Si detecta registros de inicio de sesión desconocidos en la página de seguridad del sitio oficial de Binance, o recibe un correo de notificación indicando que «Su cuenta ha iniciado sesión en la ciudad XX», lo primero que debe hacer es expulsar ese dispositivo. La App oficial de Binance cuenta con una sección de «Gestión de dispositivos» para realizar esta acción con un solo clic. Los usuarios de iPhone pueden seguir el tutorial de instalación para iOS y, una vez instalada la app, eliminar cualquier dispositivo sospechoso con solo un par de toques.

Respuesta rápida: Vaya a «Seguridad» → «Gestión de dispositivos» (Device Management), localice el dispositivo que no le pertenezca y pulse en «Eliminar» para forzar el cierre de sesión. Sin embargo, cerrar la sesión no es suficiente: debe cambiar la contraseña de inmediato, restablecer el 2FA, revisar las llaves API y verificar si se han añadido direcciones desconocidas a la lista blanca; omitir cualquier paso podría permitir una nueva intrusión.

Paso 1: Acceder a la página de Gestión de dispositivos

Consejo: Tras iniciar sesión, diríjase directamente a «Gestión de dispositivos». No pierda tiempo en otras páginas; cada segundo que pasa es tiempo adicional de exposición para su cuenta.

Acceso desde el ordenador (PC)

  1. Inicie sesión en su cuenta de Binance.
  2. Sitúe el cursor sobre el icono de usuario en la esquina superior derecha.
  3. En el menú desplegable, seleccione «Seguridad» (Security).
  4. Desplácese hasta la sección central y busque «Gestión de dispositivos» (Device Management).
  5. Haga clic en «Gestionar» para entrar.

La página mostrará todos los dispositivos que han accedido a su cuenta en los últimos 30-90 días.

Acceso desde la APP

  1. Abra la aplicación de Binance.
  2. Pulse el icono de usuario en la esquina superior izquierda.
  3. Seleccione «Seguridad».
  4. Busque «Gestión de dispositivos».

La lista que verá en la aplicación es idéntica a la de la web, y el proceso para cerrar sesiones es igual de sencillo.

Paso 2: Identificar qué dispositivos son desconocidos

Consejo: Cada registro incluye 6 datos clave: modelo del dispositivo, sistema operativo, navegador, dirección IP, ciudad y hora del último inicio de sesión. Compare esta información con sus propios dispositivos para realizar una verificación cruzada.

Campos que debe revisar

Un registro típico suele tener este formato:

iPhone 15 Pro · iOS 18 · Safari · 124.236.XX.XX · Hong Kong · 2026-04-23 14:32:11

O bien:

Windows PC · Chrome 124 · 119.85.XX.XX · Beijing · 2026-04-22 09:15:08

Cómo reconocer un dispositivo extraño

  1. ¿Coincide el modelo del dispositivo? Si solo tiene un iPhone 15 Pro y aparece un iPhone 12 → Sospechoso.
  2. ¿La versión del sistema es correcta? Si su iPhone usa iOS 18 y el registro indica iOS 16 → Sospechoso.
  3. ¿Es lógica la ubicación de la IP? Si ha estado toda la semana en Madrid y el registro muestra Pekín o Hong Kong → Sospechoso (a menos que use una VPN).
  4. ¿Coincide la hora de inicio de sesión? Si hay un registro a las 3 de la madrugada mientras dormía → Sospechoso.
  5. ¿El navegador es el habitual? Si solo usa Chrome y aparece Firefox o Edge → Sospechoso.

Si utiliza VPN o ha estado de viaje, analice con más detalle: las direcciones IP de las VPN pueden situar su dispositivo real en Singapur, Japón o EE. UU. Esta «anomalía geográfica» no siempre significa una intrusión.

Identificación de falsas alarmas

  • Un mismo dispositivo puede aparecer como una entrada nueva si cambia de navegador o actualiza el sistema. No siempre es otra persona.
  • Alternar entre datos móviles y WiFi provocará cambios en la IP, aunque el rango suele ser cercano.
  • Las redes de empresa o de hoteles también pueden causar variaciones bruscas en la IP.

Comparativa: Dispositivo propio vs. Dispositivo desconocido

Consejo: Use la siguiente tabla para determinar rápidamente si un inicio de sesión es realmente una intrusión.

