Más criptomonedas se han perdido por errores de custodia que por hackeos de exchanges o caídas del mercado. La pregunta cómo guardar criptomonedas de forma segura no tiene una respuesta única — la respuesta correcta depende de cuánto tienes, cómo lo usas y qué nivel de responsabilidad estás dispuesto a asumir. Esta guía te da el marco completo para decidir correctamente.
💡 Contexto: Este artículo es el pilar del clúster sobre seguridad. Para conocer las estafas que más criptomonedas roban, consulta las estafas más comunes en cripto y cómo protegerse. Para entender las diferencias de seguridad entre exchanges, lee exchanges descentralizados vs centralizados.
El principio fundamental: «Not your keys, not your coins»
Esta frase es el axioma más importante de la seguridad cripto. Si no controlas las claves privadas de tus criptomonedas, no las controlas realmente — quien tenga las claves tiene el control. Cuando guardas criptomonedas en un exchange (Coinbase, Kraken, Binance), el exchange tiene las claves privadas y tú tienes un saldo en su sistema. Si el exchange quiebra, es hackeado o congela los retiros, tus fondos están en riesgo. La historia cripto está llena de exchanges que desaparecieron con los fondos de sus clientes: Mt. Gox (2014), QuadrigaCX (2019), FTX (2022). La custodia propia, aunque más compleja, es la única forma de tener control real sobre tus fondos.
Los tipos de wallets: del más cómodo al más seguro
Wallets custodiales en exchanges
Cuando compras en un exchange y no retiras, el exchange custodia tus fondos. Es la opción más cómoda — accedes con usuario y contraseña, puedes comprar y vender con un clic, y si olvidas la contraseña hay recuperación. También es la más expuesta al riesgo de contraparte: el riesgo de que el exchange quiebre, sea hackeado o congele los retiros. Adecuada para: cantidades pequeñas que operas activamente, y como punto de entrada al ecosistema. No adecuada para: guardar cantidades significativas a largo plazo.
Wallets de software (hot wallets)
Son aplicaciones para móvil u ordenador donde controlas tus propias claves privadas. Las más populares son MetaMask (para Ethereum y redes compatibles), Electrum (Bitcoin), Trust Wallet y Exodus. Son gratuitas, fáciles de usar y dan acceso a DeFi y dApps. El riesgo principal es que están conectadas a internet (por eso se llaman «hot wallets») — si tu dispositivo tiene malware o si instalas una aplicación maliciosa, las claves privadas pueden ser robadas. Adecuada para: uso diario de DeFi, cantidades de trabajo menores a 2.000-3.000 €. No adecuada para: guardar ahorros significativos a largo plazo.
Wallets de hardware (cold wallets)
Son dispositivos físicos especializados — parecidos a un USB — diseñados específicamente para almacenar claves privadas de forma offline. Las marcas más reputadas son Ledger (Nano S Plus, Nano X) y Trezor (Model One, Model T). Las claves privadas se generan dentro del dispositivo y nunca salen de él — incluso cuando firmas una transacción, la clave privada se queda en el hardware. Si tu ordenador está infectado con malware, las claves de tu hardware wallet siguen seguras. Adecuada para: cualquier cantidad que no vayas a usar activamente, especialmente por encima de 2.000-3.000 €. El coste es de 60-150 €.
Paper wallets y cold storage extremo
Para quienes quieren el máximo nivel de seguridad para grandes cantidades, el cold storage extremo implica generar las claves privadas en un ordenador que nunca ha estado y nunca estará conectado a internet (air-gapped), imprimirlas en papel y guardarlas en una caja fuerte. Es la opción más segura contra ataques remotos, pero la más vulnerable a riesgos físicos (fuego, robo, deterioro del papel). Empresas e instituciones que custodian grandes cantidades cripto usan cámaras de seguridad, múltiples copias geográficamente distribuidas y esquemas de firmas múltiples (multisig).
| Tipo de wallet | Seguridad online | Seguridad física | Facilidad de uso | Para cuánto capital |
|---|---|---|---|---|
| Exchange custodial | Media | Alta | Muy alta | < 1.000 € |
| Software (hot) wallet | Media-alta | Media | Alta | < 3.000 € |
| Hardware (cold) wallet | Muy alta | Media-alta | Media | > 3.000 € |
| Cold storage extremo | Máxima | Requiere planificación | Baja | > 50.000 € |
La seed phrase: tu responsabilidad más crítica
Cuando creas una wallet no custodial (software o hardware), recibes una seed phrase — entre 12 y 24 palabras en inglés en un orden específico. Esta secuencia es el respaldo completo de tu wallet: con ella puedes recuperar todos tus fondos en cualquier dispositivo compatible, incluso si el original se pierde o rompe. Sin ella, si pierdes el acceso al dispositivo, los fondos son irrecuperables para siempre.
