SSP Editorial Team

Auto-custodia sin pasar por cold storage: el camino intermedio que necesita la mayoría

·8 min de lectura·Por SSP Editorial Team
Portada azul marino de SSP para Auto-custodia sin pasar por cold storage, con íconos de wallet, llave, escudo y rayo sobre un degradado oscuro

Hay una mala lectura común de la auto-custodia: "para hacerlo bien necesitas un hardware wallet air-gapped en una caja fuerte, idealmente con una passphrase que solo introduces en un portátil con jaula de Faraday que compraste en efectivo". Es un modelo. No es el modelo, y para la mayoría de los usuarios es el modelo equivocado — demasiada fricción para el nivel real de amenaza, lo que significa que nunca terminan de configurarlo y los fondos se quedan en la exchange.

Este es el quinto artículo de la serie Self-Custody Fundamentals. El anterior expuso lo que la auto-custodia realmente te exige en cinco categorías de trabajo. Este va sobre el espectro de la auto-custodia en sí — y por qué la respuesta correcta para la mayoría vive en el medio, no en el extremo cold storage.

TL;DR

  • La auto-custodia no es un setup único. Es un espectro: desde una hot wallet móvil con la que firmas todo el día hasta un vault multisig completamente air-gapped que tarda 30 minutos en abrirse.
  • El punto correcto del espectro depende del modelo de amenaza, frecuencia de transacciones y monto que tienes.
  • "Cold storage" suele significar un hardware wallet air-gapped que nunca toca un dispositivo con internet. El cold storage real es operativamente pesado y está reservado para tenencias del tamaño de un treasury.
  • Para la mayoría, el punto correcto es warm storage — una cartera no custodial en dispositivos que usas a diario, con las claves divididas entre dos dispositivos de modo que ninguno firma solo. El 2-de-2 de SSP está construido para este punto de la curva.
  • Las hot wallets "daily-driver" (un dispositivo, una clave, móvil) están bien para dinero de gasto. No son donde deben vivir saldos significativos.

El espectro real

La auto-custodia no es binaria. Existe en un continuo aproximadamente así:

1. Custodial. No es auto-custodia. La exchange tiene las claves. Ver el post de los siete modos de fallo.

2. Hot wallet de clave única. Auto-custodia, pero con todo el juego de claves en un dispositivo conectado la mayor parte del tiempo. MetaMask en desktop, Phantom en móvil, una Trust Wallet básica. Cómoda, baja fricción, pero toda la cartera está a un bug o una extensión maliciosa de vaciarse.

3. Cold wallet de clave única. Un hardware wallet (Ledger, Trezor, Coldcard) que firma offline y se conecta brevemente para enviar transacciones. La clave nunca toca una máquina caliente. Más fuerte que la hot, pero todavía con punto único de fallo en la seed phrase, y con suficiente fricción como para que los usuarios dejen de usarla para el día a día.

4. Hot wallet multisig. Dos o más claves, pero todas en dispositivos online-ish. El 2-de-2 de SSP vive aquí — una clave en la extensión del navegador, otra en el móvil. Se requieren ambas firmas; ningún dispositivo por sí solo mueve fondos. Los dos dispositivos son superficies de ataque distintas, así que comprometer uno no vacía la cartera.

5. Multisig con una clave fría. Igual que 4 pero con al menos un firmante en un dispositivo de hardware offline. Más resistencia a ataque remoto, más fricción para envíos rutinarios.

6. Vault multisig totalmente frío. Todos los firmantes offline, a menudo físicamente distribuidos. El setup que venden BitGo, Casa o Unchained Capital para almacenamiento institucional. Recovery y firma involucran ceremonias presenciales. Latencia operativa de días a semanas por transacción.

El cliché "usa cold storage" implica la opción 6. Eso es correcto para un treasury. Es exagerado para un individuo con cinco cifras de cripto que quiere meterse en DeFi de vez en cuando.

Qué significa "cold storage" realmente (y por qué la mayoría no lo necesita)

Cold storage es un compromiso estricto: la clave de firma nunca toca un dispositivo con internet. No un portátil con WiFi apagado — un portátil que jamás ha tenido WiFi activado. Implicaciones:

  • Firma air-gapped. Construyes la transacción en una máquina caliente, la transfieres (vía QR o microSD) al dispositivo frío, firmas ahí, devuelves la transacción firmada. Cada envío es un workflow.
  • Dispositivo separado. El dispositivo frío no debería ser tu móvil ni tu portátil. Un hardware wallet dedicado o un portátil viejo wipeado que vive en un cajón.
  • Seguridad física. Cold storage que vive en un cajón en un piso sin llave no es realmente frío. El punto es hacer imposible el ataque remoto, lo que convierte el acceso físico en la amenaza — así que vive en una caja fuerte, una caja de seguridad bancaria o un sitio geográficamente separado.

Es el modelo correcto para unas pocas situaciones específicas:

  • Un holder a largo plazo que genuinamente no piensa tocar los fondos durante años.
  • Un treasury (personal o corporativo) con cantidades en las que cualquier latencia operativa es aceptable para reducir la superficie de ataque a casi cero.
  • Herencia o tenencias generacionales donde la optimización es a escala de décadas, no de día.

Para el resto, la fricción del cold storage anula su seguridad. El patrón que ha matado a innumerables usuarios: compran un hardware wallet, lo configuran y luego (a) lo dejan en un cajón y no lo usan porque el workflow molesta, mientras los fondos siguen en la exchange esperando que "por fin los muevan", o (b) pierden el dispositivo y la seed no está bien guardada porque la disciplina cold nunca se interiorizó.

