¿Se suben mis archivos durante el hash?

No, sus archivos no se suben. El pipeline de hashing se ejecuta totalmente en local en un Web Worker, ningún byte va a un servidor. Puede verificarlo en las DevTools del navegador — la pestaña Network permanece vacía una vez cargada la página. Misma arquitectura que las demás herramientas pure-client del sitio.

¿Por qué funcionan aquí archivos de más de 2 GB y en otros sitios no?

La API estándar del navegador para hashing ([SubtleCrypto.digest](https://developer.mozilla.org/es/docs/Web/API/SubtleCrypto/digest)) exige un único ArrayBuffer como entrada — sin streaming. Firefox rechaza por eso ArrayBuffer de más de 2 GB con un TypeError; está documentado varias veces en GitHub como crash. Lo evitamos leyendo los bytes vía [`File.stream()`](https://developer.mozilla.org/es/docs/Web/API/Blob/stream) en chunks de 64 KB y pasándolos a una capa de hashing [WASM](https://developer.mozilla.org/es/docs/WebAssembly) incremental. Así nunca están todos los bytes a la vez en RAM.

¿Qué algoritmo para qué propósito?

SHA-256 es el estándar de facto para distribución de software — si un proveedor publica exactamente un hash, suele ser ese. SHA-512 se usa con frecuencia en distribuciones Linux y descargas oficiales, porque un digest más largo deja menos espacio de colisión. BLAKE3 es una alternativa moderna — más rápida que SHA-256 y criptográficamente segura, pero estándar más joven. SHA-1 y MD5 siguen bien para controles puros de integridad (objetos Git o hashes de caché); para verificaciones de seguridad ya no se recomiendan — la herramienta muestra ese aviso de forma visible.

¿Qué hacer si la suma de comprobación no coincide?

Primero descarte las causas más frecuentes antes de sospechar manipulación. El banner muestra «el hash no coincide» y debajo una vista diff: valores esperado y calculado uno al lado del otro, cada carácter divergente resaltado. Más frecuentes que la manipulación: errores de transmisión, hashes mal copiados (espacios, mayúsculas/minúsculas — que normalizamos internamente) o un hash publicado correspondiente a otra versión del archivo. Compare el hash esperado con una fuente independiente (notas de versión, entradas de mailing-list firmadas) antes de concluir que hay manipulación.

¿Qué es un archivo de suma de comprobación (.sha256, .md5)?

Un archivo de suma de comprobación (también llamado sidecar) es un pequeño archivo de texto que contiene un hash y, opcionalmente, un nombre de archivo — extensiones típicas: .sha256, .sha256sum, .sha512, .sha1, .md5, .md5sum, .blake3. Los distribuidores lo entregan a menudo junto al descargable. Suelte un archivo así en el campo sidecar; hash y algoritmo se reconocen por la extensión — no tiene que escribir nada manualmente. Se admiten el formato GNU coreutils (` `), el formato OpenSSL binary (` * `) y archivos que contengan solo el hash.

¿Cuál es el tamaño máximo de archivo?

Teóricamente solo limita su ruta de lectura de disco o archivo. En la práctica, la ruta de streaming está probada hasta 4 GB; más, en principio, va, pero será largo y arriesgado bajo presión de memoria del navegador. La huella de memoria se mantiene pequeña porque el archivo se lee en chunks — el cuelgue de pestaña que muestran otras herramientas con archivos grandes no debería ocurrir aquí.

¿Importan mayúsculas y minúsculas al comparar hashes?

Por regla general, no. Los valores hash son números hex puros — `ABC123` y `abc123` representan el mismo valor. Algunos servidores (por ejemplo, stacks ColdFusion antiguos) devuelven los hashes en mayúsculas, GNU coreutils en minúsculas. Una comparación ingenua de cadenas señalaría entonces falsamente «distintos». La función de comparación recorta espacios y normaliza a minúsculas antes de probar la igualdad.

¿Para qué sirve la exportación CSV?

