ZH EN JA KO ES FR
Registrarse en Binance
Inicio Todos los artículos Categorías Descargar APP Sobre nosotros Aviso Legal
ZH EN JA KO ES FR
Inicio/ Todos los artículos/Seguridad/Dirección del Sitio Oficial de Binance

Dirección del Sitio Oficial de Binance

2026-04-21 Aprox. 19 min de lecturaSeguridad

Hace poco un amigo me planteó un caso curioso: en una cafetería conectado a su Wi-Fi abría binance.com, la página se veía normal, pero no podía iniciar sesión; al pasarse a 4G funcionaba al instante. Es una señal clásica: el "sitio oficial" que veía probablemente había sido manipulado por el entorno de red. Para acceder al Binance real con garantías, use el Sitio Oficial de Binance o descargue la App Oficial de Binance para evitar los riesgos de la capa web; los usuarios de Apple pueden consultar la Guía de instalación iOS. Aquí cambiamos de enfoque: en lugar de "mirar el dominio", verificamos técnicamente si lo que tiene delante es auténtico.

Desde la red: lo que usted ve no siempre es lo que devuelve el servidor

La visión ingenua de "acceder al sitio oficial" es: teclear binance.com, el navegador responde, ve la página de Binance. En el medio hay resolución DNS, handshake TCP, handshake TLS, petición HTTP y respuesta del servidor. Cualquier paso alterado puede servir una página falsa.

Tres tipos de secuestro habituales:

  • Contaminación de DNS: operador o Wi-Fi pública resuelve binance.com a una IP incorrecta, usted acaba en un servidor que no es Binance.
  • Inyección HTTP: se añade JS o publicidad al tráfico sin cifrar; páginas antiguas sin HTTPS son redirigidas a clones.
  • MITM con SSL: se fabrica un certificado falso; usted cree ver HTTPS, pero un tercero descifra y reenvía el tráfico.

Siendo Binance un exchange cripto, el incentivo para atacar es enorme; no basta con "verificar la ortografía".

Rasgos técnicos del sitio oficial

Emisor y validez del certificado

Al abrir binance.com, pulse el candado → Certificado. El certificado real tiene rasgos estables:

  • Subject que incluye Binance Holdings Limited o Binance Capital Management Co., Ltd..
  • Emisor: DigiCert, GlobalSign u otras CAs consolidadas; no Let's Encrypt de corta duración.
  • SAN con *.binance.com, binance.com y algunos subdominios.
  • Validez anual, no trimestral.

Si el Subject es un nombre personal, una empresa desconocida o el emisor es una CA pequeña, aunque el dominio coincida letra por letra, cierre la pestaña.

Lista HSTS preload

El sitio principal de Binance está hace tiempo en la lista HSTS Preload que incorporan Chromium, Firefox y Safari; los dominios de esa lista fuerzan HTTPS a nivel local. Aunque escriba http://binance.com, el navegador lo cambia a https localmente y no emite una sola petición en claro.

Implicaciones:

  • Si ve "no seguro" junto a binance.com o la página carga en http://binance.com, no es el real.
  • Los sitios suplantadores no están en HSTS Preload; usan HTTP o certificados gratuitos, y algo se delata en los detalles.

En hstspreload.org introduzca binance.com y verá que está en la lista.

WHOIS

Con who.is o whois.domaintools.com, busque binance.com:

  • Titular (Registrant): la entidad Binance.
  • Fecha de creación: 2017.
  • Registrador: MarkMonitor u otro corporativo, no minoristas como Namecheap o Alibaba Cloud.

Los suplantadores usan registradores baratos, dominios de los últimos uno o dos años, datos ocultos por privacidad. El WHOIS los desenmascara.

Cabeceras y huella del servidor

Con F12 → Network → refrescar, revise las Response Headers:

  • Strict-Transport-Security presente con max-age grande (más de un año).
  • Cabeceras de seguridad completas: X-Content-Type-Options: nosniff, X-Frame-Options: SAMEORIGIN.
  • Algunas respuestas llevan Server: cloudflare o CF-Ray (tráfico por Cloudflare).
  • Subdominios separados: accounts.binance.com para login, api.binance.com para API, www.binance.com para web.

Las suplantaciones con servidor propio muestran el nginx por defecto sin cabeceras de seguridad; con cloud público, las cabeceras no casan con la infraestructura de Binance.

Falsos positivos por culpa del entorno de red

Secuestro en Wi-Fi pública

Volviendo a la cafetería: la Wi-Fi pública suele hacer dos cosas: portal cautivo forzando una página de autenticación al primer HTTP, e inyección de anuncios en HTTP. Con sitios HTTPS como binance.com, no pueden inyectar, pero pueden alterar la resolución DNS, provocando timeouts o errores de certificado.

