Self-custody cripto: el mínimo técnico para no perderlo todo

Self-custody es la promesa de "be your own bank". La letra chica es que también sos tu propio compliance officer, tu propio custodian y tu propio equipo de respuesta a incidentes. La mayoría no llega a darse cuenta hasta que pasa algo.

Esto no es un manifiesto. Es el mínimo técnico que le pido a cualquiera que maneje más de ~USD 10k on-chain. Si tu posición es mayor, subí la paranoia proporcional. Si es menor, hacé lo que puedas sin volverte loco.

Los 5 errores que veo siempre

1. Seed phrase en foto, screenshot o nota de iPhone. Nueve de cada diez reviews. El usuario jura que "está segura porque mi iCloud tiene 2FA". No entiende que el backup del Notes va cifrado con tu password de Apple ID, que es el mismo que tenés en ese leak de 2019. O que Google Photos pasa OCR sobre tus screenshots y que una imagen con 12 palabras en inglés es bastante distintiva.

2. Una sola seed, una sola copia, una sola caja. Si la casa se quema, si te roban, si el papel se moja, chau. Self-custody sin redundancia es tener un único servidor sin backups.

3. Mismo hardware wallet para todo. Hot wallet de trading, cold storage de largo plazo, wallet de DeFi experimental — todo atado al mismo dispositivo y la misma seed. Si firmás un approval malicioso en la wallet experimental, perdiste todo.

4. Approvals viejos sin revocar. ¿Te acordás de ese airdrop que reclamaste en 2022 que te pidió aprobar gastos ilimitados de USDT? Sigue activo. Si ese contrato fue comprometido después, el atacante puede drenarte hoy sin que vos firmes nada.

5. No probar el backup. Un backup que nunca restauraste no es un backup, es un acto de fe. He visto seed phrases con palabras mal escritas, con orden invertido, con el password adicional anotado en otro papel que después nadie encontró.

Hardware wallets: Trezor vs Ledger sin fanatismo

Las dos tienen historia, las dos tienen incidentes públicos, las dos son órdenes de magnitud mejor que una hot wallet.

Ledger tiene un secure element (chip certificado resistente a extracción física) y un firmware cerrado. El incidente de "Ledger Recover" en 2023 asustó a mucha gente — permitió opcionalmente fragmentar la seed y guardarla con terceros. Si no lo activás, no pasa nada, pero rompió la promesa de "tu seed nunca sale del dispositivo". Hay muchos usuarios que no lo perdonan. Los modelos que uso: Ledger Nano S Plus para posiciones medianas, Ledger Stax si querés pantalla grande.

Trezor es open source hasta el hardware (en el modelo T). No tiene secure element certificado — eso significa que un atacante con acceso físico y equipamiento especializado puede extraer la seed. Importante si pensás en robo con coacción; irrelevante si tu modelo de amenaza es "no quiero que un malware me firme". El Trezor Safe 5 agregó secure element, así que esa brecha se cerró.

Mi stack personal: Trezor Safe para cold storage principal, Ledger Nano para un segundo factor (diferentes vendors, diferentes firmware, reduce riesgo de supply-chain attack). Si el fabricante A tiene un bug, el B probablemente no.

No uses ni Trezor ni Ledger de Mercado Libre. Compralos en el sitio oficial, con envío directo. Supply chain attacks son raros pero pasan.

Shamir vs seed de 24 palabras

La seed tradicional (BIP39, 12 o 24 palabras) es una sola cosa que existe en uno o varios lugares. Si la tenés en 3 lugares, cualquiera de los 3 lugares comprometidos te termina.

Shamir Backup (SLIP39) la divide en N fragmentos, de los cuales necesitás M para reconstruir. Típico: 3-de-5. Podés tener un fragmento en casa, uno en casa de un familiar de confianza, uno en una caja de seguridad bancaria, uno en un lugar laboral seguro, uno en otro país. Si pierdes 2, seguís pudiendo recuperar. Si un atacante encuentra 2, no puede hacer nada.

Trezor soporta Shamir nativo. Ledger no. Si querés Shamir con Ledger, necesitás herramientas externas — más superficie, menos recomendable para no-técnicos.

