Consulta del Sitio Oficial de Binance

La mayoría de usuarios, cuando hablan del sitio oficial de Binance, solo se preocupan de "si abre" y "si es el auténtico". Muy pocos se hacen la pregunta clave: ¿dónde se guardan las fotos del anverso y reverso del DNI, el selfie con documento y el vídeo de prueba de vida que subo? ¿Cuánto tiempo? ¿Se comparten con terceros?. Esa es la verdadera barrera para decidir si confía su documento a un sitio. El dominio principal del sitio real es binance.com; la entrada y los canales de descarga están en Sitio Oficial de Binance; si se dispone a hacer KYC, regístrese gratis y repase los puntos de privacidad de este artículo para no dejar su documento en manos de un sitio falso.

1. El flujo de datos del sistema KYC de Binance tiene cuatro tramos

Muchos creen que "subir a Binance" es un simple HTTP POST; en realidad, desde que pulsa "Seleccionar archivo", la imagen del documento atraviesa cuatro sistemas distintos.

Tramo uno: del cliente (navegador/app) al nodo edge del CDN

La subida KYC pasa por el subdominio accounts.binance.com, delante del cual hay un CDN Cloudflare Enterprise totalmente gestionado. Entre cliente y edge se fuerza TLS 1.3 y se prohíbe TLS 1.0/1.1; el certificado es ECC P-256. Es decir, aunque esté conectado a una Wi-Fi de hotel o cafetería, la imagen está cifrada en el transporte y un MITM solo ve texto cifrado.

Para saber si está en el canal real, abra el candado y revise la cadena: emisor DigiCert OV, y el campo O del Subject debe ser Binance Holdings Limited. Los sitios falsos suelen usar certificados DV gratuitos de Let's Encrypt con solo un CN, sin nombre de organización; una pista a simple vista.

Tramo dos: del edge al almacenamiento de objetos

Tras el CDN, la imagen no llega a un servidor aplicativo sino a almacenamiento de objetos; la divulgación oficial menciona principalmente AWS S3 (regiones ap-northeast-1 Tokio y eu-west-1 Irlanda), que cumple con los requisitos de localización para usuarios de Asia-Pacífico y Europa. Cada imagen se cifra con envoltura KMS y la clave por objeto usa el UID del usuario como sal.

Dos detalles a destacar: el bucket tiene "prohibido listar desde internet", por lo que nadie puede obtener imágenes sin la URL firmada; y cada acceso del personal de backend a ese bucket deja un registro de auditoría CloudTrail con siete años de retención. Incluso el propio personal de Binance ve registrado cada acceso.

Tramo tres: procesamiento por proveedores KYC

Binance no hace OCR ni prueba de vida por sí mismo: los externaliza a proveedores KYC con licencia, actualmente Jumio (OCR y validación del documento) y FaceTec (prueba de vida 3D).

• Los centros de datos de Jumio están en Dallas (EE. UU.) y Dublín (Irlanda), con ISO 27001 y SOC 2 Type II.
• FaceTec no almacena la foto; solo conserva datos del mapeo facial 3D (generados por algoritmo irreversible), y para usuarios europeos las peticiones pasan por nodos AWS de Fráncfort.

Implicación de privacidad: la imagen que sube no solo la ve Binance, sino también al menos un proveedor externo. Entre ambos existe un Data Processing Agreement; según GDPR, Jumio es processor y Binance es controller, por lo que usted puede exigir al controller la responsabilidad.

Tramo cuatro: retención interna y archivado

Tras la revisión inicial, el original no queda indefinidamente en almacenamiento en caliente. La política divulgada: retención de 5 años para cuentas normales (acorde a AMLD5 de la UE y MAS de Singapur), destrucción 5 años tras el cierre y hasta 10 años para cuentas de alto riesgo congeladas, para cooperación judicial.

Los 5 años son clave: aunque hoy cierre su cuenta, su DNI se conserva legalmente más allá de 2031. Para borrarlo antes hay que usar el canal de solicitud de supresión.

2. Cómo se ejercen ante Binance los cinco derechos del GDPR

Las entidades europeas de Binance (Binance France SAS, Binance Italy S.r.l., etc.) están sujetas al GDPR. Aunque no viva en la UE, si su cuenta cuelga de una entidad europea (dirección de uno de los 27), aplican los mismos derechos.

Derecho uno: acceso

Puede pedir a Binance una copia de todos los datos personales de su cuenta: imágenes del documento, respuestas del cuestionario KYC, IPs de login, huellas de dispositivo, historial de operaciones, etc. Solicitud: en el centro de cuenta, menú "Privacy" → Data Subject Access Request. El compromiso oficial es 30 días; en la práctica suelen ser 10-14 días para recibir el enlace a un paquete cifrado.

