Skip to content
Back to Blog
hashingfile-integrityhash-generatorhow-to

Cómo verificar el checksum de un archivo (SHA-256)

¿Descargaste un ISO o instalador y quieres confirmar que no está corrupto o manipulado? Aquí te mostramos cómo generar y comparar un checksum SHA-256 en Windows, Mac y Linux, mediante línea de comandos o arrastrando y soltando en tu navegador.

SZ
Founder, Molixa
12 min read
Compartir
Cómo verificar el checksum de un archivo (SHA-256)
Table of contents8 sections

Para verificar la suma de verificación de un archivo, generas un hash SHA-256 del archivo descargado y lo comparas carácter por carácter con la suma de verificación oficial publicada por el editor. Si las dos cadenas coinciden exactamente, el archivo está intacto. Si un solo carácter difiere, el archivo está corrupto o ha sido alterado. Esta guía muestra cómo hacerlo en Windows, Mac y Linux desde la línea de comandos, y cómo hacer lo mismo sin comandos de terminal en tu navegador.

La mayoría de las personas aprenden a verificar la suma de verificación de un archivo de la manera difícil: una descarga falla silenciosamente, un instalador se bloquea, y solo entonces descubren que el archivo estaba incompleto. Una verificación de suma de verificación de dos segundos detecta eso antes de ejecutar el archivo, además del caso más aterrador donde un espejo de descarga fue comprometido y el archivo reemplazado por malware.

Lo que realmente demuestra un checksum (y lo que no)#

Un checksum es una huella digital de longitud fija de un archivo. Si ejecutas el mismo archivo dos veces con el mismo algoritmo hash, obtienes la misma cadena de texto cada vez. Cambia un solo byte y la huella digital cambia por completo. Ese es el mecanismo completo, y es lo que hace que los checksums sean útiles para detectar tanto corrupción accidental como manipulación deliberada.

Aquí está la parte que la mayoría de los tutoriales omiten, y es la parte que importa para tu seguridad. Un checksum que coincide demuestra que el archivo que tienes es idéntico byte por byte al archivo que describe el checksum publicado. No demuestra nada sobre si ese checksum de referencia es confiable en primer lugar.

Punto clave: un checksum solo verifica integridad, no autenticidad, a menos que confíes en la fuente del checksum en sí. Si un atacante puede reemplazar tanto la descarga como el checksum en la misma página, que coincidan no te dice nada.

Integridad versus autenticidad#

Estas dos palabras se usan indistintamente y no deberían.

  • Integridad significa que el archivo llegó exactamente como salió del servidor, sin corrupción por una conexión caída, un sector defectuoso del disco o un mirror inestable. Cualquier checksum, incluso uno antiguo de MD5, verifica la integridad perfectamente.
  • Autenticidad significa que el archivo realmente proviene del editor que crees, sin que se haya sustituido una versión maliciosa. Esto requiere que el checksum provenga de un canal que un atacante no pueda controlar también.

La conclusión práctica: obtén el archivo de un mirror de descarga, pero obtén el checksum del sitio HTTPS principal del editor o de un archivo de checksum firmado. Si ambos están en el mismo mirror no confiable, un hash que coincide es teatro de seguridad.

Por qué los checksums MD5 siguen siendo válidos para detectar corrupción#

Todavía verás checksums MD5 publicados junto a las descargas, y los foros están llenos de gente insistiendo en que MD5 está "roto" e inútil. Ese consejo es medio correcto, y la mitad que está mal confunde constantemente a la gente.

MD5 está criptográficamente roto en un sentido específico: un atacante experto puede crear deliberadamente dos archivos diferentes que produzcan el mismo hash MD5 (una colisión). Eso invalida MD5 para autenticidad. Pero MD5 sigue siendo perfectamente útil para detectar corrupción accidental. Una descarga truncada o un bit alterado por un disco defectuoso no coincidirá mágicamente con el hash original, así que si un proyecto solo publica un checksum MD5 y solo quieres confirmar que la descarga no se dañó, MD5 funciona bien.

AlgoritmoSeguro para verificar corrupciónSeguro para verificar autenticidad/integridadNotas
MD5NoLas colisiones son prácticas; nunca confíes para seguridad
SHA-1NoObsoleto; colisiones demostradas desde 2017
SHA-256El estándar actual para verificación de lanzamientos
SHA-512Misma familia que SHA-256, resumen más largo

La regla general: si una descarga ofrece SHA-256, siempre prefierelo. Si solo ofrece MD5 y estás verificando una descarga dañada, MD5 es aceptable. Nunca confíes en MD5 o SHA-1 para demostrar que un archivo no fue manipulado.

Cómo verificar un checksum de archivo en Windows, Mac y Linux#

El comando varía según el sistema operativo, pero el flujo de trabajo es idéntico en todos: genera el hash de tu archivo descargado y luego compáralo con el valor publicado.

