Hardware wallet: una «caja fuerte fría» para las claves privadas
La idea central: las claves privadas permanecen dentro del dispositivo y la confirmación de las transacciones se realiza en la pantalla de la wallet; esto reduce el riesgo de robo de claves a través del PC, el navegador y las extensiones maliciosas.
Una hardware wallet cripto es un dispositivo físico que guarda las claves privadas en su interior y firma transacciones localmente, sin revelarlas al ordenador o al teléfono.
En las wallets «calientes», las operaciones se confirman en el navegador o en el smartphone. En una hardware wallet, las claves permanecen dentro del dispositivo y la firma se confirma en su pantalla (con botones o sensor), por lo que el malware en el host no obtiene las claves privadas.
Cómo funciona una hardware wallet cripto
- Las claves privadas se generan y se guardan en el dispositivo.
- La transacción se firma dentro de la wallet y se confirma en la pantalla del dispositivo.
- A la red se envía la transacción firmada (firma digital), mientras que las claves privadas permanecen offline.
Principio: Quien controla las claves, controla los activos.
Ventajas principales
- Sirve para el almacenamiento a largo plazo de sumas importantes: el riesgo es menor que con las wallets «calientes».
- El malware en el PC o el teléfono no obtiene las claves privadas del dispositivo, pero puede sustituir detalles en la interfaz; la verificación de la dirección y la cantidad en la pantalla es crítica.
- Sirve para DeFi y staking: conexión mediante aplicaciones oficiales o WalletConnect (conexión de la wallet a una dApp mediante QR/sesión).
Contexto 2025: han aparecido más modelos para distintos escenarios de conexión (USB, Bluetooth, QR). El criterio clave es el escenario: para operaciones frecuentes importan la pantalla y la comodidad al confirmar; para el «hold», el modelo de amenazas y la calidad del respaldo.
Las marcas conocidas siguen siendo relevantes con una higiene básica: backup offline de la seed phrase y verificación de los detalles de la operación en la pantalla del dispositivo.
Material actualizado → se tuvieron en cuenta los modelos 2024–2025, los escenarios USB/Bluetooth/QR y los riesgos típicos de las “blind signatures” en DeFi.
- Qué revisar antes de confirmar → dirección/red/cantidad en la pantalla del dispositivo.
- Cómo guardar el respaldo → respaldo práctico (metal, passphrase, Shamir).
Cómo elegir una hardware wallet: 5 criterios sin relleno
Cinco criterios: los detalles en pantalla al firmar, el tipo de soporte (nativo o mediante integraciones), la recuperación, así como la conexión y el precio.
-
Seguridad (claves y acceso)
- PIN y protección contra fuerza bruta: retrasos, bloqueo o borrado tras N intentos.
- Verificación antes de firmar en la pantalla del dispositivo: dirección, red, cantidad, comisión.
- Riesgos de acceso físico: Secure Element y/o passphrase reducen las consecuencias del robo del dispositivo.
-
Comodidad (errores al confirmar)
- Criterio de pantalla: deben mostrarse los detalles de la operación, no solo “OK/Confirm”.
- Criterio de dirección: fragmentos largos legibles para que una sustitución resulte visible.
- Para DeFi es importante ver approve/spender (a quién se conceden permisos), y no “blind signing”.
-
Monedas y redes (tipo de soporte)
- El soporte puede ser nativo en la aplicación oficial o mediante integraciones (MetaMask/Electrum/Sparrow), lo que implica distintas limitaciones y una UX diferente.
- La compatibilidad depende de la plataforma (PC/Android/iOS) y de la aplicación concreta.
- Verificación práctica: un ciclo de prueba “recibir → enviar una cantidad pequeña” muestra qué detalles aparecen en pantalla al firmar.
-
Conexión (USB, Bluetooth, QR)
- USB es predecible; el air-gap por QR reduce el número de canales de intercambio de datos, pero requiere más tiempo.
- Bluetooth es cómodo para el teléfono, pero añade un canal de comunicación; en un modelo de amenazas estricto suele usarse como modo opcional.
- Matices de plataforma: Android (OTG), iOS (limitaciones del modelo y de la aplicación).
