¿Al buscar Binance salen muchas webs, cuál es la real?
Al buscar "Binance" en los motores de búsqueda, más de la mitad de los primeros resultados a menudo no son el sitio oficial real. La verdadera entrada es únicamente el sitio oficial de Binance (sumando algunos dominios de respaldo); el resto son anuncios de pago, sitios SEO falsificados o páginas agregadoras de blogs. En el móvil, lo más seguro es instalar directamente la App oficial de Binance, ya que la firma de la APP no se puede falsificar. Si en iPhone no la encuentra en la App Store, consulte el tutorial de instalación iOS.
¿Cuántos tipos de sitios aparecen en los resultados de búsqueda?
Tomando como ejemplo una búsqueda de "Binance" en Baidu, en la primera página suelen aparecer estos tipos:
| Tipo | Proporción | ¿Es el sitio oficial real? | Rasgo típico |
|---|---|---|---|
| Anuncios de pago | Aprox. 30 % | No | Etiqueta "Anuncio" en la esquina |
| Sitios SEO falsificados | Aprox. 20 % | No | Dominio con sufijos como cn/vip/app |
| Blogs/agregadores de medios | Aprox. 25 % | No lo es pero no son peligrosos | Artículos introductorios con botones de redirección |
| Sitio oficial real | Aprox. 10 % | Sí | Dominio principal binance.com |
| Noticias | Aprox. 15 % | No relacionado | Informan sobre hechos noticiables |
Los dos primeros tipos son los que debe evitar: se disfrazan como páginas de inicio de sesión para robarle la contraseña.
5 métodos directos para detectar sitios falsos
Método uno: comprobar si el dominio raíz es binance.com
Por muy largo que sea el enlace en los resultados, mire solo los dos últimos segmentos. Por ejemplo, en login.binance.com.vip-sec.net los dos últimos segmentos son vip-sec.net, por lo que el dominio raíz no es Binance en absoluto.
Los dominios raíz del sitio oficial real son solo estos:
- binance.com
- binance.info
- binance.bz
- binance.us (exclusivo para usuarios de EE. UU.)
Todos los demás no lo son.
Método dos: fijarse en la etiqueta "Anuncio"
Baidu, Bing y Google etiquetan todos sus anuncios pagados con "Anuncio" o "Sponsored" junto al título. El verdadero Binance no compra anuncios de pago (no le hace falta); así que los espacios publicitarios los compran otros, y son o falsificaciones o alianzas de blogs.
Método tres: pasar el ratón sobre el enlace y mirar la barra de estado
Coloque el ratón sobre el título del resultado pero sin hacer clic; el navegador mostrará la URL real de destino en la esquina inferior izquierda. Muchos sitios falsificados usan enlaces redireccionados de Google Ads, como googleadservices.com/.../adurl=xxx, que revelan el dominio real solo al entrar, cuando ya es tarde.
Método cuatro: velocidad de carga
El sitio oficial real de Binance está desplegado en una CDN global (Cloudflare y nodos propios), y la primera pantalla carga en 1,5 segundos. Los sitios falsos usan hosting barato y suelen tardar 3-5 segundos, o incluso quedarse en blanco.
Método cinco: revisar la URL de la página de inicio de sesión
En el Binance real, al pulsar "Iniciar sesión" se redirige a accounts.binance.com/login, URL fija. Los sitios falsos pueden redirigir a login.binance-xxx.com o binance.com.xxx.com; si accounts no es el subdominio y aparece otra cosa, ciérrelo de inmediato.
Dominios homoglyphs con Punycode
Es uno de los métodos de phishing más taimados de los últimos años, llamado ataque IDN homoglyph (IDN Homograph Attack).
