Gratis Bot de Trading PersonalizadoGratis Bot de Trading DCAGratis Bot de Trading GridBot WebhookGratis Bot de Copy TradingGratis Bot Smart MoneyGratis Bot de Trading CRTGratis Bot de Trading AITerminal de TradingEntrenador de IANotificacionesBacktest
HyperliquidHyperliquidGRVTGRVTAsterDEXAsterDEXExtendedExtendedDecibelDecibelStandXStandXPhoenixPhoenix
PlantillasRanking
Centro de AyudaBlog
Tema
Idioma
Iniciar SesiónRegistrarse
securityapi keysafetytrading botbest practices

Crypto Bot API Seguridad de claves: una guía de seguridad completa

Crypto Bot API Seguridad de claves: una guía de seguridad completa
Por fomoed Team11 de abril de 20266 min de lectura

Cuando conecta un robot comercial a su intercambio, está entregando acceso a su cuenta a través de una clave API. Si se hace correctamente, esto es seguro y rutinario. Si se hace descuidadamente, es una invitación al desastre. Esta guía cubre todo lo que necesita saber sobre la seguridad de claves API para robots de comercio de cifrado.

Qué pueden y no pueden hacer las claves API

Una clave API es un par de cadenas (una clave pública (identificador) y una clave secreta (contraseña)) que permite que el software interactúe con su cuenta de intercambio mediante programación. Cuando creas una clave API, eliges qué permisos tiene.

La mayoría de los intercambios ofrecen tres niveles de permiso:

  • Sólo lectura: Puede ver saldos, posiciones e historial comercial.
  • Comercio: Puede realizar y cancelar pedidos, modificar posiciones.
  • Retiro: Puede enviar fondos desde el intercambio a direcciones externas

Para los robots comerciales, necesita permisos de lectura + comerciales. Tú nunca Necesita permisos de retiro. Éste es el principio de seguridad más importante.

La regla de oro: nunca permitir retiros

Si su clave API no puede retirar fondos, el peor de los casos de una clave comprometida son las transacciones no autorizadas, que pueden hacer perder dinero, pero no pueden drenar su cuenta a una billetera externa. En el momento en que habilitas los permisos de retiro, una clave filtrada se convierte en una herramienta para el robo total.

Ningún robot comercial legítimo solicitará permisos de retiro. Si lo hace, o está mal diseñado o es malicioso. Alejarse.

IP Whitelisting: Tu mejor defensa

IP whitelisting restringe su clave API para que funcione solo desde direcciones IP específicas. Incluso si alguien roba su clave y su secreto, no podrá usarlos a menos que se conecte desde su IP aprobada.

Cómo configurarlo:

  1. Encuentre la IP del servidor de su plataforma de bot (fomoed muestra esto en la configuración de conexión de Exchange)
  2. En la gestión API de tu exchange, agrega esa IP a la lista blanca
  3. Habilite la opción "restringir solo a IP incluidas en la lista blanca"
  4. Pruebe que su bot todavía se conecta correctamente

Para intercambios centralizados como Binance, Bybit y OKX, IP whitelisting es la medida de seguridad más sólida disponible. En Binance específicamente, las claves API sin restricción de IP tienen capacidades reducidas como medida de seguridad.

Alcance del permiso: acceso mínimo necesario

Aplicar el principio de privilegio mínimo:

  • Robot de comercio al contado: Habilite el comercio al contado únicamente, no el de futuros
  • Robot de futuros: Habilite el comercio de futuros únicamente, no al contado
  • Monitoreo de solo lectura: Si solo desea realizar un seguimiento de la cartera, utilice claves de solo lectura

Algunos intercambios le permiten restringir a qué pares comerciales puede acceder una clave API. Si el suyo lo hace y solo está intercambiando BTC/USDT, restrinja la clave a ese par.

