Módulo 01 — Seguridad, wallets y custodia¶
Objetivo: antes de comprar un solo euro de crypto, saber custodiarlo. En crypto no hay banco que revierta transacciones ni teléfono de soporte que recupere tus fondos. Un error = pérdida total e irreversible.
🔊 Escuchar este módulo (9 min 22 s)
Versión narrada del módulo completo — ideal para repasar mientras haces otra cosa.
1. Custodia: la decisión más importante¶
| Tipo | Quién tiene las claves | Riesgo principal |
|---|---|---|
| Custodial (exchange: Binance, Coinbase, Kraken) | El exchange | Quiebra/hackeo del exchange (Mt.Gox 2014, FTX 2022) |
| Self-custody (tu wallet) | Tú | Tú mismo: perder la seed, firmar algo malicioso |
Regla práctica: - Cantidades pequeñas / trading activo → exchange regulado está bien. - Ahorro serio a largo plazo → self-custody con hardware wallet. - "Not your keys, not your coins": lo que está en un exchange es legalmente un apunte en su base de datos, no tuyo.
2. Tipos de wallet¶
| Tipo | Ejemplos | Uso |
|---|---|---|
| Hardware (cold) | Ledger, Trezor | Ahorro a largo plazo. Claves nunca tocan internet |
| Software (hot) | MetaMask, Rabby, Phantom | Interactuar con DeFi/dApps. Solo cantidades de "uso diario" |
| Exchange (custodial) | cuenta en Binance/Kraken | Comprar/vender, trading |
2.5 Dirección pública vs clave privada: el buzón y la llave¶
Piensa en tu wallet como un buzón de correos transparente. La DIRECCIÓN (algo como 0x71C7...9F3a, o bc1q... en Bitcoin) es como el número del buzón: la das libremente a quien quiera enviarte dinero, igual que das tu número de cuenta para que te hagan una transferencia. Cualquiera puede VER cuánto hay dentro (la blockchain es pública), pero nadie puede abrirlo sin la llave. La SEED PHRASE / clave privada es la única llave del buzón: quien la tenga, lo vacía. Por eso la dirección se comparte sin miedo y la seed jamás.
| Qué es | Para qué sirve | ¿Se comparte? |
|---|---|---|
| Dirección pública | Recibir fondos | ✅ SÍ se comparte, sin problema |
| Clave privada / seed | Controlar y mover los fondos | ❌ JAMÁS se comparte ni se escribe en digital |
| Saldo y movimientos | Son públicos en la blockchain | 👀 Cualquiera puede verlos con tu dirección (privacidad ≠ secreto) |
Regla mnemotécnica
La dirección EMPIEZA por algo corto que puedes pegar en un chat; la seed son 12-24 palabras que solo viven en tu papel. Si alguna vez te piden las 12-24 palabras "para enviarte dinero", es estafa: para recibir solo hace falta tu dirección.
Cuidado: la dirección no es lo único que importa
La misma moneda puede vivir en redes distintas. Enviar a la red equivocada es como mandar un paquete: aunque la calle se llame igual, si lo mandas a la ciudad equivocada no llega — y aquí no hay cartero que lo devuelva. Más detalle en la sección 5.
3. La seed phrase (frase semilla)¶
Al crear una wallet self-custody recibes 12 o 24 palabras (estándar BIP-39). Esas palabras SON tu dinero: cualquiera con ellas puede vaciar tu wallet desde cualquier dispositivo del mundo.
Reglas absolutas: 1. Escríbela en papel (o placa metálica). NUNCA digital: ni foto, ni nota del móvil, ni email, ni gestor de contraseñas en la nube, ni "borrador de Telegram". 2. NADIE legítimo te la pedirá jamás. Ni "soporte de Ledger", ni "soporte de MetaMask", ni un airdrop. Quien la pide, es estafa. Sin excepciones. 3. Guarda copia en segunda ubicación física (casa de familiar, caja fuerte). 4. Pruébala: restaura la wallet en otro dispositivo antes de meter fondos serios.
