· Jonathan Izquierdo · Evidencia Digital ·
Cómo verificar la integridad de un archivo con hash (SHA-256) paso a paso — 2026
Guía práctica para verificar si un archivo ha sido modificado comparando su hash SHA-256. Por qué importa en peritaje informático, cómo calcularlo con herramientas gratuitas y qué valor legal tiene en un juicio en España.
TL;DR: resumen rápido
| Concepto | Detalle |
|---|---|
| Resumen | El hash SHA-256 de un archivo es su huella digital única de 256 bits. Si cambia un solo byte, el hash cambia por completo. Comparando el hash actual con el original puedes saber al instante si el archivo ha sido modificado. |
| Definición | Función criptográfica que convierte un archivo de cualquier tamaño en un código hexadecimal de 64 caracteres. Diseñada para que sea imposible en la práctica que dos archivos distintos produzcan el mismo hash. |
| Cuándo usarlo | Antes de presentar cualquier archivo como prueba digital, al recibir un backup, al descargar software, tras trasladar evidencia entre peritos, o cualquier momento en que necesites demostrar que un archivo no ha cambiado. |
Calcula el hash de cualquier archivo ahora
Herramienta gratuita en tu navegador: SHA-256, SHA-512 y MD5 sin subir el archivo a ningún servidor.
Abrir calculadora de hashQué es el hash de un archivo (y por qué importa)
Un hash criptográfico es el resultado de aplicar una función matemática a los bytes de un archivo. Esa función produce un código de longitud fija (para SHA-256, siempre 256 bits = 64 caracteres hexadecimales) que actúa como huella digital única del contenido.
Tres propiedades clave de un hash criptográfico robusto:
- Determinismo: el mismo archivo siempre produce el mismo hash.
- Efecto avalancha: un cambio mínimo (un solo bit) produce un hash completamente distinto.
- Resistencia a colisiones: en la práctica, es imposible encontrar dos archivos distintos con el mismo hash.
Para peritaje informático forense, esto significa una cosa: si el hash del archivo que tienes hoy coincide con el hash del archivo original, puedes afirmar con rigor técnico que el contenido no ha sido alterado.
Qué algoritmo usar: SHA-256, SHA-512, MD5 o SHA-1
| Algoritmo | Longitud | Estado | ¿Cuándo usarlo? |
|---|---|---|---|
| SHA-256 | 256 bits (64 hex) | ✅ Estándar actual (NIST SP 800-86, ISO 27037) | Por defecto. Es el que se usa en peritaje, blockchain, firma digital eIDAS |
| SHA-512 | 512 bits (128 hex) | ✅ Más robusto aún | Cuando quieres máxima resistencia a colisiones o archivos de importancia extrema |
| SHA-1 | 160 bits | ⚠️ Deprecated (NIST, ataque SHAttered 2017) | Solo para verificar hashes antiguos. Nunca para nueva evidencia |
| MD5 | 128 bits | ❌ Obsoleto (RFC 6151, colisiones demostradas) | Solo compatibilidad legacy. Muchas herramientas antiguas lo usan pero no sirve forensemente |
Regla práctica: si vas a presentar un archivo como prueba en un juicio español en 2026, usa SHA-256. SHA-512 si quieres ser conservador. MD5 y SHA-1 solo para comprobar hashes ya existentes (jamás para nuevos).
Cómo calcular el hash de un archivo
Opción 1: herramienta gratuita en el navegador (recomendada)
La calculadora de hash forense de digitalperito.es funciona al 100% en tu navegador:
- Arrastras el archivo sobre la zona marcada
- Seleccionas los algoritmos (SHA-256 + SHA-512 marcados por defecto)
- Pulsas “Calcular hashes”
- En segundos tienes el resultado + puedes descargar un acta PDF
Ventaja crítica para peritaje: el archivo nunca se sube a ningún servidor. Se procesa en tu dispositivo usando Web Workers y WebAssembly. Puedes desconectar tu conexión a internet tras cargar la página y sigue funcionando. Si trabajas con documentos confidenciales (contratos, pruebas penales, datos personales), esto importa — nada sale de tu equipo.
Opción 2: línea de comandos (macOS, Linux)
# macOS
shasum -a 256 archivo.pdf
# Linux
sha256sum archivo.pdfDevuelve el hash hexadecimal de 64 caracteres seguido del nombre del archivo.
Opción 3: PowerShell (Windows)
Get-FileHash -Algorithm SHA256 archivo.pdfOpción 4: herramientas profesionales forenses
FTK Imager, EnCase, Cellebrite UFED o Autopsy calculan hashes automáticamente durante la adquisición forense. Son las herramientas que un perito informático usa en una cadena de custodia formal.
