Saltar al contenido principal

Uso de SafeSeed sin conexión: guía de seguridad con air-gap

La medida de seguridad más fuerte que puedes tomar al generar frases semilla y claves privadas es hacerlo en una computadora que nunca haya estado ni vaya a estar conectada a internet. A esto se le llama una configuración con "air-gap": literalmente hay una separación física entre tu material criptográfico sensible y cualquier red. Las herramientas de SafeSeed están diseñadas para funcionar completamente sin conexión, y esta guía te acompaña en la configuración y uso de un entorno con air-gap.

Pruébalo Ahora

Todas las herramientas de SafeSeed en safeseed.app funcionan sin conexión. Descarga la página mientras estás en línea y luego desconéctate antes de generar cualquier clave.

¿Por qué desconectarte?

Cuando generas una frase semilla o una clave privada en una computadora conectada a internet, existen varios vectores de ataque incluso cuando la herramienta en sí es confiable:

Amenazas en computadoras conectadas

AmenazaDescripciónProbabilidad
Malware/KeyloggerSoftware que captura contenido de pantalla, portapapeles o pulsaciones de teclasMedia
Extensiones del navegadorExtensiones maliciosas o comprometidas que leen el contenido de la páginaMedia
Secuestro de DNSRedirigirte a una versión falsa de la herramientaBaja
Man-in-the-middleInterceptar y modificar el contenido de la página en tránsitoBaja (con HTTPS)
Acceso remotoCompartición de pantalla, escritorio remoto o software RATBaja
Ataque a la cadena de suministroCDN o dependencia comprometida que sirve código maliciosoMuy baja
Implante de hardwareDispositivos físicos que interceptan datos antes de que lleguen a la redMuy baja

Una computadora con air-gap elimina todas las amenazas basadas en red. Incluso si existe malware en la máquina, no tiene forma de extraer las claves generadas sin conexión de red o acceso físico.

El espectro de seguridad

No todos necesitan el mismo nivel de seguridad. Aquí tienes un marco práctico:

Nivel de seguridadConfiguraciónAdecuado para
BásicoComputadora normal, conectada a internetAprendizaje, pruebas, montos muy pequeños
MejoradoComputadora normal, desconectar internet antes de generarFondos moderados ($100-$10,000)
AltoComputadora dedicada offline, nunca conectadaFondos significativos ($10,000+)
MáximoLive USB con air-gap, impresora dedicada, bolsa FaradayFondos grandes, uso institucional

Esta guía cubre los niveles "Alto" y "Máximo".

Opción 1: Guardar la página web (la más simple)

La forma más simple de usar SafeSeed sin conexión es guardar la página web mientras estás conectado, luego desconectarte y usarla.

Pasos

  1. Mientras estás en línea, navega a la herramienta de SafeSeed que quieras usar:

  2. Guarda la página completa:

    • Chrome/Edge: Ctrl+S (Windows/Linux) o Cmd+S (Mac), selecciona "Webpage, Complete"
    • Firefox: Ctrl+S o Cmd+S, selecciona "Web Page, complete"
    • Safari: Cmd+S, selecciona "Web Archive"

  3. Guárdala en una unidad USB (no en tu disco duro, para máxima seguridad)

  4. Desconéctate de internet:

    • Desactiva Wi-Fi (apaga el interruptor físico si tu laptop lo tiene)
    • Desconecta cables Ethernet
    • Desactiva Bluetooth
    • Activa el modo avión si está disponible

  5. Abre el archivo guardado desde la unidad USB en tu navegador

  6. Verifica que funcione: genera una frase semilla de prueba. Si la herramienta funciona, estás listo.

  7. Genera tu frase semilla real o realiza tu derivación de claves

  8. Registra el resultado en papel o metal

  9. Cierra el navegador y borra todos los datos del navegador

  10. Para máxima seguridad, apaga la computadora y no vuelvas a conectarla a internet hasta haber borrado los datos del navegador y archivos temporales

Limitaciones de este enfoque

  • Algunas páginas guardadas pueden no incluir todas las dependencias de JavaScript (raro con SafeSeed, pero posible)
  • El disco duro de tu computadora normal puede almacenar en caché la página guardada
  • Si tu computadora ya estaba comprometida antes de desconectarte, el malware podría almacenar las claves generadas y extraerlas cuando vuelvas a conectarte

Opción 2: Computadora dedicada offline (recomendada)

Para fondos significativos, usa una computadora dedicada que nunca se conecte a internet.

