Seguridad cibernética para usuarios Bitcoin

1. No seas un blanco atractivo

Para evitar ser atacado, lo más importante es no ser un blanco. Si no muestras lo que tienes, será más difícil que alguien se centre en ti. Muchos perfiles de criptomonedas que exhibían repetidamente sus saldos de millones en redes sociales han sido hackeados: el caso más conocido es el de Ian Balina, al que robaron fondos por valor de más de dos millones de dólares mientras hacía una retransmisión en directo¹.

Regla básica: no muestres públicamente cuánto tienes, qué exchanges usas ni qué carteras utilizas.

2. Correo electrónico seguro

Gmail y Outlook son cómodos pero recolectan información. Para cuentas sensibles —exchanges, carteras, servicios financieros— utiliza Proton Mail: correo cifrado de extremo a extremo, con sede en Suiza (fuera de la jurisdicción de la mayoría de presiones internacionales), versión gratuita disponible y aplicaciones para iOS y Android de código abierto. Te puedes registrar de forma totalmente anónima y no rastrea tu IP.

Sigue el tutorial para crear un correo seguro en Proton Mail en menos de 5 minutos.

Para registros en páginas críticas, usa siempre un correo nuevo y exclusivo: si esa página es hackeada, el daño queda contenido.

3. Contraseñas únicas y gestor de contraseñas

Usa contraseñas de más de 12 caracteres con mayúsculas, minúsculas, números y símbolos. Ejemplo de estructura (no uses esta): A^9x36o*aw&r1vM#. Y, sobre todo: usa siempre una contraseña distinta para cada cuenta. Si hackean un servicio y todas tus cuentas comparten contraseña, el atacante tiene acceso a todo.

Puedes comprobar si tu correo ha aparecido en alguna filtración en haveibeenpwned.com. Si aparece, cambia la contraseña en todos los servicios donde hayas usado esa combinación.

No uses el gestor de contraseñas de tu navegador (Chrome, Firefox, Brave…) para información importante. No se pueden proteger con 2FA y han sido objetivo de ataques.

Cambia la contraseña de todos los servicios críticos:

Redes sociales
Banca online
Apple / Google / Microsoft
Servicios de almacenamiento en la nube
Amazon / PayPal
Exchanges de criptomonedas
Gestores de notas (Evernote, Notion…)

Gestor de contraseñas recomendado

Gestionar tantas contraseñas únicas y robustas es imposible mentalmente. Para simplificarlo, usa un gestor de contraseñas: solo tienes que recordar una contraseña maestra larga y compleja, y el gestor genera y recuerda el resto automáticamente. Además, casi todos permiten activar 2FA en el propio gestor.

Nuestra recomendación actual es 1Password: muy pulido, multiplataforma, con buen soporte y herramientas para familias y equipos. Tiene versión gratuita de prueba y planes asequibles.

Alternativas igualmente válidas:

Bitwarden — código abierto, auditado, con plan gratuito generoso. La opción más recomendada por la comunidad de seguridad si quieres algo open source.
KeePassXC — totalmente local, sin nube. Para quien prefiere control total y cero confianza en terceros.

También existen gestores físicos que actúan a la vez como cartera de criptomonedas y gestor de contraseñas. Recomendamos Trezor Safe 3: tamaño llavero, código PIN, opcional passphrase de protección adicional y compatibilidad con cientos de criptomonedas.

4. Autenticación de dos factores (2FA)

Activa el 2FA en todas las cuentas importantes. Es el segundo factor más importante, después de la contraseña. Si un atacante obtiene tu contraseña, el 2FA lo detiene.

No uses 2FA por SMS

El 2FA mediante mensaje de texto al móvil es de las protecciones más débiles. Para atacarte solo hay que llamar a tu operadora y pedir un duplicado de SIM (SIM swapping)². Así robaron la cuenta de X (antes Twitter) al propio creador de la plataforma, Jack Dorsey³. Si algún servicio te obliga a usar SMS, sustitúyelo por una app de autenticación en cuanto puedas y elimina el teléfono como método de recuperación.