3.5 Firmar y aprobar: cómo te vacían SIN tu seed¶
Aquí está el malentendido que arruina a más principiantes: creen que con la seed bien guardada en papel ya son intocables. Falso. El robo más común HOY no necesita tu seed para nada.
Analogía: conectar tu wallet a una web es como dar a un valet las llaves de tu coche — no es dueño del coche, pero puede conducirlo mientras le dejes la llave. Y una "aprobación" (approval / allowance) va más lejos: es como firmar un permiso permanente para que un comercio cobre de tu tarjeta cuando quiera y por el monto que quiera. Cuando ese permiso dice "Unlimited" (ilimitado), le estás dando vía libre para vaciarte la cuenta entera, las veces que le dé la gana.
El flujo del ataque, paso a paso:
- Entras a una web falsa de "airdrop" (te llegó por DM, Twitter o un anuncio).
- Clicas "Reclamar" (Claim).
- Aparece un popup de MetaMask pidiendo "Firmar" (Sign) o "Aprobar" (Approve).
- Aceptas sin leer, con prisa por reclamar el premio.
- Lo que firmaste era un permiso para que un contrato del estafador mueva tus USDT o tus NFT.
- Segundos después tu wallet está vacía… y tu seed nunca salió del papel. Nadie te la pidió. Te robaron porque TÚ autorizaste el movimiento.
Defensa accionable antes de firmar
- Lee SIEMPRE qué pide el popup: qué token, qué monto. Si ves "Unlimited" / "ilimitado" → 🚩 bandera roja.
- Usa Rabby en vez de MetaMask: simula la transacción y te muestra el resultado ("vas a perder X USDT") ANTES de firmar.
- Si en un NFT aparece "Set Approval For All" → PARA. Eso da permiso sobre TODA tu colección.
- Revisa y revoca permisos viejos en revoke.cash periódicamente.
La frase que tienes que grabarte
Tu seed en papel te protege de que te roben la wallet entera; las aprobaciones te protegen de que TÚ MISMO autorices el robo. Necesitas ambas.
3.6 Si crees que tu seed o wallet está comprometida: NO mandes gas para rescatar¶
Esta sección es para cuando ya pasó algo malo. El escenario de disparo: tu wallet apareció vaciada de la nada, o sospechas que tu seed pudo verse — la fotografiaste, la metiste en una web, la tecleaste en un sitio dudoso, o un "soporte" la vio en una llamada. Si te suena alguno de estos, sigue leyendo, porque aquí viene el segundo error que arruina al novato.
El sweeper bot, explicado fácil: si tu seed se filtró, el atacante deja corriendo un robot (un sweeper bot) que vigila tu dirección día y noche. Es como un cubo agujereado: cualquier moneda que eches dentro se cae al instante. Si mandas 10 EUR de ETH "de gas" para intentar mover tus tokens, el bot se lleva esos 10 EUR en el mismo bloque, antes de que tú puedas siquiera reaccionar. Estarías echando agua en un cubo roto.
Regla absoluta
Una seed comprometida está QUEMADA PARA SIEMPRE. No se "limpia", no se "asegura cambiando la contraseña" (la contraseña no protege la seed), no se reutiliza ni para 1 céntimo. Punto.
Qué hacer en su lugar (pasos correctos):
- Crea una wallet NUEVA con una seed NUEVA, idealmente en un dispositivo limpio. Esa es ahora tu wallet buena.
- NO envíes gas a la wallet vieja. Ni ETH, ni BNB, ni nada. El cubo está roto.
- Si quedan fondos que requieren gas para moverse, eso es trabajo de herramientas especializadas (servicios de flashbot rescue) y no algo que un principiante deba intentar solo. Asume la pérdida antes que mandar más dinero al cubo roto.
- Caso distinto: si lo que pasó fue una APROBACIÓN maliciosa pero tu seed sigue intacta (el caso de la sección 3.5), entonces SÍ controlas la wallet. Ahí: revoca el permiso en revoke.cash y mueve los fondos restantes a la wallet nueva.
