MD5 vs SHA-1 vs SHA-256: Algoritmos Hash Comparados

31 de marzo de 2026 · 12 min de lectura

Comprendiendo el Hashing en Profundidad

Las funciones de hashing forman la columna vertebral de la computación segura, convirtiendo datos de entrada arbitrarios en una cadena de tamaño fijo conocida como hash o resumen. Este proceso criptográfico es fundamentalmente unidireccional: no puedes hacer ingeniería inversa de la entrada original solo a partir de la salida del hash.

Esta irreversibilidad hace que el hashing sea invaluable para aplicaciones como verificar la integridad de datos, generar firmas digitales, asegurar el almacenamiento de contraseñas y crear identificadores únicos para bloques de datos en sistemas distribuidos.

Considera un escenario práctico: cuando descargas software de internet, el proveedor a menudo incluye un hash MD5 o SHA-256 junto con el enlace de descarga. Después de descargar, puedes hacer hash del archivo localmente y comparar tu resultado con el hash publicado. Si coinciden, has confirmado que el archivo no ha sido corrompido o alterado durante la transmisión.

Los hashes poseen varias propiedades críticas que los hacen útiles para aplicaciones de seguridad:

• Determinístico: La misma entrada siempre produce la misma salida de hash
• Tamaño fijo: Independientemente de la longitud de entrada, el hash siempre tiene el mismo tamaño
• Efecto avalancha: Un pequeño cambio en la entrada crea un hash completamente diferente
• Resistencia a preimagen: Es computacionalmente inviable revertir un hash para encontrar la entrada original
• Resistencia a colisiones: Debería ser extremadamente difícil encontrar dos entradas diferentes que produzcan el mismo hash

Cómo Funcionan las Funciones Hash

En su núcleo, las funciones hash aplican transformaciones matemáticas a los datos de entrada a través de múltiples rondas de operaciones. Estas operaciones típicamente incluyen operaciones bit a bit, aritmética modular y funciones lógicas que mezclan los datos de formas complejas y no reversibles.

El proceso generalmente sigue estos pasos:

1. Relleno: La entrada se rellena para cumplir con requisitos específicos de longitud
2. Análisis: La entrada rellenada se divide en bloques de tamaño fijo
3. Procesamiento: Cada bloque se somete a múltiples rondas de transformación usando funciones de compresión
4. Finalización: El estado final se convierte en la salida del hash

El efecto avalancha es particularmente importante para la seguridad. Cuando cambias incluso un solo bit en la entrada, aproximadamente la mitad de los bits en el hash de salida deberían cambiar. Esta propiedad asegura que entradas similares no produzcan hashes similares, evitando que los atacantes hagan conjeturas educadas sobre los datos originales.

"Una buena función hash debería ser indistinguible de un oráculo aleatorio—produciendo salidas que parecen completamente aleatorias y no correlacionadas con la entrada." — Bruce Schneier, Criptografía Aplicada

MD5: Características, Limitaciones y Casos de Uso Modernos

MD5 (Algoritmo de Resumen de Mensaje 5) fue diseñado por Ronald Rivest en 1991 como una mejora sobre MD4. Produce un valor hash de 128 bits (16 bytes), típicamente representado como un número hexadecimal de 32 caracteres.

MD5 ganó adopción generalizada debido a su velocidad y simplicidad. Durante años, fue el algoritmo preferido para checksums, hashing de contraseñas y firmas digitales. Sin embargo, las debilidades criptográficas descubiertas con el tiempo lo han relegado a aplicaciones no críticas para la seguridad.

