Як перевірити цілісність ISO-образів у macOS

Si sueles descargar sistemas operativos o utilidades en Формат ISO para usarlos en tu Mac, comprobar la integridad de esas imágenes no es un capricho: es casi obligatorio si quieres evitar instalaciones rotas, errores extraños o, peor aún, problemas de seguridad. En macOS tenemos varias formas de asegurarnos de que tanto el archivo ISO como el propio proceso de arranque y el firmware estén en buen estado.

A lo largo de esta guía vamos a ver, con bastante detalle y sin demasiada paja, cómo verificar que una imagen ISO no está corrupta en macOS, qué papel juegan los checksums (MD5, SHA1, SHA256), qué hace macOS “por debajo” con recoveryOS y el firmware, cómo comprueba Apple la integridad de su propio sistema y de los diagnósticos, y cómo encajan herramientas de terceros como balenaEtcher o Ventoy en este puzzle.

Por qué es tan importante verificar una imagen ISO en macOS

Cuando descargas un ISO para instalar un sistema (por ejemplo, Manjaro, Debian, Ubuntu o incluso utilidades de recuperación), estás confiando en que el archivo se ha descargado completo y sin alteraciones. Un solo bit cambiado puede provocar desde fallos durante la instalación hasta un sistema inestable que empieza a dar errores a los pocos días.

Además de la corrupción accidental durante la descarga, existe el riesgo de que alguien haya modificado la imagen ISO si la descargas desde un sitio no oficial o si tu conexión está siendo interceptada. En ese escenario, podrías terminar instalando un sistema con malware o puertas traseras sin darte cuenta.

Por si fuera poco, una vez que “quemas” esa ISO en una memoria USB o disco externo, entra en juego otro factor: la integridad de los datos escritos en el propio soporte. Los pendrives baratos, las desconexiones durante la copia o incluso sectores defectuosos pueden hacer que el contenido grabado no coincida con el original.

Y como guinda, en los Mac modernos también hay que considerar la integridad del firmware y de los entornos de recuperación (recoveryOS y Apple Diagnostics), que son la base de que tu sistema arranque de manera fiable y segura. Apple ha montado un sistema bastante sofisticado para esto, y entenderlo te ayuda a tener una foto completa de cómo se protege la integridad en macOS.

Cómo funcionan los checksums (MD5, SHA1, SHA256) y los archivos .sum

La herramienta clásica para comprobar si un archivo ISO está bien descargado es utilizar un checksum criptográfico, es decir, un código generado a partir del contenido del archivo con un algoritmo como MD5, SHA1 o SHA256. Si el contenido cambia, el código también cambia.

У багатьох Дистрибутиви Linux y sistemas que se distribuyen en ISO, el proveedor publica un archivo de sumas junto a la imagen. Suele seguir el mismo nombre que el ISO, pero con una terminación distinta. Por ejemplo, para un archivo como manjaro-xfce-0.8.1-x86_64.iso, lo normal es encontrar archivos como:

• manjaro-xfce-0.8.1-x86_64-sha1.sum
• manjaro-xfce-0.8.1-x86_64-sha256.sum

La parte “sha” del nombre hace referencia a Безпечний алгоритм хешу. SHA1 y SHA256 son dos variantes del mismo concepto: generan un código único para ese contenido; si el ISO se altera, ese código deja de coincidir. SHA256 es más moderno y robusto que SHA1, así que, si el proveedor te da la opción, es preferible que uses SHA256 para tus comprobaciones.

Esos archivos .sum no son más que simples ficheros de texto que contienen, en una línea, el valor hash esperado y el nombre del archivo asociando ambos. Cuando tú calculas el hash del ISO en tu Mac y lo comparas con el valor que haya publicado el desarrollador (ya sea en un archivo .sha256.sum o directamente en su web), estás comprobando si el archivo que has descargado coincide exactamente con el que generó el proveedor.

La idea es comparable a una contraseña secreta: si la “contraseña” (el hash) generada en tu Mac no coincide con la que publica la web oficial, es señal de que el ISO se ha corrompido o ha sido modificado, y en ese caso es mejor no usarlo y volver a descargarlo.

