Carrito de compras

Importancia de verificar el valor hash

16 mar. Programación

Un valor hash criptográfico como “MD5” o “SHA-1” nos puede ayudar muchísimo para comprobar la integridad de un archivo.   El valor de hash “MD5” está definido como un algoritmo hash que crea un valor de 128 bits y un “SHA-1” es un algoritmo hash que crea un valor de 160 bits.

En el sistema operativo Windows, al ejecutar una consola power Shell, podemos fácilmente obtener los valores de “SHA256” con las instrucciones:  Get-FileHash -Path C:\RUTA_DEL_ARCHIVO -Algorithm SHA256 o bien para calcular el “MD5” utilizaremos la instrucción: Get-FileHash -Path C:\RUTA_DEL_ARCHIVO -Algorithm MD5.     En sistemas operativos como Linux, esto se puede con la instrucción: sh1sum RUTA_DEL_ARCHIVO.  También algunas aplicaciones como la herramienta de compresión de archivos “7zip”, ya trae un analizador que al dar clic derecho sobre un archivo nos permiten obtener fácilmente estos valores “CRC SHA”.

Ahora bien, la utilidad de hacer estas verificaciones por hash consiste básicamente en verificar la integridad del archivo que deseamos analizar.  Por ejemplo, cuando descargamos un archivo “.iso” de instalación de sistema operativo, es muy común que el disco de arranque creado con ese archivo “.iso” nos falle y en la mayoría de los casos la causa común es porque el archivo original fue parcialmente descargado y no fue correctamente verificado.   En estos casos los fabricantes generalmente incluyen el valor “SHA1” de los archivos “.iso” para que una vez descargados de internet, podamos verificar que el archivo de disco “.iso” fue descargado correctamente y los valores de información del contenido son íntegramente idénticos al original.   Con estos procedimientos entonces podemos hacer verificación de integridad de cualquier archivo. 

En el caso de escenarios de ataques de ciberseguridad o análisis de archivos maliciosos, contar con el valor hash de una muestra de malware o archivo infectado es de utilidad básica y necesaria, dado que una vez que conocemos el valor hash que identifica a un malware como tal, podemos tomar acciones preventivas en el mejor de los casos o correctivas para cumplir las tareas críticas que debe realizar un administrador de seguridad como lo son: identificación, protección, detección, respuesta y recuperación.

Si conocemos el valor hash de un archivo de muestra de malware podemos tomar acciones como subir muestras de archivos a herramientas de análisis como virustotal.com y hacer la validación de archivos contra los motores de antimalware con que cuenta virustotal.com y así verificar si un archivo desconocido sospechoso es una muestra conocida de malware.  Adicionalmente, con un módulo de antimalware podemos tomar acciones de bloqueo o eliminación de archivos que contengan valores hash de malware conocido, para protección preventiva o correctiva.

Ing. Denis Iglesias Rayo | Cyber Security Engineer Consultant | Ingeniero de Sistemas

¿Te gustó? Entonces comparte la publicación: