Cada paquete de instalación oficial de Binance publica un valor de verificación SHA-256 al final de la página de descarga en el sitio oficial de Binance, con un formato similar a 8d5f2a1c9b3e47d6... (un total de 64 caracteres hexadecimales). El núcleo de la verificación consiste en recalcular el SHA-256 del archivo APK/DMG/EXE que has descargado localmente utilizando una herramienta de hashing y comparar el resultado carácter por carácter con el valor del sitio oficial; solo si coinciden plenamente se puede demostrar que el archivo no ha sido manipulado por un intermediario. La forma más directa de obtener un paquete oficial es a través de la App oficial de Binance, lo cual evita los riesgos de paquetes alterados en sitios espejo de terceros. A continuación, explicamos cómo realizar la verificación SHA-256 en menos de 30 segundos en entornos Windows, macOS, Linux y Android, además de un método avanzado para verificar la firma de un APK.
I. ¿Qué es la verificación SHA-256? ¿Por qué es obligatoria?
SHA-256 es un algoritmo de hashing de la familia SHA-2 que mapea un archivo de cualquier longitud a un resumen fijo de 256 bits (64 caracteres hexadecimales). Tres de sus características lo hacen ideal para verificar la integridad:
- Resistencia a la manipulación: Si el archivo cambia un solo byte, el resumen cambiará drásticamente.
- Resistencia a colisiones: Actualmente, las computadoras no pueden generar dos archivos con contenido diferente que tengan el mismo resumen.
- Unidireccionalidad: No se puede revertir el archivo original a partir del resumen.
¿Por qué es obligatorio verificarlo? Un método común de los atacantes de phishing es descompilar el APK original, inyectar un SDK malicioso (como uno que escuche direcciones de billeteras en el portapapeles) y volver a empaquetarlo para colgarlo en sitios de terceros. A simple vista, el icono, el nombre del paquete y el número de versión parecen iguales, pero el SHA-256 será inevitablemente diferente. Este paso de verificación puede bloquear el 99% de los paquetes falsos.
II. ¿Cómo verificar el SHA-256 en Windows?
Windows 10 y 11 incluyen el comando certutil, por lo que no es necesario instalar software adicional.
Método 1: Comando certutil
- Coloca el archivo descargado
BinanceSetup-1.50.2.exeenD:\Downloads\. - Presiona Win + R → escribe
cmdpara abrir el símbolo del sistema. - Escribe:
certutil -hashfile D:\Downloads\BinanceSetup-1.50.2.exe SHA256
- Tras presionar Enter, el resultado aparecerá en unos 3-5 segundos:
SHA256 hash de D:\Downloads\BinanceSetup-1.50.2.exe:
8d5f2a1c9b3e47d6f8a2c5b9e1d3f7a2b4c6e8d0a2c4e6f8b0d2c4a6e8f0b2d4
CertUtil: -hashfile El comando se completó correctamente.
- Compara estos 64 caracteres con el SHA-256 de la página de descarga del sitio oficial de Binance; solo es seguro si coinciden totalmente.
Método 2: Get-FileHash en PowerShell
El comando de PowerShell es más conciso:
Get-FileHash D:\Downloads\BinanceSetup-1.50.2.exe -Algorithm SHA256
Formato de salida:
Algorithm Hash Path
SHA256 8D5F2A1C9B3E47D6F8A2C5B9E1D3F7A2... D:\Downloads\...
Ten en cuenta que PowerShell devuelve el valor en mayúsculas; al comparar, ignora las mayúsculas o convierte todo a minúsculas.
Método 3: Menú contextual de 7-Zip
Si tienes instalado 7-Zip, haz clic derecho en el archivo EXE → CRC SHA → SHA-256. Se abrirá una ventana mostrando directamente el valor hash. Este método es el más amigable para usuarios no familiarizados con la línea de comandos.
III. ¿Cómo verificar el SHA-256 en macOS?
Método 1: Comando shasum
macOS tiene integrado shasum. Abre la Terminal y escribe:
shasum -a 256 ~/Downloads/Binance-1.50.2.dmg
Salida:
8d5f2a1c9b3e47d6f8a2c5b9e1d3f7a2b4c6e8d0a2c4e6f8b0d2c4a6e8f0b2d4 /Users/usuario/Downloads/Binance-1.50.2.dmg
Método 2: openssl
Si tienes problemas con shasum, puedes usar openssl:
openssl dgst -sha256 ~/Downloads/Binance-1.50.2.dmg
Método 3: Herramienta GUI QuickHash
Si prefieres no usar comandos, puedes instalar QuickHash-GUI (gratuito) y arrastrar el archivo DMG para ver varios valores hash.
IV. ¿Cómo verificar el SHA-256 en Linux?
Usar sha256sum es la práctica estándar en Linux:
sha256sum ~/Downloads/BinanceSetup.AppImage
O para una verificación masiva:
cd ~/Downloads
sha256sum -c binance.sha256
Donde binance.sha256 es un archivo de texto creado por ti con el siguiente formato:
8d5f2a1c9b3e47d6f8a2c5b9e1d3f7a2b4c6e8d0a2c4e6f8b0d2c4a6e8f0b2d4 BinanceSetup.AppImage
El comando sha256sum -c comparará automáticamente y devolverá OK o FAILED.
V. ¿Cómo verificar un APK en Android?
En Android, se recomienda realizar tanto la verificación del valor hash como la verificación de la firma.
Verificación del valor hash (Termux)
- Instala Termux (disponible en F-Droid).
