SSP Editorial Team

Qué es WalletConnect y cómo funciona con SSP

·7 min de lectura·Por SSP Editorial Team
Código QR de WalletConnect que enlaza la extensión SSP Wallet y la app móvil SSP Key con una dApp.

Qué es WalletConnect y cómo funciona con SSP

Si alguna vez has abierto un exchange descentralizado, un marketplace de NFTs o una app de préstamos y has visto un botón "Conectar Wallet" junto a un código QR, ya conoces WalletConnect. Es la tubería silenciosa que enlaza las wallets de autocustodia con las aplicaciones que la gente realmente usa. Para un usuario de SSP la pregunta no es solo "qué es WalletConnect", sino "qué cambia en mi seguridad cuando lo uso, y qué se mantiene igual".

La respuesta corta: WalletConnect es la puerta. Tus claves, y la protección 2-of-2 de SSP, permanecen exactamente donde estaban.

Qué es realmente WalletConnect

WalletConnect es un protocolo abierto para mover solicitudes de firma entre una aplicación descentralizada (una dApp) y una wallet. No es un custodio. No guarda fondos. No ve tu frase semilla ni tus claves privadas. Cuando una wallet y una dApp se conectan a través de WalletConnect, los dos extremos establecen una sesión cifrada mediante una red de relays, y los mensajes viajan de ida y vuelta por esa sesión. El relay solo ve bloques cifrados; únicamente los dos extremos pueden leerlos.

Se usa en prácticamente todo el ecosistema, por eso un solo flujo en el lado de la wallet te lleva por cientos de apps sin que tengas que aprender un nuevo proceso cada vez. El protocolo está documentado abiertamente en docs.walletconnect.com, y puedes encontrar un amplio catálogo de apps compatibles con WalletConnect en ethereum.org/en/dapps.

El flujo básico, paso a paso

El ritual de conexión es casi siempre el mismo, independientemente de la dApp que estés usando.

  1. La dApp muestra una opción "Conectar Wallet" y presenta un código QR o —si estás en móvil— un deep link.
  2. Abres SSP, eliges conectarte a una dApp y escaneas el código QR (o sigues el enlace).
  3. SSP te muestra lo que la dApp está pidiendo: una sesión, tu dirección, la cadena en la que te estás conectando.
  4. Apruebas la sesión. Ya hay un canal cifrado abierto entre SSP y la dApp.
  5. Cuando realizas cualquier acción en la dApp que requiera una firma —un swap, una aprobación de tokens, un depósito— la dApp envía una solicitud de firma por el canal. SSP te muestra exactamente lo que te están pidiendo.
  6. Tú decides. Si apruebas, el proceso de firma se ejecuta en SSP y la transacción firmada vuelve a la dApp, que la difunde.
  7. Cuando terminas, desconectas la sesión.

Lo importante a notar: la dApp nunca pide tus claves privadas. Pide firmas. Cada firma es una decisión separada que tomas en tu wallet.

Cómo se traduce el modelo de firma en SSP

Aquí es donde SSP cambia el panorama de una forma que la mayoría de wallets no puede. En una wallet típica de una sola firma, cada solicitud de firma es una sola aprobación en la UI de la wallet —rápido, pero también un único punto de fallo. Si ese único dispositivo se ve comprometido o pulsas "aprobar" en una solicitud hostil, la firma se produce.

SSP es una wallet multisig 2-of-2. La clave 1 vive en la extensión de navegador SSP Wallet. La clave 2 vive en tu teléfono, en la app móvil SSP Key. Cada transacción necesita ambas claves, cada vez. Ese modelo no desaparece cuando usas WalletConnect —se extiende a él.

Cuando una dApp envía una solicitud de firma mediante WalletConnect:

  • La solicitud llega primero a la extensión SSP Wallet en tu ordenador.
  • Revisas lo que la dApp te está pidiendo firmar —el contrato, el importe, la cadena, los calldata cuando pides verlos.
  • La apruebas en la extensión. La extensión produce su parte de la firma.
  • La solicitud se envía a SSP Key en tu teléfono para co-firmarla. Ves los mismos detalles allí.
  • La apruebas en tu teléfono. SSP Key produce su parte.
  • Las dos partes se combinan en una sola firma válida, que se devuelve a la dApp.

En las cadenas UTXO esto ocurre como una firma multisig BIP-48; en las cadenas EVM (Ethereum, Polygon, Base, BNB Smart Chain, Avalanche) es una firma 2-of-2 agregada con Schnorr, verificada por un smart account ERC-4337. Criptografía distinta, misma propiedad: dos dispositivos, dos aprobaciones, una transacción. Si quieres profundizar en la parte EVM, consulta la arquitectura de account abstraction de SSP, y para el concepto fundacional, qué es el multisig 2-of-2.

Una dApp de phishing que engañe a la extensión todavía tiene que pasar tu teléfono. Ese es todo el sentido.