Usa una app de autenticación (TOTP)

Estas aplicaciones generan códigos de un solo uso cada 30 segundos, de forma local, sin requerir cobertura ni internet. Cuando configures una nueva cuenta, obtendrás códigos de recuperación: guárdalos impresos en un lugar seguro y offline. Si pierdes el dispositivo sin esos códigos, tendrás que verificarte con soporte técnico en cada servicio.

Ejemplo de código de recuperación en configuración de 2FA — Ejemplo de código de recuperación al configurar 2FA. Guárdalo siempre en papel, offline.

Apps de autenticación recomendadas

Cualquiera de estas aplicaciones es válida. Elige la que mejor encaje con tu plataforma y tus necesidades de copia de seguridad:

Aegis Authenticator (Android)

Código abierto y auditado. Permite hacer copia de seguridad cifrada de todos los códigos, exportarlos a otro dispositivo y proteger la app con contraseña o huella. Es la opción más recomendada en Android si quieres control total. Gratuita y sin cuenta obligatoria.

2FAS (iOS y Android)

Open source y multiplataforma. Sincronización opcional cifrada entre dispositivos. Buena interfaz, soporte para extensión de navegador y copia de seguridad sencilla. Es la opción más equilibrada si usas ambos sistemas operativos.

Raivo OTP (iOS)

Ligera, sin cuenta obligatoria, integración con iCloud Keychain. Buena alternativa nativa para usuarios de iPhone que no quieren depender de servicios de terceros.

Google Authenticator (iOS y Android)

La opción clásica y la que más servicios mencionan en sus instrucciones. Es válida y sigue funcionando bien, pero hasta hace poco no permitía copia de seguridad (riesgo de perderlo todo si cambias de móvil). Hoy ya permite sincronizar con tu cuenta de Google, pero eso introduce de nuevo el riesgo de que un atacante con acceso a tu Google obtenga tus códigos. Si la usas, activa la sincronización solo en una cuenta de Google con 2FA muy robusto, o desactiva la sincronización y haz tu propia copia de los códigos de recuperación.

No recomendamos Authy. Vincula tus códigos 2FA a tu número de teléfono, lo que la hace vulnerable al mismo ataque de SIM swapping que el 2FA por SMS. Además, en 2024 cerró su aplicación de escritorio sin aviso suficiente, dejando a muchos usuarios sin acceso a sus códigos.

Llaves físicas de seguridad (la opción más fuerte)

Las llaves físicas son el método más seguro disponible: un atacante remoto no puede robarlas. Soportan FIDO2 / WebAuthn, el estándar moderno de autenticación. La referencia es YubiKey, con modelos con NFC para usar también en móviles. Para cuentas verdaderamente críticas (correo principal, cuentas de exchange, gestor de contraseñas), una YubiKey es la mejor inversión en seguridad que puedes hacer.

5. Phishing, navegador y portapapeles

Guarda los sitios importantes en favoritos

A finales de 2017, con la entrada masiva de nuevos usuarios, proliferaron webs falsas que copiaban exchanges y carteras de criptomonedas con URLs casi idénticas (un punto debajo de una letra, un carácter diferente). Al introducir correo y contraseña, el atacante tenía acceso a los fondos. Mucha gente perdió todo lo invertido.

Guarda en favoritos todas las páginas críticas y accede siempre desde ahí. No confíes en enlaces que te manden por correo o redes sociales aunque parezcan legítimos. Primero desconfía siempre.

Desactiva el historial del portapapeles

Copiar un texto lo almacena en el historial del portapapeles de Windows. Si has copiado una contraseña, clave privada o seed phrase, esa información queda guardada y es accesible para malware⁴. Para desactivarlo: escribe "configuración de portapapeles" en el buscador de Windows y desmarca la casilla "Historial de portapapeles".

Cómo desactivar el historial del portapapeles en Windows — Configuración del portapapeles en Windows. Desactiva el historial si copias contraseñas o claves.

Si tienes cualquier otro programa de gestión del portapapeles, desinstálalo.

