Tutoriales practicos de Binance Nosotros Aviso legal
EN JA KO ES FR
TK Crypto Noticias TK Crypto Noticias Acceso oficial Binance · Descarga · Cuenta · Billetera
Buscar tutoriales de Binance
Inicio Todos los tutoriales Categorias Descargar APP Sobre nosotros Aviso legal
Primeros pasosInstalacionVerificacion de identidadDepositos y retirosGuia de tradingExchangesSeguridadPoliticas por paisGuia de billetera
Inicio Todos los tutorialesInstalacionSeguridadCómo verificar la firma digital del APK de Binance para evitar aplicaciones falsas

Cómo verificar la firma digital del APK de Binance para evitar aplicaciones falsas

TK Crypto Noticias · 2026-04-09 · Aprox.25min·Instalacion·Seguridad

Todos los Android APK deben estar firmados con la clave privada del desarrollador antes de que puedan ser instalados, esta firma deja una huella SHA-256 imposible de falsificar. Mientras la huella de su APK de Binance sea exactamente igual a la huella publicada oficialmente por Binance, estará 100% seguro de que es la versión original, sin ninguna posibilidad de manipulación. Se recomienda obtener el APK desde el sitio web oficial de Binance y verificarlo según este artículo, o instalar directamente la APP oficial de Binance en un dispositivo confiable; los usuarios de iPhone pueden consultar el Tutorial de instalación para iOS.

Qué es la firma digital

El sistema Android exige que todos los APK pasen por una firma digital antes de su instalación. El funcionamiento de la firma es, a grandes rasgos, el siguiente:

  1. El desarrollador genera un par de claves pública y privada
  2. Antes de publicar el APK, usa la clave privada para calcular un bloque de firma para el contenido del APK
  3. El bloque de firma, junto con el certificado de clave pública, se empaqueta en el APK
  4. Al instalar, el sistema Android utiliza la clave pública para verificar si la firma es válida
  5. Cualquier modificación en el archivo APK invalidará la firma, y el sistema rechazará la instalación o mostrará un error

La clave privada es custodiada estrictamente por Binance y no puede ser obtenida por terceros. Esto significa:

  • Nadie puede falsificar la firma de Binance (teóricamente, descifrarla llevaría cientos de millones de años)
  • Cualquier APK al que se le inyecte código debe ser refirmado, y su huella de firma será completamente diferente
  • Mientras la huella coincida, el APK será definitivamente original

Ese es el poder de la firma digital: es la última línea de defensa contra la falsificación de la APP.

Conceptos clave de la verificación de firmas

Qué es la huella SHA-256

SHA-256 es un algoritmo hash capaz de convertir datos de cualquier tamaño en una cadena hexadecimal fija de 64 caracteres. Para el mismo certificado, sin importar quién lo calcule, obtendrá exactamente el mismo SHA-256.

La huella del certificado de firma de Binance se ve así:

XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:
XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX

(32 bytes, cada byte se representa por 2 caracteres hexadecimales, sumando un total de 64 caracteres)

Esta cadena de caracteres es el "ADN" del APK de Binance: cualquier APP oficial genuina producirá exactamente esta misma huella.

Tres esquemas de firma

Android ha pasado por varias generaciones de esquemas de firma de APK:

Esquema Versión introducida Características
v1 (JAR) Android 1.0 Basado en firma JAR, solo firma META-INF/
v2 (APK Sig Scheme v2) Android 7.0 Firma todo el APK, instalación más rápida
v3 (APK Sig Scheme v3) Android 9.0 Soporta rotación de claves
v4 (APK Sig Scheme v4) Android 11 Soporta actualizaciones incrementales

El APK de Binance usa los esquemas v1+v2+v3 simultáneamente, asegurando que pase la verificación en todas las versiones de Android.

Método 1: Verificar usando apksigner

apksigner es la herramienta oficial provista por Google, siendo la forma más autorizada de verificar.

Instalar apksigner

Windows:

  1. Descargue Android Command Line Tools (oficial de Google)
  2. Descomprímalo y ubique apksigner.bat dentro de la carpeta build-tools/<versión>/
  3. Agregue esta carpeta a la variable de entorno PATH

macOS / Linux:

brew install android-commandlinetools

Alternativamente, descargue Android Studio, y apksigner estará en el directorio ~/Library/Android/sdk/build-tools/xx.x.x/.

