Llevas años usando APKPure para descargar aplicaciones que no encuentras en la Play Store. Yo también lo recomendaba, y en el artículo original de este blog lo consideré un sitio relativamente confiable. Cambié de opinión.
En mayo de 2026, APKPure distribuyó una versión modificada de Telegram que tenía un módulo espía integrado. Tus mensajes, fotos, contactos, ubicación GPS e información de la SIM se enviaban en silencio a un servidor externo. Y el sitio no lo detectó.
Recomendados por el editor:
Lo que ocurrió con Telegram en APKPure.net
La versión afectada fue Telegram 12.6.5, disponible en apkpure.net. El APK había sido reempaquetado: lucía idéntico al original, pero traía inyectado un módulo llamado DataCollector que no existe en ninguna versión oficial de Telegram. Ese módulo recogía en tiempo real tus mensajes, contactos, fotos, archivos, coordenadas GPS e información de la SIM, y lo enviaba todo cifrado a una IP externa.
Por qué APKPure no es confiable en 2026
No es la primera vez que pasa algo así. En 2021, la propia app de APKPure fue comprometida con adware que abría publicidad de la nada (un problema bastante común en Android, por cierto) e incluso instalaba apps por su cuenta. Ya en ese entonces quedó claro que el sitio no siempre revisa bien lo que sube.
El asunto es simple: cualquiera puede subir un APK ahí. Si alguien toma el APK original de una app, le mete código malicioso y lo sube, APKPure puede no darse cuenta. Eso es exactamente lo que pasó con Telegram. Y tú, al descargar, no tienes forma de saberlo a simple vista porque el ícono, el nombre y hasta la instalación se ven igual que siempre.
Esto no es exclusivo de APKPure: el problema es la cadena de distribución
Ya lo documenté con Nekogram en este blog. El código fuente en GitHub estaba limpio, pero el binario distribuido había sido modificado. El usuario descargaba algo que parecía legítimo desde una fuente aparentemente oficial, y el resultado era el mismo: un APK con comportamiento malicioso.
La lección que saco de ambos casos es la misma: la reputación de una fuente no garantiza la integridad del archivo. Lo único que lo garantiza es comparar el hash. El hash es como la huella digital de un archivo: si alguien modificó aunque sea un byte, el hash cambia. Para verificar si tu APK es el original, necesitas tener el hash original publicado por el desarrollador y compararlo con el hash del APK que descargaste.
La única protección real: verificar el hash antes de instalar
Independientemente de dónde descargues, el único control que te garantiza que un APK no fue modificado es comparar su hash con el original. En Windows puedes usar el siguiente comando desde PowerShell:
Get-FileHash aplicacion.apk -Algorithm SHA256Si ambos no coinciden, no instales porque definitivamente es un APK modificado.
Desde Android, puedes buscar alguna app “Hash Checker”.
Si el desarrollador no publica hashes, VirusTotal es un segundo filtro a veces útil: no verifica integridad, pero detecta amenazas conocidas con más de 70 motores en segundos.
Dónde descargar APKs con más seguridad
Sitio oficial del desarrollador, siempre que exista. Por ejemplo, para Telegram es telegram.org. Muchos desarrolladores publican el APK directamente en su web o en su repositorio. Aunque, como vimos con Nekogram, incluso en ese caso conviene verificar el hash si está publicado.
APKMirror como segunda opción. A diferencia de APKPure, APKMirror verifica que el hash del APK recibido coincida con el firmado por el desarrollador original. Eso hace mucho más difícil que un archivo modificado llegue a sus servidores. No es infalible, pero hasta ahora no ha tenido incidentes documentados como los de APKPure.
F-Droid si la app es de código abierto. Compila los APKs desde el código fuente directamente, lo que elimina la posibilidad de que alguien modifique el binario después.
APKPure: no lo recomiendo por ahora. Puede que en el futuro mejore sus controles y cambie mi postura, pero hoy no tengo razones para recomendarlo.
Fuente: Eric Parker X, Reddit
Deja un comentario