Cuando hace hash de una carpeta con muchos archivos, sale una tabla por archivo con nombre, tamaño y todos los hashes seleccionados. La exportación CSV escribe esa tabla en un archivo UTF-8 con BOM (se abre limpio en Excel), con quoting conforme a RFC 4180 y una columna por algoritmo. Caso de uso: pistas de auditoría para rutinas de copia, generación de manifest de distribuidor o simplemente «quiero archivar todos los SHA-256 de mi carpeta de fotos».

¿Un hash correcto confirma que el archivo es seguro?

No — y es el punto más importante. Un hash correcto solo confirma que el archivo no ha cambiado desde la publicación del hash. Si el propio proveedor ha sido comprometido (por ejemplo, infraestructura de servidor pirateada), incluso el hash correcto no da confianza — el atacante habría cambiado a la vez archivo y hash. Compare por tanto el hash con una fuente **independiente** (notas de versión, entradas firmadas de mailing-list, gestor de paquetes oficial), no solo con el valor mostrado junto a la descarga.

Verificador de hash de archivo

¿Cómo verifica la herramienta la integridad del archivo?

Una función hash criptográfica proyecta cualquier entrada — sean 12 bytes o 12 gigabytes — sobre un valor hex corto y de longitud fija. Si cambia incluso un solo byte en la entrada, el hash cambia con alta probabilidad por completo. Eso convierte los hashes en el método estándar para la integridad de archivos: un proveedor publica el hash de un archivo, usted lo calcula localmente tras la descarga y, si ambos valores coinciden, el archivo está sin cambios desde la publicación.

Calculamos en el navegador mediante una capa de hashing acelerada por WASM, incremental. Incremental significa: el archivo no se carga primero entero en RAM, sino que se lee en chunks de 64 KB vía File.stream() y se alimenta paso a paso al hasher. Solo al final sale un único valor hex. Justamente este pipeline es el que admite archivos de más de 2 GB — la API estándar del navegador no lo logra.

¿Qué significan SHA-256, SHA-512, MD5, SHA-1 y BLAKE3?

SHA-2 es la familia de funciones hash criptográficas que el NIST estadounidense especifica en el estándar FIPS 180-4. SHA-256 produce un digest de 256 bits (64 caracteres hex) y es hoy el estándar de facto para releases de software, descargas de ISO Linux, imágenes de contenedor y blockchains. SHA-512 es la variante larga con digest de 512 bits (128 caracteres hex) — misma construcción matemática, mayor espacio de salida.

SHA-1 (160 bits, 40 caracteres hex) y MD5 (128 bits, 32 caracteres hex) son algoritmos más antiguos. MD5 fue declarado criptográficamente roto en 2004, SHA-1 en 2017. Para controles puros de integridad (objetos Git, claves de caché, versionado de archivos) ambos siguen bien; para verificaciones relevantes de seguridad — allí donde un atacante deba poder generar un archivo alternativo con el mismo hash — ya no.

BLAKE3 es un estándar moderno de 2020. Produce un digest de 256 bits como SHA-256, pero es notablemente más rápido, criptográficamente seguro y paralelizable. Se adopta cada vez más en herramientas de build y content-addressable stores. Para descargas de distribuidor no es aún estándar de facto, pero sí relevante — lo ofrecemos a quien lo necesite.

¿Cuándo es cada algoritmo la elección correcta?

Si el proveedor publica un único hash y no indica algoritmo, dedúzcalo de la longitud hex: 32 caracteres son MD5, 40 son SHA-1, 64 son SHA-256 (o, más raramente, BLAKE3 — suele indicarse en un sidecar o nota del distribuidor), 128 son SHA-512. La herramienta detecta la longitud automáticamente y propone el algoritmo adecuado; con 64 caracteres aparece un toggle SHA-256/BLAKE3, porque ambos producen 64 caracteres.

Al generar, la recomendación es pragmática: SHA-256 basta en cualquier parte para la verificación de integridad moderna. Quien lleve compliance de auditoría o trate con administraciones añade SHA-512. BLAKE3 vale la pena si el lado receptor también entiende BLAKE3 (si no, el hash más rápido es inútil). MD5 y SHA-1 los generamos solo cuando la parte receptora lo exige explícitamente — por ejemplo, pipelines CI antiguos o formatos de manifest legacy.

