Inicio/ Todos los artículos/Seguridad/¿Cómo proteger tu cuenta de Binance? Los ajustes de seguridad más importantes

¿Cómo proteger tu cuenta de Binance? Los ajustes de seguridad más importantes

Actualizado el 2026-04-06 · 37 minSeguridad

La clave para proteger tu cuenta de Binance son 4 ajustes de seguridad: Autenticación de dos factores con Google Authenticator, código antiphishing, lista blanca de retiros y gestión de dispositivos. Con estos 4 activados, incluso si te roban la contraseña, los atacantes no podrán llevarse tus activos. Antes de operar con tu cuenta, verifica tu identidad en el sitio oficial de Binance, descarga las herramientas de la APP desde la APP oficial de Binance, y encuentra los accesos de la plataforma en el Centro de descargas. Este artículo explica cada configuración en tres niveles: "Imprescindible", "Recomendado" y "Puntos extra".

Rutas comunes de robo de cuentas

Antes de entender cómo protegerte, veamos cómo roban cuentas los atacantes. El informe anual de Chainalysis 2024 muestra las principales rutas de robo de cuentas de exchanges de criptomonedas:

Ruta Porcentaje Medidas de defensa
Sitios de phishing / Correos de phishing 42% Código antiphishing + Verificación de dominio
Relleno de credenciales (Contraseñas filtradas en otras plataformas) 28% Contraseña única + 2FA
Secuestro de tarjeta SIM (Robo de códigos SMS) 14% Google Authenticator en lugar de SMS
Troyanos / Keyloggers 9% Seguridad del dispositivo + Código antiphishing
Ingeniería social (Falsos agentes de soporte, etc.) 7% No confiar en contactos proactivos

Si aplicas correctamente las medidas de defensa, puedes bloquear al menos el 95% de los ataques. El 5% restante suele implicar una intrusión profunda en el propio dispositivo (muy raro).

Imprescindible: Google Authenticator con verificación en dos pasos

Por qué no usar SMS 2FA

Binance ofrece dos métodos de 2FA: SMS 2FA y Google Authenticator. Google Authenticator es significativamente más seguro por las siguientes razones:

  • Los códigos SMS pueden ser robados mediante secuestro de tarjeta SIM (los hackers se hacen pasar por ti para solicitar una nueva SIM al operador).
  • Los códigos SMS pueden ser interceptados por personal interno del operador (hay casos reales en algunas regiones).
  • Los SMS pueden retrasarse o perderse durante el roaming internacional.
  • Google Authenticator genera códigos dinámicos localmente en el dispositivo, sin transmitirlos a través de ninguna red.

Pasos de configuración

  1. Busca y descarga Google Authenticator en la tienda de aplicaciones de tu teléfono (el icono es un cuadro gris con una llave).
  2. En la APP de Binance, ve a "Cuenta → Seguridad → Autenticación de dos factores → Google Authenticator".
  3. Aparecerá un código QR y una cadena alfanumérica de 16 caracteres.
  4. Paso crucial: copia esta cadena de caracteres en un papel (si pierdes el teléfono, usarás esto para recuperar el 2FA).
  5. Usa Google Authenticator para escanear el código QR; la aplicación mostrará un código dinámico de 6 dígitos.
  6. Introduce este código de 6 dígitos en la APP de Binance para completar la vinculación.

A partir de entonces, para cada inicio de sesión necesitarás: contraseña del correo + código de 6 dígitos de Google Authenticator.

Custodia de la clave de recuperación

Esa cadena de 16 caracteres es la "clave semilla" de tu 2FA. Si pierdes el teléfono o cambias a uno nuevo, al introducir esta clave semilla en el Google Authenticator del nuevo dispositivo podrás regenerar exactamente el mismo 2FA.

⚠️ Es fundamental:

  • Copiarlo en un papel y guardar al menos 2 copias por separado.
  • No hacer capturas de pantalla, no guardarlo en documentos electrónicos.
  • Guardarlo separado de la frase mnemotécnica de tu cuenta de Binance (para evitar un punto único de fallo).

¿Qué hacer si no guardaste la clave de recuperación?

Si pierdes el teléfono y no guardaste la clave de recuperación, el 2FA quedará bloqueado. Tendrás que seguir el proceso de apelación para "Restablecer 2FA":

  1. Página de inicio de sesión de la APP → ¿Olvidaste tu 2FA? → Enviar solicitud de restablecimiento.
  2. Enviar documento de identidad + reconocimiento facial.
  3. Esperar la revisión manual (7-15 días laborables).
  4. Tras la aprobación, el 2FA se desvincula y podrás configurar uno nuevo.

Durante este tiempo, la cuenta estará bloqueada y no podrás operar. Por eso es tan importante la "custodia de la clave de recuperación".