Punto de control Dispositivo propio Dispositivo desconocido
Modelo del dispositivo Uno que posee Uno que no tiene
Versión del sistema Coincide con la suya Demasiado antigua o nueva
Ciudad de la IP Lugares que ha visitado Ciudad o país totalmente desconocido
Hora de inicio Coincide con su actividad diaria Madrugada / Horas en las que no pudo entrar
Navegador El que usa habitualmente Uno que nunca ha utilizado
Frecuencia Aparece con frecuencia Aparece una o dos veces y desaparece
Acciones vinculadas Coincide con su historial de trading Seguido de retiros sospechosos o creación de API

Prioridad de actuación ante un dispositivo desconocido: Cerrar sesión inmediatamente → Cambiar contraseña → Restablecer 2FA → Revocar todas las API → Revisar lista blanca → Contactar con soporte.

Paso 3: Forzar el cierre de sesión del dispositivo sospechoso

Consejo: Al hacer clic en «Eliminar» (Remove) o en el botón de cerrar sesión a la derecha del dispositivo, la sesión de ese dispositivo se invalidará instantáneamente. La próxima vez que el intruso intente abrir Binance en ese navegador, se le obligará a iniciar sesión de nuevo.

Pasos a seguir

  1. Localice la fila del dispositivo sospechoso.
  2. Pulse en «Eliminar este dispositivo» en la parte derecha.
  3. Aparecerá una ventana solicitando el código de verificación 2FA.
  4. Introduzca el código para confirmar.
  5. El dispositivo desaparecerá de la lista y la sesión se cerrará de inmediato.

Opción de «Eliminar y bloquear dispositivo»

En algunas versiones, Binance ofrece una opción más estricta: «Eliminar y prohibir que esta huella digital de dispositivo vuelva a iniciar sesión». Si está seguro de que es el dispositivo de un atacante, marque esta opción. No obstante, tenga en cuenta que el atacante puede saltarse este bloqueo borrando la caché o cambiando de navegador, por lo que es solo una medida de demora.

Paso 4: Cambiar contraseña y restablecer 2FA inmediatamente

Consejo: Cerrar la sesión es como cerrar la puerta, pero si el atacante tiene su contraseña, todavía tiene la llave. Es imperativo cambiar la contraseña y restablecer el 2FA.

Cambio de contraseña

  1. Ajustes de seguridad → «Contraseña de inicio de sesión» → Modificar.
  2. Introduzca la contraseña antigua y la nueva (que debe ser muy diferente).
  3. Verifique con el código de correo + código 2FA.
  4. Tras el cambio, todas las sesiones activas se cerrarán forzosamente (excepto la actual).

Requisitos para la nueva contraseña:

  • Más de 16 caracteres.
  • Combinación de mayúsculas, minúsculas, números y símbolos.
  • No use la misma contraseña que en otros sitios web.
  • Utilizar un gestor de contraseñas es la opción más segura.

Restablecer el 2FA

Si sospecha que su 2FA también ha sido comprometido (por ejemplo, si alguien fotografió su clave de respaldo), debe restablecerlo:

  1. Ajustes de seguridad → Google Authenticator / Binance Authenticator → «Desactivar».
  2. Verificación por correo + SMS + código 2FA antiguo (si aún es válido).
  3. Una vez desactivado, actívelo de nuevo inmediatamente escaneando el nuevo código QR.
  4. Anote la nueva clave de respaldo en un papel y destruya la anterior.

Paso 5: Revisar llaves API, listas blancas y registros de retiro

Consejo: Muchos atacantes, al obtener acceso, no retiran fondos de inmediato, sino que crean llaves API o añaden direcciones a la lista blanca como «puertas traseras de largo plazo». Tras cerrar sesiones y cambiar claves, debe auditar estos puntos.

Revisión de llaves API

  1. Vaya a la página de «Gestión de API».
  2. Compruebe si hay alguna llave que usted no haya creado.
  3. Revise los permisos de cada llave, especialmente si se ha activado el permiso de «Retiro».
  4. Verifique si se han añadido direcciones IP de atacantes a la lista blanca de la API.
  5. Elimine inmediatamente cualquier llave que no reconozca.
  6. Si una llave creada por usted tiene permisos incorrectos, elimínela y créela de nuevo.

Revisión de la lista blanca de direcciones

  1. Entre en «Gestión de direcciones».
  2. Revise la lista blanca de cada criptomoneda.
  3. Elimine inmediatamente cualquier dirección que no le resulte familiar.
  4. La eliminación es efectiva al instante.

Revisión de registros de retiro recientes

  1. «Billetera» → «Historial de transacciones» → «Retiro».
  2. Revise los últimos 30 días.
  3. Si detecta cualquier retiro que no haya iniciado usted, haga una captura de pantalla y contacte con soporte para denunciar el caso.

