Verificar integridad de archivos con Sigcheck: guía total paso a paso

Última actualización: 19/09/2025
Autor: Isaac
  • Sigcheck verifica firmas, hashes y reputación en VirusTotal para asegurar archivos.
  • SHA-256 es el estándar recomendado; usa GPG para validar paquetes con .sig.
  • Windows y Linux incluyen utilidades nativas para calcular y comparar hashes.
  • Herramientas GUI como QuickHash o HashMyFiles facilitan verificaciones masivas.

Verificar integridad de archivos con Sigcheck

La integridad de un archivo es ese hilo fino que separa una descarga fiable de un problema serio en tu equipo; comprobarla con herramientas adecuadas como Sigcheck marca la diferencia entre instalar con tranquilidad o jugar a la ruleta rusa con el software. En este artículo verás, con todo detalle y sin rodeos, cómo usar Sigcheck, hashes y firmas para asegurarte de que lo que tienes en disco es exactamente lo que debería ser.

Además de Sigcheck, repasaremos funciones hash (MD5, SHA-1, SHA-2, SHA-3, BLAKE2/3), cómo hacerlo desde Windows y Linux sin instalar nada, cómo validar listas y cómo apoyarte en VirusTotal y firmas PGP cuando el archivo viene con .sig o tu gestor de paquetes lo espera. Todo ello explicado con un enfoque práctico, paso a paso y con comandos listos para copiar.

Qué es Sigcheck y por qué conviene tenerlo a mano

Sigcheck es una utilidad de línea de comandos de Sysinternals (Microsoft) que muestra versión, marca de tiempo, firma digital y cadena de certificados de archivos; también puede consultar el estado de malware en VirusTotal, incluso subir muestras si no existen. En otras palabras, te dice si un ejecutable está firmado y confiable, y si su hash tiene detecciones en motores antivirus.

Entre sus virtudes, destaca que puede listar certificados de los almacenes del sistema, comprobar revocaciones (o deshabilitarlas bajo demanda) y recorrer directorios recursivamente para cazar binarios sin firmar. En un escenario real, lo usarás para encontrar archivos sin firma en System32, verificar caducidades de cadenas y obtener hashes para contrastarlos con fuentes oficiales.

Uso de Sigcheck en Windows

Sintaxis esencial y opciones clave de Sigcheck

El ejecutable acepta varias combinaciones, empezando por la sintaxis general: sigcheck [opciones] <archivo o carpeta>. Debajo tienes las banderas más útiles para el día a día, todas ellas pensadas para auditar firmas, hashes y reputación de archivos.

Opciones destacadas para salida y detalle:

  • -a: muestra información de versión extendida, con medida de entropía (bits por byte) del contenido.
  • -h: imprime hashes del archivo.
  • -i: enseña el catálogo y la cadena de firmas.
  • -m: vuelca el manifiesto.
  • -n: saca únicamente el número de versión.
  • -c/-ct: salida CSV separada por comas o por tabulaciones para automatizar informes.

Opciones para recorrido y formato:

  • -s: recorre subdirectorios.
  • -e: examina solo imágenes ejecutables (ignora la extensión).
  • -l: sigue enlaces simbólicos y uniones.
  • -nobanner: oculta el banner de inicio; ideal en scripts silenciosos.

Integración con VirusTotal:

  • -vt: acepta los Términos de Uso de VirusTotal (necesario para consultar).
  • -v[rs]: consulta reputación por hash; añade «r» para abrir informes con detección y «s» para subir archivos no analizados.
  • -u: si está habilitado VirusTotal, muestra desconocidos o con detección; si no, muestra solo archivos sin firmar.
  • -o: realiza búsquedas en VT usando hashes previamente capturados en un CSV de Sigcheck (modo offline-friendly).
  Que Es Y Cómo Eliminar Virus Csrss.exe

Certificados y revocación:

  • -t[u][v]: vuelca el contenido de un almacén de certificados; con -tu consultas el almacén de usuario, y con -tv filtras por raíces de confianza de Microsoft.
  • -r: deshabilita la comprobación de revocación (úsalo con criterio).
  • -p: valida contra una directiva de firma concreta (por GUID), útil en entornos corporativos.

Otras funciones útiles:

  • -d: vuelca contenido de un archivo de catálogo.
  • -f: busca firmas en un archivo de catálogo especificado.

Ejemplo de uso clásico para cazar binarios no firmados en System32:

sigcheck -u -e C:\\Windows\\System32

A partir de ese listado, investiga con calma el propósito de cada elemento no firmado antes de tomar decisiones.

Comprobar integridad y reputación con Sigcheck en la práctica

Si deseas combinar firmas y reputación AV, acepta primero los términos de VT y lanza una consulta con subida de muestras si es necesario. Esto te permite cruzar la integridad criptográfica local con la inteligencia colectiva de decenas de motores.

