Guía práctica · Actualizado 2025

BitMEX API: cómo usarla (REST + WebSocket) sin comprometer tu cuenta

Q: ¿Qué permisos debería dar a una app de tracking?

Solo lectura. Así la app puede leer tu portfolio, posiciones y PnL, pero no puede operar. Si una app de tracking te pide permisos de Order, es mejor desconfiar.

Q: ¿Es buena idea activar “Withdraw” en la API Key?

En general, no. Withdraw es el permiso más delicado. Para bots/terminales normalmente no hace falta. Si lo activas, que sea en un entorno muy controlado y entendiendo el riesgo.

La API de BitMEX es potente: puedes conectar bots, terminals y herramientas de tracking. La clave es hacerlo con cabeza: permisos mínimos, sin “Withdraw” salvo casos muy concretos, y probando primero en Testnet.

Diferencia real entre API REST y WebSocket (y cuándo usar cada una).
Cómo crear una API Key segura: permisos, IPs (CIDR) y buenas prácticas.
Errores típicos en bots: liquidaciones, rate limits, reconexiones y “órdenes fantasma”.

Crear cuenta en BitMEX Ver bots compatibles y riesgos

Derivados con apalancamiento = pérdidas rápidas si no gestionas riesgo.

Tu capital está en riesgo. Esta web no es soporte oficial ni asesoramiento financiero.

Checklist rápido

Antes de conectar una app o bot con API

Usa API Key nueva para cada herramienta.
Empieza con permisos solo lectura.
No actives Withdraw en terceros.
Si puedes, limita por IP/CIDR.
Prueba primero en Testnet.

Probar en Testnet primero

Consejo: si vas a operar con apalancamiento, léete también Margin y Futuros.

¿Qué es la API de BitMEX y para qué sirve?

Una API (Application Programming Interface) te permite interactuar con tu cuenta desde una herramienta externa: terminales de trading, bots, trackers de portfolio o scripts propios. En BitMEX, lo normal es usar: REST para acciones puntuales (consultas, órdenes) y WebSocket para datos en tiempo real.

Lo importante: una API Key puede dar acceso a operar (y si te equivocas, te equivocas de verdad). Por eso, aquí el enfoque es práctico y “anti-liadas”: permisos mínimos, seguridad, y pruebas antes de meter dinero serio.

Ver registro paso a paso Ver problemas típicos al operar ↓

Usos habituales (los que más veo)

Conectar un bot (grid, DCA, market making, etc.).
Usar una terminal profesional (órdenes rápidas, hotkeys).
Tracking de posiciones / PnL en una app externa (ideal con lectura).
Alertas y gestión de riesgo (ej.: cerrar todo si pasa X).

Si no sabes qué permisos dar, empieza por solo lectura. Siempre hay tiempo de ampliar permisos después.

REST vs WebSocket en BitMEX: cuál usar y por qué

Esto te ahorra la mayoría de errores (y bloqueos por límites): WebSocket para tiempo real, REST para acciones puntuales.

API REST (acciones)

Úsala para: consultar saldo/posiciones, enviar/modificar/cancelar órdenes, leer historial, y tareas puntuales. Ideal si tu app hace pocas llamadas y no necesita streaming constante.

Acciones puntuales (consultas y órdenes).
Mejor para flujos “request/response”.
Cuidado con hacer “polling” agresivo.

API WebSocket (tiempo real)

Úsala para: precios, order book, trades, órdenes y ejecuciones en streaming. Si vas con bots/terminales, normalmente es la base para estar “al día” sin saturar REST.

Streaming de datos y eventos.
Menos llamadas REST innecesarias.
Necesita lógica de reconexión.

Nota: si tu bot no gestiona bien reconexiones, puedes acabar con desajustes (órdenes duplicadas, estado desactualizado, etc.). Por eso recomiendo probar primero en Testnet.

Cómo crear una API Key en BitMEX (forma segura)

Lo crítico no es “crear la key”, sino cómo la creas. Una mala configuración equivale a regalarle tu cuenta a una app de terceros.

Paso 1

Crea una key por herramienta

Un bot = una API key. Una terminal = otra key. Así puedes revocar acceso sin romperlo todo.

Paso 2

Empieza con permisos mínimos

Para trackers usa solo lectura. Para bots, normalmente bastan permisos de Order. Evita Withdraw salvo casos ultra controlados.

