Conclusión directa: Si ya no usas una clave API (API Key) de Binance, debes eliminarla en la página de "Gestión de API", no solo "desactivarla". La eliminación es irreversible, mientras que una API desactivada puede ser reactivada por alguien más. Después de borrarla, es buena idea revisar los dispositivos de inicio de sesión de tu cuenta y los registros recientes de llamadas a la API. Para hacer esto, ingresa a través del Sitio oficial de Binance; los usuarios de Android pueden ir a la APP oficial de Binance, y los de Apple pueden revisar el Tutorial de instalación para iOS para descargarla.
Aproximadamente el 30% de los hackeos de cuentas en Binance ocurren a través de claves API en lugar de contraseñas de inicio de sesión directas. Muchos usuarios olvidan eliminar las claves API después de usar bots, plataformas de comercio cuantitativo o herramientas de copy trading, lo que equivale a dejar una puerta trasera abierta permanentemente a sus cuentas. Este artículo explica cómo limpiarlas por completo.
Por qué debes eliminar la API en lugar de solo desactivarla
Binance ofrece dos formas de gestionar el estado de una API:
| Acción | ¿Es reversible? | Nivel de seguridad |
|---|---|---|
| Desactivar API | Sí | Bajo |
| Eliminar API | No | Alto |
Desactivar es solo un apagado temporal. Si tu cuenta es vulnerada, los piratas informáticos pueden reactivar la API fácilmente. Eliminarla borra la clave de la base de datos por completo; un pirata informático no tiene forma de revivir una clave eliminada.
La regla general es: Si no la vas a usar a corto plazo, desactívala; si no la vas a usar a largo plazo o nunca más, elimínala. Si estás seguro de que no la volverás a utilizar, no hay motivo para conservarla.
Pasos para eliminar la API
Paso 1: Ir a la página de Gestión de API
Después de iniciar sesión en Binance:
- En la web: Cuenta → Gestión de API
- En la APP: Cuenta → Configuración → Gestión de API
La página mostrará una lista con todas las API Keys que has creado. Cada clave muestra:
- Nombre (el que le diste al crearla)
- Fecha de creación
- Nivel de permisos (Solo lectura / Trading en Spot / Futuros / Retiros)
- Fecha del último uso
Paso 2: Verificar el último uso de cada API
Si el último uso de una API fue hace más de 30 días, generalmente es seguro asumir que ya no la usas. No obstante, asegúrate de que esa API no esté ejecutando estrategias a largo plazo:
- Bots de comercio cuantitativo: Podrían hacer llamadas diariamente.
- Herramientas de copy trading: Realizan llamadas continuamente durante el período de copia.
- Software de declaración de impuestos: Podrían hacer llamadas una vez al mes o cada trimestre.
Si no estás seguro, desactívala temporalmente por una semana y, si no experimentas ningún problema de funcionamiento, elimínala.
Paso 3: Ejecutar la eliminación
Encuentra la clave que quieres eliminar → haz clic en el botón "Eliminar". El sistema te pedirá una verificación de tres pasos:
- Código de verificación del correo electrónico
- Código dinámico de 6 dígitos del Google Authenticator
- Código por SMS del teléfono móvil (si está vinculado)
Una vez introducidos los tres códigos, la clave se eliminará de inmediato y de forma irreversible.
Paso 4: Confirmar que la eliminación fue exitosa
Actualiza la página y verifica que la clave ya no aparece en la lista. Las claves desactivadas seguirán apareciendo en gris, pero las claves eliminadas desaparecen por completo.
Situaciones en las que debes eliminar la API inmediatamente
Independientemente de si estás usando la API o no, elimínala de inmediato en cualquiera de los siguientes escenarios:
Situación 1: Tu API Secret se subió accidentalmente a GitHub
Si incluyes tu API Secret en el código que publicas en un repositorio público de GitHub, los escáneres automáticos lo encontrarán en cuestión de segundos. Los hackers tienen bots diseñados específicamente para encontrar contraseñas filtradas y te vaciarán la cuenta en minutos. Si se filtra un API Secret:
- Elimina de inmediato esa API en Binance.
