La filtración de llaves API de Binance es una de las tres causas principales de robo de cuentas: subir código a GitHub por error, enviar capturas de pantalla a grupos, guardar en archivos JSON sin cifrar o empleados que se llevan las credenciales al renunciar. El núcleo de la seguridad consiste en nunca escribir las llaves directamente en el código, cifrarlas en almacenamiento estático, descifrarlas y cargarlas solo al iniciar el proceso y rotarlas periódicamente. Este artículo cubre 6 soluciones principales de almacenamiento con ejemplos de código completos. Antes de configurar, crea una llave con los permisos adecuados en la gestión de API del sitio oficial de Binance; también puedes descargar la App oficial de Binance para consultar en cualquier momento tu lista de llaves creadas. Este artículo se desarrolla en 8 secciones: causas de filtración, variables de entorno, gestores de llaves, secretos en la nube, estrategias de rotación, listas blancas de IP, registros de auditoría y respuesta ante emergencias.
I. ¿Por qué el almacenamiento en texto plano equivale a perder tus activos?
Estadísticas de rutas comunes de filtración (revisión de la comunidad)
| Ruta | Porcentaje | Caso típico |
|---|---|---|
| Código subido a GitHub/GitLab | 35% | No añadir .env al gitignore, pérdida de AWS y Binance simultáneamente |
| Capturas en chats grupales/Slack | 20% | Enviar captura con la llave visible al depurar |
| Archivos en texto plano en la nube | 15% | Robo de cuentas de iCloud/Google Drive |
| Empleados que renuncian | 12% | La empresa no tiene un proceso de rotación de llaves |
| Interceptación (Man-in-the-Middle) en WiFi pública | 8% | Captura de paquetes HTTP (Binance usa HTTPS, por lo que esto es raro) |
| Filtración en imágenes de Docker | 5% | Usar ENV BINANCE_SECRET=... en el Dockerfile y subirlo a Hub |
| Otros | 5% | — |
En GitHub existen bots como trufflehog o gitleaks escaneando 24/7 en busca de patrones de llaves API de Binance. El tiempo entre la filtración y el retiro de fondos suele ser de solo 5 a 15 minutos.
Características de la Binance API Key
Formato de API Key: 64 caracteres hexadecimales
Ejemplo: X1uKq3... (64 chars)
Formato de Secret Key: 64 caracteres hexadecimales
Identificación por Regex: [A-Za-z0-9]{64}
Si se filtran la Key y el Secret, un atacante puede llamar directamente a /sapi/v1/capital/withdraw/apply para retirar fondos, siempre que el permiso de retiro (Withdraw) no esté desactivado. Incluso si está desactivado, podría manipular precios en pares de baja liquidez para realizar arbitraje contra su propia cuenta (lavado de dinero).
II. Solución A: Variables de entorno (Lo más básico)
Método de configuración
# En ~/.zshrc o ~/.bashrc
export BINANCE_API_KEY="X1uKq3...64 caracteres"
export BINANCE_API_SECRET="abcDef...64 caracteres"
# Cargar cambios
source ~/.zshrc
# Verificar
echo $BINANCE_API_KEY | head -c 8
Carga en Python
import os
import sys
API_KEY = os.getenv('BINANCE_API_KEY')
API_SECRET = os.getenv('BINANCE_API_SECRET')
if not API_KEY or not API_SECRET:
print('ERROR: Faltan las variables BINANCE_API_KEY / BINANCE_API_SECRET')
sys.exit(1)
# Uso
from binance.client import Client
client = Client(API_KEY, API_SECRET)
Carga en Node.js
const API_KEY = process.env.BINANCE_API_KEY;
const API_SECRET = process.env.BINANCE_API_SECRET;
if (!API_KEY || !API_SECRET) {
console.error('Faltan las credenciales de Binance');
process.exit(1);
}
const Binance = require('node-binance-api');
const client = new Binance().options({
APIKEY: API_KEY,
APISECRET: API_SECRET,
});
Ventajas y riesgos
Ventajas: Sin dependencias, uso directo.
Riesgos: El comando env puede imprimir todas las variables; los registros del contenedor pueden incluirlas; los procesos secundarios heredan el entorno. Solo apto para desarrollo local, no recomendado para producción.
III. Solución B: dotenv + gitignore
Estructura de directorios
/project
.env <- Llaves reales, NUNCA se sube
.env.example <- Plantilla con marcadores de posición
.gitignore
requirements.txt
strategy.py
Contenido de .env
BINANCE_API_KEY=X1uKq3...64 caracteres
BINANCE_API_SECRET=abcDef...64 caracteres
BINANCE_SUB_ALPHA_KEY=yyy...
