¿Qué es una suma de comprobación? Conceptos básicos de criptografía

Una introducción a las sumas de comprobación criptográficas, su uso y cómo te mantienen seguro.

Cryptography Basics: What is a checksum?

Si quieres salir una noche por la ciudad, puede que necesites una identificación (al menos si pareces joven), pero cuando se trata de descargar software, la verificación es un poco diferente. Al verificar las sumas de comprobación criptográficas, puedes confiar en que tu descarga no ha sido manipulada en su camino desde los desarrolladores hasta ti. Vamos allá.


¿Qué es una suma de comprobación?

Una suma de comprobación es una cadena de datos, tanto letras como números, que se deriva de un archivo o programa a través de una función hash de suma de comprobación, y se utiliza para verificar que los datos que ha descargado son idénticos a los datos de la fuente original. Garantizar la integridad de los archivos y programas que descarga a su equipo local es una práctica de seguridad crucial para mantenerse a salvo de los programas falsos que se comparten y que incluyen malware para recopilar sus datos.

Recuerda que siempre es una buena práctica verificar la suma de comprobación de los archivos y aplicaciones que descargas siempre que sea posible.

Una característica importante de la función de suma de comprobación es que, si se realiza algún cambio en el archivo original, se obtendrá un resultado diferente, por ejemplo, una suma de comprobación distinta. Sin esta característica clave, un actor malintencionado podría realizar cambios en los datos a través de un ataque man-in-the-middle o un ataque a la cadena de suministro y los usuarios no se enterarían.

Las sumas de comprobación también deben garantizar que no sólo los cambios en los datos conducen a una nueva clave, sino que deben evitar la posibilidad de que dos fuentes de datos diferentes creen sumas de comprobación coincidentes. Estos eventos se conocen como colisiones y la fuerza de una función hash criptográfica depende de que sea resistente a las colisiones.

Las sumas de comprobación garantizan la integridad de los datos, no su autenticidad.

Las sumas de comprobación se utilizan principalmente para verificar la integridad de los datos. Puede que recuerde de nuestra introducción al modelado de amenazas que la integridad se refiere a que los datos se han transferido a su máquina en un formato digital idéntico. Esto significa que usted está recibiendo los datos, ya sea un archivo o un programa ejecutable, tal y como pretendía el creador del contenido. Hay que tener en cuenta que las sumas de comprobación sólo verifican que los datos recibidos son idénticos al 100%, pero no que la fuente sea auténtica. Este es otro aspecto de la seguridad de la información que puede lograrse mediante el despliegue de una firma digital.

¿Por qué es importante la integridad de los datos?

La integridad de los datos es primordial en todos los niveles de las operaciones informáticas. Desde el almacenamiento de datos empresariales, los servicios de emergencia, los servicios del sector público, hasta las fotos de la comida de sus últimas vacaciones. La corrupción de datos, lo contrario de la integridad de datos, puede provocar errores en los programas o la desaparición de información importante. Al mantener las sumas de comprobación, puede estar seguro de que los datos que está copiando, descargando o compartiendo son idénticos sin necesidad de abrirlos y revisarlos manualmente.

Si no puedes confiar en tus datos, su uso disminuye enormemente. Aprovechando las sumas de comprobación, puedes estar seguro de que un error que puedas encontrarte con ese nuevo programa tiene otro origen y no se debe a que las cosas fueran mal durante la descarga inicial. Esto puede ahorrarle tiempo y dinero. Si mantiene copias de seguridad de sus datos, crear y supervisar las sumas de comprobación de estas copias de seguridad es una buena forma de controlar el estado de todos los datos almacenados. Si nota una diferencia, sin haber hecho ningún cambio, puede ser alertado de que algo va mal.

¿Qué causa las sumas de comprobación no idénticas?

Hay una serie de problemas que pueden provocar que las sumas de comprobación no coincidan, tanto mundanos como maliciosos. Una interrupción de la conexión a Internet o problemas con el espacio de almacenamiento pueden ser la causa de que falten datos, lo que provocará que la suma de comprobación no coincida con la proporcionada por el curso original. Una vez resuelto el problema, una nueva descarga suele devolver el valor correcto.

Sin embargo, hay casos maliciosos que pueden ser motivo de alarma. Las sumas de comprobación no coincidentes también podrían ser un indicio de que algún tercero ha realizado cambios en los datos de la fuente original. Esto podría ser algo menor, pero podría ser la señal de que se podría haber incluido malware en la descarga. Esto se convierte en un problema aún mayor cuando los programas en cuestión se utilizarán para datos confidenciales, como el almacenamiento de contraseñas o criptomonedas. Los “gestores” de contraseñas maliciosos reempaquetados pueden enviar tus datos directamente a terceros, donde se puede hacer un uso indebido de ellos. En el caso de los monederos de criptomonedas impostores, las consecuencias de las sumas de comprobación no coincidentes podrían provocar la pérdida total de los activos digitales.

Ejemplos de algoritmos utilizados para generar sumas de comprobación.