Paso 1: Encuentra el checksum oficial#

Antes de aplicar hash a cualquier cosa, localiza el checksum de referencia del editor. Busca un archivo SHA256SUMS, un archivo .sha256 junto a la descarga, o un hash en la página de lanzamiento oficial. Confirma que sea SHA-256 (una cadena hexadecimal de 64 caracteres) y no MD5 (32 caracteres) o SHA-1 (40 caracteres), porque debes aplicar hash con el algoritmo coincidente.

Si el editor ofrece una firma GPG para el archivo de checksum, verificarla es el estándar de oro, ya que confirma que la lista de checksum proviene del editor real.

Paso 2: Genera el hash en tu máquina#

Abre una terminal en la carpeta que contiene tu descarga y ejecuta el comando para tu plataforma.

Windows (Símbolo del sistema o PowerShell):

certutil -hashfile tuarchivo.iso SHA256

certutil está integrado en Windows, por lo que no necesitas instalar nada. Reemplaza SHA256 por MD5 o SHA1 si eso es lo que proporcionó el editor. Los usuarios de PowerShell también pueden ejecutar Get-FileHash tuarchivo.iso -Algorithm SHA256 para una salida más limpia.

macOS:

shasum -a 256 tuarchivo.dmg

La bandera -a 256 selecciona SHA-256. Para MD5 en Mac, usa el comando separado md5 tuarchivo.dmg. Ambos vienen con macOS.

Linux:

sha256sum tuarchivo.iso

La mayoría de las distribuciones incluyen sha256sum, md5sum y sha1sum de serie. Cada uno imprime el hash seguido del nombre del archivo.

Paso 3: Compara los dos hashes#

Coloca el hash que produjo tu máquina junto al oficial. Son largos, así que no examines toda la cadena visualmente. Verifica los primeros seis y los últimos seis caracteres y confirma que la longitud coincida. Si ambos extremos concuerdan, casi con seguridad tienes una coincidencia.

En Linux y Mac puedes dejar que la computadora compare por ti. Si el editor te dio un archivo SHA256SUMS, ejecuta sha256sum -c SHA256SUMS (o shasum -a 256 -c en Mac) en la misma carpeta y mostrará OK o FAILED por archivo, eliminando cualquier posibilidad de que un humano lea mal un carácter.

Paso 4: Decide según el resultado#

  • Los hashes coinciden: el archivo está intacto y es idéntico a la versión publicada. Si también confías en el origen del checksum, puedes continuar con seguridad.
  • Los hashes no coinciden: detente. No ejecutes el archivo. Vuelve a descargar desde un mirror diferente y verifica de nuevo. Una discrepancia persistente con la fuente oficial es una señal de alerta que vale la pena reportar al proyecto.

La forma sin terminal: verificar un checksum en tu navegador#

Las herramientas de línea de comandos son confiables, pero muchas personas no quieren abrir una terminal, carecen de permisos de administrador en una máquina del trabajo o encuentran la sintaxis propensa a errores. Hay un camino más rápido que produce el mismo resultado SHA-256.

Un generador de hash SHA-256 gratuito basado en navegador te permite arrastrar y soltar el archivo y calcula el resumen directamente en tu dispositivo usando la API Web Crypto integrada del navegador. Nada se sube a ningún lado. El archivo nunca sale de tu computadora, lo cual importa cuando estás verificando un instalador sensible o un documento confidencial.

El flujo de trabajo son los mismos tres pasos, sin escribir:

  1. Abre el generador de hash y arrastra tu archivo descargado sobre él.
  2. Lee el resumen SHA-256 que produce.
  3. Pega el checksum oficial del editor en el campo de comparación; la herramienta te dice al instante si coinciden.

Ese último punto te salva de ti mismo. En lugar de entrecerrar los ojos ante dos cadenas de 64 caracteres, pegas el valor esperado y obtienes un resultado claro de coincidencia o no coincidencia con los caracteres diferentes resaltados. La misma herramienta puede cambiar de algoritmo, por lo que una descarga más antigua con solo un hash MD5 también está cubierta.

Consejo: como el hash se ejecuta localmente en tu navegador, esto también funciona sin conexión una vez que la página se ha cargado. Útil en una máquina aislada o en una red restringida.

Razones comunes por las que un checksum no coincide#

Una discrepancia es alarmante, pero generalmente es algo común. Revisa estas antes de asumir lo peor.

  • Algoritmo incorrecto. Calculaste el hash con SHA-256 pero el valor publicado es MD5, o viceversa. Las cadenas nunca coinciden entre algoritmos, así que primero verifica la longitud del resumen.
  • Descarga incompleta. La causa más frecuente. Una conexión interrumpida deja un archivo truncado. Vuelve a descargar y verificar.
  • Calculaste el hash del archivo equivocado. Una copia antigua con el mismo nombre, o un instalador renombrado, tiene un hash diferente. Confirma que estás apuntando al archivo correcto.
  • Espacios o mayúsculas en la comparación. Un espacio de más o una diferencia de capitalización puede parecer una discrepancia al pegar. Los hashes hexadecimales no distinguen mayúsculas, así que normaliza ambos a minúsculas; una buena herramienta de comparación lo hace automáticamente.
  • El editor actualizó el archivo. Algunos proyectos reconstruyen versiones y actualizan los checksums, así que asegúrate de que tu hash de referencia coincida con la versión exacta que descargaste.