- Al crear una nueva, NO selecciones el permiso "Permitir retiros".
- Configura una lista blanca de IP.
- Mueve el código con contraseñas a archivos
.gitignoreo usa variables de entorno.
Situación 2: La plataforma de comercio cuantitativo fue hackeada o cerró
Si ocurre un incidente de seguridad con herramientas de comercio automatizado de terceros (como 3Commas, Pionex, etc.):
- Si la plataforma fue hackeada: Los hackers pueden tener todas las API Keys de los usuarios.
- Si la plataforma cerró sospechosamente (rug pull): Sus operadores pueden intentar operaciones maliciosas antes de irse.
Cualquiera que sea la plataforma, una vez que dejes de usarla, elimina inmediatamente la API, no dejes los permisos a merced del proveedor anterior.
Situación 3: Dejaste de hacer Copy Trading
Después de que el período de copy trading expira o se cancela activamente, la API Key que le otorgaste a ese tercero sigue siendo válida. No eliminarla activamente equivale a seguir permitiéndoles el acceso. Podrán seguir viendo tu saldo e historial de transacciones.
Situación 4: Descubres una clave API que no reconoces
Si entras en la sección "Gestión de API" y ves una clave que no recuerdas haber creado, elimínala de inmediato y comienza con protocolos de seguridad de emergencia:
- Cambia tu contraseña.
- Restablece el método de autenticación en dos pasos (2FA).
- Cierra la sesión en todos los dispositivos.
- Solicita la congelación de la cuenta.
Esta es una señal clara de que tu cuenta ha sido comprometida.
Mejores prácticas de configuración de seguridad para API
Si tienes que seguir utilizando ciertas APIs (por ejemplo, para bots cuantitativos), sigue estas pautas de protección:
Regla 1: NUNCA habilites "Permitir retiros" (Withdrawals)
Al crear una API en Binance, puedes darle hasta 4 tipos de permisos:
| Permiso | Propósito | Recomendado |
|---|---|---|
| Lectura (Read) | Consulta de saldo e historial de órdenes | Sí |
| Habilitar Trading Spot y Margin | Crear y cancelar órdenes | Si es necesario |
| Habilitar Retiros | Sacar monedas de la cuenta | NUNCA Habilitar |
| Habilitar Transferencias Universales | Transferencias entre subcuentas | Si es necesario |
Mientras no marques la casilla "Permitir retiros", incluso si los hackers roban la API, no pueden sacar dinero de tu cuenta. Podrían realizar transacciones maliciosas dentro de la plataforma, pero los fondos nunca saldrán de Binance. Esta es la línea de defensa más importante.
Regla 2: Configura una lista blanca de IP (IP Whitelist)
Al crear una API, puedes especificar a qué direcciones IP se les permite hacer llamadas. Una vez configurado:
- Solo los IP en la lista blanca pueden acceder.
- Cualquier otro intento desde una IP no listada arrojará el error 403.
Cuándo usarlo:
- Si tu bot o estrategia se ejecuta en un VPS con IP fija, agrega la IP del VPS.
- Si utilizas tu PC con la misma dirección IP por un largo plazo, añade tu propia IP.
Cuándo no es conveniente:
- Dispositivos móviles que cambian de red con frecuencia.
- Uso de VPN, donde la IP cambia constantemente.
Regla 3: Una API para cada herramienta
No utilices la misma API Key para múltiples aplicaciones diferentes. Crea claves separadas para cada servicio; si hay algún problema de vulnerabilidad, solo necesitarás borrar esa en específico sin afectar al resto. Nombra a las APIs de manera clara para identificarlas rápidamente:
- "3Commas-Spot"
- "PionexBot-Futuros"
- "InformeImpuestos-SoloLectura"
Regla 4: Rotación periódica
Cambia tus claves API proactivamente cada 6 a 12 meses:
- Borra la clave antigua.
- Crea una nueva con los mismos permisos y un nombre idéntico.
- Actualiza la Secret Key en la herramienta de terceros.
Rotar las claves disminuye el riesgo de exposición derivado de la conservación de la misma clave durante largos periodos.