Imprescindible: Código antiphishing

¿Para qué sirve el código antiphishing?

El código antiphishing (Anti-Phishing Code) es una cadena de caracteres que tú mismo configuras. Una vez activado, todos los correos oficiales que te envíe Binance mostrarán esta cadena en la parte superior.

Efecto:

  • Si recibes un correo de "notificación de Binance" sin este código → es 100% un correo falso.
  • Si tiene este código → es 99,9% un correo real (a menos que el atacante conozca tu código antiphishing y pueda falsificar el correo).

Los correos de phishing a menudo falsifican a los remitentes oficiales de Binance para engañarte y que hagas clic en enlaces maliciosos. El código antiphishing es el método más sencillo para identificarlos.

Pasos de configuración

  1. Ve a "Cuenta → Seguridad → Código antiphishing".
  2. Introduce la cadena que deseas configurar (de 4 a 20 caracteres alfanuméricos).
  3. Elige una cadena que sea fácil de recordar para ti pero que no revele tu identidad, como Coffee2024 o Sunset_QX.
  4. No uses: tu nombre, número de teléfono, fecha de nacimiento o contraseñas fáciles de adivinar.
  5. Se activará inmediatamente después de enviarlo.

Verificación tras la configuración

Una vez configurado, Binance te enviará inmediatamente un correo de prueba, y la cadena que configuraste aparecerá en la parte superior. Si se muestra, la configuración fue exitosa.

A partir de entonces, presta atención a todos los correos de "Binance" que recibas; si no tienen esta cadena, elimínalos y no hagas clic en ningún enlace.

Imprescindible: Lista blanca de retiros

Función de la lista blanca

La lista blanca de retiros es una función de seguridad avanzada de Binance. Una vez activada, solo podrás retirar a las direcciones que hayas especificado previamente. Cualquier otra dirección, incluso si la introduces, será bloqueada.

Escenario de defensa: una vez que un atacante obtiene tu cuenta + 2FA, lo primero que hará será cambiar la contraseña y retirar fondos. Si tienes activada la lista blanca, el atacante primero deberá añadir su propia dirección a la lista blanca, y añadir a la lista blanca requiere un periodo de enfriamiento de 24-48 horas, lo que te da tiempo de sobra para detectar la anomalía y congelar la cuenta.

Pasos de configuración

  1. Ve a "Cartera → Retiros → Gestión de direcciones de retiro → Libreta de direcciones".
  2. Activa el interruptor de "Activar lista blanca" en la parte superior.
  3. El sistema requerirá la verificación 2FA para aplicarlo.
  4. Añade tus direcciones de retiro frecuentes:
    • Direcciones de tu propia cartera de hardware (como Ledger).
    • Direcciones de tu propia cartera Web3.
    • Direcciones de recepción de amigos o familiares de confianza.
  5. Cada dirección necesita una etiqueta (un nombre personalizado para identificarla fácilmente).

Periodo de enfriamiento para añadir nuevas direcciones

Una vez activada la lista blanca:

  • Añadir nueva dirección → Verificación por correo + 2FA → Entra en un periodo de enfriamiento de 24-48 horas.
  • No se puede usar esta dirección para retiros durante el periodo de enfriamiento.
  • La dirección solo se activa oficialmente tras finalizar el periodo de enfriamiento.

Este retraso puede parecer un inconveniente, pero es precisamente lo que ha salvado innumerables cuentas. Los atacantes no esperarán 24 horas; se rendirán de inmediato y buscarán otras cuentas que no tengan activada la lista blanca.

Recomendado: Gestión de dispositivos + Alertas de inicio de sesión anómalo

Activar la gestión de dispositivos

Yendo a "Cuenta → Seguridad → Gestión de dispositivos", podrás ver todos los dispositivos que han iniciado sesión en tu cuenta:

  • Tipo de dispositivo (iPhone / Android / PC)
  • IP de inicio de sesión y ubicación geográfica
  • Hora del último inicio de sesión
  • Si está actualmente en línea

Comprueba esto: ¿Todos los dispositivos son tuyos? Si ves algún dispositivo desconocido, haz clic inmediatamente en "Eliminar" para desconectarlo y cambia tu contraseña de inmediato.

Activar las notificaciones de inicio de sesión

"Cuenta → Preferencias de notificaciones → Inicio de sesión anómalo":

  • Notificación por correo: Activado
  • Notificación en la aplicación: Activado
  • Notificación por SMS: Opcional

A partir de entonces, se te notificará inmediatamente cualquier inicio de sesión desde un nuevo dispositivo. Si no estás iniciando sesión y recibes una notificación, haz lo siguiente de inmediato:

  1. Cambia la contraseña.
  2. Restablece el 2FA.
  3. Desconecta los dispositivos desconocidos.
  4. Revisa la actividad reciente de la cuenta para ver si hay transacciones anómalas.

