Nivel 4

Distribución geográfica de claves

No guardes todas las llaves en el mismo sitio. Distribución geográfica como defensa contra múltiples amenazas.

El principio

De nada sirve un multisig 2-de-3 si las tres llaves están en el cajón de tu escritorio. Un ladrón, un incendio, o una confiscación se llevaría las tres simultáneamente.

La distribución geográfica asegura que ningún evento único pueda comprometer suficientes llaves como para perder los fondos o permitir un robo.

Escenarios de amenaza

Robo

Un ladrón entra en tu casa. Si encuentra una hardware wallet:

  • Singlesig: Tiene acceso a todo (si también encuentra la seed o puede forzarte)
  • Multisig con distribución: Solo tiene 1 de 3 llaves. Inútil.

El ladrón necesitaría robar en múltiples ubicaciones, lo que es exponencialmente más difícil y arriesgado para él.

Desastre natural o incendio

Tu casa se destruye en un incendio:

  • Todo en casa: Pierdes todas las llaves y seeds
  • Distribución: Pierdes 1 de 3 ubicaciones. Las otras 2 son suficientes para recuperar los fondos y migrar a una nueva configuración

Coacción física (ataque de $5)

Un atacante te amenaza físicamente para que entregues tus bitcoin:

  • Singlesig con todo accesible: Puedes ser forzado a entregar todo
  • Multisig con distribución: Solo puedes entregar la llave que tienes físicamente. "Necesito ir a otra ciudad para completar la transacción" cambia la dinámica

No es protección perfecta contra violencia, pero añade fricción significativa.

Ejemplo de distribución 2-de-3

Ubicación 1: Tu casa

  • Hardware wallet 1 (uso habitual)
  • Copia del descriptor de la wallet
  • Opcionalmente, seed phrase 1 en metal (caja fuerte)

Ubicación 2: Casa de familiar de confianza

  • Hardware wallet 2 (o solo la seed phrase en metal)
  • Copia del descriptor

El familiar no necesita saber usarla ni tener conocimientos de Bitcoin. Solo custodia física.

Ubicación 3: Caja de seguridad bancaria

  • Seed phrase 3 en metal (sin el dispositivo físico)
  • Copia del descriptor

La caja bancaria proporciona seguridad física profesional y está en otra ubicación geográfica.

Variaciones según threat model

Enfoque en conveniencia

  • Ubicación 1 (casa): Llave 1 + Llave 2 accesibles
  • Ubicación 2 (remota): Llave 3

Puedes firmar 2-de-3 sin moverte, pero tienes backup remoto.

Riesgo: un robo en casa compromete 2 llaves (suficiente para gastar).

Enfoque en seguridad

  • Ubicación 1 (casa): Solo Llave 1
  • Ubicación 2 (trabajo/familiar): Solo Llave 2
  • Ubicación 3 (caja bancaria): Solo Llave 3

Para gastar, siempre necesitas ir a dos ubicaciones o coordinar con alguien.

Más seguro pero menos conveniente.

Enfoque híbrido

  • Ubicación 1 (casa): Llave 1
  • Ubicación 2 (accesible): Llave 2
  • Ubicación 3 (remota): Llave 3

Las llaves 1 y 2 son accesibles para uso normal. La llave 3 es backup puro.

El descriptor en cada ubicación

El descriptor de la wallet (la configuración que define el multisig) debe estar en cada ubicación:

  • Sin el descriptor, tener 2 seeds no es suficiente para reconstruir la wallet
  • Con el descriptor + 2 seeds, puedes recuperar todo

Considera:

  • Copia digital en USB encriptado
  • Copia impresa en papel
  • O ambas

El descriptor no es secreto (no permite gastar), pero es esencial para la recuperación.

Personas de confianza

Si involucras a otras personas en la custodia (familiar, abogado, amigo):

Lo que necesitan saber:

  • Que custodian algo importante
  • Cómo contactarte si hay problemas
  • Qué hacer si falleces (instrucciones selladas)

Lo que no necesitan saber:

  • Cuánto bitcoin tienes
  • Cómo funciona todo el sistema
  • Las otras ubicaciones

Principio de mínimo conocimiento: cada custodio sabe solo lo necesario para su rol.

Documentación

Con múltiples ubicaciones y posiblemente otras personas involucradas, la documentación clara es crucial:

  • Qué hay en cada ubicación
  • Cómo acceder (si hay cajas fuertes, combinaciones)
  • Qué hacer en caso de emergencia
  • Instrucciones para herencia

Guarda esta documentación de forma segura pero accesible para quien la necesite en el momento correcto.

Equilibrio personal

No hay configuración perfecta universal. Depende de:

  • Tu threat model específico
  • Cuántas ubicaciones seguras tienes disponibles
  • Si tienes personas de confianza que pueden participar
  • Tu tolerancia a la complejidad vs conveniencia

Empieza simple y ajusta según tu situación evolucione.