La regla práctica:

• Hasta USD 20k: seed normal, dos copias metálicas, dos ubicaciones.
• USD 20k-500k: Shamir 3-de-5, cinco ubicaciones reales.
• Más de USD 500k: Shamir + multisig (ver abajo).

Multisig: cuándo vale la pena

Multisig significa que una transacción requiere la firma de N de M llaves. Típico 2-de-3. Si una llave es comprometida, el atacante sigue necesitando otra para mover fondos.

No lo recomiendo para montos chicos porque:

• Agrega complejidad operacional (coordinar firmas).
• Cada firma cuesta gas.
• Si perdés dos llaves, adiós.
• Si un co-firmante (vos en el futuro, desorganizado) pierde su llave, tenés que rotar.

Arriba de USD 500k o para treasuries de equipos, sí. Herramientas: Safe (antes Gnosis Safe) en Ethereum y compatibles, Nunchuk o Sparrow en Bitcoin. El setup 2-de-3 típico:

• Llave 1: hardware wallet principal, vos.
• Llave 2: hardware wallet secundario en otra ubicación.
• Llave 3: servicio de custodia como backup (Casa, Unchained Capital) o socio de confianza.

Esa tercera llave es la que rescata si las otras dos desaparecen, y no alcanza sola para robar.

Hot wallet hygiene

Si usás MetaMask, Rabby o similar para DeFi, vas a firmar cientos de transacciones. Cada approval se queda activo hasta que lo revoques.

Revoke trimestral. Agendá un recordatorio cada 3 meses para pasar por [revoke.cash](https://revoke.cash). Te muestra todos los approvals activos de tu dirección. Eliminá los de protocolos que ya no uses, los de tokens que no tenés, cualquier cosa que no reconozcas.

Separá wallets por propósito. La wallet donde hacés farming experimental no debería ser la misma donde tenés el BTC del ahorro. Es el equivalente a no usar la tarjeta de crédito principal en sitios raros.

Dirección "quemable" para aprobar. Algunos flujos son más seguros si hacés el approve con una dirección fresca y después transferís de ahí a la principal. Trabajo extra, pero útil en transacciones grandes con contratos nuevos.

Aislamiento de dispositivo para firmar

Nivel intermedio/alto: un dispositivo aislado solo para firmar transacciones grandes. Una laptop usada, wiped, sin cuentas de email, sin navegación general. Solo la extensión de wallet y la conexión al hardware wallet.

Nivel más alto: un teléfono Android de-Googled con GrapheneOS corriendo solo la app oficial. Sin SIM. Conectado por Wi-Fi solo cuando necesitás firmar.

Para la mayoría esto es overkill. Para alguien con 7 figuras on-chain, es el mínimo.

Nunca — nunca — compartas screenshots de nada

No hay "una parte tapada". Los metadatos de la imagen te delatan ubicación. El ángulo del texto te delata el dispositivo. La app abierta te delata qué tenés. Si hay una parte visible, un modelo de lenguaje recompone el resto más rápido de lo que te imaginás.

Si tenés que mandar información a alguien, mandá texto, por canal cifrado, y específico — no "acá tenés el dashboard".

Stack mínimo recomendado (tl;dr)

• 1 hardware wallet (Trezor Safe 5 o Ledger Nano S Plus) como firmante principal.
• Shamir 3-de-5 si estás arriba de USD 20k. Placas metálicas ([Cryptosteel](https://cryptosteel.com) o similares), no papel. Cinco ubicaciones reales.
• Dispositivo separado para firmar operaciones grandes (>USD 50k).
• Revoke.cash cada 3 meses. Recordatorio en el calendario hoy mismo.
• Wallets separadas por uso: cold storage, hot trading, experimental DeFi. No mezclar.
• Nunca screenshots. De nada.
• Backup probado al menos una vez. Con todos los fragmentos, restaurá en una wallet limpia, verificá que aparece el balance, borrá esa wallet.

No es paranoia. Es que self-custody sin disciplina operacional es peor que dejar la plata en un exchange con buenos controles. El exchange al menos tiene un equipo de seguridad. Vos solo te tenés a vos.