-
Precio (se paga por la UX, no por la “magia”)
- Normalmente ~$50–$300+: el aumento de precio suele estar relacionado con la pantalla, el touch y la comodidad.
- El riesgo de supply chain es menor al comprar a vendedores oficiales; los dispositivos “de segunda mano” y “preconfigurados” aumentan la probabilidad de compromiso.
- Gastos de respaldo: metal, segundo juego, almacenamiento separado.
Qué más conviene tener en cuenta al elegir
- Software: Ledger Live / Trezor Suite / BitBoxApp y compatibilidad con wallets de terceros para las redes necesarias.
- Documentación y actualizaciones: instrucciones claras y frecuencia de releases para la plataforma necesaria.
- Backup: 24 palabras / microSD / Shamir (si existe) y una prueba de recuperación “en vacío”.
- Respuesta ante vulnerabilidades: rapidez, transparencia, parches.
El fallo típico no está relacionado con un “hackeo del chip”, sino con errores de manejo: comprar fuera de vendedores oficiales, copias digitales de la seed phrase y firmar sin verificar la dirección/red/cantidad en la pantalla del dispositivo.
Comparación de hardware wallets 2024–2025: qué se obtiene por el dinero
La tabla no es un “ranking”. Ayuda a comparar el escenario: multidivisa universal, air-gap por QR o BTC-only para aislamiento estricto.
Cómo leerla: 1) pantalla (dirección/red/cantidad al firmar), 2) conexión (USB/BT/QR), 3) “# monedas”. El “soporte” puede ser nativo (aplicación oficial) o mediante integraciones (MetaMask/Electrum/Sparrow).
Los precios y el número de monedas son orientativos: dependen de la región, el suministro y las actualizaciones.
| Modelo | Precio | # Monedas | Compatibilidad | Características | Ventajas | Desventajas |
|---|---|---|---|---|---|---|
| Trezor One | ~$65 (59 €) |
1000 | PC Android (OTG) |
OLED; 2 botones sin SE; open-source |
Precio bajo: “umbral de entrada” inicio y configuración sencillos código abierto |
Sin BT ni iOS pantalla pequeña: la dirección es más difícil de verificar sin SE aumenta el papel de la passphrase ante acceso físico |
| Trezor Model T | ~$219 | 1800+ | PC Android (OTG) |
Touch 1.54″ (color) microSD (Shamir) open-source |
Pantalla táctil: facilita la verificación de datos Shamir Backup para el respaldo incluye Monero |
Más caro que muchas alternativas sin BT/iOS sin SE, la disciplina con la passphrase es importante |
| Ledger Nano X | $149 | 5500+ | PC Android/iOS (BT) |
OLED; 2 botones BT + batería SE CC EAL5+ |
Amplia cobertura de activos e integraciones escenario móvil: BT + batería chip SE como ventaja frente al acceso físico |
Firmware cerrado (otro modelo de confianza) debates reputacionales en torno a funciones/incidentes de la marca en iOS, parte de los escenarios puede estar limitada |
| Ledger Stax | $279 | 5500+ | PC Android/iOS (BT) |
E-Ink 3.7″ (touch) carga Qi SE EAL6+ |
E-Ink grande: menos confirmaciones “a ciegas” pantalla grande y touch SE EAL6+ |
Precio muy alto batería no extraíble firmware cerrado |
| Coldcard Mk4 | $150 | BTC-only | PC PSBT: microSD/USB |
OLED + teclado 2× SE; sin BT NFC (opc.) |
BTC-only: enfoque estricto PSBT/microSD para firma offline multisig y modos de protección |
Solo BTC umbral de entrada más alto (PSBT, multisig, Sparrow) menos comodidad “del día a día” |
| Keystone 3 Pro | $149 | 5500+ | Autónomo (QR) Android / iOS |
Pantalla 4″; 3× SE huella; sin USB/BT self-destruct |
Air-gap por QR: sin cable ni canal de datos BT pantalla grande: más fácil verificar detalles cómodo para DeFi móvil mediante QR |
El proceso QR es más lento que USB/BT el dispositivo es más grande que los “pendrives” la UX depende de aplicaciones/combinaciones |
| BitBox02 | $120 | ~1500 | PC Android (USB-C) |
USB-C compacto bordes táctiles backup en microSD |
Backup en microSD: recuperación rápida equilibrio entre “transparencia + hardware” hay versión BTC-only |
Sin iOS en el modelo clásico menos redes que Ledger el control táctil requiere adaptación |
| NGRAVE ZERO | $398 (398 €) |
1000+ | Autónomo (QR) Android / iOS |
Touch 4″; cámara SE EAL7; biometría completamente offline |
Enfoque en el “hardware” y los riesgos físicos pantalla grande + confirmaciones offline Graphene backup como escenario independiente |
Precio muy alto menos experiencia masiva y menos integraciones firmware cerrado; escenario mediante smartphone/combinación |
| SafePal S1 | $50 | 30 000+ | Autónomo (QR) Android / iOS; USB |
Pantalla + cámara batería soporte de Binance Labs |
Entrada asequible al almacenamiento “en frío” listas amplias de redes/tokens escenario QR sin cable |
UI anticuada y navegación con botones actualizaciones poco frecuentes y UX desigual compromiso en carcasa/sensaciones |
Verificación práctica: 1) el activo figura en la lista oficial y el tipo de soporte es claro; 2) en la pantalla del dispositivo se ven dirección/red/cantidad/comisión antes de firmar.