Independientemente del algoritmo hash que se utilice para crear la suma de comprobación, todos tienen en común que son funciones unidireccionales. El valor generado por la función de suma de comprobación no puede utilizarse de ninguna manera para “recrear” el archivo original. Esto no es encriptación y no hay nada que desencriptar, por lo que no estamos tratando con textos cifrados.

A visualization of the cksum utility when used to create a checksum Visualización de la utilidad cksum para crear sumas de comprobación a partir de palabras y frases.

Algunos de estos algoritmos pueden parecer familiares y ya hemos hablado de algunos de ellos en entradas anteriores de esta serie de Conceptos Básicos de Criptografía.

MD5

Al igual que con el hash de contraseñas, MD5 ya no debería usarse porque puede dar lugar a colisiones, lo que significa que un actor malicioso podría crear una versión falsa del software que deseas descargar y una suma de comprobación no daría la alarma ante estos cambios.

SHA-1

Esta función hash no se considera segura desde 2005 y el NIST ha pedido que se retire por completo para 2030. En 2017, Google junto con el Grupo de Criptología del Centrum Wiskunde & Informatica fueron capaces de crear dos PDF diferentes que resultaron con la misma huella digital SHA-1.

SHA256

El estándar actual para el hash de suma de comprobación es SHA256 (o SHA-3 para los fans de lo nuevo). SHA256 es también la función de suma de comprobación que utilizamos para que pueda comprobar la integridad de los datos cada vez que descargue Tuta Desktop Client.

A screenshot of the latest release of the Tuta Desktop Client checksums. Un ejemplo de las sumas de comprobación para la versión 244.240913.1 de los clientes de escritorio de Tuta

Cómo verificar la suma de comprobación de su Tuta Desktop Client.

Verificar la suma de comprobación de una descarga puede parecer una tarea desalentadora para aquellos que no se sienten muy inclinados técnicamente, pero es una habilidad rápida de aprender que le puede ahorrar muchos dolores de cabeza en el futuro.

Con cada nueva versión del cliente de escritorio Tuta publicamos las sumas de comprobación en Github para que puedas verificarlas, independientemente del sistema operativo de tu dispositivo. El primer paso será visitar nuestra página de inicio y descargar el cliente de escritorio que coincida con tu sistema operativo. Adelante, puedo esperar…

¡Genial! ¡Ya estás de vuelta! Ahora puedes saltar al sistema operativo que estés utilizando en ese momento y con unos sencillos pasos podrás verificar las sumas de comprobación de tu descarga. Para simplificar, escribiré estas instrucciones asumiendo que has almacenado la descarga en tu carpeta de Descargas.

Windows

En Windows, abra el símbolo del sistema desde el menú Inicio o ejecutando cmd en la ventana de diálogo Ejecutar. Ahora que tiene el símbolo del sistema abierto escriba:

  1. cd Descargas
  2. certutil -hashfile tutanota-desktop-win.exe SHA256

Este resultado se puede comparar con la suma de comprobación que proporcionamos en GitHub.

How to verify the Tuta desktop client checksum on Windows Los pasos del símbolo del sistema para ver la suma de comprobación del cliente de escritorio Tuta descargado en Windows.

Puede descargar el cliente de Windows aquí.

Mac

En Mac puede abrir una ventana de terminal desde el Launchpad. Una vez abierta introduzca lo siguiente:

  1. cd Descargas
  2. shasum -a 256 ~/Descargas/tutanota-desktop-mac.dmg

Este resultado se puede comparar con la suma de comprobación proporcionada en GitHub.

How to verify the Tuta desktop client checksum on MacOS Los comandos de terminal para verificar una suma de comprobación en macOS.

Puede descargar el cliente Mac aquí.

Linux

Por último, pero no por ello menos importante, puedes verificar la suma de comprobación de nuestro cliente de escritorio gratuito para Linux abriendo un terminal e introduciendo:

  1. cd Descargas
  2. sha256sum tutanota-desktop-linux.AppImage

A continuación, puede comparar este resultado con la suma de comprobación proporcionada por el equipo de desarrollo de Tuta para confirmar la integridad de la descarga.

How to verify the Tuta desktop client checksum on Linux Los comandos de terminal para verificar las sumas de comprobación en una máquina Linux.

Puede descargar el cliente Linux aquí.

Con este nuevo truco de seguridad en la manga, puedes continuar tu viaje para mantenerte seguro en la web. Al incluir la verificación de las sumas de comprobación en tu higiene digital, junto con el uso de un gestor de contraseñas, estás tomando medidas para protegerte de las ciberamenazas.

Si quieres mejorar la seguridad de tu cuenta de correo electrónico, y te recomendamos que lo hagas porque el correo electrónico es el centro de tu vida digital, echa un vistazo a Tuta Mail. Con el cifrado de extremo a extremo por defecto, Tuta Mail hace que la privacidad y la seguridad sean sencillas. Cree su cuenta de correo electrónico gratuita ahora y utilícela con nuestros clientes de correo electrónico dedicados gratuitos para todas las plataformas.

Y no te olvides de verificar la suma de comprobación 😉 .