Skip to content

Cómo verificar una descarga con una suma de comprobación

6 min de lectura 13 de junio de 2026
suma de comprobaciónsha256integridad de archivosdescargas

Una suma de comprobación es una huella corta de un archivo. Calcula el hash de tu descarga, compáralo con el que publicó el proyecto y sabrás que el archivo llegó intacto y sin manipular.

Cómo verificar una descarga con una suma de comprobación — Hivly

Los proyectos suelen publicar una cadena de letras y números junto al enlace de descarga, etiquetada con algo como SHA-256 o MD5. La mayoría de la gente pasa de largo. Esa cadena es una suma de comprobación, y te permite confirmar, en menos de un minuto, que el archivo que recibiste es exactamente el que publicaron. Aquí tienes cómo funciona y cómo usarla de verdad.

En resumen: una suma de comprobación es una huella de longitud fija de un archivo, generada por una función hash como SHA-256. Para verificar una descarga, calcula el hash de tu copia y compáralo carácter por carácter con el que publicó el proyecto. Si coinciden, el archivo llegó completo y sin alterar. Si difieren aunque sea en un carácter, algo cambió y no deberías fiarte del archivo.

Qué es realmente una suma de comprobación

Una suma de comprobación es una huella corta de un archivo. Pasas los bytes del archivo por una función hash y sale una cadena de longitud fija que representa el archivo entero. Un hash SHA-256 siempre tiene 256 bits, escritos como 64 caracteres hexadecimales, tanto si la entrada es un archivo de texto de una línea como una imagen de disco de varios gigabytes. El tamaño del archivo no cambia el tamaño de la huella.

El sentido de esa huella es la comparación, no el almacenamiento. El hash no contiene el archivo, y es demasiado pequeño para hacerlo. Lo que te da es un valor que dos personas pueden calcular por separado y confrontar. El proyecto calcula el hash del archivo una vez y publica el resultado. Tú calculas el hash de tu copia descargada y comparas. Misma entrada, misma función hash, misma salida, siempre.

Por eso a una suma de comprobación a veces se la llama resumen o digest. Reduce algo grande a un resumen pequeño y comparable, sin dejar de ser perfectamente repetible.

Por qué los proyectos publican un hash junto a la descarga

Los archivos se estropean en tránsito más a menudo de lo que se cree. Se cae una conexión a mitad de la descarga, un mirror sirve una copia obsoleta, un proxy estropea unos bytes o un servidor de almacenamiento devuelve un fragmento corrupto. La suma de comprobación publicada existe para que puedas detectar todo eso. Calcula el hash de tu copia, compáralo con el valor publicado y una coincidencia te dirá que los bytes que tienes son los que enviaron.

Hay una segunda razón, más seria. Una descarga puede ser sustituida por una versión maliciosa, en un mirror comprometido o a través de una conexión interceptada. Si un atacante reemplaza el instalador pero no puede cambiar la suma de comprobación que el proyecto publicó en su propio sitio de confianza, la discrepancia lo delata. El hash convierte el “espero que este sea el archivo real” en algo que puedes comprobar.

Ese segundo caso solo se sostiene si la propia suma de comprobación es fiable, y ahí empieza a importar de dónde viene el hash. Más sobre esto abajo.

Cómo verificar una descarga paso a paso

Verificar es un ciclo de tres pasos: consigue el hash publicado, calcula el hash de tu archivo y compáralos. Busca la suma de comprobación en la página de descarga oficial del proyecto, normalmente etiquetada con el algoritmo. Luego calcula el mismo tipo de hash sobre el archivo que descargaste. Por último, compara las dos cadenas. Si son idénticas, el archivo está intacto.

Puedes calcular el hash con un comando integrado. En macOS o Linux, shasum -a 256 tuarchivo.iso muestra el resumen SHA-256. En Windows, certutil -hashfile tuarchivo.iso SHA256 hace lo mismo. Si prefieres no tocar la terminal, puedes soltar el archivo en una herramienta de hash y suma de comprobación que funciona por completo en tu navegador, así el archivo nunca se sube a ningún sitio, y leer el valor SHA-256 en pantalla.

Ahora compara. Los hashes son largos, así que no mires solo el medio y des por hecho. Copia el valor publicado, copia tu valor calculado y compruébalos carácter por carácter, o pega ambos en algún sitio que resalte las diferencias. Un solo carácter distinto significa que los archivos no son iguales.

Por qué un byte cambiado rompe todo el hash

Las funciones hash están hechas para que un cambio mínimo en la entrada altere por completo la salida. Cambia un solo bit en un archivo de varios gigabytes y el resultado SHA-256 será totalmente distinto, sin parecido alguno con el hash original. Esto se llama efecto avalancha, y es la propiedad que hace útiles a las sumas de comprobación. No existe un “casi igual”. Los hashes o son idénticos o no lo son.