Revisión de OAuth / Autorizaciones de terceros

  1. Busque «Autorizaciones de terceros» junto a la gestión de API.
  2. Compruebe si hay aplicaciones autorizadas que no reconozca.
  3. Revóquelas todas.

Paso 6: Contactar con el soporte técnico

Consejo: Independientemente de si le han robado fondos o no, debe abrir un ticket con soporte para dejar constancia oficial del incidente. Esto facilitará la resolución de posibles disputas futuras y permitirá a Binance marcar los riesgos asociados.

Plantilla para el ticket (en inglés)

Subject: Suspicious login detected and removed

UID: XXXXXXXX
Time of detection: 2026-04-24 XX:XX
Suspicious device details:
- Device: iPhone 12, iOS 16
- IP: XXX.XXX.XX.XX
- Location: XXX
- Login time: 2026-04-XX XX:XX

Actions taken:
1. Removed the device from device list
2. Changed password
3. Reset Google Authenticator
4. Reviewed API keys (none found / removed X keys)
5. Reviewed whitelist addresses (none added / removed X addresses)
6. Reviewed recent withdrawals (no unauthorized / X unauthorized)

Requesting:
- Full security audit of my account
- Confirmation of any unauthorized activity
- Possible 24-hour withdrawal lock for additional protection

Solicitar voluntariamente un bloqueo de retiros de 24 horas es una excelente medida; le otorgará el tiempo necesario para calmarse y asegurar su cuenta por completo.

Preguntas frecuentes

P: El dispositivo desconocido solo inició sesión y no hizo nada, ¿aún así debo cambiar la contraseña? R: Absolutamente. El inicio de sesión es solo el primer paso; el atacante podría estar recopilando información para acciones futuras (revisar saldos, buscar cuentas vinculadas o clonar cookies para evadir el 2FA). Que parezca que no ha hecho nada no significa que no haya hecho nada. El cambio de clave y el restablecimiento del 2FA son obligatorios.

P: ¿Qué pasa si mi propio dispositivo aparece como desconocido? R: Compárelo detenidamente. Por ejemplo, si usó el modo incógnito de Chrome en el ordenador de la oficina, podría identificarse como un dispositivo nuevo. Si tiene dudas, lo mejor es expulsarlo por precaución. Cerrar la sesión solo le obligará a entrar de nuevo, no conlleva ninguna pérdida real.

P: ¿Podrá volver a entrar el atacante después de que yo elimine su dispositivo? R: Eliminarlo solo termina la sesión actual. Si el atacante aún tiene su contraseña y el código 2FA, podría volver a entrar de inmediato. Por ello, la eliminación del dispositivo nunca debe ser una acción aislada; debe ir acompañada del cambio de contraseña y el restablecimiento del 2FA.

P: ¿Cuál es la diferencia entre la lista de dispositivos de confianza y la de dispositivos con sesión iniciada? R: La lista de inicio de sesión muestra todos los dispositivos activos (incluidos los de un solo uso). La lista de confianza contiene dispositivos autorizados permanentemente que no requieren verificación adicional por correo al entrar. Debe limpiar ambas listas: elimine cualquier dispositivo sospechoso y reduzca la lista de confianza a solo 1 o 2 dispositivos que use con frecuencia.

P: He perdido mi móvil y quiero cerrar la sesión en ese dispositivo, ¿qué hago? R: Inicie sesión desde otro dispositivo, vaya a la gestión de dispositivos y elimínelo. Si no puede acceder a su cuenta, siga el proceso de «Restablecimiento de 2FA» de Binance (subir DNI, verificación por vídeo, etc.), lo cual puede tardar entre 3 y 15 días. Por eso, tras perder el móvil, lo primero es intentar entrar desde un PC para cambiar la clave y eliminar el dispositivo.

P: ¿Por qué mi propia IP se muestra a veces en una ciudad desconocida? R: Es común por varias razones: la ubicación de la torre de datos móviles puede no ser exacta (ej. usted está en una ciudad pero la antena pertenece a la ciudad vecina), el ISP usa CGNAT compartiendo una misma IP entre varios usuarios, o por el uso de CDN y proxies. Estas desviaciones suelen ser de pocos kilómetros; solo debe alarmarse si es a nivel internacional (ej. usted está en España pero aparece en Asia).

P: Si borro todas las llaves API, ¿afectará a mi estrategia de trading algorítmico? R: Sí, detendrá sus estrategias actuales, pero es un sacrificio necesario si detecta un acceso sospechoso. Podrá crear nuevas llaves después; al hacerlo, recuerde: restrinja las IP, asigne solo los permisos estrictamente necesarios, no active retiros y cámbielas periódicamente. Es un precio pequeño por la seguridad de su cuenta.