Desactiva el guardado automático de capturas de pantalla

Si tienes activado el guardado automático de capturas en Dropbox, OneDrive, Google Drive o cualquier otra nube, desactívalo. Es fácil acabar con una captura que contiene una seed phrase, un QR de 2FA o información bancaria en manos de un servicio de terceros. Guarda las capturas sensibles en un USB o disco externo desconectado.

Navegador seguro

Chrome sigue siendo el navegador más usado, pero está construido sobre el modelo de negocio de Google, que vive de la publicidad y del rastreo. Si quieres mejorar tu privacidad sin perder compatibilidad con la web, hay dos opciones razonables:

Brave (recomendado)

Basado en Chromium (la misma base técnica que Chrome), bloquea rastreadores, anuncios y fingerprinting por defecto sin necesidad de configurar extensiones. Es la opción más cómoda para quien migra desde Chrome: importa marcadores y contraseñas en un clic, y la experiencia es prácticamente idéntica salvo que carga más rápido al bloquear scripts publicitarios.

Firefox + uBlock Origin

Más configurable, 100% código abierto y respaldado por una fundación sin ánimo de lucro. Requiere instalar la extensión uBlock Origin manualmente para bloquear anuncios y rastreadores. Si te importa la independencia técnica respecto al ecosistema Google, esta es la mejor opción.

Configuración mínima en cualquier navegador

Independientemente del navegador que uses, ajusta estos parámetros:

Ubicación, cámara y micrófono: "Preguntar antes de acceder". Nunca permitas acceso por defecto.
Ventanas emergentes: bloqueadas por defecto.
Sincronización de contraseñas del navegador: desactivada. Usa tu gestor de contraseñas.
Cookies de terceros: bloqueadas.
Extensiones: elimina todo lo que no uses. Cada extensión instalada puede leer el contenido de las páginas que visitas. Si necesitas una poco frecuente, déjala instalada pero deshabilitada hasta que la requieras.
Permisos por sitio: revisa cada cierto tiempo a qué páginas les diste acceso a ubicación, cámara o notificaciones. Revoca lo que ya no uses.

Nota: la configuración antigua de Flash que aparecía en versiones anteriores de esta guía ya no aplica. Flash se eliminó definitivamente de todos los navegadores en 2021.

6. Tu ordenador y tus dispositivos

No instales programas de control remoto

Un programa de control remoto (TeamViewer, AnyDesk y similares) permite a quien tenga la contraseña acceder totalmente a tu ordenador. No los instales a menos que sea estrictamente necesario y los desinstales inmediatamente después.

Revisa los programas instalados y los de inicio

Es aconsejable formatear el ordenador periódicamente (cada uno o dos años): eliminas programas maliciosos y el sistema funciona mejor. Revisa también los programas que arrancan con Windows: Ctrl+Alt+Supr → Administrador de tareas → pestaña "Inicio". Deshabilita todo lo que no necesites.

Administrador de tareas de Windows mostrando programas de inicio — Administrador de tareas → Inicio. Deshabilita los programas que no necesitas al arrancar.

No instales software a la ligera

No instales programas de fuentes desconocidas, que pidan permisos de administrador sin justificación clara, o que provengan de correos o páginas dudosas. Mantén todos los programas actualizados. No descargues desde torrents. Un solo error puede tener consecuencias graves.

Encripta tu ordenador

Si usas un ordenador portátil, eres susceptible de perderlo o de que te lo roben. Sin cifrado de disco, cualquiera que tenga acceso físico al equipo puede sacar tu disco duro, conectarlo a otro ordenador y leer todos tus archivos como si fuera un USB. Con cifrado, sin tu contraseña esos datos son ilegibles.

La buena noticia es que los sistemas operativos modernos ya incluyen cifrado de disco por defecto, algo que no ocurría cuando se publicó esta guía en 2019. Solo tienes que comprobar que está activo:

Windows 11 Home

Incluye Device Encryption (Cifrado del dispositivo) en todos los equipos con TPM 2.0, lo que cubre prácticamente todos los PCs fabricados desde 2018. Para comprobarlo: Configuración → Privacidad y seguridad → Cifrado del dispositivo. Si el interruptor está activado, tu disco ya está cifrado. La clave de recuperación se guarda automáticamente en tu cuenta Microsoft, así que asegúrate de tener acceso a ella.

