Seguridad en wallets: del seed phrase al passkey

Las 12 palabras ya no alcanzan. En 2025 un cambio silencioso se volvió inevitable: passkeys y smart wallets están reescribiendo cómo entras, autorizas y recuperas tu cripto. Aquí te contamos, sin jerga inútil, qué ha cambiado de verdad y qué puedes hacer hoy para ganar seguridad sin perder usabilidad.

Ilustración ultrarrealista sobre seguridad en wallets cripto: transición de seed phrase vulnerable a smart wallet con passkey y biometría.

El problema de fondo: una sola cuerda para todo el peso

Durante años, la seed phrase fue la llave maestra: útil, pero frágil. Se roba mediante phishing, se filtra en copias de seguridad, se olvida. Cuando falla, no hay línea de vida. Resultado: pérdidas irrecuperables y robos masivos por claves comprometidas. Hacía falta un modelo donde autenticarse, firmar y recuperar no dependiera de una única cadena de caracteres.

¿Qué es un passkey y por qué importa?

Un passkey es una credencial criptográfica que vive en tu dispositivo (móvil u ordenador) y se desbloquea con algo que haces o tienes (huella, rostro, PIN del sistema). Cada sitio web o app verifica su clave pública, pero tu clave privada nunca sale del dispositivo. ¿Consecuencia? Anti-phishing por diseño y cero contraseñas que memorizar.

Dos formas de guardar tu passkey

Dispositivo‑vinculado: la credencial vive en un hardware concreto (p. ej., Secure Enclave). Máxima seguridad física; sincronización limitada.
Sincronizado: se respalda en un gestor (p. ej., iCloud, Google Password Manager o 1Password) y se replica en tus equipos. Comodidad y continuidad, con el reto de confiar en ese proveedor para la copia.

Idea fuerza: con passkeys no escribes ni repites contraseñas. Autorizas acciones con gestos familiares, sin exponer secretos reutilizables.

Con esta base, veamos cómo encaja en cripto.

Del login a la firma: así entra cripto en la ecuación

Los passkeys ya no son cosa del banco o el email. Wallets modernos permiten entrar y firmar usando passkeys en lugar de contraseñas o seed phrases. Resultado:

Menos fricción: inicio en uno o dos toques, sin extensiones ni copiar/pegar claves.
Menos superficie de ataque: el usuario deja de custodiar una frase que puede ser phished.
Sesiones con control: caducidad, re‑autenticación y cierre remoto desde el dispositivo.

La pieza que faltaba: smart wallets y cuentas programables

El gran salto en Ethereum ha sido llevar la inteligencia a la cuenta:

ERC‑4337: abstracción de cuenta sin tocar el protocolo

Permite cuentas de contrato con reglas a medida: límites de gasto, patrocinio de gas, lotes de transacciones (batching) o recuperación social. Todo esto ocurre con un flujo alternativo de operaciones (UserOperations), sin modificar el consenso.

Pectra y EIP‑7702: superpoderes temporales para EOAs

Con EIP‑7702, una cuenta externa (EOA) puede delegar temporalmente en un código de contrato durante una transacción. Esto habilita funciones avanzadas —como recuperación, límites de gasto o patrocinios— sin migraciones ni cambios en el consenso. Llegó en la actualización Pectra (2025) y acelera la llegada de wallets realmente usables.

En paralelo, ERC‑4337 introduce un flujo alternativo, con bundlers y paymasters, para orquestar esas operaciones.

¿Por qué te debe importar? Porque la seguridad deja de ser “todo o nada” y pasa a ser configurable: quién puede firmar, cuánto, cuándo y bajo qué condiciones.

Seguridad de verdad: MPC, multisig y social recovery

No hay bala de plata: hay patrones complementarios:

MPC (Multi‑Party Computation): la clave jamás existe entera; varias partes calculan una única firma. Ventajas: privacidad operativa (las políticas no quedan en cadena), rotación de copartes sin cambios on‑chain y una sola firma que abarata fees.
Multisig on‑chain: reglas visibles, auditoría pública y gobernanza clara (m‑de‑n). A cambio, más coste (varias firmas) y políticas expuestas.
Recuperación social: defines guardianes que pueden devolverte el control si pierdes el dispositivo. Ideal para usuarios que rechazan custodiar una seed pero quieren soberanía.

Recomendación práctica: para particulares, una wallet con 4337/7702 + passkey + módulo de recuperación suele ser el mejor equilibrio entre usabilidad y resiliencia.

Glosario relámpago: MPC: firma sin exponer la clave completa entre varias partes. Multisig: varias firmas on‑chain para autorizar una operación.

Guía express: migra sin sustos (4 pasos)

Elige una wallet compatible con passkeys y funciones de cuenta programable.
Activa el passkey en tus dispositivos principales y prueba un inicio de sesión de emergencia (segundo equipo o llave FIDO).
Añade recuperación social o secundaria (guardianes o segundo factor). (Ejemplo: 2–3 guardianes con periodo de espera de 24–48 horas).
Segmenta tus fondos: operativa diaria en la smart wallet; ahorros a largo plazo en una bóveda con políticas más estrictas (multisig/MPC).

Riesgos y malentendidos que conviene evitar

No garantiza acceso eterno: si sincronizas passkeys, protege la cuenta del gestor (2FA y recuperación robusta); si no sincronizas, usa un dispositivo de respaldo o llave FIDO. ERC‑4337 no lo arregla todo: dependes de buenas implementaciones y proveedores con telemetría y auditorías. MPC vs. multisig no es blanco o negro: la elección depende de gobernanza, privacidad operativa y costes.

Qué viene después

Veremos más plataformas con soporte nativo de passkeys en gestores de credenciales; smart wallets con módulos de seguridad plug‑and‑play (recuperación asistida, políticas temporales); y una mejor UX cross‑chain que priorice el “qué autorizas” sobre el “dónde” firmas. En resumen: organiza tu wallet hoy; la era de las 12 palabras se cierra.