La verificación de la firma digital de la BitBoxApp es una medida de seguridad avanzada. Confirma que el software realmente fue firmado por Shift Crypto (BitBox) y que no ha sido modificado desde su firma.

Información: El aviso general que se muestra abajo es normal. Aparece en muchos programas la primera vez que se abren tras descargarlos de Internet. Si descargaste la BitBoxApp desde una fuente oficial, puedes abrirla con tranquilidad.

 

Requisitos

Necesitas GPG (GNU Privacy Guard).

• Homebrew (recomendado): Si usas Homebrew, abre la Terminal y ejecuta:
  brew install gpg
• Descarga directa: Alternativamente puedes instalar GPG Suite desde gpgtools.org

Para comprobar la instalación ejecuta:
gpg --version

Paso 1: Descargar los archivos necesarios

Ve a la página oficial de lanzamientos de BitBoxApp en GitHub:
BitBoxSwiss / bitbox-wallet-app 

Descarga ambos archivos:

• el archivo .dmg (programa)
• el archivo .dmg.asc correspondiente (firma)

Guárdalos en la misma carpeta, por ejemplo Downloads.

Paso 2: Abrir la Terminal

Abre la Terminal mediante Spotlight (CMD + Espacio) o desde la carpeta Aplicaciones.

(Opcional) Cambia al directorio de descargas: cd ~/Downloads

Paso 3: Importar la clave de firma de BitBox

Para verificar la firma necesitas nuestra clave pública. Puedes descargarla aquí:
shiftcryptosec.gpg 

Datos de la clave:

• Email: security@shiftcrypto.ch
• Huella digital: DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE

Importa la clave:

curl https://bitbox.swiss/download/shiftcryptosec-509249B068D215AE.gpg.asc | gpg --import

(Recomendado) Verificar la huella digital

Después ejecuta:

gpg --fingerprint security@shiftcrypto.ch

La huella mostrada debe coincidir exactamente con:

DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE

Paso 4: Verificar la firma de la aplicación

Ejecuta gpg --verify sobre el archivo .dmg.asc (el nombre cambia según la versión):

gpg --verify BitBox-4.47.3-macOS.dmg.asc

La salida debe contener:

1. gpg: Good signature from "ShiftCrypto Security <security@shiftcrypto.ch>"
2. la huella digital
   DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE

Si ambos aparecen y la huella coincide, la verificación fue correcta.

Preguntas frequentes

¿Cuál es la diferencia entre verificar la firma de la aplicación y verificar la descarga?

Ambas comprobaciones responden a preguntas de seguridad distintas:

Verificación de descarga (checksum / SHA-256):
Confirma que el archivo descargado es idéntico bit a bit al publicado.
→ protege contra errores de transferencia o manipulación durante la descarga

Verificación de firma (esta guía):
Confirma que el software realmente fue firmado por Shift Crypto y no fue reemplazado por otro.
→ protege contra software falso o distribuido por terceros

Mejor práctica para máxima seguridad:

1. Verificar checksum (integridad)
2. Verificar firma (autoría)

Guía de verificación de descarga:
Cómo verificar la suma de comprobación de BitBoxApp (SHA-256) 

¿Tengo que hacerlo en macOS?

Normalmente no. macOS ya comprueba la firma automáticamente gracias a la notarización de Apple. La verificación manual está pensada para usuarios que quieren una comprobación independiente adicional.

¿Qué hacer si aparece “BAD signature” o la huella es incorrecta?

No abras la aplicación.

Elimina los archivos y descárgalos nuevamente desde la fuente oficial.
Si el problema persiste, contacta soporte e incluye:

• versión de BitBoxApp
• salida completa de gpg --verify
• fuente de descarga

¿Por qué aparece el aviso “no certified with a trusted signature”?

Es normal. Solo indica que todavía no marcaste manualmente la clave como confiable en tu base de confianza de GPG. Lo importante es:

• “Good signature”
• huella digital correcta