Windows 11 Pro

Incluye BitLocker completo, con más opciones de gestión y la posibilidad de cifrar también unidades externas (BitLocker To Go). Búscalo en Configuración → Privacidad y seguridad → Cifrado del dispositivo o en el Panel de control clásico.

macOS

Incluye FileVault, activado por defecto en instalaciones limpias de los últimos años. Comprueba que está activo en Ajustes del Sistema → Privacidad y seguridad → FileVault.

Cifrado adicional de carpetas sensibles

Para archivos especialmente críticos (copias de seeds, claves privadas en texto, imágenes de documentos de identidad), puedes cifrar carpetas individuales encima del cifrado del disco: botón derecho sobre la carpeta → Propiedades → Opciones avanzadas → marcar la casilla "Cifrar contenido para proteger datos". Y para lo más sensible, mantén una copia en un disco externo desconectado de internet.

7. VPN y redes Wi-Fi públicas

No te conectes a redes Wi-Fi públicas

Se ha demostrado repetidamente que es muy sencillo interceptar el tráfico en redes Wi-Fi públicas y acceder a la información de los usuarios conectados^5,6,7,8. No uses redes públicas, nunca. Hoy en día los planes de datos móviles son asequibles y puedes crear un punto de acceso desde tu teléfono si lo necesitas.

Considera usar una VPN

Una Red Privada Virtual (VPN) cifra tu conexión a internet: ni tu proveedor de internet sabe qué envías ni los sitios a los que accedes conocen tu IP real.

VPN recomendadas

Hay decenas de VPN en el mercado y la calidad varía mucho. Estas son las tres opciones que recomendamos según el uso que vayas a darle:

ProtonVPN

De los mismos creadores de Proton Mail (empresa suiza). Tiene un plan gratuito sin límite de datos, con servidores limitados y velocidad reducida, pero perfectamente usable para navegación normal. Los planes de pago amplían servidores y velocidad. Buena opción si vienes de Proton Mail y quieres consolidar todo en el mismo proveedor.

Mullvad

La opción más centrada en privacidad. Pago anónimo (incluso en efectivo por correo postal), sin cuentas de usuario (te asignan un número), precio plano de 5 € al mes. Muy recomendado por la comunidad de seguridad por su política de no recopilar absolutamente nada.

NordVPN

La más conocida del mercado. Amplia red de servidores, buena velocidad, suscripción anual asequible. Buena opción si quieres una herramienta probada con muchos extras (bloqueador de anuncios, almacenamiento cifrado opcional, etc.).

Para comparar todas las opciones del mercado de forma independiente, consulta Privacy Guides — VPN, una referencia actualizada con regularidad por la comunidad.

8. Almacenamiento en la nube

Nunca subas información sensible a la nube (seeds, claves privadas, fotos de documentos de identidad, contraseñas). Lo que subes a Dropbox, OneDrive o Google Drive puede quedar almacenado de forma permanente aunque lo elimines de la carpeta.

Desactiva la copia de seguridad automática de capturas de pantalla.
Desactiva la sincronización de tu carpeta de descargas, escritorio o carpeta principal.
Activa el 2FA en todos los servicios de nube que uses.
Si descubres que has subido una clave privada o seed phrase, cambia de cartera o transfiere los fondos a una nueva cuenta inmediatamente.

Para copias de seguridad de información sensible, usa un disco duro externo desconectado de internet.

9. Criptomonedas: custodia y claves privadas

Tus criptomonedas no son tuyas si no controlas la clave privada. Si mantienes fondos en un exchange, no eres el propietario: la plataforma tiene las claves. Los exchanges pueden ser hackeados, quebrar o congelar fondos. Para cantidades relevantes, usa una cartera de hardware:

Trezor Safe 3 — código abierto, elemento seguro certificado (EAL6+), PIN y passphrase opcional. La opción más recomendada si valoras transparencia y auditoría.
Ledger Nano S Plus — soporte para más de 5.500 criptomonedas y NFTs, pantalla nítida, conexión USB-C. Buena relación calidad-precio dentro del catálogo de Ledger.

