Guides ·

Generar una frase semilla Bitcoin offline (paso a paso)

Generar tu frase semilla de Bitcoin offline es el paso más importante que puedes tomar para proteger tus activos cripto. Cuando generas una frase semilla en un dispositivo conectado, estás confiando en que ningún malware, extensión de navegador, keylogger o sniffer de red está observando. Una generación con entorno aislado (air-gapped) elimina todos estos riesgos simultáneamente.

Esta guía recorre el proceso completo de generación de una frase semilla BIP39 para Bitcoin en un entorno completamente offline, desde preparar tu hardware hasta verificar el checksum y almacenar el resultado de forma segura.

¿Por qué generar offline?

Cada billetera Bitcoin comienza con una frase semilla, típicamente 12 o 24 palabras seleccionadas de la lista de palabras BIP39. Esta frase semilla es la clave maestra de la cual se derivan todas tus claves privadas, claves públicas y direcciones a través de la jerarquía de billeteras HD. Cualquiera que obtenga tu frase semilla controla todos tus fondos.

El modelo de amenazas para la generación online incluye:

Malware y spyware. Los keyloggers pueden grabar lo que aparece en tu pantalla. El malware de captura de pantalla puede tomar capturas a intervalos regulares. Los monitores de portapapeles pueden interceptar datos copiados. Incluso si la herramienta de generación es confiable, el sistema operativo en el que se ejecuta puede no serlo.

Ataques de extensiones de navegador. Una extensión de navegador maliciosa o comprometida puede inyectar código en cualquier página web, incluyendo un generador de frases semilla. Podría reemplazar el generador de números aleatorios criptográficos con uno determinista que el atacante puede predecir, o simplemente transmitir la frase generada a un servidor remoto.

Interceptación de red. Aunque HTTPS protege los datos en tránsito, una Autoridad de Certificación comprometida o un sofisticado ataque man-in-the-middle podría teóricamente interceptar tu conexión. Más prácticamente, el secuestro de DNS podría redirigirte a un clon de phishing de una herramienta legítima.

Compromisos de la cadena de suministro. Incluso herramientas de confianza pueden ser comprometidas a nivel de infraestructura. Un compromiso de CDN, un ataque de inyección de dependencias o un pipeline de compilación comprometido podría introducir código malicioso extremadamente difícil de detectar. Nuestro análisis de seguridad de generadores de semillas online explora estos riesgos en profundidad.

Generar offline elimina todos los vectores de ataque basados en red y reduce drásticamente la superficie de ataque para ataques basados en software. No es paranoia; es la práctica estándar recomendada por toda guía seria de seguridad Bitcoin para billeteras que contienen valor significativo.

Checklist de entorno aislado

Antes de comenzar, prepara tu entorno. El objetivo es un dispositivo que nunca se haya conectado a internet durante o después del proceso de generación, o idealmente, un dispositivo que nunca se conecte a internet.

Opciones de hardware (elige una)

Opción A: Portátil antiguo dedicado. El estándar de oro. Usa un portátil que nunca conectarás a internet. Formatea el disco e instala un sistema operativo limpio (un Live USB de Linux como Tails es ideal). Este portátil se convierte en tu dispositivo dedicado de firma offline.

Opción B: Live USB en cualquier computadora. Arranca una computadora desde un Live USB de Linux (como Tails o Ubuntu). El entorno live se ejecuta enteramente en RAM y no deja rastro en el disco duro. Desconecta el cable ethernet y desactiva el WiFi antes de arrancar.

Opción C: Computadora actual (seguridad mínima). Si debes usar tu computadora de uso diario, como mínimo: cierra todas las aplicaciones, desactiva WiFi y Bluetooth, desconecta cualquier cable ethernet y asegúrate de que no haya dispositivos externos conectados. Esto es significativamente menos seguro que las opciones A o B, pero aún mucho mejor que generar online.

Checklist del entorno

  • [ ] WiFi desactivado a nivel de hardware (interruptor físico o configuración BIOS, no solo interruptor de software)
  • [ ] Cable ethernet físicamente desconectado
  • [ ] Bluetooth desactivado
  • [ ] Todos los dispositivos USB innecesarios removidos
  • [ ] Sin smartphones ni cámaras en la habitación (podrían fotografiar tu pantalla)
  • [ ] Navegador limpio de extensiones (o usando un perfil de navegador nuevo)
  • [ ] Sin software de pantalla compartida o escritorio remoto ejecutándose
  • [ ] Si usas Live USB: arrancado desde el USB, no desde el disco interno

Esto puede parecer excesivo para cantidades pequeñas. Calibra tu seguridad según el valor que estés protegiendo. Para cantidades que impactarían seriamente tu vida si se pierden, el checklist completo está justificado.