BINANCE_SUB_ALPHA_SECRET=zzz...
Contenido obligatorio en .gitignore
.env
.env.*
!.env.example
*.pem
*.key
secrets/
credentials.json
node_modules/
__pycache__/
Python dotenv
from dotenv import load_dotenv
load_dotenv()
import os
API_KEY = os.getenv('BINANCE_API_KEY')
Antes de subir a GitHub, ejecuta git status para confirmar que .env está en la sección de "archivos no rastreados" (untracked files) y no en el área de preparación (staged).
Prevención de filtraciones con ganchos pre-commit
Instala el framework pre-commit junto con gitleaks:
# .pre-commit-config.yaml
repos:
- repo: https://github.com/gitleaks/gitleaks
rev: v8.18.0
hooks:
- id: gitleaks
Tras ejecutar pre-commit install, cada git commit escaneará el diff en busca de llaves API, bloqueando el commit si encuentra alguna.
IV. Solución C: Almacén de llaves del sistema operativo
macOS Keychain
# Guardar
security add-generic-password \
-a binance \
-s binance-api-key \
-w "X1uKq3..."
# Leer
security find-generic-password \
-a binance \
-s binance-api-key \
-w
Lectura en Python:
import subprocess
def get_secret(name):
result = subprocess.run(
['security', 'find-generic-password', '-a', 'binance', '-s', name, '-w'],
capture_output=True, text=True
)
return result.stdout.strip()
API_KEY = get_secret('binance-api-key')
API_SECRET = get_secret('binance-api-secret')
Windows Credential Manager
# Guardar
cmdkey /generic:BinanceAPIKey /user:binance /pass:X1uKq3...
# Uso más amigable mediante el módulo SecretManagement de PowerShell
Install-Module Microsoft.PowerShell.SecretManagement
Register-SecretVault -Name BinanceVault -ModuleName Microsoft.PowerShell.SecretStore
Set-Secret -Name BinanceApiKey -Secret "X1uKq3..."
Linux libsecret / keyring
pip install keyring
import keyring
keyring.set_password('binance', 'api-key', 'X1uKq3...')
API_KEY = keyring.get_password('binance', 'api-key')
La ventaja de los almacenes del sistema es que están protegidos por el estado de inicio de sesión del usuario; al bloquear la pantalla, se requiere reautenticación para leerlos.
V. Solución D: Cloud Secrets Manager (Recomendado para producción)
AWS Secrets Manager
- Crear Secreto en la consola: Nombre =
prod/binance/main - Valor = JSON:
{
"api_key": "X1uKq3...",
"api_secret": "abcDef...",
"created": "2026-04-14",
"rotation_days": 90
}
- Vinculación de Rol IAM: Solo el rol de instancia
ec2-binance-botpuede realizarsecretsmanager:GetSecretValue.
Lectura en Python:
import boto3
import json
sm = boto3.client('secretsmanager', region_name='ap-northeast-1')
resp = sm.get_secret_value(SecretId='prod/binance/main')
secrets = json.loads(resp['SecretString'])
API_KEY = secrets['api_key']
API_SECRET = secrets['api_secret']
Costo: $0.40/secreto/mes + $0.05 por cada 10,000 lecturas.
HashiCorp Vault
# Escribir
vault kv put secret/binance/main \
api_key="X1uKq3..." \
api_secret="abcDef..."
# Leer
vault kv get -format=json secret/binance/main
Lectura en Python:
import hvac
client = hvac.Client(url='https://vault.company.com:8200', token=os.getenv('VAULT_TOKEN'))
resp = client.secrets.kv.v2.read_secret_version(path='binance/main')
API_KEY = resp['data']['data']['api_key']
API_SECRET = resp['data']['data']['api_secret']
GCP Secret Manager / Azure Key Vault
El concepto es el mismo: Crear → Autorización IAM → Lectura mediante SDK. Elige el de tu proveedor de nube principal.
