Cualquier persona que se haya registrado en el sitio oficial de Binance ha recibido alguna vez un correo que dice ser «de Binance», pero muchos de ellos son en realidad enlaces de phishing difíciles de distinguir a simple vista. Al configurar un código antiphishing en la App oficial de Binance, todos los correos legítimos incluirán esa cadena de caracteres que usted mismo ha definido. Los usuarios de iPhone pueden consultar el tutorial de instalación en iOS para configurar su cliente; solo le llevará 5 minutos.
R: Acceda al «Centro de seguridad» en la configuración de su cuenta de Binance → «Código antiphishing», introduzca una combinación de 8 a 20 caracteres alfanuméricos y guarde los cambios. A partir de ese momento, todos los correos oficiales de Binance mostrarán esta cadena en el asunto o en el cuerpo del mensaje. Cualquier correo que no incluya este código es, con total seguridad, un intento de phishing.
¿Qué es exactamente el código antiphishing?
R: El código antiphishing (Anti-Phishing Code) es un «sello de firma» personalizado que Binance asigna al titular de la cuenta. Se incluye en cada correo oficial enviado para demostrar que el mensaje proviene realmente de los servidores de Binance. Los atacantes que envían correos de phishing no conocen su código, por lo que sus mensajes falsificados no contendrán esta cadena o mostrarán una incorrecta.
Su principio de funcionamiento es sencillo:
- Usted guarda una cadena de caracteres arbitraria en su panel de control (por ejemplo,
MiB1nance2026). - El servidor de Binance vincula esa cadena con su ID de cuenta.
- A partir de entonces, cualquier correo que reciba —alertas de inicio de sesión, confirmaciones de retiro, notificaciones de creación de API o avisos de seguridad— mostrará en el encabezado o en el asunto el texto:
Anti-phishing code: MiB1nance2026. - Si ve que el código coincide, el correo es auténtico; si no coincide o no aparece, es falso.
Los correos de phishing no pueden falsificar este código porque el atacante no tiene forma de saber cuál ha configurado: la información reside en la base de datos de Binance y solo se inserta en los correos salientes legítimos.
Por qué es obligatorio configurar el código antiphishing
R: Porque a partir de 2025, los correos de phishing dirigidos a usuarios de criptomonedas son cada vez más realistas; ya no basta con «revisar el dominio» o «verificar la firma». Los atacantes clonan las plantillas HTML completas de los correos de Binance, incluyendo hasta los avisos legales del pie de página, haciendo que sean indistinguibles para el ojo humano.
Tácticas comunes de los correos de phishing
- El remitente muestra
noreply@binance.com(pero es una identidad suplantada). - El diseño HTML copia exactamente la plantilla oficial de Binance.
- El texto del enlace dice
binance.com, pero al pasar el cursor se revela que apunta abinance-login.xyz. - Tono de urgencia: «Se ha detectado un inicio de sesión inusual, haga clic aquí para verificar de inmediato».
- Solicitudes de retiro falsas: «Ha solicitado un retiro de 5 BTC que se ejecutará en 10 minutos; si no fue usted, cancele aquí».
Con el código antiphishing activado, no necesita analizar el dominio ni los enlaces; basta con echar un vistazo rápido para ver si aparece su código personal. Si no está = es falso, bórrelo.
Paso 1: Iniciar sesión y acceder a los ajustes de seguridad
R: Es más cómodo realizar la configuración desde la versión web, por lo que se recomienda usar un PC. En la aplicación móvil, el acceso suele estar más oculto.
En PC:
- Inicie sesión en su cuenta de Binance.
- Desplace el cursor sobre el icono de su perfil/correo en la esquina superior derecha.
- Seleccione «Seguridad» (Security) en el menú desplegable.
- Desplácese hacia la parte inferior central de la página y busque la sección «Código antiphishing» (Anti-Phishing Code).
- Haga clic en «Habilitar» o «Editar».
En la App:
- Abra la App de Binance y pulse el icono de perfil en la esquina superior izquierda.
- Seleccione «Seguridad».
- Desplácese hasta el final para encontrar «Código antiphishing».
