Seguridad operativa (OpSec)

Las amenazas no siempre vienen de hackers sofisticados. A veces basta un SMS falso o una foto de tu seed.

A medida que acumulas bitcoin y tomas el control de tus claves privadas, tu perfil de riesgo cambia. Ya no dependes de que un exchange falle; dependes de que tú no cometas errores. La seguridad operativa (OpSec) es el conjunto de hábitos y prácticas que reducen la superficie de ataque en tu vida cotidiana.

El enemigo no siempre es un hacker en una sala oscura. A veces eres tú, con un momento de descuido.

Qué es la seguridad operativa

El término OpSec (Operational Security) viene del ámbito militar, donde describe el proceso de identificar qué información propia podría ser útil para un adversario y tomar medidas para protegerla. Aplicado a Bitcoin: ¿qué sabe el mundo sobre tu situación con bitcoin? ¿Quién sabe que tienes? ¿Cuánto? ¿Dónde guardas las claves?

La OpSec no es paranoia, es diseño defensivo. El objetivo es que un atacante que te apunte (digital o físicamente) encuentre el menor número posible de vectores de entrada.

Las amenazas reales

Phishing: el ataque más común

El phishing consiste en suplantar la identidad de un servicio legítimo (tu exchange, tu wallet, un proyecto de Bitcoin) para engañarte y que entregues tus credenciales o, peor, tu seed phrase.

Señales de alerta:

• URL que no coincide exactamente con el dominio oficial (ej: bínance.com en lugar de binance.com).
• Urgencia artificial: "Tu cuenta será suspendida en 24 horas".
• Solicitud de seed phrase, contraseña o códigos 2FA.
• Emails con errores ortográficos o formato inusual.
• Enlace recibido por email o redes sociales en lugar de acceder directamente.

Regla de oro: accede siempre directamente escribiendo la URL en el navegador o usando un marcador guardado. Nunca desde un enlace en un email.

SIM swap: el ataque al 2FA por SMS

En un ataque de SIM swap, el atacante convence a tu operador de telefonía (con ingeniería social, soborno o datos personales filtrados) de transferir tu número de teléfono a una SIM bajo su control. Con tu número, puede recibir los SMS de verificación de dos pasos y acceder a tus cuentas en exchanges.

Solución directa: elimina el 2FA por SMS en todos tus exchanges y servicios críticos. Sustitúyelo por una app de autenticación TOTP (Time-based One-Time Password) como Aegis (Android, código abierto), Google Authenticator o Authy. Los códigos TOTP se generan localmente en tu dispositivo: el atacante no puede interceptarlos aunque tenga tu número.

Ingeniería social

No todo ataque es técnico. La ingeniería social explota la confianza humana: alguien que finge ser soporte técnico de tu wallet, un "amigo" en redes que hace preguntas demasiado específicas sobre tu situación, un grupo de Telegram con supuestos expertos que ofrecen ayuda y terminan pidiendo datos.

El vector de entrada más frecuente es el orgullo: la persona que habla públicamente de cuánto bitcoin tiene, o que publica fotos de sus hardware wallets, se convierte en un objetivo.

El ataque de los 5 dólares (o la llave inglesa)

Ninguna criptografía del mundo protege contra la coerción física. Si alguien sabe que tienes una cantidad significativa de bitcoin y está dispuesto a usar la fuerza o la amenaza, puede obligarte a firmar transacciones. Este vector de ataque se llama coloquialmente "el ataque de los $5", en referencia al coste de una llave inglesa.

La protección más efectiva contra este ataque no es técnica: es la discreción. Si nadie sabe que tienes bitcoin, nadie te apuntará por ello.

Malware y keyloggers

El software malicioso puede registrar todo lo que tecleas (keylogger), hacer capturas de pantalla, o interceptar el portapapeles (muy relevante: algunos malware reemplazan las direcciones Bitcoin que copias por las del atacante). Especialmente peligroso si alguna vez tecleas tu seed phrase o contraseñas en un dispositivo comprometido.

Las reglas básicas de OpSec para bitcoiners

1. No hables de cuánto tienes

La regla número uno de la comunidad bitcoiner: no reveles tu posición. No en redes sociales, no en conversaciones informales, no con familiares que no necesiten saberlo. Esta información solo tiene utilidad para quien quiera apuntarte como objetivo.

2. 2FA con app, nunca por SMS

Cambia hoy el 2FA por SMS en todos tus exchanges y servicios críticos por una app TOTP. Aegis es la opción recomendada para Android (código abierto, con backups cifrados). Guarda los códigos de recuperación en un lugar seguro offline.

3. Verifica siempre la URL

Antes de introducir cualquier dato en un exchange o wallet web, comprueba que la URL es exactamente la correcta. Usa marcadores guardados para los servicios que usas habitualmente. Nunca accedas desde enlaces en emails o mensajes.

4. Tu seed nunca en formato digital

Nunca fotografíes tu seed phrase, nunca la escribas en una nota del móvil, nunca la guardes en un gestor de contraseñas online, nunca la envíes por ningún canal digital. La seed existe solo en papel (o metal) en ubicaciones físicas controladas.

5. Email separado para Bitcoin

Usa una dirección de email dedicada para exchanges y servicios relacionados con Bitcoin, que no esté vinculada a tu nombre real ni a tu identidad pública. Si ese email se ve comprometido, no afecta al resto de tu vida digital.

6. Software actualizado

Mantén actualizados tu sistema operativo, navegador, y software de wallets. Las actualizaciones de seguridad cierran vulnerabilidades que el malware explota activamente.

7. Gestor de contraseñas

Usa un gestor de contraseñas para tener contraseñas únicas y largas en cada servicio. Bitwarden (código abierto, con opción autohospedada) o KeePass (completamente local) son opciones sólidas. Una contraseña reutilizada en un exchange comprometido puede comprometer todos los demás.

Ver también

• Seguridad básica en Bitcoin
• Tu seed phrase: la llave maestra
• Configurar tu hardware wallet
• Fiscalidad de Bitcoin