Descargar SafeSeed para uso offline

SafeSeed se ejecuta enteramente en tu navegador sin comunicación con el servidor. Esta arquitectura lo hace perfectamente adecuado para uso offline: puedes descargar la página, desconectarte de internet y generar tu frase semilla con total confianza de que nada sale de tu dispositivo.

Descarga paso a paso

  1. En un dispositivo conectado (puede ser una computadora diferente de tu máquina aislada), navega al Generador de frases semilla Bitcoin de SafeSeed.

  2. Guarda la página completa. En tu navegador, usa "Guardar como" (Ctrl+S o Cmd+S) y selecciona "Página web, completa" para guardar el archivo HTML junto con todos los recursos. Alternativamente, si planeas usar la herramienta en múltiples sesiones, puedes usar el modo offline del navegador o guardar la página como archivo único.

  3. Transfiere a tu dispositivo aislado. Copia el archivo guardado a una unidad USB. Esta unidad USB idealmente debería ser nueva o recién formateada. Si usas una configuración Live USB, necesitarás una segunda unidad USB para este archivo.

  4. Verifica el archivo. Antes de desconectarte de internet, puedes comparar el tamaño del archivo guardado con lo que ves online para confirmar que la descarga está completa. Para verificación adicional, comprueba que el código fuente JavaScript referencia la Web Crypto API para la generación de aleatoriedad.

El principio clave es: descarga mientras estás conectado, luego desconéctate antes de generar. Nunca generes una frase semilla mientras tu dispositivo tiene cualquier conectividad de red.

Desconecta y genera

Con tu entorno aislado listo y la página de SafeSeed guardada localmente, sigue estos pasos.

Proceso de generación

  1. Confirma que estás desconectado. Abre la configuración de red y verifica que el WiFi está apagado, no hay ethernet conectado y no hay hotspot móvil ni tethering Bluetooth activo. En Linux, ejecutar ip link en una terminal debería mostrar todas las interfaces de red como DOWN.

  2. Abre la página de SafeSeed guardada. Navega al archivo HTML guardado y ábrelo en tu navegador. Se cargará completamente desde archivos locales.

  3. Selecciona tus parámetros. Elige entre una frase semilla de 12 o 24 palabras. Para almacenamiento en frío de Bitcoin a largo plazo, se recomienda 24 palabras (256 bits de entropía). Proporciona un margen de seguridad significativamente mayor, lo que importa para fondos que planeas mantener durante años o décadas. Para entender cómo la entropía afecta la seguridad, lee qué significa la entropía en criptomonedas.

  4. Genera la frase semilla. Haz clic en el botón generar. SafeSeed usa la función crypto.getRandomValues() de tu navegador, que obtiene aleatoriedad del generador de números aleatorios criptográficos del sistema operativo (por ejemplo, /dev/urandom en Linux). Esta es la misma fuente de entropía usada por OpenSSL, GPG y toda aplicación criptográfica seria.

  5. Escribe la frase semilla a mano. No la copies al portapapeles. No tomes una captura de pantalla. No la guardes en un archivo de texto. Escribe cada palabra claramente en papel, numerándolas del 1 al 12 (o 24). Verifica cada palabra contra la lista en pantalla.

  6. Escríbela de nuevo en un segundo papel. Estás creando una copia de respaldo. Compara ambas copias palabra por palabra para confirmar que coinciden exactamente.

Si SafeSeed también muestra la dirección Bitcoin correspondiente y la clave privada, registra también la primera dirección de recepción. Esto te permite verificar posteriormente que tu frase semilla se restaura correctamente, sin necesidad de exponer la frase semilla a otro dispositivo.

Verifica tu checksum

Una frase semilla BIP39 no es simplemente una selección aleatoria de palabras. La última palabra contiene un checksum que valida la integridad de toda la frase. Esta es una función de seguridad importante: si accidentalmente escribes una palabra incorrecta, el checksum fallará cuando intentes restaurar la billetera, alertándote del error antes de financiar la dirección.

Cómo funciona el checksum

Para una frase semilla de 12 palabras: se generan 128 bits de entropía, luego se añade un checksum de 4 bits (los primeros 4 bits del hash SHA-256 de la entropía), creando un total de 132 bits. Estos 132 bits se dividen en doce grupos de 11 bits, cada uno mapeando a una de las 2,048 palabras en la lista de palabras BIP39. La última palabra está parcialmente determinada por la entropía y parcialmente por el checksum.

Para una frase de 24 palabras, el proceso es el mismo pero con 256 bits de entropía y un checksum de 8 bits. Para una explicación completa, consulta BIP39 explicado.