Consulta la comparativa Ledger vs Trezor para elegir la que mejor se adapte a tu caso.

Regla de oro con las seeds: Las 12 o 24 palabras de recuperación de tu cartera son tu única copia de seguridad real. Escríbelas en papel (no en digital), guárdalas en un lugar seguro y nunca las compartas con nadie, ni las introduzcas en ninguna web o app que no sea tu propia cartera de hardware.

Otros consejos de seguridad general

Cierra sesión de todos los servicios cuando termines de usarlos.
Prefiere cuentas desechables al "Iniciar sesión con Google/Facebook": limitas el daño si te hackean.
Elimina tu número de teléfono y correo de recuperación de tu cuenta de Google. Configura primero 2FA con app y luego elimina el teléfono: myaccount.google.com/security.
Si imprimes códigos de recuperación, hazlo con una impresora sin acceso a internet.

10. Passkeys: el futuro de la autenticación

Desde 2023, los principales servicios (Google, Apple, Microsoft, GitHub, exchanges como Coinbase, etc.) soportan passkeys, un nuevo estándar que reemplaza a las contraseñas. En lugar de una cadena de caracteres que tienes que recordar, una passkey es una clave criptográfica vinculada a un dispositivo concreto (tu móvil, tu portátil, una YubiKey) y autenticada con su biometría o PIN local.

¿Por qué son mejores que las contraseñas?

Resistentes al phishing por diseño: la passkey está vinculada al dominio real del servicio. Si un atacante te lleva a una web falsa que imita a tu banco, la passkey simplemente no funcionará: el navegador detecta que el dominio no coincide.
Imposibles de filtrar: la parte privada nunca sale de tu dispositivo. Aunque hackeen al servicio, no hay contraseña que robar.
No las puedes olvidar: no las recuerdas tú, las recuerda tu dispositivo. Las desbloqueas con huella, Face ID o el PIN del sistema.
Sincronizables: se sincronizan entre tus dispositivos a través de iCloud Keychain, Google Password Manager o un gestor de contraseñas como 1Password o Bitwarden, ambos compatibles.

Cómo empezar

Activa passkeys en tus cuentas más importantes primero. Suele estar en "Configuración de seguridad" → "Passkeys" o "Métodos de inicio de sesión". Los servicios que ya lo soportan bien:

Google, Apple ID, Microsoft
GitHub, GitLab
PayPal, Amazon
Exchanges: Coinbase, Kraken

Para máxima seguridad, guarda tus passkeys más críticas en una YubiKey en lugar de en la nube. Así ni siquiera tu cuenta de Apple o Google puede ser usada para acceder a esos servicios sin la llave física en mano.

11. Comunicaciones cifradas: usa Signal

Para conversaciones que contengan información sensible (claves, seeds, datos financieros, operaciones), no uses WhatsApp ni Telegram ni el SMS. Usa Signal.

¿Por qué Signal?

Cifrado de extremo a extremo por defecto en todas las conversaciones (no es opcional como en Telegram).
Código abierto y auditado: el protocolo Signal es tan robusto que WhatsApp y Messenger lo han adoptado para su cifrado, aunque sus implementaciones no son abiertas.
Sin publicidad, sin recopilación de metadatos: la fundación que lo desarrolla es sin ánimo de lucro.
Mensajes autodestructivos, llamadas y videollamadas cifradas, envío de archivos sin recompresión.
Bloqueo por PIN y posibilidad de ocultar tu número de teléfono usando un nombre de usuario.

El único "inconveniente" es que requiere número de teléfono para registrarse (igual que WhatsApp), aunque desde 2024 puedes usar un nombre de usuario público en lugar de compartir el número. Para uso máximo de privacidad, registra Signal con un número desechable (eSIM secundaria o servicio temporal).

Referencias:

Artículo publicado originalmente en septiembre de 2019 y revisado en 2026. Este contenido es educativo y no constituye asesoramiento financiero ni de seguridad profesional.