Todos los artículos
Integridad de documentos9 de julio de 2026 8 min de lectura

Criptografía de documentos — hash, firma digital y sellado de tiempo (qué prueba cada uno)

Disponible también en:中文РусскийBahasa Indonesiaहिन्दीFrançaisEnglishPortuguêsবাংলাالعربية

"¿Este documento tiene validez jurídica?" — la pregunta aparece cada semana en cualquier oficina que trabaja con PDF. Y la respuesta correcta depende de entender tres mecanismos criptográficos diferentes que la gente mezcla todo el tiempo: el hash, la firma digital y el sellado de tiempo.

Cada uno prueba una cosa distinta. Usar el equivocado — o creer que uno sustituye al otro — es el tipo de descuido que solo aparece cuando el documento es impugnado. Esta guía explica los tres sin tecnicismos, muestra qué prueba cada uno (y qué no prueba) y enumera los errores prácticos que invalidan una firma digital sin que nadie lo note.

Las tres preguntas que un documento digital debe responder

Cuando un documento se convierte en evidencia — en una negociación, una auditoría, un proceso — las dudas sobre él son siempre variaciones de tres preguntas:

  1. Integridad — ¿este archivo es exactamente el mismo, sin ninguna alteración?
  2. Autoría — ¿quién produjo o consintió este contenido?
  3. Anterioridad — ¿este contenido ya existía en determinada fecha?

La criptografía moderna tiene un instrumento para cada pregunta. Vamos con ellos.

Instrumento 1 — Hash: la prueba de integridad

El hash SHA-256 es una "huella digital" matemática del archivo: una secuencia de 64 caracteres calculada a partir del contenido. Cualquier alteración en el documento — una coma — produce un hash completamente diferente. Ya publicamos una guía completa sobre el hash SHA-256 y la verificación de integridad; lo esencial:

  • Prueba: que el contenido es idéntico, bit a bit, al que existía cuando el hash fue registrado;
  • No prueba: quién creó el archivo, ni cuándo;
  • Costo: cero — puedes calcular el hash de cualquier archivo en el navegador, en segundos, sin enviar el documento a ningún lado.

El hash es el cimiento de los otros dos mecanismos: tanto la firma digital como el sellado de tiempo funcionan, por dentro, firmando o fechando el hash del documento.

Instrumento 2 — Firma digital: la prueba de autoría

Aquí entra la criptografía asimétrica (o de clave pública), y vale la pena entender la idea porque es elegante:

Cada persona tiene un par de claves matemáticamente ligadas: una clave privada, que solo ella posee, y una clave pública, que cualquiera puede conocer. Lo que una clave cifra, solo la otra lo descifra.

La firma digital usa esto de forma ingeniosa:

  1. El programa calcula el hash del documento;
  2. Ese hash se cifra con la clave privada del firmante — eso es la firma;
  3. Quien recibe el documento descifra la firma con la clave pública del firmante y la compara con el hash recalculado del archivo.

Si coincide, dos cosas quedan probadas a la vez: el documento no fue alterado desde la firma (integridad) y la firma solo pudo hacerla quien posee la clave privada (autoría).

Falta un eslabón: ¿cómo saber que esa clave pública pertenece realmente a esa persona? Ese es el papel del certificado digital — un documento electrónico, emitido por una Autoridad de Certificación, que vincula la clave pública a la identidad del titular. El marco legal varía según el país: en la Unión Europea, el reglamento eIDAS define la firma electrónica cualificada; en México existe la e.firma; en Argentina, Colombia, Perú y Chile hay esquemas nacionales de firma digital con certificados acreditados. La criptografía de fondo es la misma en todas partes.

  • Prueba: autoría/consentimiento + integridad desde el momento de la firma;
  • No prueba: que el contenido existiera antes de la firma, ni la fecha con fuerza independiente (el reloj de la computadora del firmante no es evidencia sólida);
  • Costo: los certificados cualificados suelen ser de pago; varios países ofrecen esquemas estatales gratuitos o de bajo costo.

Instrumento 3 — Sellado de tiempo: la prueba de anterioridad

El sellado de tiempo (timestamp) responde la pregunta que los otros dos no responden: "¿este documento ya existía en esta fecha?"

Funciona así: el hash del documento se envía a una Autoridad de Sellado de Tiempo — un servicio con reloj auditado y confiable, bajo el estándar RFC 3161 — que devuelve el hash firmado junto con la fecha y hora oficiales. Fíjate en el detalle importante para la privacidad: solo viaja el hash, nunca el documento. La autoridad sella la huella digital sin ver jamás el contenido.

  • Prueba: que ese contenido exacto existía, como máximo, en esa fecha y hora;
  • No prueba: autoría;
  • Costo: suele ser un servicio de pago, ofrecido por autoridades de sellado en todo el mundo.

