Cómo verificar el checksum SHA256 de un archivo en Windows, macOS y Linux

Qué es un checksum y por qué conviene comprobarlo

Un checksum es un hash publicado por el proveedor de un archivo (instalador, ISO, ZIP, etc.). Tú calculas el hash del archivo que descargaste y lo comparas con el publicado. Si coincide, es muy probable que:

• La descarga no se corrompió (cortes, proxies, cache, errores de disco).
• El archivo que tienes es exactamente el que el proveedor pretendía distribuir.

Ojo: esto no sustituye una firma criptográfica, pero reduce muchísimo problemas reales de integridad. Si quieres una explicación más de base sobre hashes, empieza por qué es un hash y para qué sirve.

Antes de empezar: qué necesitas

1. El archivo descargado (por ejemplo programa.zip).
2. El valor SHA256 publicado por el sitio oficial (idealmente copiado desde una fuente confiable).

Windows: 3 formas de calcular SHA256

Opción A: PowerShell (Get-FileHash)

En Windows moderno, PowerShell trae el comando Get-FileHash:

Get-FileHash -Algorithm SHA256 "C:\Ruta\programa.zip"

El resultado muestra el hash en hexadecimal. Compáralo con el publicado (idealmente pegándolo en un bloc de notas).

Opción B: CMD (certutil)

Si estás en CMD clásico:

certutil -hashfile "C:\Ruta\programa.zip" SHA256

Verás el digest en varias líneas. Ignora textos extra y quédate con la cadena hex.

Opción C: WSL (si lo usas)

En WSL puedes usar las mismas herramientas de Linux, por ejemplo:

sha256sum /mnt/c/Ruta/programa.zip

macOS: shasum y openssl

Opción A: shasum

shasum -a 256 /ruta/programa.zip

Opción B: openssl

openssl dgst -sha256 /ruta/programa.zip

En ambos casos obtendrás una cadena hex de 64 caracteres (SHA256).

Linux: sha256sum

sha256sum ./programa.zip

Esto imprime <hash> <archivo>. El hash son 64 caracteres hex.

Cómo comparar correctamente (y evitar falsos “no coincide”)

En teoría es “copiar y comparar”, pero en la práctica hay trampas:

• Mayúsculas/minúsculas: el hex puede venir en mayúsculas o minúsculas. Es el mismo valor.
• Espacios: algunas herramientas separan el hash en grupos; quita espacios al comparar.
• Archivo equivocado: a veces comparas el ZIP vs el EXE, o una versión distinta.
• Descarga incompleta: si el fichero pesa menos que lo esperado, recalcula tras descargar de nuevo.

Si el proveedor publicó un hash para texto (por ejemplo “el SHA256 del token”), ahí sí puedes usar nuestro generador online para comparar rápidamente.

Ejemplo completo

Supongamos que el sitio oficial publica:

SHA256: 9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08

Descargas programa.zip y en macOS ejecutas:

shasum -a 256 programa.zip

Si tu salida empieza por el mismo hash (idéntico carácter a carácter), la integridad es correcta.

¿Y si no coincide?

1. Vuelve a descargar desde el sitio oficial (sin gestores raros o mirrors dudosos).
2. Comprueba que estás usando el hash correspondiente a esa versión.
3. Verifica que el archivo no fue modificado (antivirus, descompresión parcial, etc.).

Si aun así falla, considera validar con una firma (GPG, firma de release, etc.). Para una visión práctica en entornos DevOps, revisa Checksums y firmas en DevOps.

Consejos extra para equipos (QA/DevOps)

• Documenta qué comando usáis por sistema operativo.
• Automatiza la verificación en CI cuando descargáis dependencias críticas.
• Guarda evidencia del hash verificado en el ticket o pipeline.

Lecturas relacionadas

• Qué es un hash y para qué sirve
• Hash vs cifrado y salting para contraseñas
• Generador de Hash (para texto)

Cuando tu objetivo sea comparar cadenas o depurar integraciones, guarda este enlace: Generador de Hash (MD5, SHA1, SHA256, SHA512).

Por qué se suele usar SHA256 (y no MD5)

Históricamente muchos sitios publicaban MD5 porque era rápido y estaba en todas partes. El problema es que MD5 tiene colisiones conocidas y hoy no se considera adecuado cuando hay un atacante activo. Para integridad moderna, SHA256 es el estándar de facto: se usa en repositorios, releases, imágenes de contenedor y distribución de software.

Si te interesa entender el trasfondo (colisiones, efecto avalancha, etc.), amplía en esta guía de hashes.

Comprobar un archivo usando un fichero .sha256

En proyectos open source es común que junto a la descarga exista un archivo .sha256 o SHA256SUMS. Ese archivo contiene uno o varios hashes con el nombre del fichero. En Linux y macOS (y también en WSL) puedes verificarlo automáticamente:

# Si tienes "programa.zip" y "programa.zip.sha256"
sha256sum -c programa.zip.sha256

Si el formato es compatible, la salida te dirá OK o FAILED. Esto evita errores de copia/pegado.