Cómo verificar si un archivo ha sido modificado
El flujo es simple:
- En el momento de origen: calculas el hash del archivo original y lo guardas en un sitio seguro (idealmente con timestamp acreditado eIDAS).
- Más tarde: calculas de nuevo el hash del archivo que quieres verificar.
- Comparas los dos hashes:
- Si coinciden byte a byte → el archivo es íntegro, no ha cambiado.
- Si difieren aunque sea en un carácter → el archivo ha sido modificado (o corrupto).
La herramienta gratuita para comparar dos archivos por hash automatiza este flujo: subes los dos archivos, calcula el SHA-256 de cada uno y te dice visualmente si son idénticos o no.
¿Qué valor legal tiene el hash en un juicio en España?
Aquí viene la parte importante y donde mucha gente se confunde. El hash, por sí solo, NO es prueba fehaciente.
Lo que un hash sí demuestra:
- Que dos versiones de un archivo son idénticas byte a byte.
- Que un archivo no ha cambiado entre dos momentos en los que se calculó el hash.
- Que la integridad técnica de la evidencia se mantiene.
Lo que un hash NO demuestra por sí solo:
- Cuándo se creó el archivo original (para eso necesitas un timestamp acreditado conforme a eIDAS).
- Quién lo creó ni si es auténtico.
- Dónde ha estado el archivo entre su origen y el juicio (eso lo aporta la cadena de custodia).
Para que un hash tenga plena validez judicial en un proceso español necesitas que forme parte de una cadena de custodia documentada desde el origen, idealmente con:
- Acta notarial o intervención de perito informático con fe pública informática.
- Timestamp de una autoridad de sellado de tiempo (TSA) conforme al Reglamento eIDAS.
- Procedimiento acorde a la norma ISO/IEC 27037 (directrices para identificación, recogida y preservación de evidencia digital).
- Cumplimiento de los artículos 287, 299 y 384 de la Ley de Enjuiciamiento Civil (LEC) sobre prueba documental electrónica.
Casos reales en los que calcular un hash es crítico
1. Verificar un backup tras una restauración. Tu cliente sufre un ransomware. Tras recuperar los datos del backup, quieres demostrar que los archivos restaurados son idénticos a los del backup original. SHA-256 en origen + SHA-256 tras restauración = prueba de integridad.
2. Recibir evidencia de un tercero. Un abogado recibe un disco duro con pruebas de la parte contraria. Antes de analizarlo, calcula hash del disco completo. Si durante el análisis el hash cambia, sabe que alguien ha tocado algo — y eso rompe la cadena de custodia.
3. Comparar dos versiones de un contrato. ¿Es este PDF exactamente el mismo que me enviaron por email hace 6 meses? Hashes iguales = sí. Hashes diferentes = alguien modificó el documento.
4. Auditoría de software descargado. Instalas un software desde internet. El proveedor publica el SHA-256 oficial. Verificas que tu descarga coincide antes de ejecutar → te proteges de suplantaciones vía MITM o mirrors comprometidos.
5. Trazabilidad de WhatsApp extraído. Tras una extracción forense de WhatsApp para juicio, el perito calcula el hash del archivo msgstore.db. Ese hash queda en la cadena de custodia y permite al tribunal verificar en cualquier momento que la base de datos analizada es la misma que se extrajo del móvil.
Errores comunes que invalidan la verificación
Evita estos fallos típicos
- Calcular hash después de abrir el archivo en Word o Excel — algunos programas modifican metadatos al abrir (fecha de último acceso, etc.), y eso cambia el hash. Siempre hash antes de cualquier manipulación.
- Usar solo MD5 — encontrar colisiones MD5 a propósito cuesta horas con un portátil. No sirve en 2026.
- No registrar quién calculó el hash y cuándo — el hash sin contexto temporal y de autoría no sirve para cadena de custodia.
- Confiar en el hash de una página web sin HTTPS — si alguien controla el canal, puede mostrarte un hash falso para que veas “coincidencia”.
- Usar hash en lugar de firma digital — el hash demuestra integridad pero no autoría. Para autenticidad necesitas firma criptográfica (RSA, ECDSA) con certificado.
Cuándo necesitas un perito informático (y no solo un hash)
El hash SHA-256 es una herramienta técnica potente pero limitada. Es el primer eslabón de la cadena, no la cadena entera. Necesitas un perito informático forense cuando:
- La evidencia va a ir a un juicio y el otro lado puede impugnarla.
- No tienes el archivo original y necesitas reconstruir su integridad desde metadatos forenses.
- Hay que extraer evidencia de dispositivos (móviles, ordenadores, servidores) preservando la admisibilidad.