Derecho dos: rectificación

Si detecta un error (dirección mal, error en la grafía del nombre) puede pedir la corrección. Se une al flujo habitual de edición de datos, pero el número de documento requiere rehacer KYC.

Derecho tres: supresión (derecho al olvido)

El más malentendido. El GDPR obliga al controller a borrar cuando "cumplido el propósito" o "retirado el consentimiento", pero la obligación legal de retención AML prevalece. Puede pedir la supresión, pero las imágenes del documento y los registros de operaciones se conservarán hasta el fin del plazo legal antes de destruirse. Lo que sí se borra de inmediato: preferencias de marketing, tokens de push, cookies y chats de soporte (datos no obligatorios por cumplimiento).

Expectativa correcta: supresión ≠ desaparición instantánea; equivale a mover al "frío" hasta que venza el plazo legal.

Derecho cuatro: portabilidad

Puede pedir un export de sus datos en formato estructurado y legible por máquina (JSON o CSV) para llevarlos a otro proveedor. Los movimientos y el historial de operaciones se obtienen por este canal.

Derecho cinco: oposición

Puede oponerse al tratamiento automatizado basado en "interés legítimo", como los perfiles de riesgo. Efecto práctico: ciertas funciones (rampas con tarjeta, OTC de gran volumen) dejarán de estar disponibles porque el riesgo pasa a revisión manual.

3. Cómo roban y revenden los sitios falsos las fotos de documentos

Entender cómo procesa los datos el sitio real permite apreciar el riesgo de los falsos.

Destino de los datos en sitios falsos

Patrones observados:

• Reenvío desnudo: el HTML del frontend es un clon; el backend es un VPS barato (Vultr Tokio, DigitalOcean Singapur); las imágenes se escriben en disco y, periódicamente, se suben empaquetadas a canales de Telegram.
• Subida directa a cloud público: usan buckets públicos de AWS S3 o similares sin cifrado; el nombre del archivo es el correo del usuario; con el nombre del bucket se enumeran.
• Phishing de API: el frontend finge subir a Binance y un JS redirige a api.binance-xxx.top; de ahí pasa al mercado negro.

En el mercado clandestino, un paquete KYC completo (DNI ambas caras + selfie + foto con documento) se cotiza entre 400 y 800 USD; con extractos bancarios y prueba de domicilio, hasta 2.000 USD. Es decir: si entrega su documento a un sitio falso, es muy probable que en una semana aparezca en un directorio de Telegram.

Riesgos posteriores si le suplantan la identidad

Usos reales observados:

• Registrar cuentas KYC en otros exchanges como canales de blanqueo.
• Abrir Revolut, Wise u otras fintech para abuso de promociones.
• Abrir tiendas en plataformas de vídeo con identidad ajena.
• Presentar denuncias falsas ante la policía en su nombre.

Cuando esto ocurre, aun pudiendo demostrar que no es usted, el ciclo legal suele durar entre 6 y 18 meses.

4. Seis indicadores operativos para identificar la entrada KYC real de Binance

Convierten la teoría anterior en un checklist ejecutable; repáselo antes de subir el documento.

1. Dominio principal: debe ser exactamente accounts.binance.com; admite el subdominio www, nunca prefijos como login, verify o auth.
2. Organización del certificado: al pulsar el candado, el campo O debe ser Binance Holdings Limited o el nombre completo de la entidad regional.
3. Origen de la página: la entrada KYC solo se accede desde el centro de cuenta tras iniciar sesión; cualquier KYC abierto desde correo, SMS o anuncio, ciérrelo.
4. Enlace a política de privacidad: debe existir al pie un enlace a binance.com/en/privacy que identifique la entidad controller.
5. Respuesta tras subir: el sitio real devuelve un ID de cola Jumio con formato 3xxx-xxxx-xxxx-xxxx; los falsos suelen devolver un número autoincremental o un aviso simple.
6. Cabeceras HTTPS: en DevTools, strict-transport-security debe estar presente con max-age ≥ 31536000; los falsos suelen omitirla.

5. Por qué la app ofrece una privacidad más limpia en la subida

Los riesgos de la web se reducen por la app por tres razones:

• La app incluye certificate pinning; un certificado MITM no sirve, aunque esté en Wi-Fi pública.
• La cámara envía los datos directamente al SDK de FaceTec; las fotos no pasan por el rollo ni por la caché del sistema.
• La app pide permisos mínimos; los permisos de fotos pueden otorgarse puntualmente y algunos Android permiten "solo mientras se usa".

Los usuarios Android que no la tengan pueden descargar el APK desde [App Oficial de Binance](javascript:void(0)){._wkz4r}; los de iPhone siguen la Guía de instalación iOS tras cambiar de región en App Store. Realice el primer KYC en una red doméstica de confianza o datos móviles; nunca en Wi-Fi pública.

