Cómo verificar el checksum SHA256 de un archivo en Windows, macOS y Linux

¿Por qué verificar el checksum SHA256?

El checksum SHA256 (o simplemente "hash") es una huella digital única de un archivo. El proveedor de un archivo (software, instaladores, imágenes ISO, etc.) publica el hash SHA256 para que puedas verificar si el archivo que descargaste es idéntico al original. Verificarlo te protege contra:

• Descargas corruptas: Errores de red, problemas en el disco duro o interrupciones pueden corromper el archivo durante la descarga.
• Manipulación: Asegura que el archivo no ha sido modificado maliciosamente.
• Versiones incorrectas: Evita instalar una versión equivocada del software.

En resumen, verificar el SHA256 es una práctica de seguridad esencial al descargar archivos de internet, especialmente software.

Pasos previos a la verificación

Antes de empezar, necesitas dos elementos clave:

1. El archivo a verificar: Por ejemplo, programa.zip, imagen.iso o cualquier otro archivo que hayas descargado.
2. El valor SHA256 publicado: Este valor es una cadena de 64 caracteres hexadecimales. Debes obtenerlo del sitio web oficial del proveedor, idealmente en una sección de descargas o en la documentación del software. Asegúrate de copiar el valor correctamente.

Verificación paso a paso: Windows, macOS y Linux

Windows

Windows ofrece varias formas de calcular el SHA256. La más recomendada es usar PowerShell, ya que está integrada en el sistema.

1. Abre PowerShell: Busca "PowerShell" en el menú de inicio y ejecútalo.
2. Usa el comando Get-FileHash: Escribe el siguiente comando, reemplazando "C:\Ruta\al\archivo.zip" con la ruta real de tu archivo:

Get-FileHash -Algorithm SHA256 "C:\Ruta\al\archivo.zip"

3. Verifica el resultado: PowerShell mostrará el hash SHA256. Copia este valor y compáralo con el valor publicado por el proveedor. Puedes usar un editor de texto para facilitar la comparación.

Alternativa con CMD: Si prefieres usar la línea de comandos (CMD), puedes usar certutil:

certutil -hashfile "C:\Ruta\al\archivo.zip" SHA256

El resultado mostrará el hash. Debes ignorar las líneas de texto adicionales y quedarte solo con la cadena hexadecimal (64 caracteres).

macOS

macOS utiliza la utilidad shasum o openssl para calcular el SHA256.

1. Abre la Terminal: Puedes encontrar la Terminal en /Aplicaciones/Utilidades/Terminal.app.
2. Usa shasum: Escribe el siguiente comando, reemplazando /ruta/al/archivo.zip con la ruta de tu archivo:

shasum -a 256 /ruta/al/archivo.zip

3. Alternativa con openssl: Si prefieres usar openssl:

openssl dgst -sha256 /ruta/al/archivo.zip

4. Verifica el resultado: Ambos comandos mostrarán el hash SHA256. Copia el valor y compáralo con el valor publicado.

Linux

Linux utiliza el comando sha256sum para calcular el hash.

1. Abre la Terminal: Accede a la terminal de tu distribución Linux.
2. Usa sha256sum: Navega a la carpeta donde se encuentra el archivo (si es necesario) y ejecuta el siguiente comando, reemplazando programa.zip con el nombre de tu archivo:

sha256sum programa.zip

3. Verifica el resultado: El comando mostrará el hash SHA256 seguido del nombre del archivo. Copia el hash (los primeros 64 caracteres) y compáralo con el valor publicado.

Checklist para una verificación correcta

Sigue esta lista de verificación para asegurarte de que la verificación del checksum sea precisa:

• Fuente oficial: Descarga siempre el archivo desde la fuente oficial del software o proveedor. Evita sitios de terceros o espejos no verificados.
• Versión correcta: Asegúrate de que el hash SHA256 que estás usando corresponde exactamente a la versión del archivo que has descargado. Revisa la documentación del software para confirmar.
• Ruta correcta: Verifica que la ruta al archivo en el comando es correcta y que el archivo existe en esa ubicación.
• Comando correcto: Usa el comando correcto para tu sistema operativo (PowerShell/CMD en Windows, shasum u openssl en macOS, sha256sum en Linux).
• Comparación precisa: Compara el hash calculado con el hash publicado, prestando atención a los detalles (mayúsculas/minúsculas, espacios).
• Guarda el resultado: Documenta el proceso, incluyendo la fecha, el nombre del archivo, el hash verificado y la fuente de descarga.

