Existen dos métodos principales para verificar la integridad del APK de Binance: la comparación del hash SHA-256 (apto para todos los usuarios, se completa en 1 minuto) y la validación de firma con apksigner (para usuarios avanzados, verifica el certificado del desarrollador). Realizar una verificación tras descargar el APK desde el sitio oficial de Binance reduce significativamente el riesgo de instalar un paquete modificado. Puedes acceder a la aplicación en la App oficial de Binance, y consultar el proceso completo para todas las plataformas en el Centro de descargas. En este artículo detallamos los comandos específicos para cada sistema operativo.
Qué es SHA-256
SHA-256 es un algoritmo de hash criptográfico que genera una cadena hexadecimal de 64 caracteres para cualquier archivo. Sus características son:
- El mismo archivo siempre genera el mismo hash.
- Si se cambia un solo byte del archivo, el hash será completamente distinto.
- Es prácticamente imposible falsificar otro archivo con el mismo hash.
Lógica de verificación:
- Binance publica oficialmente el hash SHA-256 de cada versión del APK.
- Tú descargas el APK y calculas el SHA-256 localmente.
- Si ambos coinciden = El APK no ha sido alterado.
Obtener el hash oficial
En la página de descarga del sitio oficial de Binance (binance.com → zona de descargas al pie de página → Android) se muestra la cadena SHA-256 de la versión actual del APK, algo como esto:
SHA-256:
a3f5b8c7d9e2f4a6b8c0d2e4f6a8b0c2d4e6f8a0b2c4d6e8f0a2b4c6d8e0f2a4
Copia esta cadena de 64 caracteres (sin espacios ni saltos de línea) como base para la comparación.
Pasos de verificación en Windows
Verificación con PowerShell
- Presiona Win + R, escribe
powershelly pulsa Enter para abrir PowerShell. - Introduce el siguiente comando (sustituye la ruta por la ubicación real de tu APK descargado):
Get-FileHash 'C:\Usuarios\TuUsuario\Downloads\Binance-2.95.0.apk' -Algorithm SHA256
- Pulsa Enter; verás un resultado similar a este:
Algorithm Hash Path
--------- ---- ----
SHA256 A3F5B8C7D9E2F4A6B8C0D2E4F6A8B0C2D4E6F8A0B2C4D6E8F0A2B4C6D8E0F2A4 ...
- Compara la cadena de la columna "Hash" con la publicada oficialmente.
La salida de PowerShell es en mayúsculas por defecto; la comparación no distingue entre mayúsculas y minúsculas.
Verificación con CMD (Alternativa)
Si prefieres usar CMD, puedes utilizar certutil:
certutil -hashfile C:\Usuarios\TuUsuario\Downloads\Binance-2.95.0.apk SHA256
El resultado será algo como:
SHA256 hash of file Binance-2.95.0.apk:
a3 f5 b8 c7 d9 e2 f4 a6 b8 c0 d2 e4 f6 a8 b0 c2
d4 e6 f8 a0 b2 c4 d6 e8 f0 a2 b4 c6 d8 e0 f2 a4
CertUtil: -hashfile command completed successfully.
Compara los caracteres tras eliminar los espacios.
Pasos de verificación en macOS / Linux
Abre la terminal y usa el comando shasum:
shasum -a 256 ~/Downloads/Binance-2.95.0.apk
Resultado:
a3f5b8c7d9e2f4a6b8c0d2e4f6a8b0c2d4e6f8a0b2c4d6e8f0a2b4c6d8e0f2a4 /Users/TuUsuario/Downloads/Binance-2.95.0.apk
Los primeros 64 caracteres son el hash, seguidos de la ruta del archivo. Copia el hash y compáralo con el oficial.
En Linux también puedes usar sha256sum:
sha256sum ~/Downloads/Binance-2.95.0.apk
Pasos de verificación en Android
Si quieres verificarlo directamente en el móvil (útil si descargaste el APK desde el dispositivo):
Opción 1: Termux
- Instala Termux desde Google Play o F-Droid.
- Entra en la línea de comandos de Termux.
- Ejecuta:
sha256sum /sdcard/Download/Binance-2.95.0.apk
- Compara la cadena de 64 caracteres resultante con la oficial.
Opción 2: Apps como Hash Droid
Busca "Hash Droid" o "Crypto" en la tienda de aplicaciones → Instala → Selecciona el archivo APK → Calcula el SHA-256.
Método de comparación del hash
Una vez obtenido el hash local, compáralo carácter por carácter con el oficial:
- Los 64 caracteres deben ser exactamente iguales.
- No distingue entre mayúsculas y minúsculas (A es igual a a).
- No debe faltar ningún carácter.
El método más sencillo de comparación:
- Copia el hash local en la primera línea de un bloc de notas.
- Copia el hash oficial en la segunda línea.