Qué necesitas

  • Una computadora: puede ser una laptop vieja o un dispositivo usado barato. No necesita ser potente; generar claves requiere cómputo mínimo.
  • Una unidad USB: para transferir los archivos de las herramientas de SafeSeed a la computadora offline.
  • Una impresora (opcional): conectada por USB, sin red. Para crear paper wallets.

Pasos de configuración

Paso 1: Preparar la computadora offline

Si usas una computadora existente:

  1. Realiza una instalación limpia del sistema operativo (elimina cualquier OS existente que pueda contener malware)
  2. No te conectes a internet durante ni después de la instalación
  3. Si la computadora tiene tarjeta Wi-Fi, desconéctala físicamente (retira el módulo Wi-Fi si es posible, o desactívalo en BIOS)
  4. Desactiva Bluetooth en BIOS

Si compras una computadora nueva:

  1. Completa la configuración inicial sin conectarte a ninguna red
  2. Omite todos los avisos de "conectarse a Wi-Fi" durante la configuración del OS

Paso 2: Transferir archivos de SafeSeed

En tu computadora normal (conectada a internet):

  1. Navega a cada herramienta de SafeSeed y guarda la página completa
  2. Copia todos los archivos guardados a una unidad USB
  3. Opcional pero recomendado: calcula checksums SHA-256 de los archivos guardados

En la computadora offline:

  1. Inserta la unidad USB
  2. Copia los archivos al disco duro local
  3. Opcional: verifica checksums si tienes forma de hacerlo
  4. Expulsa la unidad USB

Paso 3: Probar las herramientas

  1. Abre cada herramienta guardada en el navegador de la computadora offline
  2. Genera una frase semilla de prueba
  3. Deriva direcciones de prueba
  4. Verifica que toda la funcionalidad funcione como se espera
  5. Descarta los datos de prueba (no son tus claves reales)

Paso 4: Generar tus claves reales

  1. Abre el generador de frases semilla
  2. Genera tu frase semilla
  3. Regístrala en papel o metal (ver Seed Phrase Generator Tutorial)
  4. Si hace falta, abre el generador de direcciones y deriva direcciones para verificarlas con tu wallet después
  5. Cierra el navegador
  6. Apaga la computadora

Uso continuo

  • Mantén esta computadora apagada y guardada de forma segura cuando no se use
  • Enciéndela solo cuando necesites generar o derivar claves
  • No la conectes nunca a ninguna red
  • Actualiza periódicamente los archivos de herramientas de SafeSeed por USB desde una fuente confiable

Opción 3: Live USB / Tails (máxima seguridad)

Para el nivel más alto de seguridad, arranca desde un sistema operativo live USB que se ejecuta completamente en RAM y no deja rastro en la computadora host.

Uso de Tails OS

Tails es una distribución Linux enfocada en privacidad y diseñada para no dejar rastros. Arranca desde una unidad USB, se ejecuta completamente en RAM y borra toda la memoria al apagarse.

Configuración

  1. En tu computadora normal, descarga Tails desde tails.net y verifica la firma de la descarga
  2. Graba Tails en una unidad USB usando el instalador oficial de Tails o Etcher
  3. En una segunda unidad USB, guarda los archivos de herramientas de SafeSeed (como se describe en la Opción 1)

Uso de Tails para generación de claves

  1. Arranca desde la USB de Tails:

    • Inserta la USB de Tails y reinicia la computadora
    • Accede al menú de arranque (normalmente F12, F2 o Del al iniciar)
    • Selecciona la unidad USB
    • En la pantalla de bienvenida de Tails, no configures ninguna red