Resumen práctico: qué instrumento usar para cada necesidad

  • "Quiero probar que el archivo no cambió" → hash SHA-256. Regístralo temprano, en un lugar difícil de cuestionar (correo a la otra parte, informe compartido), y compruébalo después en el verificador de integridad.
  • "Quiero probar que fulano consintió este contenido" → firma digital (cualificada o reconocida legalmente en tu jurisdicción).
  • "Quiero probar que este contenido existía antes de determinada fecha" → sellado de tiempo.
  • "Quiero todo eso" → los tres se combinan: un contrato firmado digitalmente con sellado de tiempo lleva autoría, integridad y fecha.

El error que invalida firmas digitales (y casi nadie nota)

Aquí va la advertencia más valiosa de este artículo para el día a día de la oficina:

Cualquier manipulación de un PDF firmado digitalmente rompe la firma. Recuerda cómo funciona: la firma es el hash del documento, cifrado. Si el documento cambia, el hash cambia, y la firma deja de verificar. Eso significa que, en un PDF ya firmado:

La regla de oro: toda manipulación viene antes de la firma. Arma el documento final — une los anexos, convierte las imágenes a PDF, comprime, ordena las páginas — y solo entonces recoge las firmas digitales. Si hay que cambiar algo después, habrá que firmar de nuevo.

Y el corolario: si recibiste un PDF firmado y necesitas una versión más pequeña o parcial para trabajar, guarda el original intacto (registra su hash en el verificador) y manipula solo copias de trabajo.

Criptografía de confidencialidad: la contraseña del PDF

Además de integridad, autoría y fecha, hay una cuarta necesidad — confidencialidad — atendida por la criptografía simétrica: cifrar el PDF con contraseña (estándar AES-256), de modo que solo quien tiene la contraseña abre el contenido.

Dos observaciones prácticas:

  1. La contraseña protege el secreto, no la integridad ni la autoría — un archivo con contraseña todavía puede ser sustituido por otro con la misma contraseña;
  2. La fuerza de la protección es la fuerza de la contraseña. "1234" en AES-256 sigue siendo "1234".

Para documentos con datos personales, el secreto tiene peso legal: el RGPD en Europa y las leyes de protección de datos de cada país tratan la protección de datos como obligación, no cortesía. El mecanismo más fuerte de confidencialidad es arquitectónico: que el documento nunca salga de tu máquina.

Cómo RoseLab aplica estos conceptos

RoseLab fue construido sobre dos principios criptográficos discutidos aquí:

  • Procesamiento 100% local: comparar dos PDF, unir, dividir, comprimir y verificar hashes ocurren dentro de tu navegador. Ningún documento se envía a servidores — confidencialidad por arquitectura, no por promesa;
  • Verificabilidad: el informe de comparación imprime el hash SHA-256 de las dos versiones comparadas, y cualquier persona puede recalcular esos hashes de forma independiente en el verificador público. No necesitas confiar en nadie: las matemáticas se comprueban solas.

En la práctica, un flujo de revisión robusto queda así: recibe las dos versiones del documento → registra los hashes → compáralas con resaltado automático de diferencias → genera el informe con los hashes impresos → archiva informe + originales. Quien impugne la revisión puede rehacerla entera, solo — el método completo está en el flujo completo para comparar documentos.

Preguntas frecuentes

¿Un documento digital sin firma tiene validez? En la mayoría de las jurisdicciones, la validez jurídica no depende de una forma específica para la mayor parte de los actos privados — correos, PDF e incluso mensajes sirven como prueba, valorados en conjunto. La firma digital y el sellado de tiempo fortalecen la prueba; su ausencia no la anula automáticamente. Para actos específicos, la ley local puede exigir firma cualificada — verifica las reglas que te aplican.

¿Una firma escaneada (foto de la firma en papel) es una firma digital? No. La imagen de una firma pegada en un PDF es solo una figura, sin ninguna propiedad criptográfica — puede copiarse de un documento a otro. La firma digital es el mecanismo matemático descrito arriba, con certificado.

¿Un hash registrado en un correo sirve como evidencia? Sirve como indicio fuerte de integridad: el correo tiene fecha, destinatario y queda registrado en servidores de terceros (los proveedores de correo). Si el hash del archivo presentado después coincide con el hash enviado en su momento, la alegación de adulteración se vuelve muy difícil de sostener. La comprobación toma segundos en el verificador.

¿Comprimir un PDF cambia el hash? Sí — la compresión reescribe el archivo, así que el hash cambia (y las firmas digitales se rompen). Por eso registra el hash del archivo final, después de todas las manipulaciones, o guarda el original y la versión comprimida con los dos hashes anotados.

¿Cuál es la diferencia entre criptografía simétrica y asimétrica? Simétrica: la misma contraseña cifra y descifra (es la contraseña del PDF, el AES-256). Asimétrica: un par de claves, una pública y una privada — base de la firma digital y de los certificados. El hash no es ni una ni otra: es una función de resumen, de un solo sentido, usada como bloque de construcción por las dos.

¿Listo para ponerlo en práctica?

Gratis, sin registro — y tus archivos nunca salen de tu computadora.

Comprobar la integridad de un documento ahora — gratis