- Coloca el APK en la ruta
/sdcard/Download/de tu teléfono. - En Termux, ejecuta:
termux-setup-storage
cd /sdcard/Download
sha256sum binance.apk
Verificación de la firma (apksigner)
Que el hash coincida solo significa que el archivo no ha sido alterado; que la firma coincida demuestra que ha sido publicado oficialmente por Binance.
- Instala en tu computadora Android SDK Build-Tools (versión 34.0.0 o superior).
- Ejecuta:
apksigner verify --print-certs --verbose binance.apk
- Revisa el campo clave en la salida:
Signer #1 certificate DN: CN=Binance Cayman Holdings Limited, O=Binance, L=George Town, ST=Cayman Islands, C=KY
Signer #1 certificate SHA-256 digest: a1b2c3d4e5f6...
El SHA-256 del certificado de firma es fijo; Binance solo lo ha cambiado una vez en su historia (durante la migración de v1 a v2). Si el resumen del certificado coincide con el valor publicado oficialmente, el paquete es auténtico.
5 señales para identificar rápidamente un APK falso
| Punto de control | Característica original | Característica de paquete falso |
|---|---|---|
| Nombre del paquete | com.binance.dev | com.binance.app / com.binance.pro (variantes) |
| Firmante | Binance Cayman Holdings | Cadena aleatoria o Unknown |
| Tamaño del paquete | 70-80 MB | 40-60 MB o más de 120 MB |
| Cantidad de permisos | 28-35 permisos | +40 permisos (incluyendo SMS o contactos) |
| Primer inicio | Entra directo al login | Redirige a un dominio falso |
VI. ¿Cómo verificar la integridad de archivos DMG?
En macOS, además del SHA-256, puedes usar codesign para verificar la firma del desarrollador:
codesign -dv --verbose=4 /Applications/Binance.app
Campos clave:
Authority=Developer ID Application: Binance Holdings Limited (ABCDE12345)
TeamIdentifier=ABCDE12345
El TeamIdentifier es el ID de la cuenta de desarrollador de Apple; el Team ID de Binance es fijo (se puede verificar en la página de soporte oficial). Si no coincide, indica que ha sido empaquetado por un tercero.
VII. Verificación de la firma digital en archivos EXE de Windows
Método GUI
Haz clic derecho en BinanceSetup.exe → Propiedades → Firmas digitales → Selecciona Binance Holdings Limited → Detalles → Ver certificado.
Campos clave:
- Emitido para: Binance Holdings Limited
- Emitido por: DigiCert Trusted G4 Code Signing RSA4096
- Validez: Desde 2024-xx-xx hasta 2027-xx-xx
Método por línea de comandos (signtool)
signtool verify /pa /v BinanceSetup.exe
Si aparece Successfully verified, la firma es válida.
VIII. ¿Qué hacer si los valores hash no coinciden?
Si tras la comparación el SHA-256 no coincide, no ejecutes el archivo. Las causas posibles son:
- Descarga interrumpida: Problemas de red causaron un paquete incompleto; descarga de nuevo.
- Error de caché de CDN: Ocurre ocasionalmente; limpia la caché del navegador o usa otro navegador.
- Ataque de intermediario: Posible secuestro en redes Wi-Fi públicas; descarga de nuevo usando datos móviles o red doméstica.
- Desfase en el valor oficial: A veces el sitio web tarda en sincronizar el valor de una versión recién lanzada; espera 24 horas o usa un espejo del sitio oficial de Binance.
- Fuente de descarga manipulada: Los paquetes de sitios de terceros casi siempre presentan riesgos; asegúrate de volver al sitio oficial.
Preguntas frecuentes FAQ
P1: ¿Debo verificar cada descarga? Es muy tedioso.
R: Los paquetes descargados vía HTTPS desde el sitio oficial de Binance ya cuentan con garantías de integridad en la capa TLS, por lo que en el uso diario se puede omitir el SHA-256. Sin embargo, si tienes una cuenta con activos importantes, si descargas desde un sitio espejo o si usas una red Wi-Fi pública, se recomienda encarecidamente realizar la verificación.
P2: ¿Se pueden usar SHA-1 o MD5 en lugar de SHA-256?
R: No se recomienda. Se ha demostrado que MD5 es vulnerable a ataques de colisión (desde 2004) y SHA-1 fue vulnerado por Google en 2017. El estándar actual de la industria es SHA-256 o SHA-3. El sitio oficial de Binance utiliza uniformemente SHA-256.
P3: ¿Cómo verificar la firma en Android directamente en el teléfono sin computadora?
R: Puedes instalar herramientas como APK Signature Verifier (hay varias implementaciones de código abierto en F-Droid). Al seleccionar el APK, mostrará la huella SHA-256 del certificado de firma para comparar con la oficial.
P4: El hash que veo tiene mayúsculas y minúsculas diferentes, ¿cuenta como una discrepancia?
R: No. Los valores hash SHA-256 son esencialmente hexadecimales y no distinguen entre mayúsculas y minúsculas. Windows PowerShell devuelve mayúsculas, mientras que Linux/macOS devuelven minúsculas; simplemente conviértelos al mismo formato para comparar.
P5: Si descargo un APK comprimido y luego lo extraigo, ¿seguirá coincidiendo el SHA-256?
R: Sí. Siempre que el proceso de descompresión no dañe el archivo, el valor hash del APK será idéntico al del paquete original. Sin embargo, si el archivo comprimido ha sido reempaquetado (por ejemplo, contiene varios archivos al extraerlo), no podrá compararse directamente con el hash oficial.
Una vez dominados los métodos de verificación, ¿deseas aprender técnicas detalladas de instalación para diferentes marcas de Android o iOS? Vuelve a la navegación de categorías para seguir explorando.