OPCIONARIO Enciclopedia de Opciones
opcionsigma.com
Cripto

Wallets (Hot vs Cold)

Cómo custodiar criptomonedas de forma segura — claves privadas, hot wallets, cold wallets, seed phrases y las mejores prácticas para no perder tus fondos por negligencia.

Claves Privadas, Públicas y Direcciones

Cada wallet cripto es fundamentalmente una pareja criptográfica de clave pública / clave privada. La clave pública se usa para derivar una dirección (el equivalente a un número de cuenta bancaria) a la que otros pueden enviar fondos. La clave privada es un número aleatorio de 256 bits que permite firmar transacciones criptográficamente, demostrando que eres el dueño de los fondos sin revelar la clave misma. El principio absoluto y no-negociable del cripto es: quien tenga acceso a la clave privada, controla los fondos. Esta es la base de la frase "not your keys, not your coins", acuñada por Andreas Antonopoulos. Si dejas cripto en un exchange centralizado, el exchange tiene la clave privada —tú tienes una IOU (I owe you) respaldada por la integridad de la empresa. FTX, Mt. Gox, Celsius, Voyager y una larga lista de quiebras demostraron repetidamente que esta promesa puede romperse catastróficamente. La autonomía real —y la responsabilidad que viene con ella— requiere controlar tus propias claves. La tecnología moderna de wallets deriva muchas direcciones de una sola clave maestra mediante estándares como BIP32/BIP39/BIP44, simplificando la gestión sin sacrificar seguridad.

Wallets — Matriz Hot/Cold × Custodial/Non-Custodial Hot · Custodial Exchange wallets (Coinbase, Binance) Máximo riesgo · Más conveniente Hot · Non-Custodial MetaMask · Phantom · Rabby Tú custodias pero expuesto a web Cold · Custodial Custodia institucional (Fireblocks) Delega cold storage a tercero Cold · Non-Custodial ★ Ledger · Trezor · Lattice · Paper Máxima seguridad · Full control HOT (online) COLD (offline) Not your keys, not your coins — los exchanges pueden quebrar (FTX, Mt. Gox, Celsius)

Hot Wallets: Software y Exchange

Una hot wallet es cualquier wallet cuya clave privada está expuesta en un dispositivo conectado a internet. Las más comunes: MetaMask (dominante en Ethereum y EVM chains), Phantom (Solana), Trust Wallet (mobile multi-chain), Rabby (alternativa a MetaMask con mejor UX para DeFi), Rainbow (mobile, Ethereum), Keplr (ecosistema Cosmos), y las wallets integradas de exchanges como Coinbase Wallet, Binance Wallet, Bitget Wallet. Las wallets de exchange (dejar tus fondos en Coinbase, Binance, Kraken) son el tipo más conveniente pero también el más riesgoso: la contraparte custodia tu dinero y puede congelar, perder o malversar los fondos. Las ventajas de hot wallets legítimas son claras: convenientes, rápidas, ideales para interactuar con DeFi, NFTs y dApps en general, muy bajo (o cero) costo. Las desventajas estructurales: superficie de ataque enorme —malware, phishing, extensiones de navegador comprometidas, transacciones maliciosas ofuscadas, approvals infinitos que olvidaste revocar, compromiso del exchange si usas una de ellas. La regla práctica profesional: mantén en hot wallet solo la cantidad que necesitas para operar en el día a día (5-10% del total, típicamente).

Cold Wallets: Hardware y Paper

Una cold wallet mantiene la clave privada offline, fuera del alcance de cualquier malware conectado a internet. Las más comunes son las hardware wallets: dispositivos dedicados que generan y almacenan la clave privada en un chip seguro (Secure Element), y firman transacciones en el dispositivo sin exponer la clave al computador. Las marcas principales son Ledger (Nano S Plus, Nano X), Trezor (Model T, Safe 3), Lattice (GridPlus), BitBox02, Keystone, y Cypherock (con un novedoso modelo de shard-based backup). Proceso típico: conectas el hardware al computador (o lo parea via Bluetooth/QR), inicias una transacción en tu wallet software, pero la transacción debe confirmarse físicamente presionando un botón en el hardware después de verificar los detalles en su pantalla. Incluso si el computador está 100% comprometido, el atacante no puede extraer la clave ni firmar sin tu confirmación física. Las paper wallets (claves escritas físicamente en papel) también son cold pero frágiles: vulnerables a pérdida, incendio, agua, y propensas a errores al reintroducir la clave manualmente. Para holdings significativos (>10% del patrimonio líquido), una hardware wallet es no-negociable. Comprar directamente del fabricante, nunca en Amazon o revendedor (por riesgo de supply chain attack).

