La confusión en las fuentes de descarga es el mayor riesgo de seguridad para las Apps de criptomonedas; si instala una versión falsa, su contraseña y la información del 2FA podrían ser robadas. El punto de partida para la verificación es el enlace de descarga oficial en el sitio oficial de Binance, y luego completar la descarga usando el botón de la App oficial de Binance; para la verificación del certificado en iOS, consulte el Tutorial de instalación de iOS. Hay 4 dimensiones clave para determinar si una versión es oficial: certificado de firma, tamaño del paquete, lista de permisos e icono junto con el Bundle ID.
I. Las 4 dimensiones clave para identificar la versión oficial
Paso 1: Verificar el certificado de firma
La entidad de firma del APK de Android debe ser Binance Holdings Limited (algunas versiones antiguas podrían ser Binance Operations Limited). El Team ID del desarrollador de la versión de iOS es GN7MM956V6 y el Bundle ID es com.czzarc.seaplane. Cualquier versión que no coincida con estos valores es falsa.
Paso 2: Verificar el tamaño del paquete
La versión más reciente del APK oficial para Android pesa aproximadamente 96MB ± 2MB, y el IPA para iOS pesa unos 148MB ± 3MB. Si el paquete descargado pesa menos de 50MB o más de 200MB, es casi un 100% seguro que se trata de una imitación o un paquete modificado.
Paso 3: Verificar la lista de permisos solicitados
La App oficial solo solicita permisos necesarios: almacenamiento, cámara (para escanear códigos y KYC), red, notificaciones y biometría. Si detecta solicitudes de permisos para contactos, registro de llamadas, lectura de SMS, ubicación precisa o acelerómetro, desinstálela de inmediato.
Paso 4: Verificar el icono y la interfaz (UI)
El icono oficial de Binance es una letra B dorada dentro de un rombo sobre un fondo oscuro o blanco. Las versiones falsas suelen usar iconos similares pero ligeramente torcidos, con una desviación de color superior al 10%. Si las fuentes, espacios y estilos de animación en la UI no son casi idénticos a los de la versión oficial, podría tratarse de una aplicación "clonada".
II. Métodos específicos para verificar el certificado de firma
Comprobación de firma en Android: Antes de instalar el APK, en el administrador de archivos, mantenga presionado el archivo APK → Propiedades → Certificado; allí podrá ver el nombre de la entidad emisora. También puede usar el comando apksigner verify --print-certs para ver la cadena de certificados completa. La huella SHA-256 de la firma oficial es fija y ha sido publicada en las FAQ del sitio oficial.
Comprobación de firma en iOS: Ajustes → General → Gestión de VPN y dispositivos, y verifique el nombre del desarrollador de la App empresarial. La firma oficial no es visible en la versión de la App Store (firmada por Apple), en TestFlight aparece como Binance Holdings, y en la versión empresarial muestra la entidad de firma correspondiente.
Comprobación de firma en escritorio:
En Windows, clic derecho en el EXE → Propiedades → Firmas digitales; la entidad de firma debe ser Binance Holdings Limited. En macOS, use codesign -dvv /Applications/Binance.app para ver el ID del desarrollador.
III. Tabla comparativa de las cuatro características
| Dimensión de verificación | Valor de la versión oficial | Características comunes en imitaciones | Nivel de riesgo |
|---|---|---|---|
| Firma Android | Binance Holdings Limited | Firma aleatoria o sin firma | Muy Alto |
| iOS Bundle ID | com.czzarc.seaplane | Nombre aproximado (caracteres extra o faltantes) | Muy Alto |
| Tamaño APK | 96MB | 20-40MB o más de 150MB | Alto |
| Tamaño IPA | 148MB | 50-80MB o más de 200MB | Alto |
| Lista de permisos | Aprox. 8-10 permisos necesarios | Solicitud de contactos/SMS | Muy Alto |
| Team ID Desarrollador | GN7MM956V6 | Cualquier otro ID | Muy Alto |
| Color del icono | #F0B90B Dorado | Desviación de color ±10% | Medio |
| Enlace oficial | Termina en binance.com | Sufijos como -dl / -app | Alto |
IV. Métodos comunes de imitación y prevención
Método A: Sitio de phishing imitando al oficial Al buscar "descarga Binance" podrían aparecer sitios como binance-dl.xxx o binance-app.xxx. Sus URLs tienen una similitud superior al 80% con la oficial, pero el certificado de firma es falso. Prevención: confíe solo en el icono del candado verde en la barra de direcciones + dirección que coincida exactamente con binance.com.