Verificar la integridad de un ISO en macOS usando la Terminal

En macOS no necesitas instalar nada para calcular hashes de archivos ISO (a diferencia de Windows), porque el sistema ya incluye utilidades de línea de comandos para MD5, SHA1 y SHA256. Basta con usar Terminal y lanzar el comando adecuado.

Lo primero es situarte en el directorio donde tienes la imagen ISO. Si, por ejemplo, la tienes en tu carpeta Descargas, podrías hacer algo así:

cd ~/Descargas

Una vez estés en el directorio correcto, puedes generar el checksum con estos comandos, dependiendo del algoritmo que quieras usar. Si quieres un hash SHA256, que es lo más recomendable:

shasum -a 256 nombre-de-tu-imagen.iso

Команда шасум -а 256 calcula un hash SHA256 del archivo y te devuelve una cadena larga de números y letras seguida del nombre del fichero. Tienes que comparar esa cadena con el valor que haya publicado el desarrollador (ya sea en un archivo .sha256.sum o directamente en su web).

Si el proveedor solo te ofrece un checksum SHA1, puedes usar:

shasum -a 1 nombre-de-tu-imagen.iso

Y si lo único que tienes es un valor MD5, macOS también incluye un comando específico para ello, de forma que puedes ejecutar:

md5 nombre-de-tu-imagen.iso

Cuando los valores generados por estos comandos coinciden con los publicados, puedes asumir que el archivo ISO está intacto y listo para usarse. Si no coinciden, toca borrar el fichero y descargarlo de nuevo, preferiblemente comprobando tu conexión o buscando un mirror alternativo.

Qué hacer cuando el ISO no trae archivo de checksum

Muchas distribuciones Linux y sistemas de recuperación incluyen archivos como md5sum.txt, sha1sum o sha256sum dentro de la propia ISO, o junto a ella en la web de descargas. Sin embargo, no todos los proyectos lo hacen, y a veces solo publican el hash en una página web o ni siquiera eso.

Si el ISO no trae un archivo de checksum, lo ideal es que el desarrollador al menos publique el valor hash en su sitio oficial. En ese caso, tú calculas el hash con шасум o md5 en tu Mac y comparas manualmente la cadena con la que ves en la página.

Cuando no exista ni archivo de suma ni valor publicado, la cosa se complica, porque no tienes una referencia “de origen”. Podrías generar un hash tú mismo para futuras comprobaciones, pero eso no te garantiza que el ISO original no estuviera ya manipulado o corrupto.

En estos casos lo más sensato es:

• Descargar el ISO solo desde la офіційний веб-сайт проекту o desde mirrors verificados.
• Evitar fuentes de terceros de dudosa procedencia, especialmente si se trata de sistemas operativos o herramientas sensibles.
• Comprobar si el proveedor ofrece firmas GPG u otros mecanismos de verificación alternativos.

Si de verdad no existe ninguna forma de verificación proporcionada por el desarrollador, debes asumir que no hay garantía real de integridad, y valorar si te compensa usar ese ISO o buscar una alternativa más fiable.

Cómo comprueban balenaEtcher y Ventoy la integridad de lo grabado en la USB

Cuando escribes un ISO en una memoria USB con herramientas como dd en macOS, el proceso se limita a copiar bloques de datos de un lado a otro sin hacer comprobaciones adicionales. Si algo falla en el camino, no te enteras hasta que intentas arrancar y obtienes errores en el boot.

Додатки типу balenaEtcher o Ventoy van un paso más allá y ofrecen opciones de verificación tras la escritura. El concepto es sencillo: una vez han replicado la ISO en la unidad, leen de nuevo esos datos desde la USB y los comparan con el archivo fuente.

Normalmente lo que hacen es recalcular un hash o comparar bloque a bloque. Si el contenido leído del pendrive es idéntico al de la imagen original, la herramienta te indica que el proceso ha sido correcto. De lo contrario, avisa de que ha habido algún problema al grabar.