El segundo error fatal
El segundo error que arruina al novato no es que le roben: es enviar dinero bueno detrás del malo. Una wallet comprometida no se rescata mandándole más fondos.
4. Estafas comunes (las verás TODAS)¶
| Estafa | Cómo funciona | Defensa |
|---|---|---|
| Phishing | Web/email idéntico a tu exchange o wallet | Marcadores del navegador; nunca clicar links de emails/DMs |
| Falso soporte | "Soy de soporte de X, dame tu seed para ayudarte" | El soporte real NUNCA pide seed ni te escribe primero |
| Aprobaciones maliciosas | Firmas una transacción que da permiso a un contrato para vaciar tu wallet | Leer qué firmas; usar Rabby (simula transacciones); revocar permisos en revoke.cash |
| Rug pull | Token nuevo, los creadores retiran la liquidez y desaparecen | No comprar tokens recién creados sin auditoría/track record |
| Pump & dump | Grupo infla un precio y vende sobre los que entran tarde | Desconfiar de "señales" y grupos de Telegram |
| Giveaway falso | "Envía 1 ETH y te devuelvo 2" (con cara de Elon Musk) | Nadie regala dinero. Nunca |
| SIM swapping | Roban tu número de teléfono y resetean tus cuentas | 2FA con app (no SMS) o llave física |
5. Higiene de seguridad mínima¶
- 2FA en todo, con app (Aegis, Google Authenticator) o llave física (YubiKey). SMS no (sim swapping).
- Email exclusivo para crypto, no reutilizado.
- Contraseñas únicas (gestor de contraseñas).
- Whitelist de direcciones de retiro en el exchange.
- Transacción de prueba pequeña antes de cualquier envío grande.
- Verificar SIEMPRE los primeros y últimos 4 caracteres de una dirección antes de enviar (existe malware que sustituye direcciones en el portapapeles).
- Verifica la RED, no solo la dirección. La misma moneda existe en varias redes (p. ej. USDT vive en Ethereum/ERC-20, Tron/TRC-20 y BSC/BEP-20). Una dirección puede "parecer válida" pero pertenecer a otra red. Si retiras de un exchange o envías a un amigo, la red de ORIGEN y la de DESTINO deben coincidir exactamente. Enviar por la red equivocada = fondos perdidos para siempre, sin soporte que los recupere. Ante la duda, haz primero una transacción de prueba pequeña.
Ejercicios¶
- Instala MetaMask o Rabby en un navegador. Crea una wallet, escribe la seed en papel, bórrala del navegador y restáurala desde el papel. (Sin fondos reales; es práctica.)
- Consigue ETH de testnet (Sepolia) en un faucet gratuito y haz una transacción de prueba entre dos direcciones tuyas. Mírala en sepolia.etherscan.io.
- Activa 2FA con app en tu email principal hoy.
- Visita revoke.cash y entiende qué muestra (aún no tendrás aprobaciones; volverás aquí en el módulo 6). Repasa antes la sección 3.5 para entender qué son esas aprobaciones y por qué se revocan.
Checkpoint ✅¶
- ¿Qué significa "not your keys, not your coins" y qué pasó con los clientes de FTX?
- ¿Tres lugares donde NUNCA debes guardar la seed phrase?
- ¿Por qué 2FA por SMS es mala idea?
- Te escribe "soporte de Ledger" pidiendo verificar tu seed por un hackeo. ¿Qué haces?
- ¿Cuándo tiene sentido dejar fondos en exchange vs hardware wallet?
- Un amigo quiere enviarte 20 USDT. ¿Qué le das exactamente, y qué NO le das nunca?
- Vas a retirar USDT de un exchange a la wallet de un amigo. ¿Qué debes confirmar además de la dirección, y por qué?
- Conectas tu wallet a una web y te pide "Aprobar gasto ilimitado de USDT". ¿Qué significa y qué haces?
- Sospechas que tu seed se filtró y aún ves saldo en la wallet. ¿Por qué mandar ETH de gas para mover ese saldo suele ser un error, y qué haces en su lugar?
→ Siguiente: Módulo 02 — Mercados y exchanges