Fundamento
Unicode contiene gran cantidad de caracteres que "lucen iguales" a las letras latinas. Por ejemplo:
- La letra cirílica а (U+0430) y la letra latina a (U+0061) son indistinguibles a simple vista
- La letra griega ο (U+03BF) y la letra latina o son idénticas
El atacante registra bіnаnce.com con la а cirílica (codificación real xn--bnnce-xxx.com); si no mira con detalle, es imposible distinguirlo.
Cómo protegerse
- Use Chrome, Edge o Firefox: los navegadores modernos detectan el IDN y muestran automáticamente la codificación Punycode (prefijo xn--); si lo ve en la barra de direcciones, cierre de inmediato
- Copie y pegue manualmente en el bloc de notas: los caracteres distintos se delatan
- Instale una extensión de navegador: por ejemplo, Punycode Alert, que avisa activamente
Casos reales
En 2022 apareció bіnance.com (con і cirílica en lugar de i), y engañó a muchos usuarios. En 2024 surgió binаnce.com (con а cirílica en la segunda a). Estos dominios se detectan fácil; al verlos, no haga clic.
Falsificación mediante subdominios y prefijos/sufijos
Falsificación por prefijo
login-binance.com, my-binance.com, secure-binance.com: el dominio raíz es login-binance.com, ajeno a Binance. Los atacantes registran en masa dominios "que parecen" de Binance y los distribuyen en grupos de WeChat y comentarios de Twitter.
Falsificación por sufijo
binance-app.com, binance-login.net, binance-exchange.org: el dominio raíz está a la derecha del guion, por ejemplo app.com o login.net; ninguno es Binance.
Subdominios profundos
El más retorcido: secure.binance.com.fake-site.net. A primera vista parece el subdominio "secure" de binance.com, pero en realidad el dominio raíz es fake-site.net, y secure.binance.com es solo un prefijo de subdominio suyo.
Regla mnemotécnica: fíjese solo en los dos últimos segmentos. Todo lo demás es adorno.
Además del buscador, ¿dónde más encontrar el sitio oficial?
Cuentas sociales oficiales
- X (Twitter): @binance, con verificación azul, 10 M+ seguidores; los tuits fijados suelen incluir el enlace oficial
- Telegram: @binanceexchange, canal oficial de anuncios
- X en chino: @binance_china, cuenta oficial en chino
Tiendas de aplicaciones
- App Store de iOS: busque "Binance", el desarrollador debe mostrar Binance (no Binance Limited Co. u otras imitaciones con sufijos)
- Google Play: busque "Binance", el desarrollador es también Binance
Correos históricos
Cualquier correo de notificación que Binance le haya enviado (aviso de inicio de sesión, KYC completado, confirmación de retiro) contiene enlaces al sitio oficial real. Es una de las fuentes más fiables, siempre que confirme que el correo en sí es auténtico (dominio del remitente @binance.com o @ses.binance.com).
Si por accidente entró a un sitio falso y puso su contraseña
Actúe de inmediato con estos 4 pasos:
- Cambie la contraseña de inicio de sesión en el sitio oficial real: al menos 12 caracteres con mayúsculas, minúsculas y números
- Restablezca Google Authenticator (Security → 2FA → vincular de nuevo)
- Revoque todas las API Keys (si alguna vez creó)
- Active la lista blanca de direcciones de retiro; deberá esperar 24 h de enfriamiento para añadir nuevas direcciones
Tras estos 4 pasos, aunque el atacante conserve su contraseña antigua no podrá retirar. Revise luego el historial de inicio de sesión en busca de IP desconocidas; si las hay, contacte de inmediato con el soporte para congelar la cuenta.
Perfiles comunes de sitios falsificados
A continuación, los rasgos compartidos por sitios falsos denunciados varias veces en los últimos dos años; si su caso coincide, cierre enseguida.
Sitio falso tipo A: copia total de la portada
La URL suele ser binance-xxx.com o binance-yyy.net. Toda la portada es un mirror local capturado del sitio oficial real, incluso con el mismo CSS. Pistas delatoras: el botón de inicio de sesión redirige a una URL distinta de accounts.binance.com, los datos de cotización son estáticos y no se actualizan, y el año del copyright en el pie es incorrecto.
