Verificar la firma de la APK de la BitBoxApp es una práctica de seguridad avanzada para asegurar que el archivo que has descargado es auténtico y no ha sido alterado. Esta guía es para usuarios que desean realizar la verificación directamente en su dispositivo Android.
Si tienes un ordenador de sobremesa, puede ser más fácil realizar la verificación allí descargando los archivos .apk
y .apk.asc
y siguiendo nuestra guía para Linux.
Requisitos previos: configurar Termux y GPG
Usaremos el emulador de terminal Termux para ejecutar los comandos de verificación.
- Instalar Termux: Obtén Termux desde F-Droid o Google Play y abre la aplicación.
- Instalar GPG: En el terminal de Termux, escribe el siguiente comando y pulsa Intro.
pkg install gnupg -y
- Instalar wget: Esta herramienta ayuda a descargar archivos.
pkg install wget -y
- Importar la clave de firma de BitBox: Ejecuta este comando para descargar e importar nuestra clave pública.
curl https://bitbox.swiss/download/shiftcryptosec-509249B068D215AE.gpg.asc | gpg --import
- La huella digital de la clave es
DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE
.
Tu entorno ya está listo. No tendrás que repetir estos pasos de preparación en el futuro.
Paso 1: Descargar la aplicación y la firma
- Descargaremos los archivos directamente desde Termux. Primero, obtén el enlace de descarga más reciente de nuestra página de lanzamientos en GitHub.
- Reemplaza la URL en los siguientes comandos con el enlace de la última versión. Este ejemplo utiliza la versión 4.47.0.
- Descargar el archivo APK:
wget https://github.com/BitBoxSwiss/bitbox-wallet-app/releases/download/v4.47.0/BitBox-4.47.0-android.apk
- Descargar el archivo de firma:
wget https://github.com/BitBoxSwiss/bitbox-wallet-app/releases/download/v4.47.0/BitBox-4.47.0-android.apk.asc
- Ejecuta
ls
para confirmar que ambos archivos están en el directorio.
Paso 2: Verificar la firma de la aplicación
Finalmente, ejecuta el comando gpg --verify
con el nombre del archivo de firma .asc
.
gpg --verify BitBox-4.47.0-android.apk.asc
La salida del comando debería contener las siguientes dos cosas:
- El texto
gpg: Buena firma de "ShiftCrypto Security <security@shiftcrypto.ch>"
. - La huella digital de la clave primaria:
DD09 E413 0975 0EBF AE0D EF63 5092 49B0 68D2 15AE
.

Si ambos están presentes, la firma es válida. Ahora puedes localizar el archivo APK en el explorador de archivos de tu dispositivo (busca la carpeta Termux) y proceder con la instalación.

Nota: La advertencia “Esta clave no está certificada con una firma de confianza” es normal y puedes ignorarla.