Errores comunes y soluciones

Si el hash que calculas no coincide con el publicado, no te preocupes. Estos son los errores más comunes y cómo solucionarlos:

• Error: Has descargado una versión incorrecta del archivo.
  Solución: Verifica que la versión del archivo descargado coincide con el hash SHA256 publicado. Vuelve a descargar la versión correcta.
• Error: Hay espacios o caracteres invisibles en el hash copiado.
  Solución: Asegúrate de copiar el hash publicado correctamente, sin espacios adicionales ni caracteres extraños. Un editor de texto que muestre caracteres invisibles puede ayudarte a identificar estos errores.
• Error: El archivo se descargó de forma incompleta o está corrupto.
  Solución: Vuelve a descargar el archivo desde la fuente oficial. Asegúrate de que la descarga se complete sin interrupciones.
• Error: Has calculado el hash de un archivo incorrecto (por ejemplo, el instalador en lugar del archivo comprimido).
  Solución: Verifica que estás calculando el hash del archivo correcto. En algunos casos, el proveedor publica el hash de un archivo comprimido (ZIP) y tú has descargado el ejecutable (EXE) que se encuentra dentro.
• Error: El archivo ha sido modificado.
  Solución: Si has descomprimido o modificado el archivo, el hash cambiará. Asegúrate de calcular el hash del archivo original, tal como lo descargaste.
• Error: Problemas con la red o el almacenamiento en caché.
  Solución: Intenta descargar el archivo desde una red diferente o borra la caché del navegador.

Tabla comparativa: Herramientas para calcular SHA256

FAQ: Preguntas frecuentes sobre SHA256

¿Qué pasa si el hash publicado está en mayúsculas y el mío en minúsculas?

No importa. El hash SHA256 se representa en hexadecimal (base 16), y tanto las letras mayúsculas como las minúsculas son válidas. Lo importante es que los 64 caracteres hexadecimales sean idénticos, sin importar la capitalización.

¿Puedo usar SHA512 en lugar de SHA256?

Sí, si el proveedor del archivo publica un hash SHA512. El SHA512 es más seguro (tiene una longitud mayor), pero los comandos para calcularlo son similares. En macOS y Linux, el comando es casi idéntico (solo cambia el número 256 por 512). En Windows, usa Get-FileHash -Algorithm SHA512.

¿Verificar el SHA256 me protege contra todo tipo de malware?

No, no completamente. Verificar el SHA256 protege contra la corrupción y la manipulación, pero no garantiza que el archivo sea completamente seguro. Si el sitio web oficial ha sido comprometido o si el proveedor es malicioso, el hash publicado también podría ser malicioso. Para mayor seguridad, busca firmas digitales (como GPG o firmas de código) y verifica la cadena de confianza.

¿Cómo puedo verificar múltiples archivos a la vez?

Puedes usar comandos de línea de comandos para verificar varios archivos en un directorio. Aquí tienes ejemplos:

• Linux/macOS:

  sha256sum ./*.zip

• PowerShell (Windows):

  Get-ChildItem "C:\Ruta\a\la\carpeta" -Filter *.zip | ForEach-Object {
    $h = Get-FileHash -Algorithm SHA256 $_.FullName
    "{0}  {1}" -f $h.Hash, $_.Name
  }

Recomendación final

Para usuarios generales: Verifica siempre el SHA256 de los archivos que descargues, especialmente software ejecutable (.exe, .dmg, etc.). Es una medida de seguridad simple y efectiva. Sigue el checklist para asegurarte de que lo haces correctamente.

Para desarrolladores y equipos de DevOps: Automatiza la verificación del SHA256 en tus pipelines de CI/CD. Esto te ayudará a garantizar la integridad de tus dependencias y reducir el riesgo de despliegues fallidos debido a archivos corruptos o maliciosos. Documenta el proceso y guarda los resultados de la verificación en tus registros. Considera el uso de firmas digitales para mayor seguridad.