Esta verificación tras la copia es independiente de que el ISO traiga o no archivos como md5sum.txt. Si el desarrollador incluye esos archivos dentro de la imagen, algunas herramientas pueden aprovecharlos para hacer una comprobación extra desde el propio sistema arrancado, pero a nivel de balenaEtcher o Ventoy, la clave es comparar origen y destino.

Si la ISO no lleva un checksum interno, la herramienta puede limitarse a comprobar que los datos que han llegado a la USB coinciden con los del archivo en tu disco, lo cual no garantiza que el ISO sea legítimo, pero sí que no se ha corrompido en el paso de “archivo a soporte físico”.

recoveryOS en Mac: BaseSystem.dmg y BaseSystem.chunklist

Además de las ISO que tú puedas descargar, tu Mac tiene su propio entorno de recuperación llamado recoveryOS, que está totalmente separado de la instalación principal de macOS. Todo ese sistema de recuperación se guarda en un archivo de imagen de disco llamado BaseSystem.dmg.

Junto a esa imagen hay otro fichero crucial: BaseSystem.chunklist. Este archivo contiene una lista de hashes correspondientes a fragmentos de 10 MB de BaseSystem.dmg. Es, por así decirlo, un mapa de integridad troceado de toda la imagen de recuperación.

Cuando el Mac arranca en recoveryOS, el firmware UEFI no confía a ciegas en el contenido del disco. Primero evalúa la firma digital del archivo chunklist, y solo si esa firma es válida comienza a verificar, uno por uno, los hashes de cada bloque de 10 MB de BaseSystem.dmg.

Si cualquiera de esos hashes no coincide, significa que el contenido de recoveryOS se ha alterado o dañado. En esa situación, se cancela el arranque desde el recoveryOS local y el firmware intenta pasar a un modo de recuperación por Internet, descargando una imagen limpia desde los servidores de Apple.

Si la verificación de la chunklist y de todos los fragmentos de BaseSystem.dmg termina correctamente, el firmware monta esa imagen como un disco RAM y ejecuta el boot.efi que contiene. No hace falta que UEFI valide específicamente boot.efi ni el kernel, porque la integridad de todo el sistema operativo de recuperación ya se ha comprobado de antemano a nivel de imagen completa.

Diagnósticos de Apple y su mecanismo de integridad

Apple no solo protege el entorno de recuperación, sino también el sistema de Діагностика Apple, es decir, la utilidad que te permite comprobar el hardware de tu Mac sin entrar al sistema operativo principal.

El proceso de arranque de los diagnósticos locales es muy similar al de recoveryOS. En este caso se utilizan archivos AppleDiagnostics.dmg y AppleDiagnostics.chunklist, que funcionan de forma equivalente a BaseSystem.dmg y BaseSystem.chunklist pero orientados al entorno de pruebas.

El firmware UEFI verifica la firma de la chunklist de diagnósticos y luego valida los hashes de los bloques de la imagen AppleDiagnostics.dmg. Si todo cuadras, en vez de arrancar boot.efi, el firmware inicia un archivo llamado diags.efi dentro de esa imagen.

Ese fichero diags.efi es el encargado de invocar otros controladores UEFI capaces de interactuar con el hardware, lanzar las pruebas de memoria, disco, etc., y mostrarte los errores detectados. De nuevo, la idea es que se ejecuta solo código cuya integridad se ha verificado previamente.

Este enfoque basado en imágenes .dmg con chunklists firmadas permite a Apple asegurarse de que tanto la recuperación como los diagnósticos arrancan desde un entorno confiable, sin depender de que el disco principal esté en buen estado o libre de modificaciones maliciosas.

Recuperación por Internet y seguridad de las descargas

Si durante el arranque de recoveryOS o de Apple Diagnostics se detecta algún problema, el firmware UEFI tiene un plan B: recoveryOS por Internet. También puedes invocarlo manualmente con combinaciones de teclas al encender el Mac.