Verificar la validez de la firma

La verificación más básica:

apksigner verify --verbose Binance.apk

Salida normal:

Verifies
Verified using v1 scheme (JAR signing): true
Verified using v2 scheme (APK Signature Scheme v2): true
Verified using v3 scheme (APK Signature Scheme v3): true
Number of signers: 1

Si alguna opción es false significa que hay problemas con la firma: o el APK está corrupto, o ha sido manipulado.

Imprimir detalles del certificado de firma

apksigner verify --print-certs Binance.apk

Ejemplo de salida (huella ilustrativa):

Signer #1 certificate DN: CN=Binance Holdings Limited, O=Binance, L=George Town, ST=Cayman, C=KY
Signer #1 certificate SHA-256 digest:
 a1:b2:c3:d4:e5:f6:07:18:29:3a:4b:5c:6d:7e:8f:90:
 a1:b2:c3:d4:e5:f6:07:18:29:3a:4b:5c:6d:7e:8f:90
Signer #1 certificate SHA-1 digest:
 a1:b2:c3:d4:e5:f6:07:18:29:3a:4b:5c:6d:7e:8f:90:11:22:33
Signer #1 certificate MD5 digest:
 a1:b2:c3:d4:e5:f6:07:18:29:3a:4b:5c:6d:7e:8f:90

Preste atención a tres campos:

  1. certificate DN: Debe incluir "Binance Holdings Limited" o el nombre oficial equivalente
  2. SHA-256 digest: Debe coincidir completamente con el publicado en la web oficial de Binance
  3. Cantidad de Signers: Debe ser 1 (múltiples firmantes podrían implicar que ha sido refirmado)

Compare el SHA-256 que ha calculado con el valor en el sitio oficial, cada carácter debe ser idéntico.

Método 2: Verificar usando keytool

keytool es una herramienta incluida en el JDK, por lo que no necesita instalación adicional (si ya tiene Java instalado).

Exportar el certificado

Primero trate el APK como un archivo ZIP y descomprímalo, busque el archivo del certificado en el directorio META-INF/ (suele ser CERT.RSA o BINANCE.RSA):

unzip -p Binance.apk META-INF/CERT.RSA > cert.rsa

Ver la huella del certificado

keytool -printcert -file cert.rsa

Ejemplo de salida:

Owner: CN=Binance Holdings Limited, O=Binance, L=George Town
Issuer: CN=Binance Holdings Limited, O=Binance, L=George Town
Serial number: abc123def456
Valid from: Mon Jan 01 00:00:00 UTC 2020 until: Sat Dec 31 23:59:59 UTC 2049
Certificate fingerprints:
     SHA1: A1:B2:C3:D4:E5:F6:07:18:29:3A:4B:5C:6D:7E:8F:90:11:22:33:44
     SHA256: A1:B2:C3:D4:E5:F6:07:18:29:3A:4B:5C:6D:7E:8F:90:A1:B2:C3:D4:E5:F6:07:18:29:3A:4B:5C:6D:7E:8F:90
Signature algorithm name: SHA256withRSA
Version: 3

Igualmente compare la huella SHA256 con el valor oficial publicado.

Método 3: Verificación con herramientas en línea

Si no tiene herramientas de línea de comandos instaladas, puede usar ciertas herramientas de análisis de APK en línea:

  • Sitios del tipo APK Analyzer (asegúrese de elegir aquellos con buena reputación)
  • La función de validación de firma de AppMoD o APKMirror

Después de subir el APK se mostrará la información de la firma, incluyendo la huella SHA-256.

Nota sobre riesgos de privacidad: Subir un APK a un sitio de terceros equivale a entregarles el archivo. Aunque el APK de Binance por sí mismo no contiene datos personales suyos, de todas formas se sugiere:

  1. Usar solo herramientas en línea reconocidas y de buena reputación
  2. Que tras la verificación la herramienta elimine automáticamente el archivo subido
  3. Evitar las validaciones en línea en APPs vinculadas a números de teléfono o cuentas

Método 4: Verificación directa en el teléfono

Para quienes prefieren no usar un ordenador: Instale alguna APP de visualización de información de paquetes (desde un mercado de aplicaciones confiable), tras abrirla seleccione Binance, revise los campos "Información de la firma" o "Información del certificado" y también podrá ver la huella SHA-256.

La condición previa de este método es que la APP de visualización de información en su teléfono sea de por sí confiable.

