¿Es importante verificar el hash de tus descargas?

hash md5

Muchas descargas, como la de numerosos paquetes de software así como las imágenes ISO de las distribuciones Linux que descargamos nos presentan hashes MD5. Un hash es una función generada mediante un algoritmo y en este caso sacada de un paquete para su verificación. Además, el hash será único para dicho paquete, por tanto, si se modifica éste, la suma también se verá modificada, es decir, comprobar dicha correspondencia resulta una herramienta potente para saber si el software que te has descargado ha sufrido alguna modificación o daño, ya que el hash para un paquete es único, como la huella dactilar.

Si se comprueba que el hash de tu descarga y el hash que te ofrece el desarrollador o distribuidor en la web coinciden, entonces puedes estar tranquilo de que tu descarga está libre de daños o modificaciones. Pero no del todo… ya que hemos visto un ejemplo en el ataque de la web de Linux Mint, donde el atacante modificó el hash de la imagen ISO que había modificado con un backdoor para que al descargarla y comprobar el hash, éste coincidiese y no levantase sospechas.

No obstante es importante usar, por ejemplo md5sum, para comprobar estas sumas y garantizar que no han metido su zarpa terceros para modificar el paquete, siempre y cuando la web o servidor no haya sido atacada, por supuesto… Comprobar el hash es una buena práctica que muy pocos hacen y que desde LxA te animamos a realizar. Para comprobarlo es bien sencillo, si tienes instalado el paquete md5sum (instalada por defecto), y te has descargado una ISO o cualquier otro paquete, lo único que tienes que hacer es:

*Imaginando que el paquete que hemos bajado se llama lxa.iso (que lo tenemos en el directorio Descargas)


cd Descargas

md5sum lxa.iso

Dándote un hash que debes ver si es igual que el que muestra el sitio web de la descarga… ¡Ojo! El sitio web de la descarga debe ser de confianza, de lo contrario la comprobación no servirá de nada. Y un último apunte, también se hacen sumas con SHA-1, más seguro que MD5, y en cuyo caso, el procedimiento es el mismo, sustituyendo “md5sum” por “sha1sum”.

Por cierto, como bien me han recordado, muchas webs ofrecen descarga desde un servidor de forma directa o también suelen dar la opción de una descarga BitTorrent. En éste último caso, es el cliente BitTorrent que tengamos instalado el que se encargará de descargar y se verificará también la suma automáticamente. Cada parte estará protegida por un hash criptográfico que evitará modificaciones del archivo original tanto accidentales como malitencionadas, evitando que las partes maliciosas sean recibidas en otros nodos. Además, al haber varios nodos, se puede verificar la utenticidad comparandolo con otros. Para más información de BitTorrent, puedes leer nuestro artículo sobre éste tema

Si hay cualquier mínima modificación entre el hash obtenido y el hash original, no deberías fiarte del paquete…


3 comentarios

  1.   Jau dijo

    Estaría bien que la gente que escribís los artículos, que se nota que muchas veces escribís cosas para que parezca que controláis del tema y en realidad no es así, os miraseis bien algunas definiciones y lo digo como crítica constructiva porque en las webs para geeks y tecnología es muy común.
    Un hash NO ES una clave cifrada, un hash es una función que se utiliza en diferentes ámbitos. En este caso hablaríamos de una función hash criptográfica o también llamada función de resumen seguro. Las características básicas son que saca un resumen de un determinado archivo o texto de una longitud de bits concreta y a partir del cuál es prácticamente imposible sacar los datos originales. También como apunte cabe resaltar que normalmente si un archivo cambia en apenas un bit lo más normal es que el hash sea completamente distinto.

    1.    Jau dijo

      PD: también se puede comentar que, ya que hablamos de comprobar la integridad de las descargas, el protocolo BitTorrent realiza esta verificación en la descarga y que por este motivo también es una opción bastante segura y colaborativa a la hora de descargar(sobretodo en el caso de las distros).

    2.    Isaac P. E. dijo

      Hola Jau, tienes toda la razón. Gracias por esta crítica. Por supuesto no lo sé todo, ojalá, pero tengo mucho que aprender…

      Un saludo!

Escribe un comentario