Cómo generar hashes seguros (MD5, SHA‑1, SHA‑256, SHA‑512)

Por qué importa

Descargas una ISO de 4 GB. La descarga termina «correctamente» pero hubo un pico raro en Wi‑Fi. ¿Cambió un byte? Calcula SHA‑256 del archivo y compáralo con el digest publicado por el editor. Si coinciden, el archivo es idéntico byte a byte; si no, vuelve a descargar. La misma lógica alimenta almacenamiento direccionado por contenido (base de objetos de Git, IPFS), deduplicación en backups y detección de manipulación en pipelines de build.

Tres escenarios reales

Ingeniero DevOps

Verificar un artefacto de release descargado

Suelta el archivo en la herramienta hash, compara SHA‑256 con el valor en la página de releases del proyecto.

Confianza en que el binario es auténtico

Diseñador de API

Generar claves de caché estables para query params

Aplica MD5 a la cadena de petición canonizada para una clave de caché rápida de longitud fija.

Hits de caché sin colisiones

Analista forense

Documentar el estado de un archivo probatorio

Calcula SHA‑512 sobre el archivo incautado y regístralo en el expediente; cualquier modificación posterior será obvia.

Registro de cadena de custodia

Guía paso a paso

Abre el generador de hash.

Elige texto o archivo
Texto: pega una cadena. Archivo: suelta el archivo desde disco. El navegador calcula el hash localmente sin importar el tamaño (sujeto a memoria).
Elige algoritmos
MD5 (rápido, roto para seguridad), SHA‑1 (obsoleto), SHA‑256 (elección moderna por defecto), SHA‑512 (digest más largo, a menudo innecesario).
Lee el digest
Hex por defecto. Activa salida Base64 si tu destino lo espera.
Compara con un digest conocido
Pega el valor esperado en el campo de comparación; la herramienta resalta coincidencia o discrepancia.
Copia y registra
Guarda el digest junto con ruta de archivo y marca temporal para verificación futura.

Una cadena, cuatro hashes

Entrada

The quick brown fox jumps over the lazy dog

Digests

MD5     : 9e107d9d372bb6826bd81d3542a419d6
SHA-1   : 2fd4e1c67a2d28fced849ee1bb76e7391b93eb12
SHA-256 : d7a8fbb307d7809469ca9abcb0082e4f8d5651e46d3cdb762d02d0bf37c9e592
SHA-512 : 07e547d9586f6a73f73fbac0435ed76951218fb7d0c8d788a309d785436bbb64...

Herramienta hash con fila de casillas multi‑algoritmo y campo verificación — Calcula varios algoritmos a la vez y verifica contra un digest publicado en una sola vista.

Consejos útiles

Copia siempre el digest publicado desde una página protegida por TLS, no desde un repost en foro. Si no, un MITM podría cambiar archivo y hash.
Usa SHA‑256 por defecto. Amplio soporte, rápido en CPUs modernos y la salida (64 hex) cabe en URLs y logs.
Para contraseñas usa bcrypt/scrypt/argon2, no SHA. SHA es demasiado rápido para hashing de contraseñas — tu algoritmo lento es una ventaja, no un defecto.
Hashea la forma canónica. Si hasheas una petición JSON, normaliza el orden de claves primero (pásala por el Formateador de texto) para que la clave de caché sea estable.

Trampas comunes

Error frecuente

Dos archivos con el mismo MD5 — ¿preocupación?

Para archivos aleatorios las colisiones MD5 siguen siendo computacionalmente raras. En situaciones adversarias (alguien puede fabricar un archivo colisionante), MD5 está roto — cambia a SHA‑256.

Error frecuente

Los hashes difieren por saltos de línea finales

Abre el archivo en visor hex o compara longitudes. Un culpable habitual es \r\n vs \n. Normaliza finales de línea antes de hashear si las plataformas fuente difieren.

Error frecuente

Calcular SHA‑512 de un archivo gigante bloquea el navegador

La página usa Web Worker, pero las pestañas pueden ir lentas con archivos multi‑GB. Cierra otras pestañas o usa CLI (sha256sum) en archivos enormes.

Cuándo no es la herramienta adecuada

Cifrar un archivo — necesitas un cifrado y una clave, no un hash.
Almacenamiento de contraseñas — usa un KDF lento (bcrypt/scrypt/argon2) con sal, no SHA crudo.
Digests de mensaje autenticados — combina con una clave (HMAC). Ver Cómo calcular firmas HMAC.

Preguntas frecuentes

¿MD5 y SHA‑1 son totalmente inseguros?

