¿Cómo verificar el certificado oficial de la web de Binance? Qué buscar al pulsar el candado del navegador
El panel del certificado del navegador permite identificar rápidamente sitios de phishing. Aprenda a verificar el certificado en tres segundos para evitar los puntos ciegos de la inspección visual de la URL.
Aunque es fácil falsificar visualmente una URL, el certificado TLS es mucho más difícil de falsear. Antes de acceder a la web oficial de Binance, echar un vistazo al certificado es la forma más rápida de verificar su autenticidad. También se recomienda realizar esta verificación al descargar la app oficial de Binance (para iOS, consulte el tutorial de instalación en iOS).
¿Qué es un certificado?
Un certificado HTTPS es una credencial digital que contiene:
- El sujeto (el dominio de este sitio web).
- El emisor (la Autoridad de Certificación o CA que lo emitió).
- El periodo de validez.
- La clave pública.
- La firma digital.
Cuando el navegador recibe el certificado, verifica la firma con la CA y comprueba si el dominio coincide. Solo si todo es correcto, se muestra el icono del candado.
Entienda el certificado de Binance en tres segundos
Operación en Chrome
- Haga clic en el candado a la izquierda de la barra de direcciones.
- Seleccione "La conexión es segura".
- Pulse en "El certificado es válido".
- Revise cuatro elementos en la ventana emergente.
Un certificado válido debe cumplir:
| Campo | Valor esperado |
|---|---|
| Sujeto | *.binance.com o www.binance.com |
| Emisor | Grandes CA como DigiCert, Cloudflare o Sectigo |
| Validez | Dentro de la fecha actual |
| Coincidencia de dominio | La URL actual está dentro del alcance del certificado |
Si alguno de estos puntos es incorrecto, no inicie sesión.
Operación en Safari
Icono del candado en la barra de direcciones → Mostrar certificado.
Operación en Firefox
Candado en la barra de direcciones → Conexión segura → Más información → Ver certificado.
Operación en Edge
Igual que en Chrome.
Jerarquía de certificados
El certificado de Binance tiene una estructura de tres niveles:
- Certificado raíz: Integrado en el navegador o sistema.
- Certificado intermedio: Como DigiCert Global G2 o similares.
- Certificado final: El emitido a *.binance.com.
El navegador verifica automáticamente toda la cadena. Si el certificado intermedio o el final son alterados, la cadena se rompe.
Qué ocurre con los certificados de sitios de phishing
Los estafadores suelen usar varias técnicas:
1. Certificado gratuito + dominio falso
Let's Encrypt puede emitir un certificado para binance-app.com, pero el sujeto del certificado será binance-app.com, no binance.com. Consultar el panel del certificado desenmascarará el fraude.
2. Certificado autofirmado
Le piden directamente que "ignore la advertencia del navegador y continúe visitando". Nunca inicie sesión en una página así.
3. Certificado de intermediario (Man-in-the-middle)
Las redes corporativas o escolares pueden tener instalados certificados SSL intermedios; el navegador mostrará "Emisor: Nombre de la empresa". No inicie sesión en sitios financieros en este tipo de entornos.
4. Falsificación de certificados EV
Antiguamente, Binance usaba certificados EV (que mostraban el nombre de la empresa en verde en la barra de direcciones). Actualmente, los navegadores ya no muestran los certificados EV de forma distinta, por lo que no debe usar "el color verde" como criterio de seguridad.
Comprobaciones avanzadas
Huella digital (Fingerprint) del certificado
Cada certificado tiene una huella SHA-256 única (una cadena hexadecimal).
Puede usar herramientas (como SSL Labs: ssllabs.com/ssltest) para registrar previamente la huella del certificado auténtico de Binance. Si al entrar la huella ha cambiado, manténgase alerta.
Tenga en cuenta que los certificados se renuevan y la huella cambiará; solo es una anomalía si cambia fuera de la ventana de renovación.
Registro de transparencia de certificados (CT Logs)
Los logs de CT registran públicamente todos los certificados emitidos. Si un atacante emitiera secretamente un certificado para un dominio, quedaría constancia en el CT. Los usuarios comunes no suelen consultarlo, pero los investigadores de seguridad sí.
HSTS
El dominio principal de Binance obliga al uso de HSTS (HTTP Strict Transport Security). Cualquier intento de acceder a binance.com sin HTTPS será bloqueado por el propio navegador.
Si al abrir "binance.com" se le permite navegar por HTTP, definitivamente no es el sitio real.
Cómo ver el certificado en el móvil
iOS Safari
Icono "AA" en la barra de direcciones → "Ajustes del sitio web". Safari en iOS no muestra los detalles del certificado directamente, pero bloquea los certificados inválidos.
Si desea ver los detalles, se recomienda usar Chrome para iOS, que sí muestra el origen del certificado.
Android Chrome
Candado en la barra de direcciones → Conexión segura → Certificado.
App móvil
La aplicación no está dentro de un navegador, por lo que no tiene panel de certificado. Sin embargo, la propia app cuenta con mecanismos de SSL Pinning: si el certificado no es correcto, rechazará la conexión. Por ello, la app es incluso más segura.
Tipos de advertencias de certificado en el navegador
| Advertencia | Significado | Qué hacer |
|---|---|---|
| NET::ERR_CERT_AUTHORITY_INVALID | La entidad emisora no es de confianza | Cierre la página inmediatamente |
| NET::ERR_CERT_DATE_INVALID | Certificado caducado o fecha del sistema errónea | Corrija la hora y vuelva a intentar |
| NET::ERR_CERT_COMMON_NAME_INVALID | El dominio no coincide con el certificado | Sitio de phishing, cierre la página |
| NET::ERR_CERT_REVOKED | El certificado ha sido revocado | Cierre la página |
| ERR_SSL_PROTOCOL_ERROR | Fallo en el protocolo TLS | Problema del navegador o de la red |
Nunca pulse en "continuar visitando" ante una advertencia de certificado.
Preguntas frecuentes
P: ¿Puedo hacer que el navegador ignore siempre una advertencia de certificado? R: Técnicamente puede, pero no lo haga. Si lo hace, no recibirá avisos cuando haya un problema real en el futuro.
P: ¿Cuánto dura la validez de un certificado? R: Los certificados modernos suelen durar entre 90 días y 1 año. Binance los renueva sin que el usuario lo perciba.
P: ¿HTTPS es sinónimo de seguridad total? R: HTTPS solo garantiza que la comunicación entre usted y el servidor esté cifrada; no garantiza que el servidor sea el de Binance real. Por eso debe comprobar el sujeto del certificado.
P: ¿Qué es un certificado autofirmado? R: Un certificado emitido por uno mismo sin intervención de una CA. Ningún sitio financiero legítimo usaría uno para operar con sus clientes.
P: ¿Por qué ya no aparece la barra verde de los certificados EV? R: Los estudios indicaron que esa barra daba una falsa sensación de seguridad total. Navegadores como Chrome o Edge han dejado de mostrarla para usar otros métodos de identificación.
Lecturas recomendadas
- Evolución de los dominios de Binance
- Añadir Binance a marcadores
- Lista de autocomprobación de seguridad
Comprobar el certificado es más fiable que revisar la ortografía de la URL. Acostúmbrese a pulsar en el candado al entrar en el sitio y el phishing apenas tendrá posibilidades.