En ese modo, el firmware se conecta a los servidores de Apple para descargar las imágenes de disco y sus chunklists correspondientes. Aunque el transporte se hace utilizando HTTP en lugar de HTTPS, la integridad de estas imágenes se protege de la misma manera que si estuviesen en tu propio disco.

El truco está en que la seguridad no se basa en cifrar el transporte, sino en validar el contenido descargado contra la chunklist firmada. Aunque alguien consiguiera interceptar la conexión y modificar los datos en tránsito, los hashes dejarían de coincidir y el firmware descartaría la imagen manipulada.

Por diseño, si la verificación de un fragmento concreto falla, el firmware vuelve a pedir ese bloque al servidor hasta 11 veces antes de rendirse y mostrar un error. Solo cuando todos los fragmentos pasan la prueba de integridad se permite arrancar desde la imagen de recuperación descargada.

Cuando Apple introdujo la recuperación y los diagnósticos por Internet alrededor de 2011, decidieron usar HTTP más simple y manejar la parte crítica de autenticación e integridad del contenido mediante chunklists. Eso les permitió evitar implementar todo el stack de HTTPS dentro del firmware UEFI, manteniendo una superficie de ataque menor y un código más controlado.

Cómo comprobar si tu firmware EFI está actualizado en macOS

La integridad de las imágenes ISO y de recoveryOS está bien, pero también es importante conocer el estado del firmware EFI de tu Mac. Tener el firmware desactualizado puede dejarte expuesto a vulnerabilidades, fallos de arranque o incompatibilidades con versiones recientes de macOS.

Para ver qué versión de ROM de arranque tienes instalada, basta con seguir estos pasos desde el propio sistema macOS:

1. Відкрийте меню  і виберіть варіант Про цей Mac.
2. Cuando aparezca la ventana, pulsa en el botón para mostrar el Системний звіт.
3. На бічній панелі перейдіть до розділу Обладнання і шукати поле Versión de la ROM de arranque.

Verás algo similar a MBP114.0177.B00. El primer bloque (MBP114 en el ejemplo) identifica tu modelo de Mac, en este caso un MacBook Pro 11,4 de 15 pulgadas de 2015.

Los grupos posteriores, en formato hexadecimal, indican la versión mayor y menor del firmware. Esos valores son los que debes comparar con las tablas oficiales o listados actualizados que recopilan las últimas versiones de firmware disponibles para cada modelo de Mac.

Si tu versión está por detrás de la que aparece en esas tablas, suele significar que te falta alguna actualización de macOS o un parche de firmware, ya que Apple distribuye muchas de estas mejoras de firmware integradas en las actualizaciones del sistema.

Verificar la integridad del firmware con eficheck en macOS

macOS también incluye una utilidad de línea de comandos pensada específicamente para comprobar la integridad del firmware EFI, comparándolo con una lista de versiones permitidas por Apple. Esta herramienta se llama eficheck.

Para utilizarla, abre la aplicación термінал і виконайте таку команду:

/usr/libexec/firmwarecheckers/eficheck/eficheck --integrity-check

Si todo va bien, obtendrás una salida del estilo:

EFI Version: MBP114.88Z.0183.B00.1804091616
Primary allowlist version match found. No changes detected in primary hashes.

En esa salida, el prefijo MBP114 vuelve a indicar el modelo del Mac (en este caso, el mismo MacBook Pro 11,4), mientras que las partes siguientes proporcionan datos sobre la versión del firmware y su fecha.

Блок 0183 corresponde a la versión mayor del firmware, y B00 a la versión menor. El número final, 1804091616 en el ejemplo, codifica la fecha de compilación del firmware (aquí se podría leer como 2018/04/09 16:16).

El mensaje “Primary allowlist version match found. No changes detected in primary hashes.” te indica que el firmware coincide con una versión reconocida y permitida por Apple, y que no se han detectado modificaciones en los hashes principales. Si ves un mensaje muy distinto o se indica que hay discrepancias, es una señal seria de que puede haber problemas con la integridad del firmware.

