La mayoría juzga la autenticidad del sitio oficial de Binance mirando a ojo la ortografía del dominio. Funciona contra las suplantaciones más toscas, pero ante homógrafos o redirecciones intermedias falla. Cambie de enfoque y mire el stack tecnológico del sitio: qué CDN lo sirve, adónde apunta el DNS, qué emite la cadena HTTPS y si la IP es coherente desde decenas de nodos de sondeo en el mundo; esos datos son difícilmente falsificables por un sitio falso. Los accesos en esta página para Sitio Oficial de Binance y la descarga de la App Oficial de Binance han pasado precisamente esas comprobaciones técnicas; los usuarios de iOS pueden revisar también la Guía de instalación iOS para realizar una instalación completa.
Qué infraestructura ejecuta el sitio oficial de Binance
Mucha gente no sabe que tras binance.com hay toda una infraestructura distribuida globalmente, no un único servidor. Entender la arquitectura ayuda a identificar sitios suplantadores.
El frontal pasa por Cloudflare
Abra la terminal y lance dig o nslookup contra www.binance.com; los registros A caen en rangos de Cloudflare: 104.16.x.x, 104.17.x.x, 172.67.x.x, todos bajo AS13335 (sistema autónomo de Cloudflare). El tráfico web de Binance entra por Cloudflare, con ventajas como anti-DDoS, entrega cercana a nivel global y handshake TLS rápido. Algunos sitios falsos también van tras Cloudflare, pero combinando esto con los otros factores se distinguen.
El centro de cuentas tiene subdominio propio
accounts.binance.com gestiona login, registro y 2FA, con una capa aparte. En el análisis técnico también usa Cloudflare, pero la cadena de certificados incluye en el campo SAN (Subject Alternative Name) múltiples subdominios como accounts.binance.com o accounts.binance.info. Los sitios falsos rara vez emiten certificados multidominio tan amplios.
Las APIs de trading corren en múltiples regiones de AWS
Las APIs api.binance.com, api1.binance.com, api2.binance.com apuntan a zonas de EC2 de AWS, sobre todo Tokio (ap-northeast-1), Singapur (ap-southeast-1) y Frankfurt (eu-central-1). Al estar desacopladas del frontal, un fallo en el frontal no afecta al trading y viceversa.
Métodos técnicos para reconocer el sitio oficial real
No requieren muchas herramientas: las DevTools del navegador y algunos servicios web bastan.
Revise los SAN del certificado HTTPS
En binance.com, pulse el candado y abra los detalles del certificado; busque "Nombre alternativo del sujeto" (Subject Alternative Names). En el auténtico figuran decenas de subdominios Binance: *.binance.com, *.binance.info, accounts.binance.com, etc. Los suplantadores suelen tener un SAN con un solo dominio.
Consulte la AS del DNS
Con whois o herramientas BGP online (bgp.he.net) compruebe el AS de la IP resuelta. El frontal debe ser AS13335 (Cloudflare); las APIs, AS16509 (Amazon AWS). Si el AS pertenece a un pequeño hosting o datacenter local, es falso.
Sondeo multi-punto para comprobar IPs coherentes
Con herramientas como ping.pe o ping.chinaz.com, haga ping a binance.com desde decenas de nodos del mundo. El sitio real responde desde las mismas franjas de IP de Cloudflare en la mayoría de nodos; solo algunas regiones restringidas pueden fallar. Los sitios falsos resuelven solo desde una región concreta.
Inspeccione las cabeceras HTTP
En DevTools, pestaña Network, recargue la página y abra la solicitud principal. El real lleva server: cloudflare y cf-ray: xxxxx, además de encabezados de seguridad como strict-transport-security y content-security-policy. Los sitios falsos tienen CSP muy permisiva o inexistente.
Comparativa técnica de suplantaciones comunes
Tabla para contrastar ante la duda:
| Indicador técnico | binance.com real | Sitios falsos habituales |
|---|---|---|
| AS del frontal | AS13335 Cloudflare | Pequeños hostings, AS de VPS |
| AS de la API | AS16509 AWS | No tiene API propia; mezclada con el frontal |
| SAN del certificado | Decenas de subdominios Binance | 1-2 dominios |
| Emisor del certificado | DigiCert / Let's Encrypt, grandes CA | CA gratuita, validez restante baja |
| Cabecera de respuesta | server: cloudflare + cf-ray | nginx pelado o sin server |
| CSP | Whitelist completa | Ausente o unsafe-inline |
| IP de sondeo | Franja Cloudflare coherente | IP única de VPS |
| TLS | Prioriza TLS 1.3 | Admite TLS 1.0/1.1 |
Lo que dicen los monitores de disponibilidad
Binance tiene su propia página de estado en binance-status.com (dominio independiente, en Statuspage.io), con el estado en tiempo real de spot, futuros, depósitos, retiros, API, login, etc. La estructura, el dominio y el certificado TLS son fijos; los suplantadores no falsifican esta página porque no tiene sentido: los usuarios consultan el estado para descartar problemas locales.