Seed Phrases y Recuperación

La seed phrase (también llamada recovery phrase o mnemonic) es una secuencia de 12 o 24 palabras en inglés —extraídas del diccionario estandarizado BIP39 de 2048 palabras— que representa la clave maestra de tu wallet en formato legible por humanos. A partir de esa frase, cualquier wallet compatible (Ledger, Trezor, MetaMask, etc.) puede regenerar todas tus direcciones y acceder a todos tus fondos en cualquier blockchain. La frase es el backup maestro: si pierdes el dispositivo, la conservas, la usas para restaurar en otro wallet, y recuperas todo. La fortaleza de todo el sistema depende completamente de proteger esta frase. Reglas absolutas: (1) nunca la escribas o guardes en formato digital —no en email, no en Notes de iCloud, no en una foto de teléfono, no en Google Drive, no en una gestión de contraseñas; (2) nunca la compartas con "soporte técnico" —ningún empleado legítimo de ninguna wallet la solicitará, jamás; (3) nunca la introduzcas en un sitio web que no sea la wallet oficial restaurando desde backup. Los metal backups (placas de acero o titanio con las palabras grabadas) son el estándar profesional: resisten fuego, agua, corrosión y el paso del tiempo por décadas. Productos populares: Cryptosteel, Blockplate, Steelwallet. Para seguridad adicional: dividir la frase en shards con esquemas tipo Shamir Secret Sharing.

Buenas Prácticas de Seguridad

La seguridad en cripto es una práctica, no un producto. Las mejores prácticas profesionales incluyen: (1) Multi-wallet strategy —separar por propósito: una hot wallet pequeña para trading/DeFi diario (5-10% del total), una cold wallet para holdings de medio plazo (30-40%), y una cold wallet de máxima seguridad (air-gapped, multi-sig) para savings de largo plazo (50-60%). (2) Multi-sig —usar Gnosis Safe (ahora Safe) o alternativas para requerir múltiples firmas en transacciones grandes; esencial para patrimonios significativos, tesorerías de DAOs, o custodia compartida entre socios. (3) Verificación de direcciones —verificar carácter por carácter las primeras 4 y últimas 4 letras antes de enviar; malware de "address poisoning" puede insertar direcciones muy similares en tu historial. (4) Desconfiar de todo airdrop no solicitado —interactuar con un token desconocido puede ejecutar aprobaciones maliciosas que drenan el wallet. (5) Wallets separados para dApps riesgosas —no uses tu main wallet para probar un protocolo nuevo; usa un burner wallet con fondos mínimos. (6) 2FA no-SMS —usa apps (Authy, Google Authenticator) o hardware keys (Yubikey); SMS es vulnerable a SIM swap. (7) Revocación periódica de aprobaciones —usa Revoke.cash o similares mensualmente para cerrar approvals viejos de DeFi. (8) Passphrase adicional en hardware wallets (BIP39 passphrase) para crear un wallet oculto, defensa contra coerción física.

Vectores de Ataque Comunes y Cómo Evitarlos

Conocer cómo pierde la gente cripto es la mejor defensa. Vectores principales: (1) Phishing —sitios falsos (metamask.io vs metamask-wallet.com) que te piden la seed phrase o te hacen firmar una transacción maliciosa; siempre accede por bookmarks verificados, nunca por links de email, Discord o Twitter. (2) SIM swap —el atacante convence a tu operadora de transferir tu número a su SIM, luego intercepta 2FA SMS y resetea contraseñas de exchanges; por eso NUNCA uses SMS como 2FA para cripto. (3) Apps maliciosas en app stores —a veces fakes de wallets legítimas con skimmer incorporado; descarga solo desde links oficiales y verifica checksums. (4) Clipboard malware —código que monitorea tu portapapeles y reemplaza direcciones copiadas por la del atacante; verifica siempre antes de enviar. (5) Seed phrase leak en backups cloud —iCloud, Google Drive, OneDrive son regularmente hackeados a escala; nunca pongas la frase ahí. (6) Transacciones maliciosas —muchas "gasless claims" o "airdrops" son approvals que te vacían el wallet; simula toda transacción en Rabby o usa Pocket Universe antes de firmar. (7) Social engineering —alguien en Discord que se hace pasar por soporte oficial; el soporte real jamás te DM primero. (8) Ataques físicos en casos extremos (5 wrench attack) —mantén anonimidad sobre tus holdings, no alardees en redes sociales, considera passphrase extra que te permita mostrar un "decoy wallet" con fondos limitados.

Explorar más

Términos Relacionados

Exchanges CEX vs DEXBitcoinDeFi (Finanzas Descentralizadas)