Las reglas absolutas de la seed phrase
Regla 1: Escríbela en papel en el momento en que aparece, antes de hacer nada más. Regla 2: Nunca la fotografíes, nunca la guardes en el móvil, nunca la escribas en ningún servicio digital (email, notes, cloud, Whatsapp). Regla 3: Haz al menos dos copias físicas y guárdalas en lugares distintos (por ejemplo, en casa y en casa de un familiar de confianza, o en una caja de seguridad bancaria). Regla 4: Comprueba que has copiado las palabras correctamente — un error ortográfico puede hacer irrecuperable la wallet. Regla 5: Nunca la introduzcas en ningún sitio web, aplicación o formulario que te la pida — ningún servicio legítimo jamás necesita tu seed phrase.
Fotografiar la seed phrase con el móvil y guardarla en Google Photos o iCloud. Si tu cuenta de Google o Apple es hackeada (algo mucho más probable que hackear un hardware wallet correctamente usado), el atacante tiene acceso a tu seed phrase y, en segundos, a todos tus fondos. Decenas de millones de euros en criptomonedas se han perdido exactamente así. La seed phrase solo debe existir en papel físico, en lugar seguro y fuera de cualquier dispositivo digital.
Cómo usar un hardware wallet correctamente
El proceso de configuración de un hardware wallet tiene pasos críticos. Primero, cómpralo siempre directamente del fabricante oficial (Ledger.com o Trezor.io) — los dispositivos de segunda mano o de vendedores no verificados pueden estar comprometidos. Segundo, al configurarlo por primera vez, la seed phrase se genera dentro del dispositivo y se muestra en su pantalla — escríbela en ese momento siguiendo las reglas anteriores. Tercero, verifica que la seed phrase es correcta haciendo el proceso de recuperación de prueba antes de enviar fondos. Cuarto, establece un PIN seguro para el dispositivo — sin él, alguien que tenga físicamente el hardware wallet no puede acceder a los fondos.
Para usar el hardware wallet en transacciones: conectas el dispositivo al ordenador, verificas en la pantalla del dispositivo (no del ordenador) los detalles de la transacción, y confirmas físicamente en el dispositivo. Este proceso de verificación en el propio hardware es lo que hace imposible que un malware en el ordenador modifique la dirección de destino — tú ves y confirmas la dirección real en la pantalla del dispositivo antes de firmar.
La estrategia de custodia por niveles
La estrategia óptima para la mayoría de inversores cripto combina varios niveles de custodia según el uso de los fondos. El nivel 1 — fondos operativos — son pequeñas cantidades en un exchange regulado para comprar, vender o usar activamente. El nivel 2 — fondos activos — son cantidades de trabajo en una hot wallet (software wallet) para acceder a DeFi o dApps. El nivel 3 — ahorros cripto — el grueso de la inversión a largo plazo en una hardware wallet con la seed phrase correctamente protegida. El nivel 4 — grandes patrimonios — multisig o cold storage especializado con múltiples copias geográficamente distribuidas.
Multisig: la seguridad para grandes cantidades
La firma múltiple (multisig) es una configuración de wallet que requiere la firma de múltiples claves privadas para autorizar una transacción. Por ejemplo, una wallet 2-de-3 requiere que 2 de las 3 claves privadas designadas firmen para mover fondos. Esto significa que un atacante tendría que comprometer simultáneamente múltiples dispositivos en distintas ubicaciones para robar los fondos — un nivel de seguridad prácticamente insuperable para atacantes remotos. También protege de la pérdida accidental: si pierdes una de las tres claves, aún puedes acceder con las otras dos. El estándar más usado en Bitcoin para multisig institucional es el esquema Taproot con Bitcoin Script. Para Ethereum, protocolos como Gnosis Safe permiten multisig con interfaz amigable.