Para usos no relacionados con seguridad (claves de caché, deduplicación, ETags) siguen siendo válidos. Para cualquier cosa donde un adversario pueda crear entradas, usa SHA‑256 o más fuerte.

¿Por qué los hashes de archivo en Windows van en mayúsculas?

El uso de mayúsculas/minúsculas es cosmético. Compara digests hex sin distinguir mayúsculas.

¿Soltar el archivo lo sube?

No. El navegador lee el archivo vía File API y pasa los bytes por SubtleCrypto.digest(). No se envía a ningún servidor.

Próximos pasos

Firma mensajes con secreto compartido usando el generador HMAC.
Decodifica payloads Base64/Hex antes de hashearlos con la herramienta Codificar/Decodificar.
Verifica integridad de peticiones API de punta a punta con la herramienta de firma de parámetros.

Por qué importa

Tres escenarios reales

Ingeniero DevOps

Verificar un artefacto de release descargado

Suelta el archivo en la herramienta hash, compara SHA‑256 con el valor en la página de releases del proyecto.

Confianza en que el binario es auténtico

Diseñador de API

Generar claves de caché estables para query params

Aplica MD5 a la cadena de petición canonizada para una clave de caché rápida de longitud fija.

Hits de caché sin colisiones

Analista forense

Documentar el estado de un archivo probatorio

Calcula SHA‑512 sobre el archivo incautado y regístralo en el expediente; cualquier modificación posterior será obvia.

Registro de cadena de custodia

Guía paso a paso

Elige texto o archivo

Texto: pega una cadena. Archivo: suelta el archivo desde disco. El navegador calcula el hash localmente sin importar el tamaño (sujeto a memoria).

Elige algoritmos

MD5 (rápido, roto para seguridad), SHA‑1 (obsoleto), SHA‑256 (elección moderna por defecto), SHA‑512 (digest más largo, a menudo innecesario).

Lee el digest

Hex por defecto. Activa salida Base64 si tu destino lo espera.

Compara con un digest conocido

Pega el valor esperado en el campo de comparación; la herramienta resalta coincidencia o discrepancia.

Copia y registra

Guarda el digest junto con ruta de archivo y marca temporal para verificación futura.

Una cadena, cuatro hashes

Entrada

The quick brown fox jumps over the lazy dog

Digests

MD5     : 9e107d9d372bb6826bd81d3542a419d6
SHA-1   : 2fd4e1c67a2d28fced849ee1bb76e7391b93eb12
SHA-256 : d7a8fbb307d7809469ca9abcb0082e4f8d5651e46d3cdb762d02d0bf37c9e592
SHA-512 : 07e547d9586f6a73f73fbac0435ed76951218fb7d0c8d788a309d785436bbb64...

Calcula varios algoritmos a la vez y verifica contra un digest publicado en una sola vista.

Consejos útiles

Copia siempre el digest publicado desde una página protegida por TLS, no desde un repost en foro. Si no, un MITM podría cambiar archivo y hash.

Usa SHA‑256 por defecto. Amplio soporte, rápido en CPUs modernos y la salida (64 hex) cabe en URLs y logs.

Para contraseñas usa bcrypt/scrypt/argon2, no SHA. SHA es demasiado rápido para hashing de contraseñas — tu algoritmo lento es una ventaja, no un defecto.

Hashea la forma canónica. Si hasheas una petición JSON, normaliza el orden de claves primero (pásala por el Formateador de texto) para que la clave de caché sea estable.

Trampas comunes

Error frecuente

Dos archivos con el mismo MD5 — ¿preocupación?

Error frecuente

Los hashes difieren por saltos de línea finales

Abre el archivo en visor hex o compara longitudes. Un culpable habitual es \r\n vs \n. Normaliza finales de línea antes de hashear si las plataformas fuente difieren.

Error frecuente

Calcular SHA‑512 de un archivo gigante bloquea el navegador

La página usa Web Worker, pero las pestañas pueden ir lentas con archivos multi‑GB. Cierra otras pestañas o usa CLI (sha256sum) en archivos enormes.

Preguntas frecuentes

¿MD5 y SHA‑1 son totalmente inseguros?

Para usos no relacionados con seguridad (claves de caché, deduplicación, ETags) siguen siendo válidos. Para cualquier cosa donde un adversario pueda crear entradas, usa SHA‑256 o más fuerte.

¿Por qué los hashes de archivo en Windows van en mayúsculas?

El uso de mayúsculas/minúsculas es cosmético. Compara digests hex sin distinguir mayúsculas.

¿Soltar el archivo lo sube?

No. El navegador lee el archivo vía File API y pasa los bytes por SubtleCrypto.digest(). No se envía a ningún servidor.