Plataformas de monitorización externas
UptimeRobot, Pingdom o Down Detector siguen binance.com a lo largo del tiempo. Al buscar "Binance" en ellas verá curvas de disponibilidad y tiempos de respuesta de 30 y 90 días. La mediana global de tiempos de respuesta del sitio real ronda 200-500 ms y la SLA se mantiene por encima del 99,9%. Los sitios falsos no aparecen en los históricos.
Haga su propia prueba
Si no se fía de las herramientas externas, realice accesos desde varias redes (banda ancha doméstica, 4G/5G, red de oficina, VPS en el extranjero) registrando IP resuelta, huella del certificado TLS y tiempo de respuesta. Si tres o cuatro entornos devuelven IPs del mismo AS de Cloudflare y la misma huella, está en el sitio real.
Cómo encaja la app oficial con el sitio
Aplique el mismo enfoque a la app. Al abrir cualquier página de cotizaciones, capture el tráfico: las peticiones API deben ir a api.binance.com o www.binance.com/bapi/. Las apps falsas habituales disparan contra dominios parecidos pero distintos, como api-binance-io.xxx.
Verificación en iOS
En iOS, la app la publica la entidad Binance como desarrollador; App Store muestra el nombre corporativo y el enlace al sitio oficial. La revisión de Apple ya es una barrera adicional; el riesgo es menor que en Android.
Verificación del APK Android
Con el APK, ejecute apksigner verify --print-certs para ver la firma. La huella del certificado de firma del APK oficial es pública y fija; varias fuentes independientes se corroboran entre sí. El APK enlazado desde esta página coincide con la publicación oficial; realice la verificación antes de instalar.
FAQ
P1: ¿Cómo confirmo rápido que este sitio va por Cloudflare?
En DevTools → Network, mire server y cf-ray. O en terminal curl -I https://www.binance.com. La presencia de cf-ray indica Cloudflare.
P2: ¿Por qué Cloudflare para el frontal y AWS para las APIs? Cumplen papeles distintos: Cloudflare destaca en distribución global y mitigación de ataques y sirve para web; AWS es mejor para desplegar el motor de matching y los servicios de órdenes. La separación reduce el impacto de fallos individuales y permite escalar cada módulo por separado.
P3: No me responde ping desde algunos nodos, ¿qué pasa? Las políticas de red locales y el enrutamiento de operadores pueden producir resoluciones fallidas o timeouts. Es un problema de red, no del sitio oficial. Cambie de red, use un acceso fiable o la app y evitará el problema.
P4: Si veo Let's Encrypt en la cadena, ¿significa que no es serio? No. Let's Encrypt es una CA gratuita mainstream, confiada por todos los navegadores. Algunos subdominios de Binance se firman con Let's Encrypt; lo importante es que la lista de SAN sea completa y que el certificado no sea uno anómalo emitido hace muy poco.
P5: El sondeo multi-punto dice que falla la resolución, ¿está caído? No necesariamente. Puede ser un DNS contaminado o un bloqueo de salida en ciertas regiones. Fíjese en si la mayoría de nodos responde bien; si más del 80% devuelve IPs de Cloudflare, el origen está bien.
P6: La página de estado dice "todo OK" pero no me carga, ¿qué pasa? Problema local casi seguro. Revise su DNS (pruebe 1.1.1.1 u 8.8.8.8) y compruebe si su operador enruta de forma subóptima entre nodos Cloudflare. Cuando la status page está en verde, el fallo está en el tramo del usuario.
P7: ¿La app es más segura que la web? Desde el ángulo "riesgo de phishing", sí: una vez instalada, todas las peticiones van a los dominios API predefinidos y no pueden ser engañadas por enlaces falsos en buscadores. El requisito es que la app instalada sea auténtica; por eso recomendamos obtenerla desde esta página o desde las tiendas oficiales.