Pasos de comprobación después de eliminar la API
Una vez eliminada la API, siempre debes verificar lo siguiente:
- Historial de órdenes: Comprueba en los últimos 30 días si hay operaciones que no reconozcas.
- Cambios en activos: Verifica si el saldo general se ajusta a lo que esperas tener.
- Órdenes en P2P (OTC): Revisa si hay transacciones sospechosas.
- Registro de actividad de la cuenta: Ve a Cuenta → Seguridad → Registros de seguridad, y observa todos los movimientos de las APIs.
Si detectas cualquier tipo de anomalía, congela tu cuenta de inmediato.
Preguntas Frecuentes (FAQ)
P: ¿Puedo eliminar varias API a la vez en lote?
No. Por razones de seguridad, Binance requiere que cada API sea eliminada individualmente completando el protocolo de autenticación (2FA). Esto se hace para evitar eliminaciones accidentales o el uso de scripts automatizados para la eliminación de claves legítimas.
P: ¿Eliminar una API afectará los fondos que tengo en mi cuenta?
No, en absoluto. La clave API solo es una credencial de acceso de permisos, eliminarla no altera los activos, las órdenes ni el registro histórico.
P: ¿Qué pasa con las órdenes en curso (pendientes) si elimino la API?
La eliminación de la API no afecta a las órdenes limit limitadas que ya se han emitido, puesto que estas ya se alojan en el servidor de Binance y seguirán el curso previsto. No obstante, las herramientas de terceros no podrán hacer alteraciones o cancelar la orden mediante la API borrada, y requerirá que intervengas manualmente ingresando en la plataforma.
P: ¿Puedo verificar el registro histórico de llamadas a mi API?
Sí. Ve a Cuenta → Seguridad → Historial de inicio de sesión de la cuenta (Security Log), aquí figuran las actividades de la API, donde podrás revisar las direcciones de IP, horarios y el tipo de operación. Es el primer lugar donde debes revisar si sospechas de la exposición de tu API.
P: ¿Existe un límite de cantidad de API Keys permitidas?
Los usuarios regulares tienen un límite máximo de 30 claves API activas. Los niveles VIP tienen mayores capacidades. Eliminar claves antiguas permite liberar espacio para incorporar nuevas herramientas.
P: Eliminé mi API por error. ¿Qué puedo hacer?
La eliminación es irreversible. Sin embargo, puedes crear rápidamente otra clave asignándole el mismo nombre, reconfigurando todos sus permisos y la lista blanca de IP. Posterior a la creación de este nuevo acceso, recuerda reemplazar los datos y credenciales en el programa o sistema de terceros donde operaba la antigua clave.
P: ¿Qué es más sensible? ¿La "API Key" o la "Secret Key"?
Ambos elementos son sumamente delicados, pero es la "Secret Key" la que nunca debe ser expuesta. La API Key se asemeja al nombre de usuario, mientras la Secret a la contraseña. La API Key interviene a lo largo de las transmisiones dentro de la conexión de la red de tráfico (a pesar del cifrado criptográfico), mientras que la Secret Key jamás será transmitida por vías online, operando y existiendo solo a nivel de sistema local dentro de los parámetros de encriptamiento digital por firmas. Exponer y comprometer una Secret Key representa la vulneración absoluta e instantánea de los permisos para acceder.
Resumen
Asegúrate de eliminar las claves API de Binance inmediatamente después de dejar de usarlas, en lugar de recurrir simplemente a la opción de "Desactivar" para no dejar puntos vulnerables a la posteridad. Antes de borrarlas por completo, cerciórate que tales accesos no cuenten con funciones prolongadas de automatización. Tras completarse la supresión de las mismas, evalúa el balance temporal de 30 días a efectos de identificar cualquier actividad anómala. Para las API que siguen trabajando continuamente, jamás debes tildar la opción de "Permitir Retiros (Withdrawals)" bajo ningún motivo y de ser viable, siempre deberás limitar o confinar las operaciones empleando listas blancas de IPs (IP Whitelists). Procura alternar voluntariamente el sistema de API Key rotándolas tras cada ciclo de 6 a 12 meses como precaución definitiva en contra del espionaje prolongado de credenciales.