Generador de Hash de Cadenas

Una función hash criptográfica toma una entrada de cualquier longitud y produce una salida de longitud fija (resumen). Propiedades: determinista (misma entrada → misma salida), rápida de calcular, resistente a preimagen (no se puede revertir el hash para obtener la entrada), resistente a colisiones (difícil encontrar dos entradas con el mismo hash), efecto avalancha (pequeño cambio en la entrada → salida completamente diferente). Funciones hash comunes: MD5 (128 bits, rota para seguridad), SHA-1 (160 bits, obsoleta), SHA-256 (256 bits, ampliamente usada), SHA-512 (512 bits, la más robusta).

MD5 está criptográficamente rota: los ataques de colisión se demostraron en 2004 (dos archivos diferentes pueden producir el mismo hash MD5). En 2008, se generaron certificados CA fraudulentos usando colisiones MD5, comprometiendo HTTPS. MD5 NO debe usarse para: contraseñas, firmas digitales o sumas de verificación críticas para la seguridad. MD5 sigue siendo útil para: sumas de verificación no relacionadas con la seguridad (verificación de descarga de archivos donde los atacantes no pueden modificar el archivo), deduplicación, tablas hash. Use SHA-256 o SHA-512 para todos los fines de seguridad.

Ambas son miembros de la familia SHA-2. SHA-256: resumen de 256 bits (32 bytes), usa palabras de 32 bits, ligeramente más rápida en CPUs de 32 bits. SHA-512: resumen de 512 bits (64 bytes), usa palabras de 64 bits, más rápida en CPUs de 64 bits gracias al mayor tamaño de palabra, más resistente a ataques de extensión de longitud. Para TLS web: SHA-256 es el estándar. Para Bitcoin: SHA-256 (SHA-256 doble). Para el hashing de contraseñas: use Argon2 o bcrypt en su lugar — las variantes SHA son demasiado rápidas para el almacenamiento de contraseñas. SHA-384 es SHA-512 truncada a 384 bits.

Verificación de integridad de archivos: sumas de verificación SHA-256 en descargas de software. Firmas digitales: firme el hash de un documento, no el documento en sí. IDs de commits de Git: SHA-1 (en proceso de migración a SHA-256). Almacenamiento de contraseñas: hash + sal (use bcrypt/Argon2, no SHA directamente). HMAC: código de autenticación de mensajes basado en hash — prueba la autenticidad del mensaje. Firma de solicitudes de API: HMAC-SHA256 para firmar solicitudes de API (AWS SigV4). Deduplicación de contenido: los archivos idénticos tienen el mismo hash. Claves de caché en CDN.

Una sal es un valor aleatorio añadido a la entrada antes del hash, evitando ataques precomputados (tablas arcoíris). Sin sal: dos usuarios con la contraseña "password" tienen el mismo hash — una búsqueda revela ambas. Con sal: cada contraseña obtiene una sal aleatoria única → hash único. Formato: $2b$12$saltsaltpasswordhash (bcrypt). Argon2: almacena el algoritmo, la versión, los parámetros, la sal y el hash juntos. Nunca use hashes sin sal para contraseñas — las tablas arcoíris cubren miles de millones de contraseñas comunes.