Paso 2: Establecer un código antiphishing adecuado
R: Un buen código debe cumplir tres requisitos: ser suficientemente largo, único y fácil de reconocer para usted. Binance permite entre 4 y 20 caracteres, pero 4 son demasiado fáciles de adivinar mediante ataques de fuerza bruta.
Formato recomendado para el código
- Longitud: de 8 a 20 caracteres.
- Juego de caracteres: combinación de mayúsculas, minúsculas y números (no use solo números).
- Contenido: use un «ancla de memoria» personal seguida de caracteres aleatorios.
- Ejemplos:
Gato$BnB7724,LunaMar2026Bn,Q3pPpYQ9.
Errores que debe evitar
- No use su contraseña: repetir caracteres de su contraseña de acceso duplica el riesgo.
- No use su fecha de nacimiento:
19920328es muy fácil de asociar. - No use su nombre completo:
juanperez2026no aporta seguridad. - No use solo números:
12345678es demasiado débil. - No use palabras comunes: términos como
binance123opasswordfiguran en diccionarios de filtraciones. - No reutilice cadenas de otros sitios: para reducir la probabilidad de ataques cruzados.
Una vez configurado y guardado, Binance le pedirá el código de verificación 2FA. Esta cadena no es una contraseña; si se filtra, no significa que le vayan a robar, pero perderá su utilidad para verificar la autenticidad de los correos. Por lo tanto, no la comparta en chats ni la guarde en notas públicas.
Paso 3: Identificar el código en sus correos
R: Tras guardar los cambios, Binance le enviará inmediatamente un correo de confirmación que incluirá su código. Este mensaje servirá como primera muestra de prueba.
Abra su bandeja de entrada y busque el último correo de Binance; en la parte superior o inferior del cuerpo del mensaje verá algo similar a:
Anti-phishing code: Gato$BnB7724
O en la versión en español:
Código antiphishing: Gato$BnB7724
La ubicación puede variar según el tipo de correo:
- Alerta de inicio de sesión: suele aparecer junto al asunto o en la primera línea del cuerpo.
- Confirmación de retiro: se sitúa sobre el botón de «Confirmar».
- Avisos de seguridad: puede aparecer directamente en el asunto.
- Correos de marketing: a menudo no lo incluyen (esto es intencionado por parte de Binance, ya que el marketing no compromete la seguridad).
Todos los correos relacionados con operaciones de cuenta —inicios de sesión, retiros, creación de API, cambio de contraseña o restablecimiento de 2FA— deben incluir el código; si no lo llevan, son falsos.
Comparación: Correo de phishing vs. Correo auténtico
R: La siguiente tabla resume los puntos clave de identificación para que pueda decidir de un vistazo.
| Punto de identificación | Correo auténtico | Correo de phishing |
|---|---|---|
| Código antiphishing | Presente y exacto en cada correo crítico | Ausente o incorrecto |
| Dominio del remitente | @binance.com o @post.binance.com |
Imitaciones como @binance-es.com o @blnance.com |
| Dirección real al pasar el cursor | Rutas oficiales de binance.com |
Redirecciones a dominios extraños como xx.cc o xx.xyz |
| Tono | Declaración objetiva de hechos | Urgente, presiona para hacer clic inmediato |
| Archivos adjuntos | Casi nunca incluye adjuntos | Incluye archivos .zip, .exe o .html |
| Calidad de traducción | Fluida y natural | A menudo presenta errores de traducción automática |
| Saludo | Usa su apodo registrado | «Estimado usuario» o «Dear user» |
| Pie de página legal | Completo, con dirección en HK/Caimán | Ausente o con datos erróneos |
El orden más seguro para verificar es: primero mirar el código antiphishing → luego revisar el dominio del remitente → por último, pasar el cursor por los enlaces para ver la dirección real. Si falla cualquiera de estos tres pasos, elimine el correo inmediatamente.
¿Cuándo se debe cambiar el código antiphishing?
R: Debe cambiar el código de inmediato en tres situaciones: si sospecha que su correo electrónico ha sido comprometido, si recibe un correo sospeoso con el código correcto (poco probable, pero requiere precaución) o si lleva más de un año sin actualizarlo.