  2. Desactiva toda conectividad (Tails lo facilita: simplemente no te conectes a ninguna red)

  3. Inserta la segunda unidad USB con los archivos de herramientas de SafeSeed

  4. Abre las herramientas de SafeSeed en Tor Browser (incluido con Tails)

    • Aunque uses Tor Browser, trabajarás completamente offline
    • Abre los archivos HTML guardados desde la unidad USB

  5. Genera tu frase semilla y/o deriva direcciones

  6. Registra los resultados en medios físicos

  7. Apaga Tails:

    • Retira la unidad USB
    • Tails borra automáticamente toda la RAM al apagarse
    • No queda rastro en la computadora host

Ventajas de Tails

  • Se ejecuta completamente en RAM: no se escriben datos en disco
  • Diseñado para no dejar rastros forenses
  • Incluso si la computadora host tiene malware en su disco duro, Tails arranca su propio sistema operativo limpio
  • Borrado automático de memoria al apagar
  • Código abierto y bien auditado

Consideraciones

  • Tails requiere cierta familiaridad técnica con Linux
  • No todo el hardware es compatible (especialmente laptops muy nuevas)
  • Tor Browser en Tails tiene ajustes de seguridad estrictos que no deberían afectar operaciones de archivos locales, pero pueden requerir ajustar preferencias

Uso de Ubuntu Live USB

Si Tails te parece demasiado complejo, un Ubuntu live USB estándar es una alternativa más simple:

  1. Descarga Ubuntu Desktop ISO desde ubuntu.com
  2. Grábalo en una unidad USB con Etcher o Rufus
  3. Arranca desde la USB y selecciona "Try Ubuntu" (no instalar)
  4. No configures ninguna red
  5. Abre los archivos de herramientas de SafeSeed en Firefox
  6. Genera claves, regístralas y apaga

Ubuntu live no tiene la función de borrado de memoria de Tails, así que apaga la computadora y déjala apagada unos minutos para que la RAM se degrade de forma natural (o retira y vuelve a colocar la batería en laptops que lo permitan).

Seguridad de impresora para uso offline

Si estás creando paper wallets en tu computadora con air-gap, la impresora forma parte del perímetro de seguridad.

Configuración recomendada de impresora

  • Usa solo una impresora conectada por USB (sin Wi-Fi, sin Bluetooth, sin capacidad de red)
  • Idealmente, usa una impresora simple: impresoras básicas de tinta o láser sin funciones inteligentes, conectividad en la nube ni almacenamiento interno
  • Evita impresoras con almacenamiento persistente: algunas impresoras modernas guardan trabajos en memoria flash interna. Busca impresoras que procesen trabajos solo desde RAM.
  • Mantén la impresora dedicada: úsala solo para imprimir material criptográfico, nada más
  • Después de imprimir: reinicia la impresora (apagar y encender) para limpiar cualquier memoria volátil

Opciones de impresora económicas

Para impresión ocasional de paper wallets, una impresora de tinta USB básica cuesta $30-50 y no tiene almacenamiento persistente. Evita impresoras de fabricantes que requieran cuentas en la nube (HP+, Epson EcoTank con funciones cloud, etc.).

Lista de verificación

Antes de generar cualquier clave para uso real, verifica tu configuración con air-gap:

Aislamiento de red

  • Wi-Fi desactivado (nivel hardware, no solo software)
  • Cable Ethernet desconectado físicamente
  • Bluetooth desactivado
  • Modo avión activado (si está disponible)
  • Sin módem celular (retirar SIM si aplica)
  • Verificación: abre un navegador y confirma que no puedes acceder a ningún sitio web

Entorno

  • No hay cámaras de seguridad apuntando a tu pantalla
  • Nadie más puede ver tu pantalla
  • No se está ejecutando software de grabación o compartición de pantalla
  • No hay asistentes de voz ni altavoces inteligentes en la habitación (podrían oírte leer palabras en voz alta)
  • Ventanas cubiertas si hay visibilidad desde fuera

Software

  • Extensiones del navegador desactivadas (o uso de un perfil de navegador nuevo)
  • No hay aplicaciones innecesarias en ejecución
  • El sistema operativo está recién instalado o es un entorno live USB
  • Los archivos guardados de herramientas de SafeSeed se abren y funcionan correctamente

