Pacotes no arquivo Ubuntu são assinados com uma chave GPG, que qualquer um que tente substituir o código no espelho, não necessariamente tem. Seria possível forjar um pacote assinado, mas não é super trivial fazê-lo.
Você geralmente pode confiar nos pacotes assinados com essas chaves GPG. Ao atualizar através de update-manager ou apt , você será avisado quando os pacotes não estiverem assinados com uma chave que esteja no chaveiro do pacote apt do sistema. Você terá que aceitar manualmente a instalação de tais pacotes. Se você vir este aviso para um pacote vindo do repositório oficial do Ubuntu, ou um espelho dele, provavelmente você não deve instalar o pacote e reportar imediatamente um bug sobre ele.
Para ISOs, você precisará verificar os hashes de checksum com o que há nos servidores oficiais do Ubuntu.