Reseñas de hardware wallets: 8 modelos y compromisos claros
Reseñas breves por escenario: universalidad, air-gap, BTC-only o pantalla grande.
Cómo leerlas: 1) “Esencia” (escenario y modelo de confianza), 2) parámetros (pantalla/conexión/software), 3) puntos fuertes y limitaciones, 4) conclusión sobre su aplicabilidad.
Trezor One — un «veterano» sencillo para empezar
Esencia: wallet económica sin Bluetooth ni batería. Suele elegirse como el “primer frío”, pero sin Secure Element; ante riesgos de acceso físico, suele añadirse una passphrase.
- Conexión: USB (micro-USB) • sin BT/batería
- Activos: >1 000 (BTC, ETH, LTC, ERC-20 y otros)
- Pantalla/control: OLED (mono) • 2 botones
- Compatibilidad: Windows / macOS / Linux; Android (OTG) • iOS — no
- Software: Trezor Suite (Desktop + Web + Bridge)
- Modelo de protección: open-source; SE: no • PIN, Passphrase, firma offline
|
Puntos fuertes
|
Limitaciones
|
Para quién sirve: escenario básico por cable y “umbral de entrada” al almacenamiento en frío; para la clase con pantalla táctil o SE suelen considerarse otros modelos de la línea.
Trezor Model T — el buque insignia de Trezor con pantalla táctil
Esencia: pantalla táctil a color e introducción del PIN/passphrase en el propio dispositivo. Incluye Shamir Backup. Enfoque “open-source sin Secure Element”.
- Conexión: USB-C • microSD para Shamir • sin BT/batería
- Activos: ≈1 800+ • Monero — precisamente aquí
- Pantalla: 1.54″ táctil a color • entrada en el dispositivo
- Compatibilidad: PC; Android (OTG) • iOS — no
- Software: Trezor Suite
- Modelo de protección: open-source; SE: no • Shamir, CoinJoin, FIDO2
|
Puntos fuertes
|
Limitaciones
|
Para quién sirve: escenarios donde importan la UX táctil y Shamir Backup con un modelo de confianza lo más “abierto” posible.
Ledger Nano X — multidivisa “para el día a día”
Esencia: wallet compacta con Bluetooth y batería para escenarios móviles. Ledger Live cubre las operaciones básicas. Incluye Secure Element CC EAL5+, pero el firmware es cerrado.
- Conexión: USB-C / Bluetooth • batería
- Activos: ≈5 500+
- Pantalla: OLED 128×64 • 2 botones
- Compatibilidad: PC; Android / iOS • puede haber limitaciones
- Software: Ledger Live
- Modelo de protección: SE CC EAL5+ • PIN, Passphrase, U2F
|
Puntos fuertes
|
Limitaciones
|
Para quién sirve: “una sola wallet para muchas cosas” (multirredes + escenario móvil), si el firmware cerrado resulta aceptable.
Ledger Stax — gran E-Ink y enfoque en la comodidad al confirmar
Esencia: énfasis en la legibilidad: E-Ink curvo de 3.7″, touch, carga Qi e imanes. En escenarios es cercano al Nano X, pero las confirmaciones en pantalla son más fáciles de leer. SE EAL6+.