Secuencia sugerida para reputación VT:

  1. Acepta términos: sigcheck -vt <archivo>
  2. Consulta y abre informes de positivos: sigcheck -vrs <archivo>
  3. Filtra desconocidos/positivos en un árbol: sigcheck -u -s -v <carpeta>

Así detectas rápidamente ejecutables problemáticos, reforzando la verificación de integridad y procedencia.

Para auditorías masivas conviene exportar a CSV y trabajar con hojas de cálculo o un SIEM. Con -h obtienes hashes y con -ct tabulaciones fáciles de parsear: sigcheck -h -ct -s C:\\Rutas\\De\\Interes > inventario.tsv. Después, puedes usar -o sobre ese CSV/TSV para consultas offline a VT cuando vuelvas a tener red.

Funciones hash: qué son, cuáles usar y por qué importan

Un hash equivale a la huella digital de un archivo: si cambias un solo bit, su valor resultante es completamente distinto. Por eso se usan masivamente para comprobar si una descarga es idéntica al original o para garantizar que un disco forense permanece intacto.

Algoritmos clásicos e impacto práctico:

  • MD5: velocísimo y muy extendido en su día, pero con colisiones; no es seguro para integridad adversarial. Aun así, sigue presente en flujos de trabajo internos donde la rapidez prima y el riesgo es bajo.
  • SHA-1: también con problemas de colisiones; mejor evitarlo para nuevos usos.
  • SHA-2 (224/256/384/512): estándar actual para integridad y autenticación; SHA-256 es el comodín que recomiendan fabricantes y distribuciones.
  • SHA-3: alternativa moderna aprobada por NIST, con longitudes de salida equivalentes a SHA-2.
  • BLAKE2/BLAKE3: muy rápidos y seguros; útiles cuando necesitas alto rendimiento para grandes volúmenes.

Recuerda que las funciones hash van en un solo sentido: almacenar contraseñas como hash requiere esquemas específicos (p. ej., bcrypt o Argon2), no un hash rápido como SHA-256 sin endurecer.

Verificación en Windows sin instalar nada: PowerShell y Certutil

Windows trae herramientas integradas que resuelven la mayoría de casos. Con PowerShell puedes obtener el hash en un segundo y compararlo con el publicado por el proveedor, lo que te permite una validación rápida antes de instalar.

PowerShell:

  Virus Instagram | Qué Es, Cómo Reconocerlo y Eliminarlo

Get-FileHash "C:\\Ruta\\archivo.ext" -Algorithm SHA256

Compara el resultado con el hash oficial; si coincide, la descarga no se ha alterado. Puedes cambiar SHA256 por SHA1, SHA384 o SHA512 según lo que publique el sitio.

Certutil (símbolo del sistema o PowerShell):

certutil -hashfile "C:\\Ruta\\archivo.ext" SHA256

Es ideal para scripts y verificación por lotes; alinea tus algoritmos con los que declara el fabricante en su web.

Verificación en Linux: cksum, md5sum, sha256sum y validación por listas

En GNU/Linux cuentas con sumas estándar en el coreutils. Para integridad doméstica puedes usar cksum (CRC32), y para seguridad real, sha256sum/sha512sum. La mecánica es idéntica: calculas localmente y comparas con el hash publicado.

Comandos básicos:

  • CRC32 rápido: cksum archivo
  • MD5: md5sum archivo
  • SHA-256: sha256sum archivo

Las alternativas sha1sum, sha224sum, sha384sum, sha512sum funcionan igual; elige el algoritmo que haya indicado la fuente.

Listas de verificación: cuando tienes muchos archivos, es más cómodo trabajar con listas .sfv/.md5, etc. Para validarlas puedes usar cksfv o cfv, herramientas muy socorridas en terminal.

Ejemplos con listas:

  • Instalar cksfv: sudo apt install cksfv
  • Verificar una lista: cksfv -g /ruta/lista.sfv
  • Crear nueva lista: cksfv fichero1 fichero2 > listado.sfv

Con cfv tendrás soporte amplio (.sfv, .md5, .par2, .crc, sha1sum, md5sum…):

  • Instalar: sudo apt install cfv
  • Verificar: cfv -f /ruta/test.sfv
  • Crear: cfv -C -flista.sfv -tsfv documento.pdf documento2.jpg

Firmas PGP y archivos .sig: el caso de paquetes .tar.zst.sig

Si descargas un paquete con un archivo .sig adjunto (típico en distribuciones como Arch), la verificación ya no es un simple hash, sino una firma criptográfica con OpenPGP. Aquí el objetivo es confirmar que el archivo lo firmó la clave del mantenedor y que no fue manipulado.

Cómo verificar manualmente con GnuPG:

  1. Importa la clave pública del mantenedor o sincroniza el anillo de claves de tu distro.
  2. Ejecuta: gpg --verify paquete.tar.zst.sig paquete.tar.zst

Si GnuPG indica una firma válida y la clave pertenece al desarrollador de confianza, la integridad y la autoría quedan garantizadas. En Arch, pacman y makepkg automatizan esto mediante pacman-key; a mano, el proceso es idéntico: validar que la firma PGP coincide con el archivo descargado.

