamental para evitar que sus activos se vean comprometidos.

  • Binance ahora admite pares de claves API RSA para mayor seguridad. Aprende cómo crearlo y usarlo.

Las claves API permiten a los usuarios acceder fácilmente a sus datos. Desde pares de claves RSA hasta listas blancas de claves API, aprenda cinco consejos de Binance para mantener sus claves API seguras.

Las claves de la interfaz de programación de aplicaciones (API) son una forma eficiente de proporcionar acceso a los datos del usuario para que ciertos programas actúen en nombre del usuario. Sin embargo, las claves API pueden introducir vulnerabilidades si no se almacenan y utilizan correctamente. Por ejemplo, un actor malicioso que roba o suplanta la clave API de su víctima podría potencialmente obtener acceso a los fondos de la víctima. Aprenda cómo mantener seguros sus activos con nuestros cinco consejos de seguridad de claves API.

1. No compartas tus claves con otras personas

La clave secreta (HMAC) y la clave privada (RSA) de su clave API son datos altamente confidenciales. Se recomienda encarecidamente no revelar esta información. Con esa clave, cualquiera puede iniciar solicitudes de API en su nombre sin ser detectado por nuestros sistemas de monitoreo de riesgos.

También debe verificar con frecuencia las claves API activas en su cuenta a través de la página de administración de API. Si sospecha que la seguridad de alguna clave API se ha visto comprometida, no dude en eliminarla y reemplazarla por una nueva. También es una buena idea eliminar con frecuencia las claves API antiguas y reemplazarlas por otras nuevas, de forma similar a algunos sistemas que requieren que las contraseñas se cambien cada 30 a 90 días, ya sea que las esté usando activamente o no.

2. Sea diligente en la gestión de accesos

Las claves API son una herramienta útil para el comercio automatizado, el seguimiento de posiciones y riesgos y los impuestos. Por lo tanto, puede verse tentado a habilitar todos los permisos para que una única clave API se utilice para múltiples propósitos, como el comercio de API y la consulta de datos. Sin embargo, esto reduce la seguridad de la clave: si su clave API se ve comprometida, los piratas informáticos pueden obtener acceso completo a su cuenta y a sus fondos.

Está más seguro si usa una clave API para una sola aplicación y habilita los permisos necesarios solo para ese propósito. Por ejemplo, si desea monitorear el riesgo comercial, declarar impuestos y ejecutar operaciones API al contado y de futuros, debe crear al menos cuatro claves, cada una para uno de los siguientes propósitos:

  1. Comercio al contado

  2. Comercio de futuros

  3. Consulta de datos fiscales

  4. Consulta de datos comerciales (permiso de solo lectura)

En Binance, puedes crear hasta 30 claves API para cada subcuenta.

3. Almacene los datos de su clave API de forma segura

Como se mencionó, si su clave API cae en manos de un delincuente, sus activos pueden verse comprometidos. Al igual que protege las claves privadas, no almacene los detalles de su API en texto sin formato. En su lugar, cifre o utilice un administrador de secretos confiable. También debes evitar el uso de soluciones basadas en la nube para almacenar tus claves API, ya que pueden ser vulnerables a la piratería.

También se recomienda que no almacene su clave API en el código fuente o repositorio de su aplicación.

Considere almacenar los datos de su clave API en archivos o variables de entorno fuera de los sistemas de administración de terceros que utiliza para evitar compartir su información personal con ellos.

Debido a que las claves privadas RSA admiten la protección con contraseña, los usuarios que usan claves RSA deben agregar una contraseña a cualquier clave privada RSA que posean.

4. Utilice la lista blanca de IP

Binance recomienda encarecidamente a los usuarios que utilicen la lista blanca de IP en todas sus claves API, independientemente de los permisos o el propósito de la clave API. Con la lista blanca de IP, solo se puede acceder a su clave API desde una dirección IP específica. Esto evita que actores malintencionados utilicen su clave API si está comprometida. Por lo tanto, debe incluir en la lista blanca todas las direcciones IP utilizadas para utilizar su clave API.

Cuidado con el fraude

Aunque las claves API no se pueden utilizar para iniciar solicitudes de extracción sin incluir IP en la lista blanca, debe proteger sus claves API. Si los piratas informáticos obtienen acceso a sus claves, pueden utilizar activos con volúmenes de negociación relativamente pequeños para realizar operaciones y desviar lentamente activos de su billetera. Al ejecutar compras de activos no deseados de cuentas de piratas informáticos e intercambiarlos por sus activos de primera línea (BTC, BNB, etc.), terminará siendo propietario de las altcoins que nunca tuvo la intención de comprar. En otras palabras, los piratas informáticos pueden utilizar su clave API para intercambiar sus activos por sus activos en mercados que tienen una liquidez relativamente baja.

Para evitar este tipo de fraude, Binance implementó una política de eliminación automática de claves API en diciembre de 2022. Si su clave API no utiliza una IP incluida en la lista blanca y está inactiva durante 30 días, se eliminará. Para evitar la eliminación automática, debe incluir su IP en la lista blanca.

5. Utilice el par de claves RSA

El par de claves RSA (Rivest-Shamir-Adleman) es un mecanismo que utiliza una clave pública y una clave privada para asegurar la transmisión de datos.

Con un par de claves RSA, no es necesario compartir la clave privada utilizada para crear la firma. Esto significa que mientras la clave privada se mantenga en secreto y segura, otros no pueden iniciar solicitudes auténticas en su nombre.

Binance ahora admite claves API RSA

Binance ahora admite claves API RSA. Ahora puede crear un par de claves públicas y privadas RSA, registrar la clave pública en Binance y usar la clave privada correspondiente para realizar solicitudes de API firmadas.

¿Cómo crear un par de claves RSA en Binance?

  1. Descargue la última versión del generador de claves RSA oficial.

  1. Inicie la aplicación. Puede crear, copiar o guardar claves. También puedes personalizar el tamaño de tus llaves.

  1. Para registrar su clave RSA a través de la aplicación Binance, vaya a [Perfil] - [Administración de API] - [Crear API] - [Crear clave API].

  1. Copie la clave pública del generador de claves RSA y luego péguela en el cuadro para registrarse.

  1. Ingrese un nombre para su clave API, haga clic en [Siguiente] y luego complete 2FA para completar el registro.

Para obtener más detalles, consulte nuestra guía sobre Cómo crear un par de claves RSA para enviar solicitudes de API en Binance.

Otras lecturas

  • (Anuncio) Binance ahora admite claves API RSA (29 de diciembre de 2022)

  • (Blog) Cómo identificar y evitar estafas de estafadores criptográficos comunes

  • (Blog) Servicios de recuperación de fondos falsos: cómo evitar este tipo de estafa

  • (Blog) Cómo reconocer y evitar el fraude P2P

  • (Blog) Un estafador crea un holograma mío con IA para defraudar proyectos criptográficos