Tu lista de OpSec para cripto

La autocustodia no es una configuración que se hace una sola vez: es una rutina. Tus claves se mantienen seguras porque tú las mantienes seguras, trimestre tras trimestre. Esta es tu lista de seguridad operativa (OpSec): una auditoría de 15 minutos que ejecutas cuatro veces al año para detectar los pequeños descuidos antes de que se conviertan en incidentes. Las copias de seguridad se desgastan, las extensiones se acumulan, las aprobaciones se suman y aquel teléfono en el que confiabas la primavera pasada acaba vendido. Ninguno de esos problemas es una emergencia por sí solo; juntos, tras un año de descuido, son la forma en que las buenas configuraciones se pudren en silencio. Reserva una noche tranquila al comienzo de cada trimestre, imprime esta página y ve marcando las casillas. Nada de esto es difícil: todo el valor está en hacerlo de forma programada en lugar de cuando algo ya ha salido mal.

OpSec es una disciplina tomada de personas cuyo modelo de amenazas es serio de forma profesional; las guías de Surveillance Self-Defense de la EFF son una buena introducción a esa mentalidad. Para las criptomonedas, la misma idea se reduce a un puñado de preguntas: ¿son recuperables mis claves?, ¿están limpios mis dispositivos?, ¿entiendo lo que estoy firmando? y ¿están bien protegidas las cuentas que rodean mi billetera? Con la configuración 2 de 2 de SSP, cada gasto ya necesita una segunda aprobación independiente en tu SSP Key, de modo que un único dispositivo comprometido no debería bastar para mover fondos, pero esa red de seguridad solo se mantiene si ambas mitades siguen sanas e independientes. La lista de abajo las mantiene así.

Ejecútala cada trimestre. Marca la casilla solo cuando sea realmente cierto, no cuando tengas intención de hacerlo.

Claves y copias de seguridad

Tu material de recuperación es lo único que no puedes volver a generar, así que empieza aquí y corrige cualquier punto débil antes de seguir adelante: nuestra guía de buenas prácticas para la frase semilla cubre los detalles de almacenamiento. Una copia de seguridad que das por buena pero que no revisas desde hace un año es el punto único de fallo más común en la autocustodia.

• Localiza cada copia de la frase semilla y confirma que cada una es legible físicamente, está completa y no presenta daños por agua, calor o tinta descolorida.
• Confirma que las copias están en al menos dos lugares geográficamente separados, para que un solo incendio, inundación o robo no pueda llevarse ambas a la vez.
• Verifica que ambas mitades de SSP tienen copia de seguridad: la billetera de la extensión y la SSP Key pueden restaurarse de forma independiente la una de la otra.
• Comprueba que ninguna frase semilla se ha escrito jamás en un teléfono, fotografiado, enviado por correo ni guardado en un gestor de contraseñas o una nota en la nube.
• Confirma que cualquier persona en quien confiaste para una ubicación de copia de seguridad sigue teniendo acceso y, lo que es igual de importante, debe seguir teniéndolo.

Dispositivos y extensiones

Un dispositivo limpio es la base sobre la que se apoya cualquier otro control, así que trata tu navegador como parte de tu billetera: la higiene de extensiones de navegador para usuarios de cripto explica por qué una sola extensión maliciosa puede reescribir en silencio lo que firmas.

• Actualiza tu sistema operativo, tu navegador y la extensión de SSP a sus últimas versiones.
• Actualiza el dispositivo SSP Key y confirma que sigue emparejándose, mostrando información y firmando correctamente.
• Revisa cada extensión de navegador instalada y elimina todo lo que no uses, no reconozcas o ya no reciba mantenimiento.
• Confirma que el editor y el ID de tienda de la extensión de SSP coinciden con el listado oficial: que no se haya colado ninguna copia que imite a la original.
• Ejecuta un análisis de malware de confianza tanto en el ordenador como en el teléfono que usas para operar.