En ese escenario, lo recomendable es ponerte en contacto con una Apple Store o con un Servicio Técnico Autorizado para que revisen el equipo, ya que un firmware alterado o corrupto está fuera del alcance de las reparaciones caseras típicas.

Comprobar errores en discos y USB desde macOS

La integridad de una ISO no depende solo del archivo descargado, sino también del disco o memoria USB donde se almacena o se graba. Un soporte con sectores defectuosos puede arruinar una instalación incluso aunque el ISO sea perfecto.

En macOS tienes la aplicación Утиліта диска, que hace las veces de gestor de particiones y herramienta de diagnóstico básica. La encontrarás en la carpeta Програми> Утиліти, o buscándola desde Spotlight (el icono de la lupa en la barra de menús).

Utilidad de Discos también se puede ejecutar en безпечний режим para analizar el disco de arranque del propio sistema, aunque para eso conviene seguir las indicaciones de Apple, ya que los pasos pueden variar según la versión de macOS y el tipo de Mac (Intel o Apple Silicon).

Hasta versiones como Snow Leopard y Mavericks, la aplicación incluía opciones claras para Перевірте диск y Ремонтний диск, además de funciones para comprobar y reparar permisos en volúmenes con formato Mac OS Plus (HFS+). En esos sistemas:

• Elegías la unidad o partición en el panel izquierdo,
• Entrabas en la pestaña Перша допомога,
• Y desde ahí lanzabas las verificaciones y reparaciones necesarias.

En versiones posteriores de macOS, como Yosemite hasta Sierra y en adelante, la interfaz cambió, pero se mantiene el concepto de Перша допомога. Seleccionas el volumen con sangría (el de datos) y pulsas en Primera Ayuda para que macOS revise el sistema de archivos y, si es posible, corrija errores.

Estos análisis pueden tardar desde unos segundos a varios minutos, dependiendo del tamaño del volumen y del número de correcciones que haya que aplicar. La ventana te permite mostrar u ocultar los detalles del proceso para ver qué se está comprobando y qué problemas se detectan.

Ten en cuenta que solo los volúmenes con formato Mac OS Plus o APFS admiten ciertas operaciones avanzadas. Formatos como FAT32 (MS-DOS) no soportan permisos y tienen limitaciones adicionales, de forma que para verificar pendrives con esos formatos quizá convenga usar herramientas específicas del fabricante.

Si tras pasar Primera Ayuda observas mensajes de error recurrentes o la unidad sigue comportándose de forma extraña, es bastante probable que el soporte físico esté fallando, y en ese caso conviene cambiar de pendrive o disco antes de seguir usando imágenes ISO sobre él.

Uso de herramientas de checksum de terceros en macOS

Aunque la Terminal de macOS cubre de sobra los básicos con md5 y shasum, hay usuarios que prefieren una interfaz gráfica o funciones más avanzadas, especialmente cuando trabajan con muchos archivos o necesitan automatizar verificaciones.

Є такі програми, як Швидкий хеш y otras utilidades de checksum que permiten calcular hashes SHA1, SHA256 y otros algoritmos de forma visual, arrastrando y soltando archivos o carpetas completas. Estas herramientas suelen mostrar varias sumas a la vez y facilitan copiar y comparar resultados.

Si manejas muchas imágenes ISO, puede ser cómodo tener una herramienta así para centralizar todas las comprobaciones, guardar logs o incluso verificar lotes de archivos descargados de distintos proyectos.

Eso sí, el principio es el mismo: la aplicación genera un hash a partir del archivo ISO y tú lo comparas con los valores oficiales que publiquen los desarrolladores. La fiabilidad, por tanto, sigue dependiendo de que uses fuentes de confianza y verifiques contra datos auténticos.

Entre la verificación del archivo descargado con checksums, el chequeo del soporte con Utilidad de Discos, y las comprobaciones de integridad que Apple realiza en recoveryOS, diagnóstico y firmware, tienes una cadena de seguridad bastante sólida para asegurarte de que las imágenes ISO que usas en macOS son fiables y que tu equipo arranca desde entornos verificados.