- Conexión: USB-C / Bluetooth • Qi • batería
- Activos: ≈5 500+
- Pantalla: 3.7″ E-Ink (touch) • always-on
- Compatibilidad: PC; Android / iOS
- Software: Ledger Live
- Modelo de protección: SE EAL6+ • PIN, Passphrase
|
Puntos fuertes
|
Limitaciones
|
Para quién sirve: escenarios donde la prioridad es la legibilidad y la comodidad al confirmar en pantalla.
Coinkite Coldcard — BTC-only y máximo control
Esencia: wallet BTC para “modo estricto”: PSBT mediante microSD (air-gap), 2× Secure Element, duress-PIN y modos de protección. Se usa con frecuencia para multisig y hold prolongado.
- Conexión: USB (alimentación) • microSD (PSBT) • sin BT/batería
- Activos: BTC-only
- Control: OLED + teclado • 12 teclas
- Compatibilidad: PC + offline mediante microSD
- Software: Electrum / Sparrow / Specter
- Modelo de protección: 2× SE • duress PIN, Brick Me, tamper
|
Puntos fuertes
|
Limitaciones
|
Para quién sirve: hold de BTC y esquemas multisig, cuando el control importa más que la comodidad “del día a día”.
Keystone 3 Pro — air-gap por QR para DeFi activo
Esencia: intercambio de datos mediante QR (sin BT y sin intercambio de datos por USB), gran pantalla táctil de 4″, 3× Secure Element y modos de protección. El escenario es DeFi móvil mediante WalletConnect y combinaciones con aplicaciones compatibles.
- Conexión: Air-gap (QR) • sin BT/datos USB
- Activos: ≈5 500+
- Pantalla: 4″ touch + cámara
- Compatibilidad: Android / iOS • PC mediante QR
- Software: Keystone Companion • WalletConnect
- Modelo de protección: 3× SE • Self-Destruct, Fingerprint
|
Puntos fuertes
|
Limitaciones
|
Para quién sirve: air-gap por QR y operaciones activas en DeFi desde el teléfono, con prioridad en la firma offline.
BitBox02 — minimalismo y backup en microSD “en un solo paso”
Esencia: wallet compacta por cable con respaldo en microSD “como archivo”, enfoque open-source y chip protegido. Existen versiones Multi y BTC-only.
- Conexión: USB-C • microSD (backup)
- Activos: ≈1 500+ (Multi) • BTC-only — versión aparte
- Control: OLED • bordes táctiles
- Compatibilidad: PC; Android (USB-C) • iOS — no
- Software: BitBoxApp
- Modelo de protección: SE ATECC608A • Anti-Klepto, U2F
|
Puntos fuertes
|
Limitaciones
|
Para quién sirve: almacenamiento ordenado con prioridad en un respaldo sencillo y una UX minimalista.
NGRAVE ZERO — una “caja fuerte de escritorio” con EAL7 y modo QR
Esencia: dispositivo offline con formato de “mini-smartphone”: intercambio por QR, gran pantalla, SE EAL7, sensores antimanipulación y backup físico Graphene. Clase de nicho con énfasis en los riesgos físicos.
- Conexión: Air-gap (QR) • USB-C: carga/firmware
- Activos: ~1 000+
- Pantalla: 4″ touch + cámara • 480×800
- Compatibilidad: Android / iOS
- Software: Liquid • WalletConnect; integraciones QR
- Modelo de protección: SE EAL7 • sensores antimanipulación, NGRAVE OS
|
Puntos fuertes
|
Limitaciones
|
Para quién sirve: modelo de amenazas estricto y sumas grandes, cuando la prioridad es la firma offline y la resistencia física del dispositivo.
Modelos de nicho y alternativas dignas
Aquí no están los “grandes éxitos”, sino dispositivos para escenarios concretos: ultrapresupuesto, Trezor con SE, BTC-only con buena UX, open-source para un enfoque técnico, tarjeta NFC para el día a día.
SafePal S1
Formato: air-gap mediante QR (USB — opcional, según el escenario).
Activos: se declaran >30 000 tokens/redes — el soporte real depende de SafePal App.