Almacenamiento de claves de forma segura

Su secreto API se muestra una vez cuando se crea. Después de eso, el intercambio nunca más lo muestra. He aquí cómo manejarlo:

  • Nunca almacenar claves en archivos de texto sin formato, capturas de pantalla o correos electrónicos
  • Nunca pegar claves en chats, servidores de Discord o tickets de soporte
  • Nunca confirmar claves para repositorios de git (incluso los privados)
  • Utilice un administrador de contraseñas (Bitwarden, 1Password) para copias de seguridad personales
  • Si debe almacenarlos localmente, utilice una bóveda cifrada

Al ingresar claves en una plataforma de bot, verifique que esté en el sitio legítimo (verifique la URL, verifique el certificado) y que la conexión sea HTTPS.

Qué hacer si una clave se ve comprometida

Si sospecha que su clave API se ha filtrado o se ha visto comprometida:

  1. Inmediatamente inicie sesión en su intercambio y elimine la clave API
  2. Verifique su historial comercial reciente para detectar actividades no autorizadas
  3. Verifique su historial de retiros (incluso si los retiros no estaban habilitados, verifique)
  4. Cree una nueva clave API con credenciales nuevas
  5. Investigue cómo se produjo la filtración: ¿malware? ¿Suplantación de identidad? ¿Pantalla compartida?
  6. Habilite 2FA en su cuenta de Exchange si aún no está activo

Eliminar la clave es instantáneo e irreversible para el atacante. No lo dudes: elimina primero, investiga después.

Cómo fomoed maneja sus claves

La transparencia sobre las prácticas de seguridad es importante. Así es como fomoed protege sus credenciales API:

  • Almacenamiento cifrado: Las claves se cifran en reposo mediante cifrado AES-256. Nunca se almacenan en texto plano.
  • Sin acceso a retiros: La plataforma nunca solicitará ni aceptará claves con permisos de retiro habilitados.
  • Sólo del lado del servidor: Sus claves API solo se utilizan en el lado del servidor para la ejecución comercial. Nunca se envían al frontend ni se exponen en el tráfico del navegador.
  • Retención mínima: Si desconecta un intercambio, sus claves se eliminan de nuestros sistemas.

Para nuestro Hyperliquid integración, utilizamos un enfoque completamente diferente: autenticación basada en billetera con billeteras de agentes que tienen permisos limitados, lo que elimina las claves API por completo.

DEX Autenticación basada en billetera: la alternativa

Los intercambios descentralizados como Hyperliquid no usan claves API. En su lugar, conecta su billetera y aprueba una billetera de agente, una subclave con permisos solo comerciales que no puede transferir fondos fuera del intercambio.

Esto tiene ventajas de seguridad:

  • No hay ningún secreto que filtrar (la aprobación del agente está en cadena)
  • Los permisos se aplican mediante contratos inteligentes, no políticas de intercambio
  • Puede revocar el acceso del agente a la cadena en cualquier momento
  • No se necesita IP whitelisting (los permisos se aplican criptográficamente)

La desventaja es que la seguridad de la billetera se vuelve crítica: si la clave privada de su billetera se ve comprometida, el atacante tiene control total. Utilice carteras de hardware para fondos importantes.

Lista de verificación de seguridad para comerciantes de bots

Antes de conectar cualquier bot a cualquier intercambio, verifique estos elementos:

  • Permisos de retiro deshabilitados en la clave API
  • Lista blanca de IP configurada (para CEX)
  • 2FA habilitado en cuenta de intercambio
  • API permisos clave coinciden con las necesidades del bot (ni más ni menos)
  • La plataforma bot utiliza HTTPS y almacenamiento de claves cifradas
  • Tienes una copia de seguridad de la clave en un administrador de contraseñas
  • Sabes cómo eliminar rápidamente la clave si es necesario.

Comience a operar de forma segura

La seguridad no tiene por qué ser complicada. Deshabilite los retiros, habilite IP whitelisting y utilice una plataforma que maneje las claves de manera responsable. Para obtener un tutorial más profundo sobre cómo comenzar de manera segura, consulte nuestro guía para principiantes sobre el comercio automatizado. Con fomoed, puedes configura tu cuenta gratis y conecte su intercambio con la confianza de que sus claves se manejan con prácticas de seguridad y cifrado adecuadas.