Paso 3

Si puedes, limita por IP (CIDR)

Si tu bot corre en un servidor con IP fija, restringe la key a esa IP. Si usas un servicio externo, te dará sus IPs para whitelist.

Paso 4

Guarda el “Secret” como si fuera una contraseña

No lo compartas por chat/capturas. Si sospechas que se filtró, revoca la key y crea otra.

Paso 5

Prueba en Testnet antes de ir a real

Especialmente si operas con apalancamiento. La mayoría de “desastres” se ven venir en demo.

Si estás montando bots, esta parte se complementa con /bots/ y con la guía de /problemas/ (códigos, retiros, bloqueos y liquidaciones).

Permisos típicos (resumen)

Solo lectura (por defecto) Recomendado para tracking

Lee posiciones, margen, órdenes y ejecuciones, pero no opera ni retira.

Order Para bots/terminales

Permite crear/modificar/cancelar órdenes. Úsalo solo si confías en la herramienta.

OrderCancel Fail-safe

Para herramientas de emergencia que solo necesitan cancelar (sin abrir posiciones).

Withdraw Evitar

Permite iniciar retiros. En terceros es un “no” casi siempre. Si lo activas, hazlo con controles extremos.

Abrir cuenta y activar API

Tu capital está en riesgo. Si operas con apalancamiento, una mala key + un mal bot = liquidación rápida.

Seguridad al usar la API (lo que realmente importa)

La API no es “mala”, pero amplifica errores: si tu bot se descontrola, lo hace más rápido que tú. Estas son las prácticas que más protegen en la vida real:

2FA activo y contraseña única (básico, pero clave).
Permisos mínimos: lectura para tracking, “Order” solo si de verdad lo necesitas.
Whitelist por IP/CIDR cuando sea posible (especialmente si corres el bot en tu servidor).
Sin Withdraw en apps de terceros (salvo casos contados y muy controlados).
Key por herramienta + nombres claros (así revocas rápido si pasa algo).
Empieza con capital pequeño y límites de riesgo estrictos.

Si tu duda es “¿me han bloqueado la cuenta / no me llega el código / retiro en revisión?”: vete a /problemas/.

Mi recomendación rápida

Para la mayoría:

Tracking: solo lectura.
Bot simple: Order + IP whitelist si se puede.
Evita “Withdraw” y revisa bien lo que conectas.

Probar todo en Testnet

¿Vas a usar la API para operar? Hazlo con ventaja (y con control)

Si vas a conectar bots o terminales, hazlo desde una cuenta bien configurada y con guías claras para evitar errores típicos. Y si aún no tienes cuenta, empieza por el registro y prueba primero en demo.

Abrir cuenta en BitMEX Ver guía de registro Empezar por Testnet

Tu capital está en riesgo. Los derivados con apalancamiento pueden generar pérdidas rápidas.

FAQ: BitMEX API

Respuestas rápidas sobre API Keys, permisos, bots, seguridad y errores típicos.

¿Necesito API para usar BitMEX normalmente?

No. La API es opcional. La necesitas si vas a conectar un bot, una terminal externa o una app de tracking. Si operas manualmente desde la web/app, no hace falta.

¿Qué permisos debería dar a una app de tracking?

Solo lectura. Así la app puede leer tu portfolio, posiciones y PnL, pero no puede operar. Si una app de “tracking” te pide permisos de “Order”, yo desconfiaría.

¿Es buena idea activar “Withdraw” en la API Key?

En general, no. “Withdraw” es el permiso más delicado. Para bots/terminales normalmente no hace falta. Si lo activas, que sea en un entorno muy controlado y entendiendo el riesgo (y mejor no en terceros).

¿Qué es mejor: REST o WebSocket?

WebSocket para datos en tiempo real (precios, ejecuciones, órdenes). REST para acciones puntuales (consultas y órdenes). Lo normal en trading serio es combinar ambos.

¿Por qué mi bot se “descuadra” o hace cosas raras?

Lo más típico: reconexiones mal gestionadas, estados desactualizados, límites de llamadas, o lógica de riesgo floja. Prueba primero en Testnet y revisa la guía de problemas frecuentes.

¿Usar API me evita KYC o reglas de país?

No. La API es solo un método de conexión. Cumplimiento, restricciones y verificaciones dependen de la plataforma y tu caso. Si este tema te importa, mira la guía de KYC (y evita “soluciones” que te metan en un lío).