Implicaciones de seguridad que conviene conocer

WalletConnect no debilita tu seguridad; cambia a qué tienes que prestar atención. Los riesgos siguientes no son exclusivos de WalletConnect, pero una dApp conectada es un lugar habitual donde encontrarlos.

dApps de phishing. Cualquiera puede crear un sitio web que parezca un protocolo popular y pedirte que te conectes. La wallet no tiene forma de saber cuál es el real. Confirma siempre que estás en el dominio correcto antes de conectarte. Guarda en marcadores las apps que uses; no navegues hacia ellas desde anuncios de búsqueda ni enlaces de chat.

Solicitudes de firma maliciosas. Una vez abierta una sesión, una dApp puede pedir firmas arbitrarias. Una interfaz de swap puede entregarte una aprobación de tokens que dé a un contrato desconocido permiso para vaciar el saldo de un token. Lee lo que SSP te muestra. Si una solicitud de firma parece desconocida —un contrato que no reconoces, una aprobación ilimitada, una transferencia a una dirección que no es tuya— recházala. La revisión 2-of-2 en tu teléfono es tu segunda oportunidad para detectarla.

Firma a ciegas. A veces los datos que se firman son opacos —una larga cadena hex que no se decodifica en campos legibles. Trata las solicitudes de firma a ciegas con desconfianza. Prefiere apps que te muestren la intención legible de lo que estás firmando.

Confusión entre enlace y app. WalletConnect es un protocolo. Muchas wallets lo implementan. Un sitio que dice "Usa WalletConnect" no es una señal de confianza de una marca concreta —es un estándar de tubería. No confundas "la dApp usa WalletConnect" con "la dApp es segura".

Permisos acotados. Una sesión puede limitarse a cadenas y métodos específicos. Cuando SSP te muestra la solicitud de sesión, mira qué se está pidiendo. No hay nada malo en rechazar una sesión que pide más de lo que la app realmente necesita.

Sesiones obsoletas. Una sesión que olvidaste sigue siendo una sesión. Si el frontend de una dApp se ve comprometido más tarde, una sesión activa es una vía de entrada. Acostúmbrate a desconectar cuando termines.

Hábitos concretos que hacen que esto funcione

Unas pocas pequeñas disciplinas mantienen limpio tu uso de WalletConnect.

  • Verifica la URL de la dApp antes de escanear un QR de conexión. Teclea los nombres de dominio en vez de pulsar enlaces de chats o anuncios.
  • Lee cada solicitud de firma. ¿Qué contrato se está llamando? ¿En qué cadena? ¿Qué importe? Una aprobación ilimitada de tokens es algo distinto de una de importe fijo —ambas pueden ser legítimas, pero debes saber cuál estás firmando.
  • Usa la confirmación del teléfono como segunda mirada. Si la solicitud se veía bien en el ordenador pero mal en el teléfono, recházala. Dos dispositivos significan dos oportunidades de darse cuenta.
  • Desconecta las sesiones cuando termines. SSP te ofrece la lista de sesiones; trátala como una lista de puertas abiertas.
  • Prefiere apps reputadas con historial de auditorías. Inclínate por protocolos que llevan tiempo, que publican auditorías y que no exigen flujos de inicio de sesión más allá de un handshake estándar de WalletConnect.
  • Mantén tu frase semilla fuera de cualquier flujo de dApp. Ninguna dApp legítima necesita jamás tu frase semilla. Las solicitudes de firma son la manera en que las dApps hablan con tu wallet; cualquier cosa que pida una semilla es una estafa. Consulta mejores prácticas para la frase semilla para profundizar.
  • Si te estás conectando en Ethereum, se aplican las mismas reglas específicas de cadena sobre gas, nonces e interacciones con contratos —Ethereum en SSP cubre los detalles del lado de la cadena.

Atando los cabos

WalletConnect es la puerta entre SSP y el ecosistema de dApps. Es cifrado, de código abierto y lo usan la mayoría de las wallets y protocolos con los que te encontrarás. No cambia dónde viven tus claves, y no debilita el modelo 2-of-2 de SSP. Cada transacción que pida una dApp todavía tiene que pasar tanto por la extensión de tu navegador como por tu teléfono —esa es la propiedad de seguridad que compraste al elegir SSP, y viaja contigo por cada dApp con la que te conectes.

Las claves se quedan contigo. La puerta solo está abierta mientras la cruzas.

Comparte este artículo

Artículos relacionados

Flujos de comprar, vender e intercambiar de SSP sobre una billetera multisig 2-de-2

Intercambiar cripto desde SSP: comprar, vender e intercambiar explicado

Comprar, vender e intercambiar desde SSP: on-ramps, off-ramps, el agregador in-wallet y dApps DEX, mientras tu multisig 2-de-2 firma cada paso.

7 min read
Ilustración cuadrada de una cotización de swap que termina en un importe final diferente por price impact y slippage.

Slippage y price impact, explicados

Por qué un swap se ejecuta a un precio distinto al cotizado, qué hace la tolerancia de slippage y cómo pensarlo en SSP.

7 min read
Ilustración cuadrada que muestra el patrón de ataque sandwich MEV

MEV: frontrunning, sandwiching y cómo protegerte

MEV explicado para usuarios de autocustodia: qué son el frontrunning y los ataques sandwich, quién está en riesgo y los hábitos que reducen tu exposición.

7 min read