С точки зрения поврежденных загрузок, это довольно редко. Я не думаю, что у меня когда-либо была поврежденная загрузка, за исключением случаев, когда она каким-то образом была обрезана и ошибка не сообщалась (старые FTP-клиенты в тот день).
Могут быть некоторые преимущества для безопасности, если вы скачиваете с зеркала, и вы доверяете реальному сайту (который публикует MD5) больше, чем доверяете зеркалу (которое может быть устаревшим, или злым, или глючным, или pwned, или что-то, и так может кеширующий веб-прокси между ним и вами). Впрочем, ситуация довольно маловероятная, поскольку обычно нет оснований полагать, что основной сайт более или менее надежен или безопасен, чем зеркало. Тем не менее, это второе мнение.
Я обычно не проверяю опубликованные контрольные суммы, если только нет особой причины считать их правильными и загрузка не безопасна (например, контрольная сумма находится на URL-адресе https, а загрузка - нет). Если вы беспокоитесь о злодеях, тогда вам нужна подпись, а не просто незащищенная контрольная сумма.
Тем не менее, я иногда использую отчеты о проверке на вирусы на основе хеша в virustotal. Я полагаю, что опубликованная сумма MD5 может позволить вам проверить файл на вирусы, даже не загружая его, а затем вам придется проверить сумму после загрузки, чтобы убедиться, что значение, которое вы проверяли на вирусы, действительно было для файла, который вы скачали.
Обратите внимание, что контрольные суммы MD5 небезопасны, если злодей генерирует как подлинный файл, так и хитрый, загруженный вирусом. Можно генерировать коллизии MD5, хотя (пока) нет полной атаки перед изображением. Любой, кто серьезно относится к безопасности, переключился на суммы SHA256, где это возможно. Который меньше, чем вы могли бы надеяться, по наследству и по причинам ресурса.