Pasos de verificación

  1. En el mismo dispositivo offline, si SafeSeed proporciona una función de verificación de checksum, úsala para confirmar que tu frase escrita a mano es válida. Ingresa las palabras que escribiste y verifica que la herramienta las acepta.

  2. Alternativamente, si tienes una billetera hardware disponible (como Ledger o Trezor), puedes restaurar la frase semilla en ese dispositivo para verificar que produce la primera dirección esperada. Esta es la verificación más robusta porque usa software independiente.

  3. Nunca verifiques escribiendo tu frase semilla en una herramienta online. Todo el propósito de la generación offline es que la frase semilla nunca toque un dispositivo conectado. La verificación también debe hacerse offline.

Si el checksum falla, no intentes usar la frase. Genera una nueva. Un checksum fallido significa que al menos una palabra es incorrecta, y adivinar cuál palabra es incorrecta no es práctico.

Opciones de almacenamiento seguro

Ahora tienes una frase semilla Bitcoin válida escrita en papel. La generación está completa, pero la historia de seguridad apenas comienza. Cómo almacenas esta frase determina si tus bitcoin permanecen seguros durante años. Para un tratamiento completo, consulta nuestra guía de almacenamiento en frío.

Almacenamiento en papel

El papel es el medio de almacenamiento más simple. Funciona, pero es vulnerable al agua, fuego y degradación física con el tiempo.

Mejores prácticas para papel: - Usa papel de archivo libre de ácido si está disponible. - Escribe con lápiz (la tinta puede desvanecerse) o un marcador de archivo permanente. - Almacena en una bolsa o contenedor impermeable. - Guarda en una caja fuerte a prueba de fuego. - Almacena copias en ubicaciones geográficamente separadas (por ejemplo, tu caja fuerte y una caja de seguridad bancaria).

Respaldo en metal

Para almacenamiento a largo plazo, estampar o grabar tu frase semilla en acero inoxidable o titanio proporciona protección contra fuego, agua y corrosión. Existen varios productos comerciales para este propósito: placas de acero con punzones de letras, arandelas apilables con letras grabadas o casetes con fichas de letras deslizables.

Los respaldos en metal pueden sobrevivir incendios domésticos (el acero se funde a aproximadamente 1,370 grados Celsius, muy por encima de las temperaturas típicas de incendios domésticos) e inundaciones. Son el medio de almacenamiento recomendado para cualquier cantidad que consideres significativa.

Distribución de almacenamiento

Nunca almacenes todas las copias de tu frase semilla en un solo lugar. Un único evento catastrófico (incendio, robo, inundación) podría destruir todas las copias simultáneamente. El enfoque recomendado:

  • Copia principal: Tu hogar, en una caja fuerte a prueba de fuego. Preferiblemente respaldo en metal.
  • Copia secundaria: Una ubicación física diferente (caja de seguridad bancaria, hogar de un familiar de confianza, propiedad secundaria). Papel o metal.
  • Copia terciaria opcional: Una tercera ubicación si la cantidad lo justifica.

Lo que NO debes hacer

  • No almacenes tu frase semilla digitalmente (sin fotos, sin archivos de texto, sin almacenamiento en la nube, sin gestores de contraseñas para la semilla en sí).
  • No te envíes la frase por correo electrónico.
  • No la almacenes en una ubicación compartida donde otros puedan encontrarla.
  • No lamines los respaldos en papel (la humedad puede quedar atrapada dentro).

Limpieza post-generación

Después de haber almacenado de forma segura tu frase semilla y verificado, limpia tu entorno aislado:

  1. Cierra el navegador.
  2. Si usas Live USB, simplemente apaga. La RAM se borra al cortar la energía.
  3. Si usas un portátil offline dedicado, limpia los datos del navegador.
  4. No conectes el dispositivo a internet hasta que estés seguro de que no queda rastro de la frase semilla en memoria o en disco.

Ahora tienes una frase semilla Bitcoin generada con el nivel más alto de seguridad alcanzable sin hardware especializado. Tus claves privadas fueron creadas en un entorno donde ningún atacante, por muy sofisticado que sea, podría interceptarlas a través de la red. Combinado con almacenamiento físico adecuado, este enfoque protege tus bitcoin contra todo el espectro de amenazas digitales.

Para quienes también trabajan con otras blockchains, SafeSeed ofrece la misma capacidad de generación offline para Ethereum y Solana. El proceso de entorno aislado es idéntico; solo difieren la ruta de derivación y el formato de dirección. Nuestra guía de generación de billeteras Solana cubre los detalles específicos de ese ecosistema.