Especificaciones Técnicas

• Tamaño de salida: 128 bits (32 caracteres hexadecimales)
• Tamaño de bloque: 512 bits
• Rondas: 64 operaciones en 4 rondas
• Velocidad: Muy rápido, aproximadamente 400-500 MB/s en hardware moderno

Implementación de Código

Así es como generar hashes MD5 en Python:

import hashlib

def get_md5_hash(input_data):
    """Generar hash MD5 desde cadena de entrada"""
    return hashlib.md5(input_data.encode()).hexdigest()

# Ejemplo de uso
text = "hash this string"
hash_result = get_md5_hash(text)
print(f"MD5: {hash_result}")
# Salida: c13b0a8f21c9b3a0b49c3cb482dd82b4

# Hashing de un archivo
def hash_file_md5(filename):
    """Generar hash MD5 para un archivo"""
    md5_hash = hashlib.md5()
    with open(filename, "rb") as f:
        # Leer archivo en fragmentos para manejar archivos grandes
        for chunk in iter(lambda: f.read(4096), b""):
            md5_hash.update(chunk)
    return md5_hash.hexdigest()

Vulnerabilidades de Seguridad

La debilidad principal de MD5 es su vulnerabilidad a ataques de colisión. En 2004, investigadores demostraron ataques de colisión prácticos, lo que significa que podían crear dos entradas diferentes que producen hashes MD5 idénticos. Para 2008, los atacantes habían creado certificados SSL falsos usando colisiones MD5.

Las implicaciones son serias: si un atacante puede crear un archivo malicioso con el mismo hash MD5 que un archivo legítimo, puede sustituir uno por el otro sin detección. Esto hace que MD5 sea inadecuado para cualquier aplicación sensible a la seguridad.

Cuándo Usar MD5

A pesar de sus debilidades criptográficas, MD5 sigue siendo útil para propósitos no relacionados con la seguridad:

• Checksums: Verificar la integridad de archivos durante descargas (cuando la seguridad no es crítica)
• Deduplicación: Identificar archivos duplicados en sistemas de respaldo
• Claves de caché: Generar identificadores únicos para datos en caché
• Identificadores no criptográficos: Crear IDs únicos donde la resistencia a colisiones no es crítica

SHA-1: Evolución y Estado Actual

SHA-1 (Algoritmo Hash Seguro 1) fue desarrollado por la NSA y publicado por NIST en 1995. Produce un valor hash de 160 bits (20 bytes), ofreciendo más seguridad que MD5 con su tamaño de salida más grande.

SHA-1 se convirtió en el estándar para muchas aplicaciones de seguridad, incluyendo certificados SSL, control de versiones Git y firmas digitales. Sin embargo, como MD5, las vulnerabilidades teóricas eventualmente se convirtieron en ataques prácticos.

Especificaciones Técnicas

• Tamaño de salida: 160 bits (40 caracteres hexadecimales)
• Tamaño de bloque: 512 bits
• Rondas: 80 operaciones
• Velocidad: Rápido, aproximadamente 300-400 MB/s en hardware moderno

Implementación de Código

import hashlib

def get_sha1_hash(input_data):
    """Generar hash SHA-1 desde cadena de entrada"""
    return hashlib.sha1(input_data.encode()).hexdigest()

# Ejemplo de uso
text = "hash this string"
hash_result = get_sha1_hash(text)
print(f"SHA-1: {hash_result}")
# Salida: 3c3a3c22c0e8e8c8e8c8e8c8e8c8e8c8e8c8e8c8

# Comparando múltiples algoritmos
def compare_hashes(text):
    """Comparar salidas de hash entre algoritmos"""
    return {
        'MD5': hashlib.md5(text.encode()).hexdigest(),
        'SHA-1': hashlib.sha1(text.encode()).hexdigest(),
        'SHA-256': hashlib.sha256(text.encode()).hexdigest()
    }

results = compare_hashes("example")
for algo, hash_val in results.items():
    print(f"{algo}: {hash_val}")

El Ataque SHAttered

En febrero de 2017, Google anunció el primer ataque de colisión SHA-1 práctico, llamado SHAttered. Los investigadores crearon dos archivos PDF diferentes que produjeron hashes SHA-1 idénticos, demostrando que SHA-1 ya no era resistente a colisiones en la práctica.

El ataque requirió recursos computacionales significativos—aproximadamente 6,500 años de CPU y 110 años de GPU—pero demostró que las colisiones SHA-1 eran alcanzables. Esto impulsó a las principales organizaciones a deprecar SHA-1 para aplicaciones críticas de seguridad.