Un multisig hot que sí usas le gana a un cold wallet que no usas.

Warm storage: donde debe vivir la mayoría

"Warm storage" no es un término estándar, pero captura la idea correcta: claves en dispositivos que realmente usas, con un modelo de seguridad suficientemente fuerte para resistir ataques realistas.

Propiedades que la definen:

  • Múltiples claves, múltiples dispositivos. Un compromiso de un dispositivo — una extensión maliciosa, un móvil con el desbloqueo robado — no debe vaciar la cartera. El modelo 2-de-2 lo hace directamente.
  • Diferentes superficies de ataque por clave. Una extensión de navegador y una app móvil son código distinto, SO distinto, perfil de amenaza distinto. Un atacante que comprometa ambas a la vez está haciendo algo muy específico contra ti.
  • Baja fricción de transacción. Enviar una transacción rutinaria no debería tardar 20 minutos y una microSD. Debería costar un toque en cada dispositivo — cinco segundos de esfuerzo marginal, no cinco minutos.
  • Historia de recuperación honesta. Pierde un dispositivo, todavía puedes recuperar con el otro más el flujo de wallet recovery. Pierde la seed entera y estás en problemas — pero buenas prácticas de seed phrase cubre esa capa.

Para un usuario individual con $1k–$100k que interactúa con DeFi o firma transacciones semanalmente, warm storage es la respuesta. Obtienes la mejora de seguridad que importa — ningún compromiso de un único dispositivo te vacía — sin pagar el impuesto del air-gap por cada transacción.

Cuándo añadir cold storage encima

No hay regla que diga "warm storage en vez de cold storage". Para cantidades que justifican el coste operativo, la respuesta correcta es ambos: una warm para actividad rutinaria y un setup cold para la capa de ahorro.

Una asignación razonable para un usuario con tenencias serias:

  • Hot wallet (un setup pequeño solo móvil): dinero de gasto, interacciones diarias con DeFi. Trata el saldo aquí como efectivo en cartera — lo de las dos próximas semanas, no los ahorros de toda la vida.
  • Warm wallet (SSP 2-de-2 o multisig equivalente en tus dispositivos diarios): la cuenta operativa. De cientos a cinco cifras bajas. De donde sale la mayoría de las transacciones.
  • Cold wallet (hardware multisig air-gapped o un único firmante frío): la capa de ahorro. De cinco cifras hacia arriba que no piensas tocar en meses o años. Procedimientos de recuperación documentados, en planes de sucesión, con una clave en caja de seguridad o en la familia.

La división no es arbitraria — es la misma lógica que aplican los bancos con cuenta corriente vs. ahorros vs. depósitos. Los fondos en uso activo están calientes. Los fondos en almacenamiento de largo plazo están fríos. Cada nivel acepta la fricción adecuada para su horizonte.

Para la mayoría de usuarios la capa cold aún no existe, porque la capa warm es suficiente. A medida que crecen los saldos, se añade la capa cold.

Qué significa esto para ti

Tres ideas para llevarte:

  1. No dejes que "cold storage" sea la razón por la que sigues en una exchange. Un multisig warm que usas hoy es dramáticamente más seguro que un setup cold que harás el mes que viene. Saca los fondos primero, refina el modelo después.
  2. Adecúa el setup al modelo de amenaza, no al marketing. Si tu amenaza realista es una extensión de navegador maliciosa y un reemplazador de portapapeles — y para casi todo usuario retail lo es — un 2-de-2 entre navegador y móvil derrota ambas. Una jaula de Faraday en el sótano no te compra más seguridad frente a las amenazas reales.
  3. Planifica graduar la capa de ahorro con el tiempo. A medida que crecen tus tenencias, la respuesta correcta probablemente pasa de "todo warm" a "warm + cold". No intentes ambos el primer día; haz bien el warm primero y añade la capa cold cuando el monto lo justifique.

El siguiente y último artículo de la serie, self-custody checklist for your first $1,000, recorre los pasos concretos que debe dar un nuevo usuario de auto-custodia, en orden — diseñado para la primera cantidad significativa de cripto que tienes, no la décima.

Comparte este artículo

Artículos relacionados

Portada azul marino de SSP para Checklist de auto-custodia para tus primeros $1,000, con íconos de wallet, llave, escudo y huella sobre un degradado oscuro

Checklist de auto-custodia para tus primeros $1,000 — el playbook concreto de inicio

Ocho pasos ordenados para configurar SSP 2-de-2, anotar ambas seeds, probar recovery y sacar tus primeros $1,000 de la exchange en una tarde.

8 min read
Portada azul marino de SSP para Lo que la auto-custodia realmente te exige, con íconos de llave, escudo, huella y CPU sobre un degradado oscuro

Lo que la auto-custodia realmente te exige: la lista honesta

Backups, opsec, gestión de dispositivos, planificación de recuperación, tiempo y atención: la factura de cinco categorías que te impone la auto-custodia.

8 min read
Portada azul marino de SSP para Los 7 modos de fallo que puede sufrir una exchange, con íconos de escudo, candado, ojo oculto y rayo sobre degradado oscuro

Los 7 modos de fallo que puede sufrir una exchange (y cómo se ve cada uno)

Insolvencia, hackeos, congelaciones, exit scams, sanciones, bloqueos KYC, suspensión de retiros: las siete formas en que tus fondos pueden salirse.

9 min read