Punto fuerte: bajo precio de entrada al almacenamiento en frío + amplia cobertura de redes en las listas.
Limitación: UX más simple y firmware cerrado — el modelo de confianza difiere del de los dispositivos open-source.
Para quién sirve: escenarios donde importa el precio mínimo con listas amplias de redes, y el proceso QR resulta aceptable en velocidad.
Trezor Safe 3
Formato: por cable (USB), sin Bluetooth.
Ecosistema: Trezor Suite (PC + Android mediante OTG).
Punto fuerte: “experiencia Trezor” + Secure Element en una línea más asequible.
Limitación: sin iOS/BT y sin touch — la confirmación y la navegación son menos “móviles”.
Para quién sirve: escenarios donde importan la interfaz Trezor y el chip SE frente a los riesgos de acceso físico.
Blockstream Jade
Formato: modos híbridos — USB / Bluetooth / QR.
Enfoque: enfoque open-source y escenarios BTC (a menudo mediante Green y wallets compatibles).
Punto fuerte: elección del modo de conexión según la situación (USB para simplicidad, BT para movilidad, QR para aislamiento).
Limitación: ausencia de un Secure Element “clásico” — para algunos escenarios esto resulta decisivo.
Para quién sirve: enfoque open-source y flexibilidad de modos de conexión sin quedar atado a un único escenario.
Foundation Passport
Formato: BTC-only con QR-air-gap y énfasis en una UX clara.
Integraciones: con mayor frecuencia, combinación con Sparrow/Specter y otras herramientas BTC.
Punto fuerte: enfoque BTC estricto sin una interfaz “solo para técnicos”.
Limitación: precio alto y BTC-only estricto (sin escenario “por si acaso para altcoins”).
Para quién sirve: almacenamiento exclusivo de BTC con QR-air-gap, cuando la legibilidad y la navegación tienen prioridad.
Tangem Wallet
Formato: “smart card” NFC sin pantalla — control mediante smartphone.
Seguridad: Secure Element (a menudo se indica EAL6+); firmware cerrado/inmutable.
Punto fuerte: umbral de entrada mínimo y escenario cotidiano rápido.
Limitación: sin pantalla en el dispositivo no existe una verificación “de hardware” de la dirección/cantidad; aumenta la dependencia del smartphone.
Para quién sirve: escenarios donde importan la velocidad y el formato de tarjeta, mientras que la autonomía y la verificación en pantalla pasan a segundo plano.
Guía de selección: hardware wallet según perfil y escenario
La selección se reduce a tres parámetros: activos (BTC-only o multirredes), firma (USB / Bluetooth / QR) y escala del riesgo (operaciones cotidianas o sumas grandes).
Lógica breve de selección:
- Teléfono: Bluetooth (Ledger) o QR air-gap (Keystone / SafePal / NGRAVE).
- Menos confirmaciones “a ciegas”: dirección y cantidad legibles en pantalla (pantalla más grande o interfaz más transparente).
- Sumas grandes: prioridad para esquemas multisig + backups distribuidos, y después, elección del modelo.
1) Para principiantes y para el día a día
- Trezor Safe 3 / Trezor One — escenario por cable y ecosistema Suite; la protección frente a sustituciones depende de verificar la dirección en pantalla.
- Ledger Nano S Plus — opción económica y amplia en monedas en un escenario USB.
- SafePal S1 — muchas redes por un precio mínimo con firma QR; la velocidad es menor que con USB/BT.
2) DeFi/NFT y uso activo
- Ledger Nano X / Ledger Stax — Bluetooth, Ledger Live e integraciones para multirredes.
- Keystone 3 Pro — QR air-gap para DeFi móvil mediante WalletConnect y aplicaciones compatibles; el intercambio por QR añade pasos y reduce el número de canales de intercambio de datos.
- BitBox02 Multi — backup en microSD y ecosistema; la cobertura de redes debe compararse con los tokens objetivo.
3) Sumas grandes y modelo de amenazas estricto
- Multisig 2-de-3 — menor riesgo de “un único punto de fallo”: distintas marcas + almacenamiento separado de claves y backups.
- NGRAVE ZERO — QR air-gap y énfasis en la protección (más caro y menos “cotidiano”).