Estado Actual y Uso

Los principales navegadores dejaron de aceptar certificados SSL SHA-1 en 2017. Git, que históricamente usaba SHA-1 para hashes de commits, está en transición a SHA-256. Sin embargo, SHA-1 permanece en uso para sistemas heredados y aplicaciones no críticas.

Los usos aceptables para SHA-1 hoy incluyen:

• Compatibilidad con sistemas heredados: Al interactuar con sistemas antiguos que requieren SHA-1
• Checksums no adversariales: Verificar la integridad de datos donde los atacantes no son una preocupación
• Operaciones HMAC: SHA-1 permanece aceptable para HMAC (hashing con clave) en algunos contextos

SHA-256: El Estándar Moderno

SHA-256 es parte de la familia SHA-2, diseñado por la NSA y publicado en 2001. Produce un valor hash de 256 bits (32 bytes) y actualmente se considera criptográficamente seguro sin ataques prácticos conocidos.

SHA-256 se ha convertido en el estándar de la industria para aplicaciones críticas de seguridad, desde tecnología blockchain hasta certificados SSL/TLS, hashing de contraseñas (con salado apropiado) y firmas digitales.

Especificaciones Técnicas

• Tamaño de salida: 256 bits (64 caracteres hexadecimales)
• Tamaño de bloque: 512 bits
• Rondas: 64 operaciones
• Velocidad: Moderada, aproximadamente 150-200 MB/s en hardware moderno
• Nivel de seguridad: Seguridad de 128 bits (2^128 operaciones para romper)

Implementación de Código

import hashlib

def get_sha256_hash(input_data):
    """Generar hash SHA-256 desde cadena de entrada"""
    return hashlib.sha256(input_data.encode()).hexdigest()

# Ejemplo de uso
text = "hash this string"
hash_result = get_sha256_hash(text)
print(f"SHA-256: {hash_result}")
# Salida: 8e35c2cd3bf6641bdb0e2050b76932cbb2e6034a0ddacc1d9bea82a6ba57f7cf

# Hashing de contraseña con sal (ejemplo básico - usa bcrypt en producción)
import os

def hash_password_sha256(password):
    """Hash de contraseña con sal aleatoria"""
    salt = os.urandom(32)  # Generar sal aleatoria de 32 bytes
    pwd_hash = hashlib.sha256(salt + password.encode()).hexdigest()
    return salt.hex() + pwd_hash

def verify_password_sha256(stored_hash, password):
    """Verificar contraseña contra hash almacenado"""
    salt = bytes.fromhex(stored_hash[:64])
    stored_pwd_hash = stored_hash[64:]
    pwd_hash = hashlib.sha256(salt + password.encode()).hexdigest()
    return pwd_hash == stored_pwd_hash

Por Qué SHA-256 es Seguro

La seguridad de SHA-256 proviene de varios factores:

• Espacio de salida más grande: Con 2^256 salidas posibles, encontrar colisiones por fuerza bruta es computacionalmente inviable
• Operaciones complejas: Operaciones matemáticas más sofisticadas que MD5 o SHA-1
• Análisis extensivo: Décadas de criptoanálisis no han encontrado debilidades prácticas
• Resistencia cuántica: Aunque las computadoras cuánticas amenazan cierta criptografía, SHA-256 permanece relativamente seguro (aunque SHA-384 o SHA-512 pueden ser preferidos para seguridad a largo plazo)

Aplicaciones del Mundo Real

SHA-256 impulsa infraestructura crítica a través de internet:

• Bitcoin y blockchain: SHA-256 asegura el sistema de prueba de trabajo de Bitcoin
• Certificados SSL/TLS: Los certificados modernos usan SHA-256 para firmas
• Firma de código: Los editores de software usan SHA-256 para firmar aplicaciones
• Verificación de documentos: Documentos legales y financieros usan SHA-256 para verificación de integridad
• Autenticación de API: Muchas APIs usan SHA-256 en HMAC para firma de solicitudes

Comparación Lado a Lado

Comprender las diferencias entre estos algoritmos te ayuda a tomar decisiones informadas para tus proyectos. Aquí hay una comparación completa: