Si te han pedido una API de tu exchange para hacer tu informe fiscal o tu declaración de la renta, es normal que te genere dudas. “¿Y si acceden a mis fondos?” “¿Pueden mover mis criptos?”
La respuesta corta: no, no pueden. Y en este artículo te explicamos exactamente por qué.
Qué es una API (explicado fácil)
API son las siglas de Application Programming Interface (Interfaz de Programación de Aplicaciones). Suena técnico, pero el concepto es simple:
Una API es una puerta controlada que permite a un programa externo comunicarse con tu exchange.
Piensa en ello como la tarjeta de un hotel:
- La tarjeta de tu habitación abre solo tu habitación, no todas las puertas del hotel.
- La API funciona igual: tiene permisos específicos que tú decides al crearla.
Cada vez que creas una API en un exchange como Binance, Kraken o Bit2Me, tú eliges exactamente qué puede hacer esa conexión.
Los 3 niveles de permisos de una API
Todos los exchanges organizan los permisos de sus APIs de forma similar. Generalmente existen tres niveles:
1. Lectura (Read Only)
- Qué permite: Consultar tu historial de operaciones, ver saldos, descargar movimientos.
- Qué NO permite: Comprar, vender, retirar ni mover fondos.
- Equivalente: Es como darle a alguien el extracto de tu banco. Puede ver los números, pero no puede tocar ni un céntimo.
2. Trading
- Qué permite: Todo lo anterior + ejecutar operaciones de compra y venta dentro del exchange.
- Qué NO permite: Retirar fondos a wallets externas.
- Equivalente: Como dar acceso a operar en tu nombre, pero sin poder sacar dinero de la cuenta.
3. Retirada (Withdrawal)
- Qué permite: Todo lo anterior + retirar criptomonedas a direcciones externas.
- Este es el único nivel que podría poner en riesgo tus fondos.
- Equivalente: Como dar las llaves completas de tu cuenta.
¿Qué se necesita para un informe fiscal? Solo lectura
Para generar un informe fiscal de tus criptomonedas solo se necesita el primer nivel: lectura.
Lo único que se hace con esa API es:
- Descargar tu historial de compras y ventas
- Consultar los movimientos de depósitos y retiros
- Ver las fechas y precios de cada operación
No se necesita operar. No se necesita retirar. Solo leer datos.
¿Por qué es técnicamente imposible mover fondos con una API en modo lectura?
No es una cuestión de confianza. Es una limitación técnica impuesta por el propio exchange.
Cuando creas una API con permisos de solo lectura, el exchange genera unas credenciales (API Key + Secret Key) que tienen unas reglas estrictas a nivel de servidor:
-
El exchange verifica los permisos en cada solicitud. Cada vez que se usa la API, el servidor del exchange comprueba qué permisos tiene asignados. Si alguien intenta hacer una compra o una retirada con una API de solo lectura, el exchange rechaza la operación automáticamente.
-
No se puede escalar permisos. Los permisos se definen en el momento de crear la API. No es posible “ampliar” los permisos de una API existente sin acceder a tu cuenta con tu contraseña y verificación en dos pasos (2FA).
-
Cada API tiene su propio par de claves. Tener la API Key de lectura no da acceso a otras APIs que hayas creado con otros permisos.
Es como intentar abrir una caja fuerte con la tarjeta del gimnasio: simplemente no funciona, porque el sistema no lo permite.
Medidas de seguridad adicionales de los exchanges
Los exchanges principales añaden capas extra de protección:
| Medida | Qué hace |
|---|---|
| IP Whitelist | Puedes limitar que la API solo funcione desde IPs específicas |
| 2FA para crear APIs | Necesitas verificación en dos pasos para generar cualquier API |
| Permisos granulares | Puedes activar/desactivar permisos individuales al crear la API |
| Fecha de expiración | Algunos exchanges permiten que la API caduque automáticamente |
| Notificaciones | Recibes un email cada vez que se crea una nueva API en tu cuenta |
Comparativa: ¿qué puede hacer cada tipo de API?
| Acción | Solo lectura | Trading | Retirada |
|---|---|---|---|
| Ver historial de operaciones | Si | Si | Si |
| Consultar saldos | Si | Si | Si |
| Descargar movimientos | Si | Si | Si |
| Comprar/vender cripto | No | Si | Si |
| Crear órdenes | No | Si | Si |
| Retirar a wallet externa | No | No | Si |
| Enviar cripto a otra persona | No | No | Si |
¿Y si ya no quiero que tengan acceso?
En cualquier momento puedes eliminar la API desde tu exchange. El proceso es inmediato: una vez borrada, las credenciales dejan de funcionar al instante.
Esto significa que incluso si compartes tu API de lectura para un informe fiscal, puedes revocar el acceso en cuanto el proceso haya terminado.
En resumen
- Una API de solo lectura no puede mover, comprar ni vender tus criptomonedas.
- Es una limitación técnica del exchange, no una promesa de quien la recibe.
- Para un informe fiscal solo se necesita leer tu historial, nada más.
- Puedes eliminar la API en cualquier momento si ya no la necesitas.
- Compartir tu API en modo lectura es tan seguro como enseñar un extracto bancario: se ven los números, pero nadie puede tocar tu dinero.
¿Necesitas ayuda con tu informe fiscal crypto?
En Cryptoimpuestos solo necesitamos tu API en modo lectura para generar tu informe. No pedimos permisos de trading ni de retirada porque, sencillamente, no los necesitamos.
Si tienes dudas sobre cómo crear tu API, tenemos guías paso a paso para cada exchange.
Victor Lazaro
Asesor fiscal, Cryptoimpuestos.es