Cómo configurar correctamente la autenticación de dos factores (2FA)
La autenticación de dos factores es la segunda línea de defensa más importante después de una contraseña robusta para cualquier cuenta de exchange o servicio cripto. El 2FA requiere que, además de la contraseña, introduzcas un código que cambia cada 30 segundos generado por una app en tu dispositivo. Hay tres tipos de 2FA y no todos son iguales en seguridad. El 2FA por SMS es el más débil — los atacantes pueden hacer «SIM swapping» para recibir tus códigos. El 2FA por app de autenticación (Google Authenticator, Authy, 2FAS) es mucho más seguro y es el estándar recomendado. El 2FA por hardware (YubiKey) es el más seguro de todos, utilizado por usuarios con activos significativos.
Al configurar el 2FA por app, recibirás códigos de respaldo — guárdalos con el mismo cuidado que la seed phrase. Si cambias de teléfono sin transferir el autenticador, perderás el acceso a todas las cuentas asociadas. Authy tiene la ventaja de permitir backup cifrado de los códigos, lo que facilita la recuperación ante pérdida del dispositivo.
La herencia de las criptomonedas: un problema que pocas personas resuelven
La custodia propia de criptomonedas plantea un problema que los activos financieros tradicionales no tienen: si falleces sin dejar acceso a tus claves, tus herederos no pueden acceder a los fondos. A diferencia de una cuenta bancaria (donde la entidad puede gestionar el proceso de herencia con documentación legal), una hardware wallet sin seed phrase es inaccesible para siempre. Planificar la herencia cripto requiere: documentar qué wallets tienes y qué hay en ellas, proporcionar acceso seguro a la seed phrase a personas de confianza (ya sea directamente o a través de un sistema de custodia dividida), e informar a tus herederos de que existen estos activos y cómo acceder a ellos. Un abogado especializado en planificación patrimonial puede ayudar a estructurar este proceso de forma que proteja tanto la seguridad actual (la seed phrase no debe ser accesible a nadie mientras vives) como el acceso futuro en caso de fallecimiento.
Preguntas frecuentes
¿Qué pasa si pierdo mi hardware wallet?
Si tienes la seed phrase guardada correctamente, perder el hardware wallet es un inconveniente, no una catástrofe. Compras un nuevo dispositivo (de la misma o diferente marca compatible), introduces la seed phrase durante la configuración inicial, y recuperas acceso completo a todos tus fondos. El dispositivo en sí no contiene los fondos — solo contiene las claves para acceder a fondos que siempre están en el blockchain. Lo que no tiene solución es perder la seed phrase.
¿Son seguras las wallets de móvil?
Las wallets de móvil (como Trust Wallet o MetaMask Mobile) ofrecen más seguridad que los exchanges custodiales, pero menos que un hardware wallet. El riesgo principal es que el móvil es un dispositivo conectado permanentemente a internet, con muchas aplicaciones instaladas y mayor superficie de ataque que un hardware wallet especializado. Para cantidades pequeñas (menos de 500-1.000 €) que usas regularmente en DeFi, una wallet de móvil es razonable. Para ahorros significativos, el hardware wallet es necesario.
¿Puedo tener varias wallets y dividir mis fondos?
Sí, y es una buena práctica. Dividir los fondos entre varias wallets reduce el riesgo de pérdida total: si una wallet es comprometida, solo pierdes los fondos en esa wallet. Puedes tener una hot wallet para uso diario, una hardware wallet para el grueso de los ahorros, y pequeñas cantidades en exchanges para operativa. La única complicación es gestionar múltiples seed phrases — cada wallet tiene la suya, y todas deben estar correctamente respaldadas.
¿Qué es una passphrase y cómo añade seguridad a la seed phrase?
La passphrase (también llamada «25ª palabra» en el estándar BIP39) es una contraseña adicional que se añade a la seed phrase para generar una wallet diferente. Con la misma seed phrase, cada passphrase distinta genera una wallet completamente distinta. Esto añade una capa de seguridad: aunque alguien encuentre tu seed phrase escrita, no podrá acceder a tus fondos si hay una passphrase que solo tú conoces. La complicación: si olvidas la passphrase, los fondos son irrecuperables. Solo para usuarios avanzados que entienden perfectamente el riesgo de olvidarla.
👉 Las estafas más comunes en cripto y cómo protegerse
👉 Exchanges descentralizados vs centralizados — cuál es más seguro