Recomendado: Contraseña de operación + Verificación secundaria por correo

Configurar la contraseña de operación

Binance ofrece una "contraseña de operación" (independiente de la contraseña de inicio de sesión) que se utiliza para operaciones sensibles:

  • Retiros
  • Modificar ajustes de seguridad
  • Crear API key

Ve a "Cuenta → Seguridad → Contraseña de operación" para configurarla. Esta contraseña debe ser diferente de tu contraseña de inicio de sesión para aumentar la dificultad de descifrado por parte de los atacantes.

Confirmación secundaria por correo para operaciones de gran importe

Cuando el importe del retiro supere el umbral preestablecido, Binance exigirá una confirmación adicional por correo electrónico (además del 2FA).

Ve a "Cuenta → Seguridad → Confirmación de retiro" y activa el interruptor de "Confirmación por correo electrónico". Así, cualquier retiro requerirá hacer clic en un enlace del correo para ejecutarse; el atacante también tendría que hackear tu correo para poder robar las monedas con éxito.

Puntos extra: Cartera de hardware + Diversificación de activos

Cartera de hardware para grandes activos

Si vas a mantener una cantidad grande de criptomonedas a largo plazo (por ejemplo, superior a medio año de salario), se recomienda retirarlas a una cartera de hardware:

  • Ledger Nano S Plus: Unos $79, admite más de 5000 monedas.
  • Ledger Nano X: Unos $149, conexión Bluetooth al móvil, admite más de 5000 monedas.
  • Trezor Model T: Unos $219, firmware de código abierto, pantalla táctil.

Las claves privadas de las carteras de hardware nunca se conectan a internet. Incluso si un atacante toma el control de tu ordenador, no podrá robar tus activos.

Diversificación de activos

No pongas todos los huevos en la misma cesta:

  • Trading diario: Mantener en la cuenta de Binance (10-20% del total de activos).
  • Mantenimiento a medio y largo plazo: Transferir a tu propia cartera Web3 (30-40%).
  • Acumulación a largo plazo: Transferir a una cartera de hardware (40-60%).

De esta manera, incluso si tu cuenta de Binance es vulnerada, solo perderás una parte de tus activos; los activos en las carteras de hardware son prácticamente imposibles de robar de forma remota.

Puntos extra: Seguridad de la API key

Si utilizas una API para operar de forma automática, la seguridad de la API key es extremadamente importante:

Precauciones al crear una API key

  • Vincular lista blanca de IPs: Permite que solo la IP de tu servidor pueda llamar a la API.
  • Desactivar permisos de retiro: A menos que sea necesario para tu negocio, no actives el permiso de retiro para la API key.
  • Desactivar permisos de transferencia: Activa los permisos de transferencia de margen/futuros solo si los necesitas.
  • Rotación periódica: Elimina las keys antiguas y genera unas nuevas cada 3-6 meses.

Respuesta ante la filtración de una API key

Si descubres que tu API key se ha filtrado (por ejemplo, enviada por error a GitHub, robada por un troyano, etc.):

  1. Elimina esa key inmediatamente en "Cuenta → Gestión de API".
  2. Revisa el registro de llamadas de la API de los últimos 30 días.
  3. Si hay llamadas anómalas, congela tu cuenta de inmediato y contacta con soporte.

Lo que no debes hacer

Nunca

  • ❌ Usar la misma contraseña para registrarte en múltiples plataformas de criptomonedas (si se filtra una, caerán todas).
  • ❌ Hacer una captura de pantalla de la clave de recuperación del 2FA y guardarla en la galería del móvil.
  • ❌ Guardar la frase mnemotécnica en cualquier dispositivo electrónico.
  • ❌ Contestar llamadas proactivas del "Soporte de Binance" y seguir sus instrucciones.
  • ❌ Hacer clic en enlaces de correos electrónicos de "Binance" para iniciar sesión en tu cuenta (inicia siempre desde los marcadores).
  • ❌ Operar tu cuenta en redes Wi-Fi públicas.
  • ❌ Introducir tu cuenta y contraseña en ordenadores no fiables.
  • ❌ Dar tu frase mnemotécnica a cualquier persona (incluidos tus seres más queridos).

Usar con precaución

  • ⚠️ SMS 2FA (la alternativa es Google Authenticator).
  • ⚠️ Relleno automático de contraseñas del navegador (pueden ser robadas fácilmente por sitios de phishing).
  • ⚠️ Importar la frase mnemotécnica de la cuenta de Binance a carteras de terceros (las cuentas de Binance no tienen frase mnemotécnica; cualquier "Binance" que la pida es falso).
  • ⚠️ "Herramientas de gestión de cuentas" de terceros.