Después de generar claves

  • Frase semilla/clave privada registrada en medio físico
  • Medio físico asegurado de inmediato (no dejarlo expuesto)
  • Pestaña del navegador cerrada
  • Historial y caché del navegador borrados
  • Computadora apagada (o live USB retirada y computadora apagada)
  • Si usaste Tails, el borrado de RAM se completó
  • Unidad USB con archivos de SafeSeed guardada de forma segura (no tirada a la basura donde pueda recuperarse)

Transferir direcciones (no claves) de vuelta al entorno online

Después de generar claves offline, puede que necesites transferir direcciones públicas a tus dispositivos conectados a internet (por ejemplo, para configurar una wallet watch-only o recibir fondos).

Métodos seguros

  • Escribir la dirección manualmente: mira el registro físico y escribe la dirección en tu wallet online o explorador de blockchain. Este es el método más seguro.
  • Escaneo de código QR: si creaste una paper wallet, escanea el QR de la dirección pública con tu teléfono. Escanea solo el QR de la dirección PÚBLICA, nunca el QR de la clave privada.
  • Clave pública extendida por USB: si necesitas transferir un xpub/ypub/zpub para una wallet watch-only, guárdalo en una USB en la máquina con air-gap y transfiérelo. La clave pública extendida no puede usarse para gastar fondos.

Métodos a evitar

  • No transfieras claves privadas ni frases semilla por USB, red ni ningún medio digital a un dispositivo conectado a internet
  • No fotografíes la frase semilla con un smartphone
  • No escanees el código QR de la clave privada con un dispositivo conectado a internet
  • No escribas la frase semilla en ningún dispositivo conectado a internet

Avanzado: verificar el código fuente de SafeSeed

Para usuarios con mayor enfoque en seguridad, puedes verificar el código fuente de herramientas de SafeSeed antes de usarlo sin conexión.

Pasos de verificación

  1. Descarga el código fuente desde el repositorio público (mientras estás en línea)
  2. Revisa el código JavaScript para detectar llamadas de red (fetch, XMLHttpRequest, WebSocket, navigator.sendBeacon)
  3. Verifica que la librería criptográfica sea una implementación conocida y auditada (p. ej., bitcoinjs-lib, ethers.js o uso directo de Web Crypto API)
  4. Revisa exfiltración de datos: busca cualquier código que escriba en localStorage, sessionStorage, document.cookie o IndexedDB
  5. Ejecuta el código localmente después de revisarlo, sin modificaciones

Qué buscar

// Red flags in source code:
fetch(...)            // Any network request
XMLHttpRequest        // Any network request
WebSocket             // Any persistent connection
navigator.sendBeacon  // Analytics/tracking beacon
localStorage.setItem  // Persistent storage
document.cookie       // Cookie manipulation
new Image().src       // Potential data exfiltration via image pixel

Las herramientas de SafeSeed no deberían contener ninguno de estos en las rutas de código de generación y derivación de claves.

Problemas frecuentes

Problema: la página guardada no funciona offline

Causa: la función "Guardar como" del navegador puede no capturar todos los archivos JavaScript o scripts de Web Worker.

Solución:

  • Prueba otro navegador para guardar (Chrome suele funcionar mejor con "Webpage, Complete")
  • Usa una extensión del navegador como "SingleFile" que guarda toda la página como un único archivo HTML autocontenido
  • Usa wget --mirror --convert-links --page-requisites en línea de comandos para capturar todos los recursos

Problema: los códigos QR no se generan offline

Causa: la librería de QR puede no haberse incluido en la página guardada.

Solución:

  • Asegúrate de haber seleccionado "Webpage, Complete" (no "Webpage, HTML only") al guardar
  • Como alternativa, escribe manualmente la dirección/clave en lugar de escanear códigos QR

Problema: el live USB no arranca

Causa: Secure Boot, configuración UEFI o hardware incompatible.