Solución: cambiar a 4G/5G, o usar DNS fiables (Cloudflare 1.1.1.1 o Google 8.8.8.8) con DNS-over-HTTPS / DNS-over-TLS a nivel de sistema.

Caché del operador con página antigua

A veces el operador cachea páginas para ahorrar ancho de banda; ve un snapshot viejo donde el botón de registro no responde o las cotizaciones están desactualizadas. Ctrl+F5 forzando recarga, o cambiar de red, lo soluciona.

Archivo hosts local alterado

Algunos malwares modifican el archivo hosts y apuntan binance.com a una IP local o del atacante. Revise C:\Windows\System32\drivers\etc\hosts (Windows) o /etc/hosts (Mac/Linux). En condiciones normales no debe haber ninguna línea relacionada con binance.

Ventajas de la app frente a la web

Con todo lo anterior dicho a nivel web, la forma más cómoda es usar la app. La app oficial aporta protecciones que la web no tiene:

  • Las direcciones de servidor están hardcoded en el paquete; no dependen de DNS y son mucho más difíciles de secuestrar.
  • Apple/Google firman el binario; una app manipulada no pasa la verificación de firma.
  • Certificate pinning integrado: un certificado intermedio falso provoca rechazo inmediato.
  • Confirmación por push para login, operaciones y retiros; los ataques remotos son mucho más difíciles.

Si le preocupa el phishing, la regla práctica es: la web solo para ver cotizaciones; login, trading y retiros en la app.

Patrones habituales de suplantación

De años de antifraude salen los patrones habituales:

  • Dominios de grafía similar: binαnce.com (α griega), bınance.com (ı turca); con Punycode desactivado son indistinguibles.
  • Prefijos/sufijos aparentemente legítimos: binance-login.com, mybinance.net, binance-app.info; parecen submarca oficial, nada que ver.
  • Noticias falsas: páginas que imitan notas de prensa con un botón "haga clic para iniciar sesión y reclamar"; el botón salta al phishing.
  • Clon de la página de login: copian el frontend del sitio real; al introducir credenciales muestran "error" y las envían al atacante.

Por hábiles que sean, no aguantan el examen con certificado, HSTS y WHOIS.

Visión legal: "sitio oficial" no es un único concepto

Poca gente nota que Binance opera con entidades distintas según la región, y "sitio oficial" no es único jurídicamente.

  • El principal global binance.com lo opera Binance Holdings.
  • binance.us lo opera BAM Trading Services Inc., empresa independiente de EE. UU. con cuentas aisladas.
  • binance.je atendía parte de Europa (con cambios posteriores).
  • Japón, Corea y otros tienen filiales locales.

Legalmente, si se registró en binance.us desde EE. UU., ese es su sitio oficial; si usa el global, el suyo es binance.com. Los sujetos contractuales en una disputa difieren. Esta distinción pocas veces se menciona en guías de autenticidad, pero es crítica ante reclamaciones de fondos.

FAQ

Si la barra pone binance.com, ¿es seguro siempre?

Lo habitual es que sí, pero no absoluto. Además del dominio, confirme que el certificado sea de Binance Holdings, el candado esté en verde/negro y no haya avisos de "no seguro". En redes públicas, añada una VPN o use la app.

¿Por qué a veces binance.com no abre pero binance.info sí?

Distintos dominios se sirven por distintos nodos CDN; algunos operadores interfieren DNS con el principal pero no con .info. Puede usar .info puntualmente para leer anuncios, pero las operaciones mejor tras cambiar de red en el principal o con la app.

¿Binance envía enlaces oficiales con bit.ly o t.co?

No. Los canales oficiales (Square, correo, soporte) no usan bit.ly de terceros. Binance tiene sus propios short links como binance.bz o bnc.lt. Cualquier "enlace de Binance" con bit.ly trátelo como phishing.

¿Con antivirus en el ordenador ya estoy tranquilo?

Insuficiente. Los antivirus detectan troyanos y archivos, no tanto phishing puro de web. Dominios recién registrados tardan días en entrar en la base de amenazas. Aprender a verificar manualmente es más fiable.

¿Cómo recupero un hosts manipulado?

Con permisos de administrador, abra hosts, elimine las líneas ilegítimas de binance y deje solo 127.0.0.1 localhost. Limpie la caché DNS (Windows ipconfig /flushdns) y reinicie el navegador.

¿La app móvil también puede sufrir MITM?

Teóricamente sí, pero es mucho más difícil. El certificate pinning fija la clave pública en el código; el MITM con otro certificado se rechaza. Por eso un problema de red en la app se manifiesta como "no se puede conectar", no como "todo funciona pero con datos falsos".