Cómo identificar un hash desconocido: guía práctica
¿Tienes un hash misterioso? Aprende las señales que revelan su tipo —longitud, conjunto de caracteres y prefijos como $2y$ o $6$— e identifícalo de forma privada en tu navegador.
Un hash por sí solo no es más que una cadena de caracteres. Antes de poder auditarlo, documentarlo o intentar recuperar la contraseña que esconde, necesitas saber de qué tipo de hash se trata. La identificación consiste en leer un resumen y deducir qué algoritmo lo generó. Si aciertas, cada paso posterior resulta sencillo; si fallas, tu herramienta de descifrado trabajará eternamente contra el formato equivocado.
Las señales que revelan el tipo de hash
Tres propiedades hacen casi todo el trabajo.
La longitud. Un hash en bruto tiene un ancho fijo una vez codificado en hexadecimal. Una cadena hexadecimal de 32 caracteres es casi siempre MD5; 40 caracteres apuntan a SHA-1; 64 a SHA-256; 128 a SHA-512. NTLM, usado por Windows, también tiene 32 caracteres hexadecimales, y por eso la longitud nunca es la respuesta definitiva.
El conjunto de caracteres. Hexadecimal puro (0–9, a–f) sugiere un resumen en bruto. Una mezcla de mayúsculas, minúsculas, dígitos y + o / sugiere codificación Base64. Los puntos, signos de dólar y dos puntos suelen indicar un formato estructurado y con sal en lugar de un resumen simple.
Prefijos y estructura. Los formatos modernos de contraseñas se anuncian a sí mismos. Una cadena que empieza por $2y$, $2a$ o $2b$ es bcrypt. Un $6$ inicial marca sha512crypt; $1$ marca md5crypt. Tres segmentos Base64 separados por puntos son casi con certeza un token web JSON. Estas cadenas estructuradas incrustan la sal, el factor de coste y el resumen en una sola línea autodescriptiva.
$2y$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy
El ejemplo anterior es bcrypt: el identificador $2y$, el factor de coste 10 y la sal de 22 caracteres seguida del resumen son visibles de un vistazo.
Identificar un hash sin filtrarlo
Pegar el hash de una credencial en una web cualquiera es un riesgo real: muchos sitios de «búsqueda de hash» registran todo lo que reciben. Este sitio evita ese problema por completo. El identificador de la página de inicio se ejecuta en WebAssembly dentro de tu navegador: el hash se analiza localmente y nunca sale de tu máquina. Obtienes una coincidencia instantánea entre decenas de formatos sin exposición alguna.
Si prefieres trabajar sin conexión, la misma lógica sustenta las herramientas de línea de comandos. John the Ripper adivina un formato automáticamente, y el identificador que ofrecemos aquí reproduce ese comportamiento para que el resultado coincida con la herramienta que realmente vas a usar.
Qué hacer una vez conocido el tipo
La identificación es solo el primer paso. Una vez tengas una coincidencia segura, abre la página correspondiente en el índice de tipos de hash para obtener los comandos listos para ejecutar. Cada página indica el modo -m correcto de hashcat y el nombre de formato de John the Ripper, de modo que puedas pasar directamente a la recuperación.
A partir de ahí, la elección de la herramienta importa. Lee hashcat frente a John the Ripper para decidir qué motor encaja con tu hardware, y repasa el concepto de diccionario antes de lanzar tu primer ataque. Comprender la estructura que acabas de identificar —en especial si el hash lleva una sal— ya dice mucho sobre lo difícil que será la recuperación.