Calcular varios algoritmos a la vez cuesta solo entre el 5 y el 15 % de tiempo extra por algoritmo, porque los bytes solo se leen una vez — útil cuando no se sabe cuál espera el receptor.

¿En qué se diferencian Generar, Verificar y Comparar?

Generar es el modo «necesito nuevos hashes». Uno o varios archivos entran, se calculan en paralelo todos los algoritmos seleccionados, el resultado es una tabla con filas por archivo. Útil para creación de manifest de distribuidor, listas de auditoría de copia o simplemente para obtener el SHA-256 de un archivo. La exportación CSV escribe la tabla en un formato que Excel abre directamente.

Verificar es el modo «¿coincide este archivo con este hash esperado?». Un archivo más un valor esperado (pegado o por drop de sidecar) — la herramienta calcula, compara y muestra un banner de match o de mismatch con resaltado diff. Justo el caso de uso detrás del término «verificador de hash de archivo» y que en la competencia a menudo queda en segundo plano o ausente.

Comparar es el modo «¿son estos dos archivos realmente idénticos?». Dos archivos entran, ambos se hashean en paralelo para todos los algoritmos elegidos, el resultado es un banner («archivos idénticos» o «los archivos difieren») más una tabla por algoritmo. Útil tras restauración de copia, redescarga, migración de disco o comparación de sync en la nube.

¿Por qué funcionan archivos tan grandes aquí y en otros sitios no?

La API estándar del navegador para hashing espera el archivo completo como un único objeto en memoria. En Firefox, esta API rechaza entradas de más de 2 GB con un TypeError — muy concretamente documentado en trackers de issues open source, donde herramientas de copia o sincronización fallan con grandes archivos multimedia. Otros navegadores tienen el mismo problema con distinto grado, porque el límite común de un onglet de navegador termina por alcanzarse.

Lo sorteamos con un hasher basado en WebAssembly que trabaja incremental: init() inicia un estado fresco, update(chunk) lo alimenta con el siguiente chunk, digest() cierra y entrega el valor hex. La ruta de lectura usa File.stream().getReader(), API estándar del navegador, que entrega los bytes en flujo sin carga total en RAM. Así el consumo de memoria queda por debajo de 100 MB, sea el archivo de 100 MB o 100 GB.

¿Para qué se presta la herramienta — y para qué no?

Apta: verificación de descarga de software contra hashes publicados, validación tras restauración, generación de manifest de distribuidor, verificación de sync en la nube, ayuda forense para «¿es este archivo el mismo que tenía hace dos semanas?», listas de auditoría rápidas para carpetas de foto o vídeo.

No apta: autenticación (eso es HMAC + clave, no hash de archivo), almacenamiento de contraseñas (eso es Argon2/bcrypt/scrypt), protección frente a un proveedor comprometido (véase el aviso abajo), prueba única de seguridad con MD5 o SHA-1 (no recomendados para comprobaciones de seguridad).

Aviso importante sobre la verificación de hash: un hash que coincide solo confirma que el archivo no ha cambiado desde la publicación del hash — no prueba que la fuente sea fiable. Compare por tanto el hash con una fuente independiente (notas de versión, entrada de mailing-list firmada, gestor de paquetes oficial), no solo con el valor mostrado junto a la descarga.

¿Qué herramientas encajan?

Del ecosistema kittokit, en el ámbito de verificación de archivos e integridad de datos:

Generador de hash — hashea texto en lugar de archivos. Útil para snippets de contraseña, pruebas de secret JWT o hashes de API.
Decodificador JWT — decodificar JSON Web Tokens; útil para la verificación de tokens firmados (complementario a los hashes de archivo).
Generador de UUID — crear identificadores únicos, útil al montar sus propios manifests o conjuntos de datos de prueba.

Verificador de hash de archivo

Cómo funciona

Elegir el modo

Marcar los algoritmos

Soltar los archivos y empezar

Privacidad

¿Cómo usar esta herramienta?