Ciberseguridad 5 minutos de lectura

Hash, cifrado y firmas digitales: qué son y por qué NO son lo mismo

Introducción

En seguridad se usan tres palabras como si fueran lo mismo: hash, cifrado y firma digital.
A veces incluso profesionales con años de experiencia las mezclan:
“cifrar con SHA”, “firmar con MD5”, “encriptar con hash”...

Pero son conceptos diferentes, con objetivos distintos y consecuencias muy serias si se confunden.
En este artículo te contamos de manera básica y sencilla qué hace cada uno, para qué sirve y en qué casos se usa, sin fórmulas y sin humo.

Hash: huella digital de los datos

Un hash es el resultado de pasar unos datos por una función que genera una especie de “huella digital”.

  • Siempre produce una salida de longitud fija (por ejemplo 256 bits en SHA-256).
  • Pequeños cambios en la entrada generan un hash completamente diferente.
  • Está diseñado para ser irreversible: no se puede recuperar el dato original a partir del hash.

Se usa principalmente para:

  • Verificar integridad (que un archivo o mensaje no ha cambiado).
  • Almacenar contraseñas sin guardar la contraseña en claro.
  • Firmas digitales (como parte del proceso).

Ejemplo mental

Imagina que un texto pasa por una máquina que lo tritura siempre en trocitos del mismo tamaño.
Los trocitos no te permiten reconstruir el texto, pero si alguien cambia solo una letra, el resultado triturado ya no es el mismo.
Eso es un hash.

Cifrado: convertir algo legible en ilegible (y viceversa)

El cifrado transforma información legible en ilegible usando una clave. A diferencia del hash, el cifrado es reversible: con la clave adecuada, puedes recuperar el original.

  • Cifrado simétrico: se usa la misma clave para cifrar y descifrar (ej.: AES).
  • Cifrado asimétrico: se usa una clave pública para cifrar y una privada para descifrar (ej.: RSA, ECC).

Se usa para:

  • Proteger la confidencialidad de datos en tránsito (TLS) o en reposo (discos, bases de datos).
  • Compartir información segura entre dos partes que no confían en el canal.

Ejemplo mental

Es como guardar algo en una caja fuerte: hash = foto de la caja (no retirable), cifrado = lo metes dentro y solo con la llave (clave) lo puedes sacar.

Firma digital: probar quién dijo qué (y que no se cambió)

Una firma digital combina hash + cifrado (asimétrico) para:

  • Probar que el mensaje lo emitió quien dice ser (autenticidad).
  • Probar que no ha cambiado desde que se firmó (integridad).
  • Evitar que el emisor pueda negar que lo envió (no repudio), en ciertos contextos legales.

No es “escribir tu nombre” en PDF: es calcular la huella (hash) del contenido y luego cifrar esa huella con tu clave privada. Cualquiera con tu clave pública puede verificar que esa firma es tuya y que el contenido no se ha modificado.

Resumiendo: qué problema resuelve cada uno

  • Hash → resuelve integridad (¿ha cambiado?).
  • Cifrado → resuelve confidencialidad (¿pueden leerlo?).
  • Firma digital → resuelve autenticidad + integridad (¿quién lo envió? ¿está intacto?).

Errores muy comunes (y peligrosos)

  • “Cifrar contraseñas con MD5/SHA” → NO. Las contraseñas se hashean (y con sal), no se cifran en reversible.
  • Almacenar contraseñas en texto plano “pero en una base de datos protegida”.
  • Usar hashes rápidos (MD5, SHA-1) para contraseñas en lugar de funciones específicas (bcrypt, Argon2, scrypt).
  • Confundir un PDF “bloqueado” con un cifrado robusto.

Ejemplos de uso correcto

  • Hashing: guardar hash + sal de contraseñas en base de datos (bcrypt/Argon2).
  • Cifrado: proteger discos, backups, comunicaciones TLS, bases de datos.
  • Firma digital: firmar facturas electrónicas, correos, código, documentos legales.

Checklist rápida

  1. ¿Tienes claro que un hash NO es cifrado reversible?
  2. ¿Usas cifrado para confidencialidad y hash para integridad, sin mezclar roles?
  3. ¿Se usan funciones específicas para contraseñas (bcrypt, Argon2…)?
  4. ¿Sabes cuándo tiene sentido una firma digital en tu contexto (facturas, contratos, código)?

Conclusión

Hash, cifrado y firma digital son piezas distintas del mismo puzle.
Mezclarlas lleva a decisiones inseguras y a una falsa sensación de protección.

En Gondor creemos que entender estos conceptos sin humo es clave para tomar decisiones técnicas que de verdad protejan, y no solo “suenen bien” en un documento.