🔓 Crackear hash MD5 · guía técnica
MD5 es un hash criptográfico de 128-bit obsoleto pero todavía omnipresente en sistemas legacy, password storage antiguo y algunos protocolos. Esta guía explica cómo crackear hashes MD5 en 2026: hashcat con GPU, rainbow tables, online lookups, y cuándo conviene cada approach.
Por qué MD5 está "roto" pero todavía omnipresente
- Password storage en sistemas legacy (PHP < 5.5, MySQL antigüo)
- File integrity checksums (NO security pero verificación)
- Versiones antiguas de WordPress, Joomla, Drupal
- Sistemas internos custom que nadie auditó
Para passwords almacenados como MD5 simple, recovery es trivial. Para usos de integrity (no security), MD5 sigue válido.
Throughput hashcat MD5 en hardware moderno
| Hardware | Throughput MD5 | Wordlist 1G entries |
| CPU i7 single-thread | ~10M/s | 100s |
| RTX 3060 | ~25 G/s | 40ms |
| RTX 3090 | ~65 G/s | 15ms |
| RTX 4090 | ~165 G/s | 6ms |
Una RTX 3090 prueba 65 mil millones de candidates por segundo. Eso significa: brute force completo de 8 chars lowercase:
26^8 / 65G = 3.2s. Nada de seguridad real con MD5 simple.Hashcat commands para MD5
# MD5 raw (sin salt)
hashcat -m 0 hash.txt rockyou.txt
# MD5 con salt (formato hash:salt)
hashcat -m 10 hash.txt rockyou.txt
# MD5 dobre (md5(md5($pass)))
hashcat -m 2600 hash.txt rockyou.txt
# WordPress (phpass MD5-based)
hashcat -m 400 hash.txt rockyou.txt
# vBulletin
hashcat -m 2611 hash.txt rockyou.txt
Para MD5 raw + RockYou: completo en <2 segundos. Si la password está en RockYou, la recuperás. Si no: máscara o brute force.
Rainbow tables vs GPU brute force
Pros: lookup instantáneo (microseconds vs minutos GPU brute).
Contras: requieren disk space, NO funcionan con MD5+salt, no funcionan con passwords muy largas (>9 chars típicamente).
Proyecto público:
RainbowCrack (CMU), tables de Ophcrack para Windows LM/NTLM.Hashcat con GPU ha hecho rainbow tables casi obsoletas para MD5 simple. RTX 3090 hace brute force de 8 chars en segundos = competitive con table lookup pero más flexible (cualquier hash, cualquier longitud).
Online lookups: NEVER PAY
Utilidad real: para passwords débiles del top 10 millones (LinkedIn 2012, Adobe 2013, etc.), 95%+ están en estas DBs.
NUNCA pagues servicio que ofrezca "crack hash MD5" — Crackstation, hashes.com, hashtoolkit.com son free para single hashes.
Cuándo MD5 NO es trivial: sal larga + iteraciones
| Algorithm | RTX 3090 a/seg |
| MD5 raw | 65 G/s |
| md5crypt (Apache) | ~50M/s |
| phpass (WordPress) | ~25M/s |
| MD5 + 100K iterations | ~650K/s |
Mejor approach para MD5 "hardened": misma estrategia que wallet.dat — wordlist + máscara + recordar partial. Sin patterns, claves random 10+ chars son inviables aunque sea MD5 base.
Preguntas frecuentes
¿MD5 sigue siendo seguro para passwords?
NO. Mover a bcrypt, scrypt, argon2 (designed para password hashing). MD5 raw para passwords es prácticamente plain-text en 2026.
¿Y MD5 para checksums/integrity?
Para integrity (no security), MD5 sigue válido. Si solo querés verificar que un archivo no se corrompió, MD5 alcanza. Para criptografía o seguridad, NO.
¿Cuál es el mejor hash para passwords today?
Argon2id (winner Password Hashing Competition 2015) es el estándar. Bcrypt sigue válido (más simple). Scrypt OK pero menos preferido. NUNCA MD5/SHA1/SHA256 raw para passwords.
¿Recuperan hashes MD5 con salt si no conozco el salt?
Si el hash incluye el salt en el formato (hash:salt), sí trivial. Si el salt es desconocido, depende del schema (algoritmo qué hace con el salt).
¿Cuánto sale crackear miles de hashes MD5?
Para volume bulk (auditoría password databases), tarifa por GB de hashes. Contactanos para volume custom. Para hashes únicos: usá Crackstation free.
¿Tu caso es complejo? Te ayudamos
Cluster GPU 5×RTX 3090 + ingeniero ML. USD 35 diagnóstico, USD 2000 AI Scan, success fee 30-40% solo si recuperamos.
🔐 Wallet Recovery →