¿Cómo verificar la huella del certificado del sitio oficial de Binance? Prevención de phishing
- ¿Qué es un certificado y por qué previene el phishing?
- Cómo ver el certificado en Chrome / Edge
- Cómo ver el certificado en Safari
- Verificación de la huella digital SHA-256
- Verificación mediante la línea de comandos en la terminal
- ¿Cómo verificar en dispositivos móviles?
- Las tres anomalías de certificado más comunes
- Uso de gestores de contraseñas como ayuda para la verificación
- FAQ (Preguntas Frecuentes)
- Lecturas recomendadas
Por más que un dominio o una página web se parezcan, un certificado no se puede falsificar; esta es la última línea de defensa para verificar la autenticidad del sitio oficial de Binance. Esta nota explica cómo ver el certificado SSL de binance.com en tu navegador, comparar su huella digital y realizar una validación secundaria utilizando los registros de Certificate Transparency (CT). Para acceder a la entrada oficial abre el sitio oficial de Binance; para descargar la app usa la App oficial de Binance; los usuarios de iPhone pueden consultar el tutorial de instalación de iOS.
¿Qué es un certificado y por qué previene el phishing?
Un certificado SSL equivale a un "documento de identidad" con un sello oficial de un tercero, emitido por una Autoridad de Certificación (CA) que garantiza: "El servidor que posee este certificado es realmente el servidor del dominio que dice ser". Antes de emitirlo, la CA verifica que el solicitante tenga el control del dominio, por lo que los atacantes no pueden obtener un certificado para binance.com. Los sitios falsos solo pueden:
- Usar certificados autofirmados (el navegador mostrará una advertencia roja).
- Usar Let's Encrypt para firmar un certificado de un dominio similar (como binance-es.com), pretendiendo que "este dominio similar también es un HTTPS legal".
- No usar HTTPS en absoluto, utilizando HTTP y poniendo parches con texto.
Cualquiera de estos métodos puede ser detectado simplemente echando un vistazo proactivo al certificado.
Cómo ver el certificado en Chrome / Edge
- Abre binance.com y espera a que la página cargue por completo.
- Haz clic en el candado a la izquierda de la barra de direcciones (o en el ícono de ajustes).
- Selecciona "La conexión es segura" → "El certificado es válido".
- En el visor de certificados que aparece, revisa el campo "Emitido para" y la "Huella digital".
La información correcta del certificado debe incluir:
| Campo | Valor esperado |
|---|---|
| Nombre común (CN) | binance.com o *.binance.com |
| Emitido para - Organización (O) | Binance Holdings Limited |
| Emitido para - País/Región (C) | KY (Islas Caimán) o VG |
| Organización emisora (O) | DigiCert Inc o GlobalSign |
| Algoritmo de firma | sha256WithRSAEncryption o ECDSA |
| Período de validez | Generalmente dentro de un año |
Siempre que el campo "O" sea Binance Holdings Limited, básicamente puedes confirmar que es oficial.
Cómo ver el certificado en Safari
La operación en macOS Safari es ligeramente diferente:
- Haz clic en el candado en la barra de direcciones y selecciona "Mostrar certificado".
- En el panel de certificados que aparece, despliega "Detalles".
- Desplázate hasta la parte inferior para ver la huella digital SHA-256.
- Compárala con los registros públicos.
Safari en iOS no muestra directamente la huella digital del certificado; necesitas usar aplicaciones de terceros (como SSL Checker) o exportar un archivo .pem para analizarlo.
Verificación de la huella digital SHA-256
La huella digital de un certificado es una cadena hexadecimal de 64 caracteres, similar a un número de identificación. El certificado del dominio principal de Binance se actualiza al menos una vez al año, por lo que no debes tomar una huella digital específica como referencia a largo plazo, sino hacer una "comparación sincrónica": usando dos dispositivos distintos y dos redes diferentes para acceder a binance.com, la huella digital que veas debe ser la misma. Si no coinciden, al menos una de las conexiones está sufriendo un ataque de intermediario (Man-in-the-Middle).
