¿Cómo verificar la autenticidad del APK de Android de Binance? Revisa la firma después de descargar y antes de iniciar sesión

El mayor temor para los usuarios de Android al descargar el APK de Binance es instalar una versión de phishing. La solución es muy sencilla: verifica primero la firma y luego inicia sesión en tu cuenta. Para obtener el APK oficial desde el Sitio oficial de Binance, puedes acceder directamente a la página de descarga mediante el enlace de la App oficial de Binance. Los usuarios de iPhone no necesitan preocuparse por el APK, simplemente instalen según la Guía de instalación iOS. Este artículo utiliza tres métodos de validación cruzada para verificar si un APK proviene realmente de Binance.

I. Las tres características fijas del APK oficial

Sin importar cómo se actualice la versión, el APK oficial de Binance siempre cumple con las tres siguientes características:

1. Nombre del paquete (Package Name): com.binance.dev
2. Firmante (Signer): CN=Binance Holdings Ltd, O=Binance, ...
3. Huella digital SHA-256 del certificado de firma V2/V3: una cadena hexadecimal de 64 caracteres, Binance publicará la huella válida actual en el Centro de ayuda.

Cualquier discrepancia significa que no es un APK oficial. A continuación, explicaremos cómo utilizar la línea de comandos, las aplicaciones móviles y la comparación de hash para verificar estos tres elementos.

II. Método 1: Verificación con apksigner en computadora (El más confiable)

apksigner es la herramienta oficial de verificación de firmas incluida con el Android SDK, adecuada para usuarios con entorno Java.

Pasos de instalación

1. Descarga Android SDK Command-line Tools: https://developer.android.com/studio#command-tools
2. Descomprime y añade cmdline-tools/latest/bin al PATH
3. Ejecuta sdkmanager "build-tools;34.0.0" en la terminal para instalar build-tools
4. Finalmente, apksigner aparecerá en el directorio build-tools/34.0.0/

Comando de verificación

apksigner verify -v --print-certs Binance.apk

Ejemplo de salida normal:

Verified using v1 scheme (JAR signing): true
Verified using v2 scheme (APK Signature Scheme v2): true
Verified using v3 scheme (APK Signature Scheme v3): true
Signer #1 certificate DN: CN=Binance Holdings Ltd, O=Binance, L=Malta, C=MT
Signer #1 certificate SHA-256 digest: a1b2c3... (una cadena hexadecimal)

Tres puntos imprescindibles a revisar:

• Verified using v2 scheme: true y Verified using v3 scheme: true ambos deben ser true
• certificate DN debe incluir Binance Holdings Ltd
• La huella digital SHA-256 debe ser la misma que la publicada en el anuncio oficial de Binance

Si algo no coincide, borra de inmediato el APK y no lo instales.

III. Método 2: Visores de firma en móvil (El más conveniente)

Si ya instalaste un APK sospechoso o no tienes la computadora a mano, también puedes revisar la firma en el móvil. Recomendamos dos aplicaciones:

• App Signature Checker (La versión desarrollada por Infinite Loop en Google Play)
• Apk Info (De código abierto, instalable a través de F-Droid)

Tomando Apk Info como ejemplo:

1. Abre la aplicación y concédele permiso para "leer aplicaciones instaladas"
2. Busca Binance y toca para ver los detalles
3. Desplázate hasta el final para ver la sección de "Signatures"
4. El campo Subject del certificado debe mostrar Binance Holdings Ltd
5. El SHA256 Fingerprint del certificado debe coincidir con el valor del anuncio oficial

La ventaja de verificar en el móvil es la rapidez (listo en 30 segundos), la desventaja es que dependes de la confiabilidad de la herramienta: asegúrate de descargar estas aplicaciones desde Google Play o F-Droid, no desde fuentes dudosas.

IV. Método 3: Comparación del hash SHA-256 (El más sencillo)

Este es el método más básico para verificar "si el archivo ha sido alterado", que se puede hacer incluso sin conocimientos de Android.

Cómo obtener el SHA-256 del APK

PowerShell (Windows):

Get-FileHash Binance.apk -Algorithm SHA256

Terminal (macOS/Linux):

shasum -a 256 Binance.apk

La salida será una cadena hexadecimal de 64 caracteres.

Obtener el hash oficial publicado

Inicia sesión en binance.com → Centro de ayuda → Busca "APK hash" o "Validación de APK". La página de anuncios oficiales enumerará el valor SHA-256 de la versión actual del APK. Si tu hash coincide con el valor oficial, significa que el archivo no ha sido manipulado y es el APK original publicado oficialmente.

Nota: La comparación del hash solo puede demostrar "que el archivo no se ha alterado", pero no puede demostrar que "es el archivo oficial" porque el hash cambia con cada versión. La mejor práctica es un seguro doble: Comparación de hash + Verificación de firma.