VI. Estrategia de rotación de llaves
Ritmo de rotación
| Escenario | Frecuencia |
|---|---|
| Estrategias cuantitativas en producción | Cada 90 días |
| Testnet / Cuentas de prueba | Cada 180 días |
| Herramientas de terceros (TradingView, etc.) | Cada 60 días |
| Sospecha de filtración | Inmediatamente (en menos de una hora) |
| Renuncia de empleado | En menos de 24 horas |
Proceso de rotación sin tiempo de inactividad
Día 0 T+0h Crear llave API #2 (nueva)
Día 0 T+1h Escribir #2 en el Secrets Manager
Día 0 T+2h Actualización del servicio, cambiar a #2
Día 0 T+3h Confirmar que la nueva llave funciona correctamente
Día 0 T+24h Eliminar la llave antigua #1 en Binance
Mantener ambas llaves en paralelo durante 24 horas garantiza una transición fluida sin dejar órdenes pendientes sin completar.
VII. Vinculación con lista blanca de IPs
No basta con guardar bien la llave; es obligatorio vincularla a una lista blanca de IPs.
Pasos para la vinculación
- Gestión de API (API Management) → Editar la llave → Edit Restrictions
- Seleccionar Restrict access to trusted IPs only
- Ingresar las IPs públicas IPv4/IPv6 de tus servidores (máximo 30)
- Guardar → Verificación 2FA
Lista típica de IPs
# Instancias EC2 Tokio
54.248.xxx.xxx
54.248.xxx.yyy
# Google Cloud Taiwán
35.194.xxx.xxx
# Home Office (solo para desarrollo)
IP pública dinámica (no recomendado, es mejor usar la IP de salida de una VPN)
# IPv6
2406:da18:xxxx::1
Consecuencias de no tener lista blanca
Sin lista blanca de IPs, Binance permite llamadas desde cualquier dirección, lo que hace que una llave filtrada sea utilizable globalmente. Vincular una lista blanca reduce el impacto de "global" a solo "tus rangos de IP", de modo que incluso si la llave se sube a GitHub, un atacante no podrá usarla desde su propia red.
VIII. Registros de auditoría y respuesta ante emergencias
Auditoría periódica
La página de gestión de API de Binance muestra para cada llave:
- Last used: Fecha de la última llamada
- Last IP: Última IP que realizó una llamada
- Total calls (24h): Volumen de llamadas en las últimas 24 horas
Si detectas que la Last IP no es la tuya o que las llamadas se han multiplicado por 10, es señal de una posible anomalía.
Lista de verificación de respuesta ante emergencias
0-5 min: Gestión de API → Eliminar todas las llaves sospechosas de filtración
5-15 min: Reemplazar por llaves nuevas en Secrets Manager/Vault
15-30 min: Verificar que todos los servicios activos funcionen correctamente
30-60 min: Revisar registros de operaciones y retiros de las últimas 24 horas
60-120 min: Si hay operaciones sospechosas, contactar a soporte para congelar la cuenta
Preguntas frecuentes FAQ
P1: ¿Puedo poner la llave API en las variables de entorno de CI/CD?
R: Sí, pero no se recomienda guardarlas en texto plano en GitHub Actions Secrets o GitLab CI Variables. Lo mejor es que el CI obtenga la llave dinámicamente de Secrets Manager mediante OIDC o un rol de IAM.
P2: ¿Cómo inyectar de forma segura la llave API en un contenedor Docker?
R: Hay tres formas: ① Docker secret (Swarm/K8s secret); ② Inyectar desde las variables de entorno del host al ejecutar docker run -e; ③ Usar el patrón Sidecar donde otro contenedor monta un agente de Vault para generar tokens temporales. Evita usar ENV en el Dockerfile.
P3: ¿Cómo guarda las llaves de forma segura un software de trading de escritorio?
R: Debe usar el almacén de llaves nativo del sistema (Keychain/Credential Manager/libsecret) y requerir que el sistema esté desbloqueado al iniciar el software. No intentes implementar tu propio cifrado AES en archivos, es propenso a errores.
P4: Si borro un commit de GitHub donde subí una llave, ¿estoy seguro?
R: No. El historial de commits de GitHub se puede recuperar mediante reflog, y los bots capturan la información en menos de 5 minutos tras la subida. Debes inmediatamente: ① Eliminar la llave en Binance; ② Revisar tus activos; ③ Limpiar el historial de Git con git filter-repo o bfg-repo-cleaner; ④ Rotar cualquier otra credencial relacionada.
P5: ¿Cómo sé si mi llave se ha filtrado?
R: Hay tres señales: ① La Last IP en Binance no es la tuya; ② Aparecen órdenes no autorizadas en tu historial; ③ Recibes notificaciones de control de riesgo por llamadas frecuentes a la API. Si ocurre alguna, elimina la llave de inmediato.
Continúa explorando: Vuelve a la navegación de categorías para entrar en «Integración API» y ver tutoriales sobre firmas, límites de frecuencia y más.