Transacciones y aprobaciones

La mayoría de las pérdidas actuales no son claves robadas: son firmas que cediste hace meses y olvidaste, así que revisa lo que has concedido con una herramienta como revoke.cash y vuelve a leer nuestra explicación sobre las aprobaciones de tokens.

• Revisa las aprobaciones de tokens activas y revoca todas las que estén obsoletas, sean ilimitadas o estén ligadas a una dapp que ya no uses.
• Confirma que lees cada transacción en la pantalla de la SSP Key antes de aprobarla: el importe, el destino y la red.
• Verifica al azar transacciones salientes recientes en un explorador de bloques frente a lo que realmente pretendías enviar.
• Vuelve a verificar que los marcadores guardados de contratos y dapps siguen apuntando a las direcciones reales y actuales, y no a una sustituida.

Cuentas alrededor de tu billetera

Los atacantes rara vez rompen primero la billetera: rompen la cuenta de correo o del exchange que tiene al lado y avanzan hacia dentro, así que Secure Our World de CISA es una base en lenguaje sencillo y el 2FA móvil bien hecho cubre las trampas específicas de cripto.

• Pasa el correo, el exchange y las cuentas en la nube del 2FA por SMS a TOTP o passkeys, que no pueden sufrir un SIM swapping.
• Confirma una contraseña única y robusta en cada cuenta que toque tus criptomonedas, generada y guardada en un gestor de contraseñas.
• Revisa tu libreta de direcciones guardada y elimina o vuelve a verificar cualquier entrada por la que ya no puedas responder personalmente.
• Comprueba las opciones de recuperación de cada cuenta —correo de respaldo, número de teléfono, preguntas de seguridad— en busca de eslabones débiles por los que un atacante pudiera colarse.

Preparación frente al phishing

El phishing es el ataque al que de verdad te enfrentarás, y cada vez es más convincente, así que mantén los patrones frescos con los ataques de phishing dirigidos a usuarios de cripto y ensaya tus propios reflejos antes de que llegue un cebo real.

• Vuelve a guardar en marcadores el sitio oficial de SSP y tus exchanges, y accede a ellos solo a través de esos marcadores, nunca desde un anuncio de búsqueda ni un enlace de un mensaje directo.
• Confirma que nunca apruebas una transacción ni introduces una frase semilla en respuesta a un mensaje, una llamada o un "agente de soporte" no solicitados.
• Revisa los correos y mensajes directos recientes en busca de algo en lo que hayas hecho clic y no debieras, y cambia las credenciales afectadas si tienes dudas.
• Recuérdale a cualquiera que comparta tus finanzas que SSP, y cualquier soporte legítimo, jamás te pedirá una frase semilla.

Simulacro de recuperación y herencia

Una copia de seguridad que nunca has probado es una suposición, así que una vez por trimestre demuestra que de verdad podrías recuperar en lugar de darlo por hecho: empieza por recuperar SSP cuando pierdes el navegador.

• Haz un simulacro de pérdida del navegador: restaura la extensión de SSP desde la copia de seguridad en un perfil limpio y confirma que aparecen tus saldos.
• Haz un simulacro de pérdida del teléfono: confirma que puedes volver a establecer la SSP Key y completar una aprobación 2 de 2 de principio a fin.
• Documenta el acceso de emergencia y de herencia —dónde están las copias de seguridad, qué hace falta y a quién contactar— para alguien de tu confianza.
• Confirma que ese documento está guardado de forma segura y que la persona de confianza sabe que existe, sin que conozca los secretos de forma prematura.

Imprímela y prográmala

Una lista solo funciona si realmente se ejecuta, así que haz que la auditoría del próximo trimestre sea automática en lugar de depender de la memoria.

• Imprime esta lista o guárdala sin conexión en un sitio donde realmente la vuelvas a ver.
• Pon un recordatorio trimestral recurrente en tu calendario, fijado para la misma semana cada trimestre.
• Anota la fecha en la que completaste la auditoría de hoy y todo lo que dejaste pendiente, para que el próximo trimestre empiece exactamente donde terminó este.