- El volumen de archivos requiere automatización profesional y un informe firmado.
- Vas a ratificar la prueba ante tribunal y necesitas a alguien con acreditación que lo defienda.
Un informe pericial informático firmado aporta lo que un hash no puede: autoría pericial, cadena de custodia documentada desde el origen, marco legal explícito y capacidad de ratificación en sala.
¿Necesitas un peritaje informático con validez judicial?
Consulta gratuita para evaluar tu caso. Informes firmados, ratificación en sala, cadena de custodia ISO 27037.
Solicitar consulta pericialPreguntas frecuentes
¿Puedo calcular el hash de un archivo sin subirlo a ningún servidor?
Sí. La calculadora de hash de digitalperito.es usa Web Workers y WebAssembly para ejecutarse íntegramente en tu navegador. Puedes desconectar tu conexión a internet tras cargar la página y comprobar que el archivo no se envía a ninguna parte (pestaña Network del DevTools del navegador).
¿Cuál es la diferencia entre hash y firma digital?
El hash demuestra integridad (no ha cambiado). La firma digital demuestra integridad y autenticidad (quién lo firmó). Una firma digital criptográfica incluye típicamente un hash más una operación con la clave privada del firmante. Si solo necesitas saber “¿ha cambiado este archivo?”, el hash basta. Si necesitas “¿quién lo creó y ha cambiado?”, necesitas firma digital.
¿Un hash SHA-256 puede tener colisiones?
Matemáticamente sí existen, pero encontrarlas es computacionalmente inviable con la tecnología actual. Se estima que requeriría recursos muy superiores a los de la Tierra durante toda la vida del universo. Para uso práctico (incluido peritaje), SHA-256 se considera libre de colisiones.
¿Necesito instalar algo para calcular un hash?
No. Si usas la herramienta web, solo necesitas un navegador moderno. Si prefieres CLI, macOS y Linux traen shasum / sha256sum preinstalados, y Windows tiene Get-FileHash en PowerShell.
¿Sirve un hash para probar que alguien envió un archivo?
No directamente. El hash solo demuestra que dos copias del archivo son idénticas. Para probar envío necesitas elementos adicionales: cabeceras de email firmadas (DKIM), logs del servidor de correo, acuse de recibo, o idealmente una extracción forense del canal de comunicación realizada por un perito.
¿Qué pasa si el hash del archivo que me envían no coincide con el esperado?
Significa que el contenido ha cambiado. Puede ser por corrupción en el tránsito (descarga incompleta), por manipulación intencionada (alguien interceptó y modificó), o porque la fuente te está dando un archivo distinto al que anunció. En un contexto forense, un hash que no coincide es motivo suficiente para rechazar la prueba.
¿BLAKE3 es mejor que SHA-256?
BLAKE3 es más rápido (hasta 3× más que SHA-256) y técnicamente también es criptográficamente seguro. Sin embargo, SHA-256 es el estándar reconocido por los tribunales y normas internacionales (NIST, ISO 27037). Para peritaje judicial usa SHA-256 por inercia normativa; para usos técnicos internos donde solo importa rendimiento, BLAKE3 es una buena opción.
Próximos pasos
Si has llegado hasta aquí, probablemente tienes un caso concreto en mente. Aquí tienes un resumen de qué hacer:
- Uso técnico rápido → Calculadora de hash gratis (SHA-256, SHA-512, MD5 en tu navegador).
- Comparar dos archivos → Comparador por hash.
- Entender la cadena de custodia completa → Guía ISO 27037 de cadena de custodia digital.
- Peritaje con validez judicial → Consulta pericial gratuita.
Referencias y fuentes
- NIST Special Publication 800-86 — Guide to Integrating Forensic Techniques into Incident Response. nvlpubs.nist.gov
- ISO/IEC 27037:2012 — Guidelines for identification, collection, acquisition and preservation of digital evidence. iso.org
- RFC 6151 — Updated Security Considerations for the MD5 and HMAC-MD5 Algorithms. rfc-editor.org
- FIPS 180-4 — Secure Hash Standard (SHS), NIST. csrc.nist.gov
- Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil (arts. 287, 299, 384). boe.es
- Reglamento (UE) nº 910/2014 (eIDAS) — Identificación electrónica y servicios de confianza. eur-lex.europa.eu
- Stevens, M. et al. (2017) — The first collision for full SHA-1 (SHAttered). shattered.io
- NIST — Status Report on the Second Round of the SHA-3 Cryptographic Hash Algorithm Competition. csrc.nist.gov
Última revisión: 17 de abril de 2026 · Escrito por Jonathan Izquierdo, perito informático forense.