- La rutina importa más que el modelo: passphrase, backup metálico, prueba de recuperación y verificación de dirección/cantidad en pantalla.
Crítico en cada firma: verificación de la dirección, la red y la cantidad en la pantalla del dispositivo. La seed se guarda offline (preferiblemente en metal), y el PIN/seed/passphrase no se comparte con terceros.
Preguntas y respuestas (FAQ)
Backup de la seed phrase para una hardware wallet: metal, passphrase o Shamir — ¿qué conviene elegir?
El nivel básico es metal y un segundo juego en otro lugar. Para sumas grandes se añade una passphrase o se usa Shamir 2-de-3; un paso aparte es una verificación única de la recuperación en un dispositivo “limpio”. El análisis detallado del respaldo se lleva a un material independiente: seed phrase: almacenamiento y backups.
USB, Bluetooth o QR (air-gap): ¿cómo afecta esto a una hardware wallet y a la confirmación?
QR/PSBT reduce el número de canales de intercambio de datos, USB sigue siendo una opción válida con verificación en pantalla, y Bluetooth añade un canal de comunicación a cambio de movilidad. El principio general: la verificación de dirección/red/cantidad se realiza en el dispositivo, no en la aplicación.
PC/smartphone infectado y hardware wallet “limpia”: ¿dónde sigue existiendo el riesgo?
Las claves privadas no salen del dispositivo, pero el host infectado puede sustituir la dirección y los detalles en la interfaz. La respuesta práctica es detener las operaciones y pasar a un entorno limpio; en caso de duda, se aplica el escenario nueva seed + passphrase y traslado de fondos.
DeFi/NFT mediante hardware wallet: ¿qué debe verse al firmar?
Es crítico que en la pantalla del dispositivo se lean los detalles de la operación y el tipo de acción (por ejemplo, transfer o approve), y en EVM, quién es el spender y qué allowance se concede. La explicación sobre approvals y la revocación de permisos se trata aparte: approval/allowance: verificación y revoke.
¿Qué conviene verificar en la pantalla del dispositivo antes de firmar?
A quién (dirección), qué (activo/cantidad), dónde (red/chainId), cuánto (comisión). En EVM, aparte: transfer o approve, y quién es el spender. Si la operación no está clara, la firma se pospone.
¿Cuándo tiene sentido usar multisig con hardware wallets?
Para sumas grandes, el esquema 2-de-3 en dispositivos de distintas marcas reduce el riesgo de un único punto de fallo. Condiciones del escenario: almacenamiento separado de claves y backups, y prueba de pérdida de un dispositivo. El montaje paso a paso y los matices cross-vendor se explican aparte: multisig 2-de-3: principios y montaje.
Herencia y hardware wallet: ¿qué debe preverse?
Dos capas: documentos jurídicos y una “instrucción técnica” aparte (dónde están los backups y cuál es el orden de acciones). La seed phrase no se coloca en el testamento; el escenario debe funcionar sin participación del titular.
Final: almacenamiento en frío que realmente funciona
Una hardware wallet guarda las claves privadas dentro del dispositivo y firma transacciones offline. La confirmación en pantalla reduce el riesgo de sustitución de dirección y de “firmar algo incorrecto”.
Fórmula práctica: claves offline + backup separado + verificación en pantalla — conjunto básico que importa más que el “modelo top”.
La seed phrase no debe pasar a formato digital (fotos/escaneos/nube/introducción en PC). Si la seed ha estado “en digital”, el riesgo de compromiso se considera elevado.
|
Recomendado
|
No recomendable
|
Mini-algoritmo de puesta en marcha
- Compra: vendedor oficial → verificación del embalaje y del contenido.
- Inicialización: la seed se crea en el dispositivo → anotación offline → segundo juego.
- Acceso: PIN → si hace falta, passphrase (almacenamiento separado).
- Verificación: transferencia de prueba de ida y vuelta con una cantidad pequeña.
- Separación: dirección independiente para almacenamiento y otra “operativa” para DeFi.
- Mantenimiento: actualizaciones solo desde fuentes oficiales + revisión periódica de permisos (allowance).
Idea final: la seguridad no la da “la wallet más cara”, sino la rutina: backup offline, almacenamiento separado y verificación en pantalla.