Sitio falso tipo B: solo página de inicio de sesión
La URL suele ser muy corta, como bnc.cc o bnc.vip. Al abrir solo aparece un formulario de inicio de sesión; al introducir usuario y contraseña los roba la red criminal, y le redirige al sitio oficial real haciéndole creer que fue un "inicio fallido". Pista: aparte de la página de inicio de sesión, el resto de funciones no son clicables.
Sitio falso tipo C: disfrazado de página de descarga
URL tipo binance-download.com, binance-app.net. Muestra un botón gigante de descarga que en realidad entrega un APK troyano. Pista: el APK pesa menos de 30 MB o el SHA256 no coincide con el del sitio oficial.
Sitio falso tipo D: disfrazado de atención al cliente
URL similar a support-binance.com o binance-help.org. Se disfraza de ventana de chat del soporte de Binance para que revele el código 2FA. Pista: el soporte real de Binance solo aparece en el chat de la esquina inferior derecha de binance.com, jamás lleva a enlaces externos.
Hábitos defensivos al buscar
Hábito uno: no haga clic en los anuncios
Salte siempre los anuncios y vaya directamente a los resultados orgánicos. Aunque de vez en cuando hay un sitio real oficial en los anuncios (Binance sí compra anuncios en algunas regiones de EE. UU.), para usuarios no profesionales es más seguro evitarlos todos.
Hábito dos: no busque en chino
Los resultados de "币安" suelen ser de peor calidad que los de "binance". Las palabras clave en chino son blanco prioritario de la red criminal SEO; se recomienda buscar directamente binance, o mejor evitar el buscador.
Hábito tres: no se fíe de respuestas patrocinadas
Zhihu y Baidu Zhidao tienen multitud de respuestas del tipo "recomiendo el exchange XX", muchas patrocinadas. Los enlaces al "sitio oficial de Binance" en esas respuestas son casi todos falsos; no haga clic bajo ningún concepto.
Hábito cuatro: verifique también los enlaces en medios de noticias
Incluso los enlaces en artículos de medios cripto conocidos deben comprobarse pasando el ratón para ver la URL real. Existen páginas de medios secuestradas por SEO criminal; no son 100 % fiables.
Preguntas frecuentes
P1: ¿Por qué los buscadores no filtran los sitios falsificados? Los buscadores procesan pasivamente las denuncias de los usuarios, pero la red criminal registra nuevos dominios más rápido de lo que tardan las auditorías. La defensa activa depende de que el propio usuario reconozca el dominio.
P2: ¿El sitio chino y el internacional de Binance son el mismo? Sí. En binance.com basta con cambiar el idioma en la esquina superior derecha para ver el contenido en chino; no existe un dominio independiente del "sitio chino". Cualquier dominio independiente que afirme ser el "sitio chino de Binance" es falso.
P3: ¿Hay riesgo si entro a un resultado de búsqueda sin iniciar sesión? Si solo abre la página sin introducir información, el riesgo es pequeño. Pero la página podría aprovechar vulnerabilidades del navegador para descargar scripts maliciosos; conviene cerrarla, limpiar la caché y abrir luego el sitio oficial real.
P4: ¿Han hackeado alguna vez el Twitter oficial @binance? En 2020 fue hackeado una vez; el equipo oficial recuperó la cuenta en 1 hora. Como verificación adicional, compare con Telegram y los anuncios del sitio oficial: si las tres fuentes coinciden, entonces fíese.
P5: ¿Hay alguna forma definitiva de memorizar el sitio oficial? La más fiable: abrir una vez el sitio oficial real → Ctrl+D para añadirlo a marcadores → ponerle una etiqueta visible (por ejemplo, "Binance - oficial real"). A partir de ahí, entre siempre desde marcadores, evitando por completo el buscador.