Comparación automática en PowerShell

En Windows puedes hacer una verificación “de una línea” comparando contra un valor esperado:

$expected = "TU_HASH_PUBLICADO_AQUI"
$actual = (Get-FileHash -Algorithm SHA256 "C:\Ruta\programa.zip").Hash
$actual.ToLower() -eq $expected.ToLower()

Si devuelve True, coincide. Si devuelve False, revisa los puntos de troubleshooting.

Troubleshooting a fondo: cuando no coincide

Este es el checklist que más veces resuelve el problema:

• Versión distinta: el hash suele ser específico de la versión. Asegúrate de que descargaste exactamente la misma release.
• Arquitectura distinta: puede haber un ZIP para x64 y otro para ARM; cada uno tiene hash diferente.
• Mirror o CDN: si usas un mirror, puede no estar actualizado. Descarga desde el enlace oficial.
• Proxy/caché corporativa: algunas redes alteran descargas (rarísimo, pero existe). Prueba desde otra red.
• Fichero modificado: si lo descomprimiste y vuelves a hashear el contenido, el resultado cambia. Hashéa el archivo original.
• Interrupción: si el archivo quedó incompleto, el hash casi seguro no coincide. Borra y descarga de nuevo.
• Hash mal copiado: a veces la web incluye espacios invisibles, saltos o caracteres raros. Copia desde fuente confiable.

Tip: cuando el hash publicado está en una página HTML, prueba copiarlo en un editor que muestre caracteres invisibles. Si lo que necesitas es depurar el hash de un texto (por ejemplo el cuerpo de una petición o un token), ahí sí tiene sentido usar el generador online porque normaliza y te permite cambiar formato.

¿Checksum o firma?

El checksum asegura “este archivo es idéntico al que alguien usó para calcular el hash”. Una firma (por ejemplo GPG o una firma con certificado) agrega autenticidad: prueba que el archivo fue firmado por una clave confiable. En entornos de producción, lo ideal es checksum + firma cuando está disponible.

Automatizar en CI/CD: ejemplo rápido

Si en tu pipeline descargas una herramienta externa, puedes validar el checksum antes de usarla. En Linux:

EXPECTED="TU_HASH_PUBLICADO_AQUI"
FILE="programa.zip"

ACTUAL="$(sha256sum "$FILE" | awk '{print $1}')"
test "$ACTUAL" = "$EXPECTED"

Si el test falla, el job se detiene. Este patrón es simple y evita sorpresas.

¿Cómo genero un SHA256 de un texto?

A veces lo que quieres verificar no es un fichero sino una cadena: un payload JSON, un token, una concatenación para firma, o un identificador idempotente. Para eso está el Generador de Hash (MD5, SHA1, SHA256, SHA512), que calcula el digest en tu navegador y te deja copiarlo en un clic.

Verificar varios archivos de una carpeta

Cuando descargas paquetes con muchos artefactos (por ejemplo binarios por sistema operativo), puede ser útil listar hashes de todo un directorio para archivarlos o detectar cambios.

Linux/macOS

# hashes SHA256 de todos los .zip en la carpeta
sha256sum ./*.zip

PowerShell

Get-ChildItem "C:\Ruta" -Filter *.zip | ForEach-Object {
  $h = Get-FileHash -Algorithm SHA256 $_.FullName
  "{0}  {1}" -f $h.Hash, $_.Name
}

Esto te deja una lista reutilizable (ideal para adjuntar a un ticket o para comparar en una revisión posterior).

Preguntas frecuentes

¿Importa si el hash publicado está en mayúsculas?

No. La representación hexadecimal puede variar en mayúsculas o minúsculas, pero el valor es el mismo. Si comparas manualmente, pásalos a un formato común.

¿Puedo calcular SHA512 en lugar de SHA256?

Sí, si el proveedor publica SHA512. Los comandos son similares: shasum -a 512 en macOS, sha512sum en Linux y Get-FileHash -Algorithm SHA512 en PowerShell. Para texto, puedes elegir SHA512 directamente en esta herramienta.

¿Esto protege contra malware?

Protege contra corrupción y contra sustitución si confías en la fuente del checksum. Para seguridad fuerte, busca firmas oficiales y verifica su cadena de confianza.

Checklist final (para copiar en un procedimiento interno)

1. Descargar desde fuente oficial (evitar mirrors si no están verificados).
2. Confirmar versión/arquitectura exactas.
3. Calcular SHA256 con la herramienta nativa del sistema.
4. Comparar ignorando mayúsculas y eliminando espacios.
5. Guardar el resultado (hash, fecha, enlace de descarga) en el ticket o documentación.

Y recuerda: si lo que estás comparando es texto (JSON, token, cadena concatenada), no uses comandos de fichero. Ve directo al generador de hash para evitar errores de normalización.

Nota final: si descomprimes un ZIP y calculas el hash de la carpeta o de los archivos internos, el resultado no va a coincidir con el hash del ZIP. El checksum publicado corresponde al artefacto exacto que se distribuye (ZIP/ISO/EXE). Mantén esa referencia y todo encaja.

Con esto tienes un método reproducible para validar descargas en cualquier equipo. Es un hábito simple, pero reduce muchísimo incidencias “fantasma” causadas por archivos corruptos o versiones cruzadas.