MD5 y SHA-256 son ambas funciones de hash que resumen datos en una huella de longitud fija, pero tienen objetivos distintos. MD5 es de 128 bits y rápido, pero como se pueden provocar colisiones de forma artificial ha quedado obsoleto para usos de seguridad. SHA-256 es de 256 bits y un estándar seguro para el que hasta ahora no se conocen ataques prácticos.
Si solo se trata de comprobar si un archivo se ha dañado accidentalmente o de una clave de caché para detectar rápidamente datos duplicados, MD5 y CRC32 son suficientes, porque su cálculo es rápido y el resultado es corto y cómodo de manejar.
En cambio, en cuanto interviene la seguridad —firmas digitales, certificados, almacenamiento de contraseñas, integridad de tokens— hay que usar obligatoriamente SHA-256 o superior. Porque si un atacante puede crear datos falsos con el mismo hash, la propia verificación pierde todo sentido.
En resumen, el principio básico es MD5 para una comprobación de integridad rápida y SHA-256 cuando se necesita seguridad. Cuando no estés seguro, lo más prudente es elegir SHA-256. AG HASH muestra ambos valores a la vez, así que puedes elegir el que convenga según la situación.