Solución:

  • Desactiva Secure Boot en BIOS (normalmente en ajustes de seguridad)
  • Prueba ambos modos de arranque UEFI y Legacy
  • Usa otro puerto USB (los puertos USB 2.0 son más compatibles que USB 3.0)
  • Prueba otra marca de unidad USB

Problema: la impresora no funciona desde live USB

Causa: el entorno live USB puede no tener controladores de impresora.

Solución:

  • La mayoría de impresoras USB básicas funcionan con controladores genéricos en Linux
  • Si la impresora no se reconoce, prueba otro modelo de impresora (más simple)
  • Como alternativa, registra los datos a mano y crea paper wallets en la computadora dedicada con air-gap

FAQ

¿Con qué frecuencia debería actualizar los archivos de SafeSeed en mi máquina con air-gap?

Actualiza cada vez que se publique una nueva versión de SafeSeed que corrija errores o agregue funciones que necesites. Como la herramienta se basa en estándares (BIP-39, BIP-32, BIP-44), la funcionalidad central rara vez cambia. Transfiere archivos actualizados mediante una USB recién formateada.

¿Puedo usar un smartphone como dispositivo con air-gap?

Los smartphones no son ideales para generación de claves con air-gap porque: (1) tienen múltiples radios (celular, Wi-Fi, Bluetooth, NFC) difíciles de desactivar completamente a nivel hardware, (2) tienen muchos procesos en segundo plano que pueden almacenar o transmitir datos, (3) es más difícil verificar que estén limpios. Si debes usar un teléfono, activa modo avión, desactiva todos los radios individualmente y usa un dispositivo restablecido de fábrica.

¿Es seguro usar una máquina virtual en lugar de una computadora dedicada?

Una máquina virtual (VM) sobre un host conectado a internet no ofrece verdadero air-gap. El sistema operativo host puede acceder a la memoria de la VM y, si el host está comprometido, la VM no ofrece protección. Las VM sirven para aislamiento, pero no sustituyen el air-gap físico.

¿Qué pasa si necesito buscar una palabra BIP-39 estando offline?

Si necesitas verificar que una palabra esté en la lista BIP-39, puedes guardar una copia de la lista con antelación. La lista completa de 2,048 palabras BIP-39 en inglés está disponible públicamente. Guárdala como archivo de texto en tu USB con air-gap junto con las herramientas de SafeSeed.

¿Cómo destruyo de forma segura una computadora con air-gap cuando termino de usarla?

Si vas a retirar una computadora dedicada con air-gap: (1) Borra el disco duro con una utilidad de borrado seguro (DBAN o similar), (2) Retira el disco duro y destrúyelo físicamente si el valor de las claves almacenadas lo justifica, (3) La computadora en sí (sin el disco) puede reutilizarse o reciclarse de forma segura.

¿El malware en una unidad USB puede comprometer mi computadora con air-gap?

En teoría, sí. Los ataques vía USB (como BadUSB) existen, pero son extremadamente raros en la práctica y requieren ataques dirigidos y sofisticados. Para mitigarlo: (1) Usa una USB completamente nueva, (2) Transfiere solo archivos conocidos (el HTML/JS guardado de SafeSeed), (3) Formatea la USB antes de transferir archivos, (4) Considera usar un bloqueador de datos USB o una tarjeta SD con protección contra escritura.

¿Es necesario usar Tails o basta con una computadora offline normal?

Una computadora offline normal que nunca se haya conectado a internet es suficiente para la mayoría de usuarios. Tails añade el beneficio de borrado automático de memoria y ejecución íntegra en RAM, lo que evita que queden rastros persistentes en el hardware. Para casos institucionales o de alto valor, Tails ofrece una mejora de seguridad medible frente a una computadora offline estándar.

¿Qué hay sobre las emanaciones electromagnéticas (ataques TEMPEST)?

Los ataques TEMPEST implican interceptar señales electromagnéticas emitidas por computadoras para reconstruir datos mostrados. Estos ataques requieren equipo especializado, proximidad física y experiencia significativa. Son relevantes solo para amenazas de nivel estatal. Para prácticamente todos los usuarios de criptomonedas, la protección TEMPEST no es necesaria. Si te preocupa, usa una bolsa o jaula Faraday alrededor de tu configuración con air-gap.

Guías relacionadas