Ese comportamiento de todo o nada es justo lo que quieres para verificar. Nunca tienes que juzgar cuánto difieren dos hashes ni cuánta corrupción es aceptable. Una coincidencia significa que todos los bytes encajan. Una discrepancia, aunque sea de un carácter, significa que al menos algo difiere, y por el hash no puedes saber si fue un paquete perdido inofensivo o un archivo alterado a propósito. En cualquier caso la respuesta es la misma: no te fíes de esta copia, descárgala otra vez.

También significa que no puedes falsear una coincidencia ajustando un poco el archivo. No hay un retoque suave que caiga en el mismo hash.

Corrupción frente a manipulación, y qué hash usar

Para detectar corrupción accidental sirve casi cualquier función hash, incluidas las antiguas MD5 y SHA-1. La corrupción es aleatoria, así que incluso una función hash rota casi seguro producirá un valor distinto para un archivo dañado. Si un proyecto solo ofrece una suma MD5 y tu objetivo es confirmar que la descarga no se estropeó, ese MD5 es perfectamente adecuado.

La manipulación es otra amenaza, porque ahora alguien intenta engañarte a propósito. MD5 y SHA-1 se consideran rotas para fines de seguridad, ya que se ha demostrado que un atacante puede construir dos archivos distintos que comparten el mismo hash, una colisión. Eso significa que una coincidencia con una función débil ya no garantiza que el archivo sea el que querías. Para cualquier caso en el que importe la autenticidad, prefiere SHA-256, que no tiene colisiones prácticas y es el estándar actual.

Hay una capa más. Una suma de comprobación solo prueba que el archivo coincide con el hash publicado. Si un atacante controla la página, puede cambiar tanto el archivo como el hash. Por eso las descargas de mucho riesgo combinan la suma con una firma criptográfica, para que puedas confirmar que el propio hash vino del proyecto y no de un impostor. La suma prueba la integridad. La firma prueba quién la respalda.

Lo que una suma de comprobación no es

Una suma de comprobación no es cifrado y no oculta nada. El hashing es unidireccional: no puedes ejecutar el proceso al revés para recuperar el archivo, y el hash no revela nada sobre el contenido. Es una huella, no una caja con candado. Cualquiera puede calcular el hash de un archivo que ya tiene, que es justo el objetivo, porque así funciona la verificación.

Así que una suma de comprobación responde exactamente a una pregunta: ¿es este archivo idéntico al que tiene esta huella? No mantiene el archivo en privado, no lo protege y no lo cifra. Si necesitas secreto, ese es trabajo del cifrado con una clave, que es otra herramienta para otro problema. Usada para lo que es, una suma de comprobación es una forma rápida y fiable de confirmar que una descarga llegó entera y sin cambios, y eso bien vale el minuto que cuesta.

Try the file toolsView and remove EXIF, strip metadata, check hashes, edit subtitles, make favicons, split files and find duplicates.

Preguntas frecuentes

¿Qué es una suma de comprobación, en términos sencillos?
Es una huella corta y de longitud fija de un archivo, generada por una función hash como SHA-256. El archivo puede ser enorme, pero su suma de comprobación siempre tiene la misma longitud compacta. Si cambia aunque sea un byte del archivo, la suma cambia por completo, y eso es lo que la hace útil para detectar corrupción o manipulación.
¿Cuál es la diferencia entre MD5, SHA-1 y SHA-256?
Son funciones hash distintas que producen huellas de distinta longitud. MD5 y SHA-1 son más antiguas y se consideran rotas para fines de seguridad, porque un atacante puede crear dos archivos con el mismo hash. Siguen sirviendo para detectar corrupción accidental. SHA-256 produce un hash de 256 bits y es el estándar actual para verificar autenticidad.
¿Se puede revertir una suma de comprobación para recuperar el archivo original?
No. Un hash es unidireccional por diseño. No puedes reconstruir el archivo a partir de su suma, y además la suma es demasiado corta para contenerlo. Solo sirve para comparar. Calculas el hash de tu copia, lo confrontas con el valor publicado y compruebas si coinciden. Por lo demás, no prueba nada sobre el contenido.
Si los hashes no coinciden, ¿qué debo hacer?
No ejecutes ni abras el archivo. Una discrepancia significa que tu copia difiere de lo que publicó el proyecto, ya sea por una descarga interrumpida, un error de red o algo peor. Bórralo y descárgalo de nuevo, idealmente desde la fuente oficial. Si una descarga nueva sigue sin coincidir, trata el archivo como poco fiable.

Sigue leyendo

¿Algo más ambicioso?

Hivly está hecho por CodingEagles, un estudio de software que publica aplicaciones web de producción. Si tienes un proyecto real, escríbenos.

Mira lo que hace CodingEagles →