V. Casos donde falla la validación de firma

Caso 1: El firmante no es Binance Holdings Ltd

Este es el caso más grave: el APK fue firmado nuevamente por otra persona. Incluso si la lógica original es de Binance, el atacante puede insertar código malicioso durante el proceso de reempaquetado (como interceptar la dirección copiada en el portapapeles o reenviar los códigos de verificación 2FA). Bórralo de inmediato y descarga desde otra fuente.

Caso 2: Pasa la firma v1 pero no v2/v3

En este caso, el APK puede haber sufrido el ataque de vulnerabilidad Janus (CVE-2017-13156), que inserta archivos DEX adicionales mientras retiene la firma v1. Esta también es una táctica de phishing; deberás borrarlo de inmediato.

Caso 3: El SHA-256 no coincide pero la firma es válida

La explicación más probable es: descargaste una versión antigua y el hash oficial ya ha sido actualizado. Regresa al sitio web de Binance para descargar la versión más reciente del APK y compáralo de nuevo. Si el hash de la última versión todavía es incorrecto, es posible que la descarga haya sido interceptada por un atacante (man-in-the-middle). Intenta con una red o navegador diferente.

Caso 4: El teléfono dice "La aplicación no está certificada"

Play Protect en Android 10+ escaneará en la nube todos los APK nuevos. Si es una versión nueva descargada del sitio web, ocasionalmente puede haber un falso positivo debido a que la base de datos de Play Protect aún no se ha actualizado. Cuando esto suceda, puedes:

• Esperar 24-48 horas hasta que Play Protect se actualice y desaparezca la alerta automáticamente
• O marcar la aplicación como excepción en Play Protect
• Atención: No ignores Play Protect solo por un posible falso positivo; si descubres que la firma también tiene problemas, entonces es un phishing real

VI. La "revisión en el primer inicio" después de verificar el APK

Que la firma apruebe no significa que todo esté bien. También debes observar el comportamiento de la aplicación cuando la inicias por primera vez:

1. Solicitud de permisos: La aplicación oficial no solicitará acceso a los SMS, contactos o fotos en la pantalla de inicio. Cualquier versión que exija estos permisos al comenzar es un phishing
2. Anuncios de pantalla completa: La aplicación oficial no incluye publicidad de terceros. Cualquier versión que muestre anuncios es una falsificación
3. Interfaz de inicio de sesión: Al iniciar sesión, la URL debe apuntar a accounts.binance.com y no a ningún otro dominio
4. Solicitudes de red: Usa herramientas de captura de paquetes como HTTP Canary para ver los dominios durante el primer inicio, y todos deben ser dominios oficiales como *.binance.com o *.binancezh.co

Solo si estos cuatro puntos están en orden podrás confirmar que la aplicación es realmente segura de usar.

VII. Prioridad de los canales de descarga para usuarios de Android

Clasificados por seguridad, los canales de descarga recomendados son los siguientes:

1. Descarga directa desde la página oficial (binance.com/download) → La opción más recomendada
2. Enlaces de descarga publicados en las cuentas de redes sociales de Binance (Twitter oficial) → Solo como respaldo
3. Google Play Store (si está habilitado en tu país / región) → Seguro, pero puede no estar disponible en ciertas zonas como China continental
4. Repositorios de APK de terceros como F-Droid, APKMirror → No recomendado. Aunque estos sitios cuentan con verificaciones, no es la distribución oficial

Cualquier APK distribuido en grupos de Telegram, WeChat o QQ debe considerarse un phishing, sin importar la confianza que tenga el remitente en asegurar que "es la versión oficial".

Preguntas Frecuentes

P: ¿Puedo verificar el APK nuevamente después de que se instale? R: Sí. Usa pm path com.binance.dev para ubicar la ruta de instalación del APK y luego ejecuta apksigner sobre él para ver la firma que se instaló en el dispositivo. Esta es la última defensa para evitar que sea reemplazado después de la instalación.

P: ¿Necesito volver a verificar una aplicación que ha estado instalada por algún tiempo? R: Se recomienda hacerlo cada vez que ocurra una gran actualización de versión. Al actualizarse oficialmente, el APK se descarga a un directorio temporal donde existe riesgo de inyección (hook), aunque las probabilidades son muy pequeñas.

P: ¿Afectan los sistemas personalizados como Xiaomi/Huawei en Android la verificación de firmas? R: No. La verificación de firmas es una propiedad intrínseca del APK en sí y no está vinculada al sistema operativo. La "lista blanca de aplicaciones" del sistema es otra capa de seguridad; las dos no se afectan mutuamente.

P: ¿Qué hacer si no tengo una computadora ni una aplicación de visualización de firmas instalada? R: Al menos, realiza la comparación de hash SHA-256. Muchos exploradores de archivos (como Solid Explorer) incluyen cálculos de hash y compararlo con el valor publicado oficialmente es el método de verificación más económico.