Lista de verificación de seguridad

Dedica 10 minutos al mes para realizar una autoevaluación:

  • [ ] No hay dispositivos desconocidos en la lista de dispositivos.
  • [ ] Los registros de inicio de sesión recientes son todos tuyos.
  • [ ] Todas las direcciones en la lista blanca de retiros son conocidas.
  • [ ] Google Authenticator está en un estado utilizable.
  • [ ] El papel con la clave de recuperación de 2FA sigue en la caja fuerte.
  • [ ] Aún recuerdas claramente tu código antiphishing.
  • [ ] La contraseña del correo electrónico no se comparte con otras plataformas.
  • [ ] El correo electrónico en sí también tiene activado el 2FA.
  • [ ] Los activos de gran valor ya han sido transferidos a una cartera de hardware.
  • [ ] La contraseña de operación es diferente de la contraseña de inicio de sesión.

Al completar estos 10 minutos, la seguridad de tu cuenta se mantendrá a nivel profesional.

Preguntas frecuentes

P: ¿Aún pueden robarme si tengo el 2FA activado? R: En casos muy raros, sí. La ruta más común es un sitio de phishing que te pide introducir tanto la contraseña como el código 2FA (ataque de intermediario). La solución es iniciar sesión solo desde los marcadores y comprobar detenidamente el dominio en la barra de direcciones.

P: Si pierdo el teléfono, ¿puedo seguir usando Google Authenticator? R: Teléfono perdido = el 2FA de ese dispositivo deja de funcionar. Si habías copiado previamente la clave de recuperación, podrás continuar introduciéndola en el Google Authenticator del nuevo teléfono; si no la copiaste, tendrás que iniciar el proceso de apelación para restablecer el 2FA.

P: ¿Se puede cambiar el código antiphishing? R: Sí, se puede cambiar. Solo tienes que ir a "Cuenta → Seguridad → Código antiphishing" y configurarlo de nuevo. Se recomienda cambiarlo cada 6-12 meses.

P: ¿Se puede saltar el periodo de enfriamiento de la lista blanca? R: No. Es una fuerte restricción de diseño y ahí radica su valor de seguridad. Si tienes prisa por retirar a una nueva dirección, añádela a la lista blanca con 48 horas de antelación.

P: ¿Desactivar el permiso de retiro en la API key es completamente seguro? R: Aun así, debes tener cuidado. Incluso sin permiso de retiro, la API key puede ejecutar órdenes de trading. Un atacante podría vaciar tus activos mediante "wash trading" (colocando simultáneamente órdenes de compra a precios altos y de venta a precios bajos en monedas pequeñas que ellos controlan). Lo más seguro sigue siendo la lista blanca de IPs + rotación periódica.

P: ¿Qué tan grave es que te roben el correo electrónico? R: Es extremadamente grave. El correo electrónico es uno de los métodos de inicio de sesión principales para una cuenta de Binance. Si un atacante obtiene acceso a tu correo, puede activar el proceso de "olvidé mi contraseña" para restablecerla. Por eso, tu correo en sí también debe tener 2FA y utilizar una contraseña independiente.

P: ¿Cómo elegir una cartera de hardware? R: Para principiantes se recomienda el Ledger Nano S Plus (mejor relación calidad-precio); si buscas código abierto, elige el Trezor Model T; si quieres conexión Bluetooth con el móvil, elige el Ledger Nano X. Cómprala en canales oficiales, nunca compres productos de segunda mano o en tiendas de terceros.

P: ¿Será muy complicado operar con todos los ajustes activados? R: En tus operaciones diarias, el principal cambio es tener que introducir un 2FA adicional al iniciar sesión (5 segundos), el resto es igual. Para los retiros a nuevas direcciones, tendrás que esperar 24 horas más, pero esta operación suele hacerse solo una vez al mes. Ese pequeño inconveniente te brinda verdadera seguridad, vale la pena por completo.

Conclusión

El núcleo para proteger tu cuenta de Binance son 4 acciones imprescindibles: Google Authenticator 2FA (en lugar de SMS), código antiphishing, lista blanca de retiros (enfriamiento de 24-48 horas) y gestión de dispositivos + alertas de inicio de sesión anómalo. La configuración tarda unos 30 minutos y cubre más del 95% de las rutas de ataque. Si además aíslas físicamente tus activos de gran valor usando una cartera de hardware, y añades una lista blanca de IPs para tu API key (si la usas), tendrás una configuración de seguridad de nivel profesional. Con una autoevaluación mensual de 10 minutos, será prácticamente imposible que te roben la cuenta.