Ciclo completo del proceso de verificación

El flujo de verificación completo que se recomienda:

  1. Descargue el APK desde binance.com
  2. Anote el tamaño del archivo APK y compárelo con el valor publicado por el sitio oficial (debería ser de 80-90MB)
  3. Ejecute apksigner verify para confirmar que la firma es válida
  4. Ejecute apksigner verify --print-certs para obtener el SHA-256
  5. Compárelo con el SHA-256 publicado en el sitio oficial
  6. Instale solo si coinciden en su totalidad
  7. Tras instalar, verifique si el nombre del paquete es com.binance.dev

Tras realizar estos siete pasos, se puede estar 99.99% seguro de que el APK es original.

Preguntas Frecuentes

P1: No encuentro la huella SHA-256 publicada por Binance en su sitio oficial. ¿Dónde está?

R: Binance la publica en la página de "Cómo verificar la autenticidad del APK" del Centro de Ayuda. La firma principal puede diferir según la época (si se realizó rotación de claves), el sitio oficial enumerará todas las firmas históricas válidas. Si no la encuentra, póngase en contacto directo con el servicio de atención al cliente de Binance, no utilice "huellas" de sitios de terceros como referencia.

P2: ¿Qué es más confiable, SHA-1 o SHA-256?

R: SHA-256 es más seguro. Teóricamente se ha demostrado que SHA-1 tiene vulnerabilidades de colisión, no debería usarse como la única base para verificaciones de seguridad. Sin embargo, para un escenario no sensible como la firma de APK, la dificultad de una colisión en SHA-1 sigue siendo extremadamente alta. En la práctica, comparar ambos ofrece mayor seguridad. Bajo ninguna circunstancia confíe solo en MD5, ya que MD5 ha sido completamente vulnerado.

P3: ¿Dos versiones diferentes del APK de Binance deberían tener la misma huella de firma?

R: Deberían ser completamente iguales. Porque utilizan el mismo certificado de firma. Si compara las firmas de los APK v2.91.0 y v2.92.0, la huella SHA-256 debe ser totalmente idéntica. Lo que difiere es el hash del contenido del APK, pero la huella del certificado permanece inalterada. Esta es la base para determinar "el mismo desarrollador".

P4: La verificación de la firma fue exitosa pero la APP funciona de forma anormal, ¿significa esto que la APP tiene problemas?

R: Que la verificación de la firma sea exitosa solo prueba que el APK no ha sido manipulado, no puede probar que todo funcione normalmente durante la ejecución de la APP. Si la firma es correcta pero la aplicación presenta fallos, podría ser: ① Versión del sistema incompatible; ② Problema de red; ③ Daño en el caché local; ④ Otro software malicioso en el teléfono que interfiere con la APP de Binance. Primero intente desinstalar y reinstalar + limpiar el caché.

P5: ¿Cómo verifican los usuarios de iOS la autenticidad de la APP?

R: En iOS no es necesario verificar la firma manualmente. El mecanismo de sandbox de Apple determina que: todas las APPs descargadas de la App Store son firmadas por Apple, y el sistema verificará automáticamente la firma cada vez que se inicie. Cualquier APP modificada no podrá ejecutarse en un iPhone estándar. El punto clave para los usuarios de iOS es: asegurarse de que se descargó desde la App Store oficial y que el desarrollador figure como Binance Holdings Limited.

La verificación de firma es una inversión inicial

Aprender a usar apksigner por primera vez toma entre 10 y 20 minutos, pero cada verificación subsiguiente de un nuevo APK solo toma 30 segundos. Compare los siguientes dos escenarios:

  • El costo de no verificar: Una probabilidad en diez mil de instalar una aplicación falsa, tener sus activos robados y perder quizás desde miles hasta cientos de miles.
  • El costo de verificar: Invertir 30 segundos extra en cada actualización.

Desde el punto de vista matemático, verificar la firma del APK es un hábito con un rendimiento de la inversión extremadamente alto. Para cualquier usuario que tenga más de mil dólares en criptomonedas, este debería ser el paso estándar en cada actualización de la APP.

Si considera que la línea de comandos es muy molesta, al menos cumpla con estos dos pasos básicos:

  1. Descargue exclusivamente desde binance.com
  2. Tras instalar, asegúrese de que el nombre del paquete sea com.binance.dev

Estos dos pasos bloquearán a la inmensa mayoría de las versiones falsas, añadiendo a sus activos una capa extra de protección.

Siguiente paso Ir al sitio oficial de Binance Descargar APP de Binance