Principal

  • Las claves de la interfaz del programa de aplicación (API) pueden brindar a ciertos programas un acceso conveniente a los datos del usuario.

  • Si las claves API no se administran correctamente, pueden verse comprometidas. Para proteger sus activos, los usuarios deben utilizar sus claves API de forma segura.

  • Binance ahora admite pares de claves API RSA para mayor seguridad. En este artículo veremos detalladamente cómo crearlos y usarlos.

Se requieren claves API para acceder a los datos. Aprenda 5 consejos de Binance para proteger sus claves API de diversas formas, desde pares de claves RSA hasta listas blancas.

Las claves de la interfaz de programación de aplicaciones (API) se pueden utilizar para otorgar acceso a programas específicos a los datos de un usuario y permitirles realizar acciones en nombre del usuario. Sin embargo, si se almacenan y utilizan incorrectamente, las claves API se vuelven vulnerables a los ataques. Si los atacantes los roban o manipulan, podrán obtener acceso a los fondos de los usuarios. Mantenga sus activos seguros con los cinco consejos de Binance para proteger sus claves API.

1. No entregues tu clave a terceros

La clave secreta (HMAC) y la clave privada (RSA) de su clave API son información confidencial. Le recomendamos encarecidamente que no lo revele a nadie. Con estos datos, cualquiera puede iniciar una solicitud API en su nombre y ni siquiera ser detectado por el sistema de monitoreo de riesgos.

Además, asegúrese de verificar sus claves API activas en la página de administración de API. Si sospecha que la seguridad de su clave API se ha visto comprometida, elimínela inmediatamente y reemplácela por una nueva. Vale la pena eliminar las claves API antiguas de vez en cuando y reemplazarlas por otras nuevas, del mismo modo que algunas plataformas requieren que cambie las contraseñas cada 30 a 90 días, independientemente de la frecuencia de uso.

2. Gestiona el acceso con cuidado

Las claves API son herramientas útiles para el comercio automatizado, el seguimiento de posiciones y riesgos y los impuestos. Por lo tanto, puede resultar tentador habilitar todos los permisos para una clave API y utilizarla para múltiples propósitos, por ejemplo, comercio de API y consulta de datos. Sin embargo, esto comprometerá seriamente la seguridad de la clave: si se ve comprometida, el hacker tendrá acceso completo a la cuenta y a los fondos.

Le recomendamos que utilice la clave API para una sola tarea y solo habilite los permisos necesarios. Por ejemplo, si desea realizar un seguimiento de los riesgos comerciales, generar informes fiscales y negociar spot y futuros a través de API, cree al menos cuatro claves, una para cada tarea:

  1. Comercio al contado

  2. Comercio de futuros

  3. Solicitar información fiscal

  4. Consultar detalles comerciales (permiso de solo lectura)

En Binance, puedes crear hasta 30 claves API por subcuenta.

3. Almacene los datos de su clave API de forma segura

Como se mencionó anteriormente, si sus claves API caen en manos de un atacante, puede robar sus activos. Al igual que las claves privadas, los datos de la API deben mantenerse seguros. Utilice software de cifrado o un servicio confiable de gestión de datos confidenciales. Evite las soluciones de almacenamiento de claves API basadas en la nube, ya que pueden ser vulnerables a la piratería.

Además, no se recomienda almacenar la clave API en el código fuente o en el almacenamiento de su aplicación. 

En cambio, los datos de la clave API se pueden almacenar en archivos o variables de entorno fuera de su sistema de administración de terceros para ayudar a proteger la información confidencial.

Dado que las claves privadas RSA admiten la protección con contraseña, es mejor agregar una contraseña a cada clave privada.

4. Utilice una lista blanca de IP

Binance recomienda encarecidamente que los usuarios utilicen una lista blanca de IP para todas las claves API, independientemente de sus permisos y propósitos. Una lista blanca de IP restringe el acceso a sus claves API para que solo las direcciones IP autorizadas puedan conectarse a ellas. Esto evitará que los atacantes utilicen sus claves API incluso si están comprometidas. Asegúrese de incluir en la lista blanca las direcciones IP que serán aprobadas para acceder a sus claves API.

Cuidado con los estafadores

Si bien los piratas informáticos no podrán retirar fondos a través de una clave API sin incluir la dirección IP en la lista blanca, es fundamental garantizar que las claves API estén protegidas. Después de todo, si un atacante logra acceder a ellos, podrá utilizar pequeñas cantidades para operar con pares y retirar gradualmente activos de su billetera. El hacker le venderá activos no deseados a cambio de sus blue chips (BTC, BNB, BUSD, etc.) y terminará dejándole con altcoins que no tenía intención de comprar. En otras palabras, puede utilizar claves API para intercambiar sus activos rentables por activos de baja liquidez.

Para evitar este tipo de fraude, Binance implementó una política de eliminación automática de claves API en diciembre de 2022. Si su clave API no está en la lista blanca de IP y está inactiva durante 30 días, se eliminará. Para evitar la eliminación automática, cree una lista blanca de direcciones IP.

5. Utilice pares de claves RSA

El par de claves RSA (Rivest-Shamir-Adleman) es un mecanismo que utiliza claves públicas y privadas para asegurar la transmisión de datos.

Cuando se utiliza un par de claves RSA, la clave privada necesaria para crear firmas permanece confidencial. Es decir, mientras la clave privada se mantenga en secreto, nadie más podrá iniciar una solicitud auténtica en su nombre.

Binance agrega soporte para claves API RSA

Binance ha agregado soporte para claves API RSA. Ahora puede crear pares de claves RSA públicas y privadas, registrar la clave pública en Binance y usar la clave privada correspondiente para crear y firmar solicitudes de API. 

Cómo crear un par de claves RSA en Binance

  1. Descargue la última versión del generador de claves RSA oficial.

  1. Inicie la aplicación. En él podrás generar, copiar y guardar claves, así como ajustar su tamaño.

  1. Registre su clave RSA a través de la aplicación Binance yendo a Perfil - Administración de API - Crear API - Clave API autogenerada.

  1. Copie la clave pública del generador de claves RSA y péguela en el campo de registro.

  1. Proporcione un nombre de clave API, haga clic en Siguiente y complete la autenticación de dos factores para completar el registro.

Para obtener más detalles, consulte la guía Cómo generar un par de claves RSA para enviar solicitudes de API a Binance.

Información adicional

  • (Anuncio) Binance ha agregado soporte para claves API RSA (29/12/2022)

  • (Blog) Cómo identificar y protegerse contra estafas de impostores

  • (Blog) Fraude de reembolso: cómo evitar ser estafado dos veces

  • (Blog) Cómo reconocer y evitar estafas comerciales P2P

  • (Blog) Los estafadores crearon un holograma de IA mío para defraudar proyectos criptográficos