Frecuencia de cambio recomendada
- Una vez al año: cámbielo junto con su contraseña para crear un hábito.
- Tras una filtración de su contraseña de correo: cámbielo rápido, ya que el atacante podría ver su código en el historial de mensajes.
- Tras una filtración de su contraseña de inicio de sesión: para evitar ataques por asociación.
- Si sospecha que su cuenta está bajo vigilancia: cámbielo y active la lista blanca de retiros y la limpieza de dispositivos.
El proceso de cambio es idéntico al de configuración inicial: Ajustes de seguridad → Editar código antiphishing → Introducir nuevo valor → Confirmación 2FA → Guardar. Binance no le mostrará el valor anterior, por lo que no hay problema si lo ha olvidado.
Limitaciones del código antiphishing
R: El código antiphishing no es infalible; solo sirve para identificar si un «correo es auténtico», pero no evita que «introduzca su contraseña en un sitio web falso».
Situaciones que el código no protege
- Phishing directo en sitios web: si accede a un sitio falso como
binance-login.come introduce sus credenciales, el código no interviene en ese proceso. - Aplicaciones móviles falsificadas: si descarga una App pirata, sus datos serán capturados al iniciar sesión.
- Phishing por soporte técnico: si alguien se hace pasar por soporte de Binance en Telegram o Discord y le envía un enlace, el código de los correos no le ayudará.
- Filtración de claves API: si un atacante obtiene sus claves API y retira fondos, el correo solo será una notificación posterior al hecho.
Por ello, el código antiphishing debe combinarse con otras medidas: Marcadores del sitio oficial + 2FA + Lista blanca de retiros + Restricción de IP en API + Código antiphishing. Las cinco capas son esenciales.
Preguntas frecuentes
P: ¿Puede el código antiphishing contener caracteres especiales o espacios?
R: No. Binance solo acepta letras (mayúsculas y minúsculas), números del 0 al 9 y algunos símbolos básicos como $, # o @. El uso de caracteres en otros idiomas, espacios o emojis provocará un error. Se recomienda una combinación alfanumérica para asegurar la compatibilidad en todos los clientes de correo.
P: ¿Se muestra el código en las notificaciones push de la App? R: Generalmente no se muestra en el título de la notificación push, pero sí puede verlo en el contenido completo dentro del centro de mensajes de la App. Para verificar una notificación, lo principal es confirmar que proviene de la App oficial de Binance; el 99% de las «notificaciones de Binance» enviadas por aplicaciones de terceros son intentos de phishing.
P: ¿Qué hago si olvido mi código antiphishing? R: Al acceder a los ajustes de seguridad en su cuenta, verá que el código está habilitado pero no se mostrará el texto original. Para recordarlo, busque el correo más reciente enviado por Binance. Si desea cambiarlo, simplemente haga clic en «Editar» y configure uno nuevo; no es necesario conocer el anterior para sobrescribirlo.
P: ¿Me pedirá el soporte de Binance mi código antiphishing? R: Nunca. El personal oficial de Binance jamás le pedirá su código antiphishing, su contraseña, sus códigos 2FA ni sus códigos de verificación de correo. Cualquier persona que le solicite esta información —aunque su perfil parezca oficial— es, sin duda, un estafador. El soporte técnico solo le pedirá descripciones de problemas, números de ticket o capturas de pantalla de errores.
P: ¿Debo reconfigurar el código si cambio mi dirección de correo electrónico? R: No es necesario. El código antiphishing está vinculado a su cuenta de Binance, no a su proveedor de correo. Al cambiar de email, los mensajes enviados a la nueva dirección seguirán incluyendo el mismo código. Sin embargo, se recomienda actualizarlo por seguridad, ya que el historial del correo anterior podría dar pistas a posibles atacantes.
P: ¿Son independientes los códigos de las subcuentas o cuentas institucionales?
R: Cada cuenta de Binance tiene su propio código antiphishing independiente. Las subcuentas derivan de la cuenta principal, pero el código de correo se puede configurar por separado: la principal puede usar GatoPrincipal2026 y la subcuenta PerroSub88. En las cuentas institucionales es fundamental que cada operador autorizado tenga su propio correo y su propio código personalizado.