Comparar archivos entre sí: ¿es esta copia idéntica al original?

Para comprobar que un archivo copiado es fiel al original, calcula el hash de ambos y compáralos. Si los valores coinciden, la copia es bit a bit idéntica. Si difieren, algo cambió por el camino (daño, truncado, edición…).

Ejemplo rápido:

  • Original: sha256sum documento.bin
  • Copia: sha256sum documento_copia.bin

Al contrastarlos te llevas la certeza de que el proceso (transferencia, almacenamiento, compresión) ha preservado la integridad.

Herramientas gráficas gratuitas para toda clase de flujos

Si prefieres interfaz, hay utilidades muy solventes y ligeras. Varias funcionan en Windows, Linux y macOS, con soporte para múltiples algoritmos y funciones extra como comparar carpetas, verificar catálogos o generar listas.

Selección recomendada:

  • QuickHash (Win/Linux/macOS): open source, GUI clara, soporta MD5, SHA-1/2/3, xxHash, BLAKE2/3; incluye módulos para texto, archivo único, múltiples archivos, copiado verificado, comparar dos archivos/carpetas y hash de discos.
  • HashMyFiles (Windows, portable): genera hashes en masa (SHA*, CRC32, MD5), integra menú contextual y funciona con arrastrar y soltar.
  • MultiHasher (Windows): hashes por carpetas y subcarpetas; soporta CRC32, MD5, RIPEMD-160, SHA-1/256/384/512.
  • MD5 & SHA Checksum Utility (Windows): obtiene y verifica MD5, SHA-1, SHA-256, SHA-512, exporta a CSV/HTML/TXT.
  Las mejores formas de obtener ayuda en Windows 10

Más opciones interesantes:

  • HashCalc: calcula hashes, checksums y HMAC; admite múltiples algoritmos y tamaños grandes.
  • MD5 Hash Check: compara valores y se integra al menú contextual; soporta un abanico amplio de algoritmos.
  • Hasher Lite: simple, drag & drop, procesa hasta 100 archivos por lote en su versión gratuita.
  • DeadHash: soporta MD4, MD5, SHA-1/224/256/384/512, RIPEMD160, CRC32; ideal para verificaciones rápidas.
  • Hash Generator: genera familias MD2/3/4/5, CRC32, Whirlpool, RIPEMD, HAVAL; útil para integridad básica.
  • FCIV (File Checksum Integrity Verifier): herramienta clásica de Microsoft para MD5/SHA-1/256.
  • Checksum Control: open source y multiplataforma (Win/macOS/Linux) para MD5 y SHA-1.

HashCheck en Windows: integración en el Explorador

HashCheck añade una pestaña «Checksum» a las propiedades de archivo en Windows, mostrando valores CRC-32, MD4, MD5 y SHA-1. Desde ahí puedes guardar un fichero de verificación y, al abrirlo más tarde, el programa te indica si el archivo ha sido modificado desde que generaste el hash.

Flujo típico:

  1. Propiedades del archivo > pestaña Checksum > guardar lista.
  2. Editas el archivo (o lo sustituyes) y vuelves a abrir la lista.
  3. HashCheck marca las discrepancias en rojo (incorrecto) si detecta cambios. Es una manera muy cómoda de auditar carpetas completas con un solo archivo de control.

Más allá de la integridad: cuándo y por qué usar cada enfoque

Usa hashes cuando tu fuente publica el valor esperado; te basta con recalcular localmente y comparar. Emplea firmas PGP cuando la distribución o proyecto publique .sig o claves públicas de mantenedores. Si sospechas de un ejecutable, combina firma digital + VirusTotal para sumar reputación y confianza.

Otras aplicaciones de los hashes en el mundo real:

  • Verificar cadenas de custodia forense y evidencias.
  • Detectar archivos duplicados (mismo hash, mismo contenido) y ahorrar espacio.
  • Seguridad de mensajes y documentos con firmas digitales (hash + cifrado con clave privada).
  • Detección de malware mediante bases de datos de firmas (hashes conocidos de amenazas).

Riesgos, colisiones y buenas prácticas

Aunque MD5 y SHA-1 han mostrado colisiones, el uso de SHA-256/512 o SHA-3 te saca de esa zona gris. Para contraseñas, evita hashes rápidos y usa algoritmos de derivación lenta (bcrypt, scrypt, Argon2). Comprueba siempre por HTTPS y desde fuentes oficiales para evitar hashes manipulados en sitios fraudulentos.

Si necesitas rendimiento, BLAKE2/BLAKE3 son excelentes, y en investigaciones forenses a veces se calculan MD5+SHA-1 por velocidad y compatibilidad con herramientas heredadas, aun sabiendo sus límites criptográficos.