Cripto Personal: Hardware Wallets, Passphrase y Backup Resistente a Coaccion

Custodiar Bitcoin en un exchange latinoamericano en 2026 equivale a dejar lingotes en el mostrador de una joyeria con la puerta abierta. En mayo, una casa de cambio mediana perdio 38 millones de reales por un drainer firmado desde un dominio sosias, y tres meses antes un trader en Sao Paulo estuvo siete horas retenido hasta transferir 14 BTC. La auto-custodia no es ideologia libertaria, es gestion patrimonial. Pero cambiar el exchange por un Ledger Nano X pegado a un MacBook desbloqueado no mueve el problema, solo cambia el vector. La pregunta correcta no es 'que wallet comprar', es 'que modelo de amenaza estoy defendiendo y por cuantos anos'. Este texto cubre los dos extremos: la clave privada y el humano que puede ser obligado a entregarla.

Empieza por el modelo de amenaza antes que por el hardware. Si guardas menos de USD 10 mil y el riesgo dominante es phishing, un Coldcard Mk4 o Trezor Safe 5 con PIN de ocho digitos resuelve. Por encima de USD 100 mil, el ataque fisico dirigido entra en la ecuacion y necesitas passphrase BIP39, distribucion geografica y plausible deniability. La planilla que recomiendo tiene cinco columnas: adversario (script kiddie, estafador telefonico, crimen organizado, pareja, estado), capacidad, motivacion, costo del ataque, mitigacion. Quien leyo OPSEC para Investigadores de Seguridad: Modelo de Amenaza Personal reconocera el esqueleto; aqui lo adaptamos al vector financiero, mas agresivo porque el atacante conoce el valor exacto del objetivo via blockchain publica.

Elegida la hardware wallet, el siguiente error clasico es usar solo el seed de 12 o 24 palabras generado de fabrica. La passphrase BIP39, esa palabra 25 opcional, es lo que separa custodia decente de teatro de seguridad. Con ella creas dos o mas wallets desde el mismo seed: una decoy con USD 400 en sats para mostrar bajo coaccion, y la real con passphrase fuerte. Usa una frase de siete o mas palabras generadas por diceware, nunca algo memorable tipo nombre del perro mas cumpleanos. La passphrase no se almacena en el dispositivo; quien robe el Coldcard sin la passphrase encuentra la decoy y se va. Combinado con tecnicas de Passwords y MFA: Migrando a Passkeys sin Romper tu Recuperacion, reduces el blast radius de un compromiso aislado.

Hacer backup del seed en papel laminado dentro de una caja fuerte de 400 dolares es una ilusion comoda. El papel arde a 233 grados y un incendio domestico supera los 800. La solucion practica es el estampado en acero inoxidable: Cryptosteel Capsule, Blockstream Jade Plate o, para quien tenga taller, una chapa 304 con punzones numericos. Distribuye geograficamente: una copia en casa, otra en casa de los padres en otra ciudad, otra en caja de seguridad bancaria a tu nombre. Para montos altos, considera Shamir Secret Sharing 3-de-5 via SLIP39, soportado de forma nativa en el Trezor Safe 5: ningun lugar solo compromete los fondos y sobrevives a la perdida de dos unidades. Quien implemento Cripto de Disco y Backups: VeraCrypt, LUKS y Estrategia 3-2-1 Resiliente entiende la logica 3-2-1 aplicada ahora a entropia bruta.

El phishing en cripto evoluciono de email basico a wallet drainers pulidos. El ataque comun en 2026 es el anuncio patrocinado en Google que aparece encima del sitio oficial de MetaMask, lleva a un clon pixel-perfect y pide 'reconectar la wallet via WalletConnect'. La firma solicitada es un setApprovalForAll que da poder ilimitado sobre tus tokens ERC-20. Defensa en capas: nunca accedas a la wallet por buscador, siempre por bookmark verificado; usa un browser dedicado en perfil Firejail (ver Sandbox de Aplicaciones en Linux con Bubblewrap, Firejail y Flatpak); audita approvals con Revoke.cash mensualmente; firma transacciones complejas con blind-signing desactivado en Ledger, obligando a mostrar los datos completos. Para holdings serios, considera un setup air-gapped con Coldcard via QR, sin USB.

El escenario que nadie quiere entrenar es el secuestro express o la entrada armada en casa. Aqui la passphrase decoy salva vidas, pero el playbook tiene que estar ensayado. Manten USD 1000 a USD 3000 en sats en una hot wallet sacrificable en el celular, con volumen verosimil para que un criminal promedio acepte y se vaya. La wallet real con passphrase vive en un dispositivo escondido fuera de la casa principal. Combina con camaras locales sin nube, plan de contacto con persona de confianza tipo dead man switch y rutina de Seguridad Personal Anti-Doxxing: Eliminando Datos de Data Brokers en Brasil para reducir la probabilidad de ser un objetivo identificable. Numero publico vendiendo auto caro mas foto de mansion en Instagram es la invitacion que precede al 80 por ciento de los casos reportados por la Policia de SP en 2025.

La herencia digital es el punto ciego que mata mas cripto que cualquier hacker. Si te mueres manana sin instruccion accesible, tus 3 BTC se vuelven ejemplo en tesis de maestria sobre monedas perdidas. La solucion no es mandar el seed por WhatsApp a tu esposa; es construir un sobre sellado con instrucciones paso a paso, guardado con un abogado de confianza, conteniendo ubicacion fisica de los backups, nombre del dispositivo, pista indirecta de la passphrase (no la passphrase) y contacto de un tecnico amigo que pueda asistir. Documenta como runbook testeable: pide a un familiar ejecutar un dry-run con la wallet decoy estando tu vivo. La cripto personal seria es proceso, no producto: hardware wallet con passphrase fuerte, backup metalico Shamir distribuido, navegacion aislada, decoy ensayada y runbook de herencia probado. Hazlo una vez bien y duermes tranquilo por una decada.