Un método más confiable es hacer la comparación usando registros CT:
- Entra a crt.sh
- Ingresa binance.com en el cuadro de búsqueda.
- Busca el registro de emisión del certificado más reciente y anota su huella digital.
- Comprueba si la huella digital que ves en tu navegador está en este registro.
Los registros CT son públicos e inalterables, y todos los certificados emitidos por cualquier CA a nivel mundial deben registrarse allí. Si la huella digital del certificado que muestra tu navegador no está en los registros CT, o bien es de una emisión nueva aún no indexada (muy raro), o bien es un certificado falsificado.
Verificación mediante la línea de comandos en la terminal
En la terminal de macOS o Linux, puedes usar la herramienta openssl para obtener directamente la huella digital del certificado y compararla. Los usuarios experimentados pueden consultar la documentación sobre este método. Los usuarios de Windows pueden usar las funciones de la familia Get-PfxCertificate de PowerShell. Este artículo no profundiza en los detalles de la línea de comandos.
¿Cómo verificar en dispositivos móviles?
Ver el certificado en navegadores móviles no es tan conveniente como en escritorio. Sugerimos dos vías:
- Android: Usa Firefox (el candado en la barra de direcciones permite ver toda la cadena del certificado) o Kiwi Browser.
- iOS: Usa Safari + una extensión de "Inspección de certificados" desde el menú de compartir integrado (como SSL Trace).
Si no puedes ver la huella digital completa en Chrome móvil, al menos asegúrate de que la barra de direcciones diga binance.com con el candado cerrado, y que no aparezca ninguna palabra como "No seguro" o "Certificado caducado".
Las tres anomalías de certificado más comunes
Anomalía 1: Certificado caducado Muy raro. Binance renueva automáticamente el certificado varios días antes de que caduque. Si ves este aviso, es muy probable que la hora de tu sistema local esté mal. Revisa la fecha de tu computadora.
Anomalía 2: El emisor no es de confianza El navegador informa que "La conexión no es privada". Una causa común es que la red de tu empresa o escuela esté realizando intercepción SSL, instalando su propio certificado raíz y descifrando y volviendo a firmar todo el tráfico HTTPS. En este entorno, nunca inicies sesión en tu cuenta de Binance, ya que el intermediario puede ver tu tráfico completo.
Anomalía 3: El Nombre Común no coincide El certificado fue emitido para a.com pero estás accediendo a b.com. Esta situación indica que el DNS ha sido secuestrado y dirigido a los servidores de otra persona. Cierra la página inmediatamente.
Uso de gestores de contraseñas como ayuda para la verificación
Los gestores de contraseñas como 1Password o Bitwarden verifican si el dominio actual coincide con el dominio vinculado a la cuenta al momento de autocompletar. Si vas a iniciar sesión y no se autocompleta la contraseña, sospecha primero si estás en una página de phishing. Este mecanismo es más confiable que el reconocimiento visual humano.
FAQ (Preguntas Frecuentes)
P: ¿Si cambia la huella digital del certificado, significa que ha sido secuestrado? R: No necesariamente. Binance cambia su certificado todos los años, por lo que la huella digital cambiará. Lo que debes verificar es si la organización emisora es Binance Holdings Limited.
P: ¿Cuál es la diferencia entre un certificado DV y uno OV? R: El DV solo verifica la propiedad del dominio, mientras que el OV también verifica la identidad de la organización. Binance utiliza un nivel OV.
P: ¿Se puede fijar una huella digital igual que en SSH? R: Los navegadores históricamente tenían un mecanismo llamado HPKP, pero ha sido descartado. Ahora la monitorización se basa principalmente en los registros CT.
P: ¿Qué hago si no puedo ver la huella digital en el móvil? R: Al menos verifica que sea binance.com y tenga un candado; combinar el uso de la app y el navegador es la opción más segura.