- Usa una herramienta de comparación de texto (como Beyond Compare) o simplemente obsérvalos (son solo 64 caracteres, se comparan en 5-10 segundos).
Qué hacer si los hashes no coinciden
Si los dos hashes son distintos, significa que:
- El APK ha sido alterado (lo más probable).
- La descarga se interrumpió y el archivo está incompleto.
- Hubo un error al copiar el hash (faltan caracteres o hay espacios extra).
Acciones a tomar:
- Confirma que copiaste el hash oficial completo.
- Vuelve a descargar el APK (podría estar incompleto).
- Prueba a descargarlo de nuevo con un navegador diferente.
- Si siguen sin coincidir, NO LO INSTALES BAJO NINGUNA CIRCUNSTANCIA. El APK ha sido modificado; elimina el archivo.
- Descárgalo de nuevo directamente desde el sitio oficial y no desde terceros.
Verificación de firma con apksigner (Avanzado)
La verificación SHA-256 solo confirma que "es idéntico al oficial publicado". Para una seguridad total, se verifica la firma del desarrollador del APK. Requiere el Android SDK:
Instalar apksigner
- Instala Android Studio (incluye build-tools).
- O descarga build-tools por separado.
apksigner suele encontrarse en:
- Windows:
%ANDROID_HOME%\build-tools\xx.x.x\apksigner.bat - macOS / Linux:
$ANDROID_HOME/build-tools/xx.x.x/apksigner
Verificar la firma
apksigner verify --print-certs Binance-2.95.0.apk
La salida incluirá:
Verifies
Verified using v1 scheme (JAR signing): true
Verified using v2 scheme (APK Signature Scheme v2): true
Verified using v3 scheme (APK Signature Scheme v3): true
Number of signers: 1
Signer #1 certificate DN: CN=Binance, OU=Binance, O=Binance Holdings Limited, ...
Signer #1 certificate SHA-256 digest: ...
Puntos clave:
- El texto "Verifies" indica que la firma es válida.
- El "certificate DN" debe contener "Binance Holdings Limited" o similar.
- El "SHA-256 digest" es la huella digital del certificado del desarrollador.
Si el DN no contiene el nombre de la organización de Binance, significa que el APK fue firmado de nuevo por otro desarrollador y es falso.
Errores comunes
Error 1: Creer que si el hash coincide es 100% seguro
Que el hash coincida significa que el archivo no ha cambiado, pero la confianza en el APK depende de su origen. Un APK descargado del sitio oficial de Binance con hash coincidente es la máxima garantía; en plataformas de terceros, aunque el hash coincida, existe el riesgo remoto de que el APK original fuera reemplazado en el momento de la descarga inicial por el tercero.
Error 2: Usar verificación MD5
Se ha demostrado que MD5 permite falsificar colisiones de forma deliberada; no uses MD5. SHA-1 tampoco es recomendable. SHA-256 es el estándar actual de la industria.
Error 3: Creer que si el tamaño del archivo es igual, es seguro
Incluso si el tamaño es idéntico, el contenido podría haber sido modificado (rellenando bytes para que coincida el tamaño). Es obligatorio verificar el hash.
Preguntas frecuentes
P: ¿Debo verificarlo cada vez que descargo? R: Es recomendable hacerlo siempre; solo toma 1 minuto. Si descargas del sitio oficial con una red estable, el riesgo es bajo, pero crear el hábito evita pérdidas por un error puntual.
P: ¿Debo verificar el APK de una actualización interna de la app? R: No es necesario. Las actualizaciones internas se descargan desde los servidores de Binance mediante HTTPS cifrado y verificación de firma propia, lo que ya garantiza su integridad.
P: ¿Qué hago si descargué de APKPure y no hay SHA-256? R: Ve a binance.com y busca el SHA-256 oficial para usarlo como referencia. Si el hash del tercero coincide con el oficial, significa que APKPure no modificó el paquete; si no coincide, deséchalo.
P: ¿Qué significa que apksigner muestre v1, v2 y v3 como correctos? R: Diferentes versiones de Android soportan distintos esquemas de firma de APK (v1/v2/v3). Que los tres sean correctos significa que el APK de Binance es compatible con múltiples mecanismos de verificación, lo que mejora la compatibilidad.
Resumen
El flujo estándar para verificar el APK de Binance es: Descargar → Calcular hash local con comando SHA-256 → Comparar con el hash oficial de binance.com → Instalar solo si coinciden. En Windows usa Get-FileHash en PowerShell; en macOS/Linux usa shasum -a 256; en Android usa sha256sum en Termux. MD5 no es seguro, no lo uses. Los usuarios avanzados pueden usar apksigner para confirmar que la firma del desarrollador incluye "Binance Holdings". Crear el hábito de verificar siempre evita que un APK malicioso robe tus fondos.