De acordo com as Leis 12.965/2014 e 13.709/2018, que regulam o uso da Internet e o tratamento de dados pessoais no Brasil, ao me inscrever na newsletter do portal DICAS-L, autorizo o envio de notificações por e-mail ou outros meios e declaro estar ciente e concordar com seus Termos de Uso e Política de Privacidade.

Como verificar um software baixado da internet

Colaboração: Rubens Queiroz de Almeida

Data de Publicação: 19 de julho de 2026

Baixar um programa da internet é uma ação tão comum que muitas pessoas deixaram de perceber o risco envolvido. Localizamos o nome do software em um mecanismo de busca, clicamos em um dos primeiros resultados, fazemos o download e executamos o arquivo imediatamente. Esse hábito pode abrir a porta para programas adulterados, páginas falsas, instaladores modificados e cópias maliciosas criadas para roubar senhas, documentos, dados bancários e informações pessoais. Quando o programa lida com dinheiro ou criptomoedas, como é o caso da carteira Electrum, as consequências podem ser ainda mais graves.

O primeiro cuidado consiste em identificar o site oficial do projeto. Mecanismos de busca nem sempre colocam a página legítima na primeira posição. Criminosos podem criar anúncios patrocinados e endereços muito semelhantes ao original, alterando apenas uma letra, acrescentando uma palavra ou empregando outro domínio. O visitante encontra uma página visualmente convincente, baixa o programa e instala uma versão preparada para capturar suas informações. A própria documentação do Electrum alerta para a existência de cópias maliciosas e sites falsos promovidos por anúncios. O endereço oficial do projeto é electrum.org, e a recomendação dos desenvolvedores é baixar o programa exclusivamente desse site e verificar sua assinatura digital antes da primeira execução.

Observar o cadeado do navegador é importante, porém insuficiente. O HTTPS protege a comunicação entre o navegador e o site acessado, mas um site falso também pode possuir certificado válido e exibir o cadeado. Por isso, devemos conferir cuidadosamente o domínio, evitar links recebidos por mensagens ou publicados em anúncios e, quando possível, acessar o endereço oficial por meio de fontes independentes. Depois de confirmar o endereço, podemos salvá-lo nos favoritos para reduzir o risco de cair posteriormente em uma página imitadora.

Baixar não significa confiar

Mesmo quando o arquivo foi obtido no site aparentemente correto, ele ainda não deve ser executado imediatamente. A etapa seguinte é verificar sua autenticidade e integridade. Autenticidade procura responder quem publicou o arquivo, enquanto integridade procura confirmar se ele permaneceu inalterado desde que foi assinado.

Alguns projetos publicam hashes, como SHA-256. Um hash funciona como uma impressão digital matemática do arquivo: qualquer modificação, mesmo muito pequena, produz outro resultado. Entretanto, comparar apenas um hash divulgado na mesma página do download oferece proteção limitada. Se um invasor conseguir substituir o instalador e também alterar o hash publicado ao lado dele, os dois valores continuarão correspondendo. O próprio projeto Electrum explica que, por essa razão, utiliza assinaturas GPG em vez de simplesmente publicar hashes dos binários.

Uma assinatura GPG relaciona o arquivo a uma chave criptográfica controlada pelo desenvolvedor. O responsável pelo projeto assina o programa com sua chave privada, e o usuário verifica a assinatura com a chave pública correspondente. Se o arquivo tiver sido alterado depois da assinatura, a verificação falhará. Se uma página falsa distribuir um programa malicioso sem acesso à chave privada legítima, ela também não conseguirá produzir uma assinatura válida em nome do desenvolvedor.

O exemplo do Electrum

Na página oficial do Electrum, encontramos o programa e um arquivo de assinatura com extensão .asc. Os dois devem ser baixados: o arquivo do programa e a assinatura correspondente à mesma versão. No Linux, a verificação pode ser realizada com o GnuPG.

Primeiramente, deve-se obter a chave pública do signatário a partir da fonte oficial. A página do Electrum disponibiliza o arquivo ThomasV.asc, que pode ser importado com:

$ gpg --import ThomasV.asc

Importar uma chave, porém, não comprova automaticamente que ela pertence ao desenvolvedor. É necessário conferir sua impressão digital por meio de fontes independentes e confiáveis. Na documentação oficial consultada, a impressão digital completa da chave de Thomas Voegtlin é:

6694 D8DE 7BE8 EE56 31BE D950 2BD5 824B 7F94 70E6

Ela pode ser conferida localmente com:

$ gpg --fingerprint 2BD5824B7F9470E6

A impressão deve ser comparada caractere por caractere. Conferir apenas os últimos oito ou dezesseis caracteres não oferece o mesmo nível de segurança. Como chaves podem ser substituídas ou atualizadas no futuro, a impressão digital sempre deve ser confirmada novamente na documentação oficial de verificação do Electrum.