Método B: Reempaquetado en tiendas de aplicaciones de terceros Algunas tiendas de terceros descargan el APK oficial, insertan SDKs de publicidad o código espía y vuelven a firmarlo. El tamaño suele ser 5-15MB mayor que el oficial. Prevención: descargue solo de Google Play, el sitio oficial de Binance o la tienda de aplicaciones preinstalada del sistema.
Método C: Inducción a la descarga en redes sociales Los enlaces de "la última versión de Binance" compartidos en grupos de Telegram o Discord son, en más del 80% de los casos, enlaces de phishing. El gancho común es decir que "el canal oficial es lento, esta versión es más rápida". Cualquier enlace compartido a través de herramientas de chat debe ignorarse directamente.
Método D: Suplantación de soporte técnico Falsos agentes de soporte piden a los usuarios mediante correo o SMS "verificar su identidad y volver a descargar la App", proporcionando enlaces a sitios falsos. El soporte real de Binance nunca le pedirá proactivamente que vuelva a descargar la App.
Método E: Secuestro de SEO por palabras clave Los primeros resultados en los buscadores pueden ser anuncios pagados; algunos grupos criminales compran estos espacios para dirigir el tráfico a sitios falsos. Se recomienda saltar los anuncios y hacer clic solo en resultados con la etiqueta "Sitio oficial" o de fuentes claras.
V. Proceso de verificación de 5 pasos tras la descarga
Paso A: Verificar la dirección oficial Confirme que la dirección en el navegador es binance.com (o sus variantes de dominio legales como binance.us, binance.com.br) y que tiene el símbolo del candado HTTPS.
Paso B: Verificar el SHA256 antes de descargar La página de "Descarga" oficial publica el valor SHA256 de cada versión. Tras descargar, use herramientas del sistema (certutil en Windows, shasum en macOS) para calcular el valor de verificación del archivo y compararlo.
Paso C: Revisar la lista de permisos antes de instalar Al instalar en Android, se listarán todos los permisos que solicita la App; revíselos cuidadosamente y detenga la instalación si hay elementos sospechosos.
Paso D: Observar la UI al iniciar por primera vez La animación de inicio de la App oficial dura 1.5 segundos y luego entra en la página de inicio de sesión. Si al iniciar hay ventanas emergentes adicionales, anuncios o solicitudes de acceso a contactos, sospeche de inmediato.
Paso E: Observar el dominio tras iniciar sesión Durante el proceso de inicio de sesión formal, todas las solicitudes de API apuntan a api.binance.com o api.binance.us. Si la App se conecta a un dominio desconocido (requiere herramientas de captura de paquetes para verlo), desinstálela inmediatamente y restablezca su contraseña y el 2FA.
VI. FAQ - Preguntas frecuentes
P: Instalé accidentalmente una versión falsa e introduje mi contraseña, ¿qué hago? R: Use inmediatamente otro dispositivo de confianza para entrar en la versión web oficial y: 1) Cambie la contraseña; 2) Desactive todas las claves API antiguas; 3) Restablezca el 2FA; 4) Revise el historial de transferencia de fondos. Cuanto más rápido se haga (preferiblemente en menos de 10 minutos), mejor.
P: ¿Es realmente segura la versión de firma empresarial para iOS? R: Depende de la fuente de la firma. La fuente oficial (firma empresarial desde el enlace oficial) es segura y tiene las mismas funciones que la versión de la App Store; pero si se instala a través de plataformas de distribución de firmas de terceros, existe el riesgo de que haya sido modificada. Confíe solo en enlaces de descarga provenientes del dominio binance.com.
P: El icono o la pantalla de inicio cambiaron tras actualizar, ¿es una versión falsa? R: No necesariamente. Binance realiza cambios en la UI, como cambiar la pantalla de inicio o ajustar los colores del icono en actualizaciones mayores. Para juzgar si es oficial, debe basarse en la combinación de firma, tamaño y permisos, no solo en la apariencia.
P: ¿Cómo denunciar enlaces falsos? R: El soporte oficial de Binance tiene una sección de denuncia de anti-phishing en su "Centro de Ayuda"; tras enviar el enlace, Binance coordinará con los reguladores para darlo de baja. Las tiendas de Google y Apple también tienen botones de "Denunciar aplicación falsa".
P: Los ancianos en casa se equivocan fácilmente al descargar, ¿cómo protegerlos? R: Se recomienda que usen la versión de la iOS App Store (revisión estricta) y activen el límite de tiempo de uso de pantalla para prohibir la instalación de Apps ajenas a la App Store. En Android, desactive la "Instalación desde fuentes desconocidas" para que solo puedan instalar desde tiendas oficiales, eliminando casi todo el riesgo.