Si descartaste todas estas opciones y el hash oficial aún no coincide, trata la descarga como no confiable. Esa es exactamente la situación que la verificación de checksums está diseñada para detectar.

Dónde encaja la verificación de checksum en una rutina de seguridad#

Verificar un checksum es una capa, no toda la defensa. Descarga desde fuentes oficiales a través de HTTPS para que la conexión esté autenticada, y prefiere checksums firmados con GPG para cualquier cosa crítica de seguridad, porque una firma vincula el hash a una clave verificable, no solo a una página web.

Una vez que un archivo se verifica e instala, los riesgos restantes se trasladan a las contraseñas y cuentas. Si una herramienta que instalaste te pide crear credenciales, pásalas por un comprobador de fortaleza de contraseñas y genera una única con un generador de contraseñas seguras para que una instalación verificada no se convierta en el nuevo eslabón débil.

El hashing también es útil más allá de las descargas. El mismo resumen SHA-256 que verifica un ISO puede identificar un archivo de configuración para detectar cambios posteriores, deduplicar documentos o confirmar que una copia de seguridad coincide con su original.

Conclusión: Cómo verificar un checksum de archivo de la manera correcta#

Saber cómo verificar un checksum de archivo convierte un salto de fe en una certeza de dos segundos. Genera el hash SHA-256 de tu descarga, compáralo con el valor oficial del editor y solo continúa si coinciden exactamente. Usa la línea de comandos si vives en una terminal, o arrastra el archivo a un generador basado en navegador si prefieres saltarte la sintaxis.

El detalle que separa una verificación real de un placebo es de dónde proviene tu checksum de referencia. Compara el archivo con un hash de la fuente confiable del editor, servido por HTTPS e idealmente firmado, y habrás verificado tanto la integridad como la autenticidad. Compáralo con un hash en el mismo espejo dudoso que la descarga y no habrás verificado nada que importe. Obtén el checksum de una fuente confiable, genera el tuyo con un generador de hash SHA-256 gratuito, compara y listo.

Preguntas Frecuentes#

¿Cuál es la diferencia entre un checksum y un hash? En el uso cotidiano significan lo mismo para la verificación de archivos: una huella digital de longitud fija calculada a partir del contenido de un archivo. Técnicamente, "checksum" es el término más amplio e incluye códigos simples de detección de errores como CRC32, mientras que "hash" suele implicar una función criptográfica como SHA-256. Cuando una página de descarga dice "checksum", casi siempre se refiere a un hash criptográfico como MD5, SHA-1 o SHA-256.

¿Un checksum SHA-256 coincidente significa que el archivo es seguro? Significa que el archivo es idéntico byte por byte al que describe el checksum publicado. Eso garantiza que el archivo no se corrompió durante la transferencia. Solo garantiza que el archivo proviene genuinamente del editor si obtuviste el checksum de una fuente que un atacante no pueda manipular, como el sitio HTTPS del editor o un archivo de checksum firmado con GPG.

¿Es MD5 suficiente para verificar una descarga? Para detectar corrupción accidental, sí. Una descarga truncada o dañada no producirá accidentalmente el mismo MD5 que el original. Para demostrar que un archivo no fue manipulado deliberadamente, no, porque los atacantes pueden crear colisiones MD5. Si el editor ofrece SHA-256, úsalo en su lugar y reserva MD5 solo para comprobaciones de corrupción.

¿Cómo verifico un checksum en Windows sin instalar nada? Usa el comando integrado certutil: abre el Símbolo del sistema en la carpeta del archivo y ejecuta certutil -hashfile tuarchivo.iso SHA256. Los usuarios de PowerShell pueden ejecutar Get-FileHash tuarchivo.iso -Algorithm SHA256 para una salida más limpia. Si prefieres evitar la terminal, arrastra el archivo a un generador de hash basado en navegador que se ejecute localmente en tu máquina.

¿Por qué mis dos hashes se ven diferentes si descargué el archivo correcto? Los culpables habituales son hacer hash con el algoritmo incorrecto (comparar un hash SHA-256 con un valor MD5), una descarga incompleta o diferencias de espacios en blanco y mayúsculas al pegar los valores. Los hashes hexadecimales no distinguen entre mayúsculas y minúsculas, así que normaliza ambos a minúsculas. Si todo coincide y el hash aún difiere de la fuente oficial, vuelve a descargar desde otro espejo y verifica de nuevo.

¿Puedo verificar un checksum sin conexión? Sí. Las herramientas de línea de comandos (certutil, shasum, sha256sum) se ejecutan completamente en local sin necesidad de internet. Un generador basado en navegador que use la API Web Crypto también funciona sin conexión una vez que la página se ha cargado, ya que el hash se realiza en tu dispositivo, no en un servidor.

hashingfile-integrityhash-generatorhow-to

More from Molixa

Try Molixa Tools

50+ free AI tools for content creation, SEO, coding, and more. No signup, no watermark.

Explore all tools