Com o programa e sua assinatura no mesmo diretório, a verificação segue o formato:

$ gpg --verify arquivo-do-electrum.asc arquivo-do-electrum

Em um exemplo genérico com AppImage, seria:

$ gpg --verify electrum-VERSAO-x86_64.AppImage.asc \
             electrum-VERSAO-x86_64.AppImage

Os nomes devem ser substituídos pelos arquivos efetivamente baixados. O resultado esperado é uma assinatura válida associada à chave cuja impressão digital foi previamente conferida. Um aviso informando que a chave não possui certificação de confiança pessoal pode aparecer. Esse aviso é diferente de uma assinatura inválida: significa que o GnuPG ainda não estabeleceu uma cadeia de confiança para aquela identidade. A conferência independente da impressão digital é justamente a etapa que permite verificar se estamos usando a chave correta.

Se aparecer uma mensagem de assinatura incorreta, arquivo alterado, chave desconhecida ou impressão digital diferente, o programa não deve ser executado. Também não se deve ignorar o problema, desativar a verificação ou procurar uma chave aleatória apenas para fazer a mensagem desaparecer. O procedimento seguro é apagar os arquivos, revisar o endereço acessado, obter novamente a chave e os downloads por fontes oficiais e repetir todas as verificações.

A verificação precisa acontecer antes da execução

A ordem das etapas é fundamental. Verificar o programa depois de executá-lo pode confirmar que algo estava errado, mas já não impede que o código malicioso tenha sido iniciado. O arquivo deve permanecer sem execução até que a origem, a chave, a impressão digital e a assinatura tenham sido confirmadas.

No caso de um AppImage no Linux, a permissão de execução deve ser concedida somente depois da validação:

$ chmod +x electrum-VERSAO-x86_64.AppImage
./electrum-VERSAO-x86_64.AppImage

Copiar comandos de uma página desconhecida também representa risco. Antes de colar qualquer instrução no terminal, é preciso compreender o que ela faz, verificar os nomes dos arquivos e desconfiar de comandos que pedem privilégios administrativos sem uma justificativa clara. O uso de sudo não torna um programa confiável; ele apenas concede mais poder ao processo e pode ampliar os danos causados por um arquivo malicioso.

Antivírus, assinatura e reputação cumprem papéis diferentes

Uma verificação GPG válida confirma que o arquivo foi assinado pela chave esperada e que não foi modificado depois disso. Ela não representa uma análise completa da qualidade do código nem garante que o computador esteja livre de outros programas maliciosos. Da mesma forma, um antivírus é apenas uma camada adicional: pode detectar ameaças conhecidas e comportamentos suspeitos, mas também pode produzir falsos positivos ou deixar passar ameaças novas.

Também é prudente verificar a reputação e o histórico do projeto, consultar sua documentação, observar se o desenvolvimento continua ativo e evitar versões antigas. Programas desatualizados podem conter vulnerabilidades já corrigidas. Atualizações, contudo, devem seguir o mesmo procedimento: site oficial, arquivo correto, chave conferida e assinatura validada antes da execução.

Cuidados adicionais com carteiras de criptomoedas

Em uma carteira como o Electrum, o software tem contato com informações que controlam recursos financeiros. Uma cópia falsa pode aparentar funcionamento normal enquanto tenta obter a senha da carteira, alterar endereços de destino ou transmitir informações sigilosas. Por isso, a frase de recuperação nunca deve ser digitada em sites, formulários, chats ou programas cuja autenticidade não tenha sido confirmada.

A documentação do Electrum também alerta para falsos atendentes que enviam mensagens privadas, oferecem “suporte” e solicitam a instalação de outra versão ou o fornecimento das palavras de recuperação. Nenhum atendente legítimo precisa conhecer a semente da carteira. Quem obtém essas palavras pode controlar os fundos.

Antes de confirmar uma transação, confira cuidadosamente o endereço de destino e o valor. Um programa malicioso presente no computador pode substituir no clipboard o endereço copiado. Quando houver uma carteira física, o endereço e o valor devem ser verificados na tela do próprio dispositivo, e não somente no monitor do computador.

Um hábito que deveria ser automático

O procedimento seguro para qualquer programa pode ser resumido em uma sequência simples: localizar o site oficial, conferir cuidadosamente o domínio, baixar a versão adequada ao sistema, obter a assinatura e a chave pública, validar a impressão digital por fontes independentes, verificar a assinatura e somente então executar o arquivo. Se qualquer etapa produzir dúvida ou resultado inesperado, a instalação deve ser interrompida.

Esses cuidados podem parecer trabalhosos nas primeiras vezes, mas logo se transformam em rotina. Gastar alguns minutos verificando um download é muito mais simples do que investigar um computador comprometido, trocar senhas, recuperar arquivos ou tentar entender o desaparecimento de recursos digitais. No caso do Electrum, a regra deve ser absoluta: baixar somente de electrum.org, conferir a chave e a impressão digital, validar a assinatura GPG e executar o programa apenas depois que todas as verificações forem concluídas.



Veja a relação completa dos artigos de Rubens Queiroz de Almeida