¿Es seguro darle la clave API (API key) a un bot P2P?
Respuesta directa sobre los riesgos reales de conectar tu Binance o Bybit a un bot P2P: qué permisos pedir, qué nunca activar, y cómo Pilotbot protege tus claves.
Pilotbot Team
Author
On this page
- El miedo real y por qué tiene sentido
- Qué puede y qué no puede hacer una clave API según sus permisos
- Pasos para crear una clave API segura
- En Binance
- En Bybit
- Cómo protege Pilotbot tus claves API
- Qué hacer si sospechas que algo salió mal
- Preguntas que vale la pena hacerse antes de conectar cualquier herramienta
- Una aclaración importante
- FAQ
Respuesta corta: Sí, es seguro — pero solo si le das al bot permisos correctamente limitados. La regla más importante: nunca actives el permiso de Retiro (Withdrawal). Una clave API sin permiso de retiro no puede mover tus fondos fuera de la exchange, sin importar quién tenga acceso a ella. Pilotbot solo requiere permisos de lectura y gestión de anuncios P2P.
El miedo real y por qué tiene sentido
Es completamente razonable dudar antes de entregar una clave API de tu cuenta de Binance o Bybit a cualquier herramienta externa. Las claves API son credenciales de acceso a tu cuenta, y si caen en manos equivocadas o se usan con los permisos incorrectos, pueden causar daño.
El punto clave es que los exchanges modernos diseñaron el sistema de permisos de API precisamente para este caso: puedes dar acceso parcial y controlado a una herramienta sin comprometer el acceso a tus fondos.
Qué puede y qué no puede hacer una clave API según sus permisos
Los exchanges dividen los permisos en categorías independientes. Solo tú decides cuáles activas al crear la clave.
| Permiso | Qué permite | ¿Necesita Pilotbot? |
|---|---|---|
| Leer información | Ver saldos, historial, anuncios | Sí |
| P2P / Gestión de anuncios | Actualizar precio de anuncios | Sí |
| Trading (Spot, Futuros) | Colocar órdenes de compra/venta | No — no actives |
| Transferencia interna | Mover fondos entre sub-cuentas | No — no actives |
| Retiro (Withdrawal) | Enviar fondos a wallets externas | No — NUNCA actives |
Una clave API con solo los dos primeros permisos puede actualizar el precio de tu anuncio P2P y nada más. No puede retirar, no puede comprar, no puede vender en Spot, no puede transferir.
Pasos para crear una clave API segura
En Binance
- Inicia sesión → perfil superior derecho → Gestión de API → Crear clave de API.
- Tipo: API generada por el sistema.
- Activa: Habilitar lectura y Habilitar P2P.
- Desactiva todo lo demás. Especialmente: Retiro, Transferencia universal, Margen, Futuros.
- Si tu IP es fija, agrega tu dirección IP a la lista blanca — esto impide que la clave se use desde cualquier otra ubicación.
- Guarda la API Key y el API Secret.
En Bybit
- Inicia sesión → menú → Gestión de API → Crear nueva clave.
- Selecciona Clave API generada por el sistema.
- Activa: Lectura y P2P.
- Deja desactivados: Retiro, Spot, Derivados, Transferencia de activos.
- Guarda ambos valores.
Si en el futuro quieres revocar el acceso, simplemente elimina esa clave API desde el panel de gestión del exchange. Pilotbot pierde acceso de inmediato.
Cómo protege Pilotbot tus claves API
Una vez que pegas tu clave API en Pilotbot, el sistema aplica los siguientes controles antes de almacenarla:
Cifrado AES-256: la clave se cifra con el estándar AES-256-GCM antes de guardarse en la base de datos. Nunca se almacena en texto plano. Si alguien accediera a la base de datos sin la clave de descifrado, vería únicamente datos cifrados ilegibles.
Sin transmisión en claro: la clave viaja a través de la conexión HTTPS cifrada entre tu navegador y los servidores de Pilotbot. No se registra en logs de texto sin formato.
Acceso mínimo necesario: el sistema solo usa las claves para las operaciones estrictamente necesarias — consultar anuncios y actualizar precios P2P. No hay llamadas a endpoints de retiro o trading, porque el código no lo requiere.
Autenticación en dos factores (2FA): se recomienda activar 2FA en tu cuenta de Pilotbot como capa adicional de protección al acceso.
Qué hacer si sospechas que algo salió mal
- Elimina la clave API desde el panel de Binance o Bybit de inmediato. Esto revoca cualquier acceso que esa clave tuviera, independientemente de dónde esté almacenada.
- Revisa el historial de actividad de tu cuenta en el exchange (órdenes, retiros, accesos).
- Contacta al soporte de Pilotbot para reportar el incidente.
La eliminación de la clave API en el exchange es la acción más rápida y efectiva. No necesitas esperar a nadie para eso.
Preguntas que vale la pena hacerse antes de conectar cualquier herramienta
Antes de dar acceso de API a cualquier servicio externo — Pilotbot u otro — es útil responder estas preguntas:
- ¿La herramienta me pide únicamente permisos de lectura y gestión de anuncios? Si pide más, es una señal de alerta.
- ¿Puedo revocar el acceso en cualquier momento desde el exchange directamente? La respuesta siempre debe ser sí.
- ¿La herramienta describe públicamente cómo maneja y almacena las claves? Si no hay información al respecto, investiga antes de conectar.
- ¿El sitio usa HTTPS? Si la conexión no es cifrada, no compartas nada.
Una aclaración importante
Pilotbot es una herramienta independiente, no afiliada con Binance ni con Bybit. Las políticas de uso de API de cada exchange pueden cambiar. Te recomendamos revisar los Términos de Servicio actuales de la plataforma que uses antes de conectar cualquier herramienta de terceros. Cumplir con las reglas del exchange es responsabilidad del usuario.
FAQ
¿Puede el bot mover mis fondos de USDT a otra wallet? No. Para que eso fuera posible necesitaría el permiso de Retiro activado. Si no lo activaste al crear la clave (como se recomienda), ninguna herramienta puede retirar fondos con esa clave.
¿Qué pasa si Pilotbot sufre un ataque o filtración de datos? Las claves se almacenan cifradas con AES-256. Sin la clave de descifrado del sistema, los datos son inútiles para un atacante. Adicionalmente, si en algún momento tienes dudas, puedes eliminar la clave API desde Binance o Bybit en segundos, sin esperar a nadie.
¿Debo crear una clave API nueva solo para Pilotbot? Sí, es la mejor práctica. Crea una clave dedicada exclusivamente para Pilotbot, con los permisos mínimos. Así, si alguna vez necesitas revocarla, no afectas otras integraciones o herramientas que también usen API de tu cuenta.
¿Pilotbot puede ver mi saldo en USDT u otras monedas? El permiso de lectura permite que Pilotbot vea información de la cuenta necesaria para operar — incluyendo anuncios activos. Sin embargo, Pilotbot no necesita ni utiliza datos de saldo para funcionar; su función es actualizar precios de anuncios P2P.
Lee también: Cómo automatizar el trading P2P en Binance y Bybit | Planes y precios
Ready to automate your P2P trading?
Start your 14-day free trial. No credit card required.
Get started free