Qué es el hash SHA-256 de un documento y por qué garantiza su integridad

Cuando firmas un documento con firmaSimple, el certificado de auditoría incluye algo llamado "huella SHA-256" o "hash del documento". Para muchos usuarios este término es técnico y poco claro, pero entender qué significa puede ser crucial si alguna vez necesitas hacer valer ese contrato ante un tribunal o ante un cliente.

¿Qué es un hash criptográfico?

Un hash criptográfico es una función matemática que transforma cualquier archivo —un PDF, una imagen, un contrato— en una cadena de caracteres de longitud fija. En el caso del SHA-256 (Secure Hash Algorithm 256 bits), el resultado es siempre una cadena de 64 caracteres hexadecimales, independientemente de si el archivo original tiene 1 página o 1.000.

Por ejemplo, el hash SHA-256 de un contrato podría ser algo como:

a3f5c7d2e1b4a9f8c0d6e2b3a1f7c4d5e8b2a6f3c1d4e7b5a2f6c3d1e4b8a9f0

Lo fundamental es esta propiedad: si cambias un solo carácter del documento —una coma, un espacio, un número— el hash resultante es completamente diferente. No "parecido": radicalmente distinto.

¿Por qué esto es importante para la firma electrónica?

El hash SHA-256 resuelve uno de los grandes problemas de la prueba documental digital: demostrar que el documento no ha sido alterado desde el momento de la firma.

Cuando firmaSimple registra la firma de un documento, calcula el hash SHA-256 del PDF en ese momento exacto y lo almacena en el certificado de auditoría. Si alguien modifica el PDF después de la firma —aunque sea cambiando "1.000€" por "10.000€" o añadiendo una cláusula— el hash del archivo modificado será completamente diferente al registrado en el certificado.

Esto hace imposible la manipulación retroactiva del documento sin dejar evidencia.

Cómo verificar la integridad de un documento firmado con firmaSimple

firmaSimple ofrece una herramienta pública de verificación accesible desde la web sin necesidad de cuenta. El proceso es:

1. Accede a la herramienta de verificación en firmasimple.es.
2. Sube el PDF firmado que quieres verificar.
3. El sistema recalcula el hash SHA-256 del archivo subido.
4. Compara ese hash con el registrado en los servidores de firmaSimple en el momento de la firma.
5. Si coinciden, el documento es auténtico y no ha sido modificado. Si no coinciden, el documento ha sido alterado.

Esta verificación puede hacerla cualquier persona que tenga el PDF, incluyendo un abogado, un juez o la contraparte en una disputa.

El valor probatorio ante los tribunales

Los tribunales españoles han admitido de forma creciente los registros de auditoría de firma electrónica como prueba documental. El hash SHA-256 es especialmente valioso porque:

• Es verificable por cualquier parte de forma independiente, sin depender de firmaSimple como intermediario.
• Utiliza un algoritmo criptográfico estándar reconocido internacionalmente.
• Proporciona certeza matemática sobre la integridad del documento, algo que ninguna firma manuscrita puede ofrecer.

En términos prácticos: si llevas el contrato firmado a un juicio y la contraparte alega que el documento ha sido manipulado, el hash SHA-256 demuestra matemáticamente que no es así. O, al contrario, si la contraparte presenta una versión modificada del contrato, el hash diferente la delata de inmediato.

¿Es SHA-256 suficientemente seguro?

SHA-256 es el estándar de facto en seguridad criptográfica. Es el mismo algoritmo que utiliza Bitcoin para asegurar sus transacciones, el que usan los certificados SSL/TLS que protegen las conexiones bancarias, y el recomendado por el NIST (Instituto Nacional de Estándares y Tecnología de EE.UU.) para aplicaciones de seguridad. En el estado actual de la computación, es computacionalmente imposible generar dos documentos diferentes con el mismo hash SHA-256 (colisión), lo que garantiza la unicidad de cada huella.

Hash del documento original vs hash del documento firmado

Un detalle técnico importante: firmaSimple registra tanto el hash del documento original (antes de la firma) como el hash del documento firmado (que incluye la imagen de la firma del destinatario integrada en el PDF). El certificado de auditoría referencia el hash del documento firmado final, que es el que tiene valor probatorio completo.

En el caso de firmas múltiples, cada firmante genera un nuevo hash del documento acumulado, de forma que el certificado registra la cadena completa de transformaciones del documento.

¿Necesito entender la criptografía para usar firmaSimple?

En absoluto. Todo esto ocurre de forma automática y transparente. Cada vez que alguien firma un documento con firmaSimple, el hash se calcula y registra sin que el usuario tenga que hacer nada. Solo necesitas saber que existe y que, si alguna vez lo necesitas, tienes una prueba matemáticamente irrefutable de la integridad de tu documento.