6. Forma práctica de enviar una DSAR (Data Subject Access Request)

Ruta operativa si desea recibir todos los datos personales que Binance guarda de usted.

Materiales

• Correo de la cuenta.
• UID.
• Documento vigente (para verificación de identidad del solicitante).
• Tipo de solicitud (acceso/rectificación/supresión/export/oposición).

Canal de envío

Con sesión iniciada: Account → Privacy → Data Subject Rights → Submit Request. Los usuarios europeos pueden además escribir al Data Protection Officer en [email protected], contacto obligatorio según GDPR.

Tiempos de respuesta

• Acceso: normalmente 10-14 días para un paquete cifrado; enlace válido 7 días.
• Supresión: al aceptarse, se detiene el tratamiento no esencial; los datos de obligada retención quedan en "tratamiento restringido" hasta el vencimiento.
• Portabilidad: 15-21 días para el JSON/CSV.

Recursos si le deniegan

Si considera injustificada la negativa, denuncie ante el regulador correspondiente:

• Francia: CNIL.
• Italia: Garante per la Protezione dei Dati Personali.
• Resto UE: autoridad nacional de protección de datos.
• Asia: PDPC de Singapur o PCPD de Hong Kong.

Binance suele actuar antes de la intervención regulatoria; las multas se calculan sobre el 4% del volumen global de negocio, muy superior al coste de colaborar.

7. Cuatro pequeñas acciones de autoprotección antes de subir

Además de elegir bien el sitio, al subir el documento puede reforzarse:

• Marca de agua visible en la imagen: con una app que permita marca transparente, añada sutilmente "For Binance KYC 2026-04"; si alguna vez se filtra, habrá trazabilidad.
• No conserve el original en la nube: tras subirla, borre la foto del documento del rollo y vacíe "Eliminados recientes".
• Correo dedicado a exchanges: no lo mezcle con redes sociales, compras ni banca; reduce el vínculo entre fugas de correo y KYC.
• Active las notificaciones de login y la whitelist de retiros: extiende la protección de datos a la capa de activos; una sola acción en el centro de seguridad.

Preguntas frecuentes

P1: ¿Puedo negarme a que Binance comparta mis datos con Jumio o FaceTec?

Puede, pero no podrá completar el KYC y su cuenta quedará limitada a depositar y retirar activos existentes. Binance lo indica en su política de privacidad; al aceptar al registrarse, autoriza esa compartición. Retirar solo la autorización a Jumio equivale a retirar el KYC, con degradación de la cuenta.

P2: Cerré una cuenta de Binance en 2024; ¿aún tienen mis documentos?

Muy probablemente sí. La política guarda los datos cinco años tras el cierre por cumplimiento, así que los documentos se conservarán al menos hasta 2029. Puede escribir ahora al DPO para pedir la fecha exacta de destrucción; antes del vencimiento legal no se puede adelantar.

P3: ¿Se comparten los datos entre Binance Europe (Binance France) y binance.com global?

A efectos legales están separados. Binance France es entidad legal propia, registrada en Francia y supervisada por CNIL; el global lo opera Binance Holdings Limited. Existe aislamiento técnico; las cuentas no se fusionan entre entidades. Si primero se registró en el global y migró a Europa, hubo migración conforme a cumplimiento; ambas partes conservan copia hasta el plazo legal.

P4: Un sitio falso ya tiene mi documento, ¿cómo mitigar?

Tres acciones inmediatas: primero, declare la posible suplantación ante la policía (habrá registro que servirá si alguien la usa); segundo, en los servicios de reputación crediticia disponibles active "alertas de verificación de identidad"; tercero, reinicie el KYC en Binance y active el código anti-phishing: si el atacante intenta usar su documento en Binance, se disparará la similitud de perfil.

P5: ¿Hay diferencias reales de privacidad entre hacer KYC por app o por navegador?

Sí. La app usa certificate pinning; en transporte, el MITM no entra; el navegador solo tiene HSTS, y en entornos con proxy corporativo podría descifrarse. La app pide permisos mínimos del sistema; el navegador necesita permisos de cámara completos, susceptibles al abuso por extensiones. Globalmente, la privacidad es mejor en la app.

P6: ¿El código anti-phishing protege los datos del KYC?

Directamente no mucho: protege la autenticidad del correo, no el canal de subida del documento. Pero sirve de señal conjunta: si le llega un "correo para ampliar su KYC" sin el código que usted configuró, es falso, con lo que evita pulsar el enlace y enviar el documento a un sitio falso. Combine código anti-phishing + 2FA + whitelist de retiros y cubrirá a la vez la capa de datos y la de activos.

Antes de subir el documento, si quiere dejar también lista la seguridad de la cuenta, vuelva a la navegación por categorías y revise "Puntos clave de seguridad de cuenta" y "Identificación de sitios de phishing".