Hace unas semanas estaba inmerso en un proyecto que a ratos he terminado. A la par leía sobre los diferentes OPSEC para la operativa BTC y pensé que esto merecía explicación.
Si haces operativa BTC en tu PC “normal”, estás aceptando un riesgo brutal por comodidad. No te rompe la criptografía: te rompe un click. Un email “legítimo”, un enlace, una extensión, un update… y tu seguridad se evapora en segundos.
Hay diferentes capas de OPSEC (Operational Security)
🔥Utilizar tu ordenador y telefono del día a día.
🟥 Muy Inseguro (NO recomendado)
-> Posibles problemas con links/archivos recibidos por terceros (telegram, drive, mail).
-> Android rooteado y/o con apps desconocidas.
🟧 Inseguro (falsa sensación de cuidado)
-> PC de uso diario con "antivirus".
-> Instalar software de la web oficial de la wallet sin verificar nada.
🟨 Aceptable (primeras buenas prácticas)
-> PC de uso diario con contraseña SHA256 y con verificación (PGP) de las aplicaciones que instalas.
🛡️Utilizar un PC limpio y preparado para operativa
🟩 Bueno (reducción clara de superficie de ataque)
-> Usuario NO administrador + contraseña SHA256.
-> Verificación de todo el sofware con firma PGP.
-> Solo software de operativa.
🟦 Muy bueno (OPSEC fuerte, recomendado)
-> Live Linux USB
-> Airgapped + microSD para relializar operaciones
-> Check post-update + check post-update
🟪 Nivel laboratorio
-> Compilar desde source
-> Reproducir builds + comparar hashes carácter a carácter
*información OPSEC extraída de la cuenta de X de @matheymatias
Tras conocer estos puntos, me vi entre el 🟥 y 🟨, me asusté y decidí cambiar el sistema.
Opté por el "🟩🟦Bueno mejorado", y ahora te explico como es el sistema.
La seguridad NO es “tengo la seed muy bien guardada”. La seguridad es lo que haces cada día: navegador, archivos, USBs, software, hábitos. Un solo fallo humano invalida años de trabajo. Por eso cambié de enfoque: separación total de operativa BTC con mi día a día.
Saqué TODO lo relacionado con wallets del ordenador de uso diario. Punto. Ese PC es carne de brechas de seguridad por diseño: navegas, abres PDFs, conectas cosas, instalas herramientas.
Cada vez que conectas una wallet, las posibilidades de problemas se multiplican.
Compré un portátil reacondicionado: Dell Latitude 7400. Nada “gaming”, nada raro. Hardware empresarial: estable, documentado y robusto.
Y empecé a trabajar sobre él,
- BIOS actualizada + TPM activado -> Arranque y hardware bajo control.
- Cifrado completo del sistema: LUKS (AES-XTS). Sin passphrase, el disco es un ladrillo.
- Debian+Gnome limpio, solo lo necesario.
- Poda agresiva: fuera bloatware, fuera servicios inútiles, fuera todo lo que no suma a la operativa.
- Limpieza de servicios de red: menos demonios, menos descubrimiento, menos tráfico.
- Deshabilité avahi-daemon y similares: no necesito tareas en segundo plano que no voy a utilizar.
- Opero con usuario no-root + contraseña fuerte. Root solo cuando es realmente necesario. La mayoría de desastres no son “hackers geniales”: son permisos, prisas y hábitos mediocres. La disciplina es una capa de seguridad real.
- Solo he instalado software cripto verificado.
Si no puedes verificar origen e integridad (firmas/GPG cuando aplica), asumes riesgo. El instalador “oficial” también puede ser trampa (Notepad++ es un ejemplo).
He instalado Sparro Wallet, Wasabi, Trezor Suite y Brave con Metamask.
- Software configurado para que siempre salga por Tor. La privacidad no es un lujo.
- KeePassXC local solo para notas operativas con passphrase muy dura.
Llegado a este punto solo me falta un detalle, el Airgapped.
Esa será la siguiente adquisición para añadir al sistema, una Wallet Airgapped para estar en el "⬛OPSEC extra fuerta" donde muchas coincidencias tendrían que darse para cometer un error.
Esto no te da “invulnerabilidad”. Te da algo mejor:
- Menos superficie de ataque.
- Menos exposición.
- Menos probabilidades de desastre por una mala practica.
El riesgo nunca es cero, pero la negligencia sí es opcional. Yo elegí dejar de jugar.
Lo más importante no es comprar hardware caro. Es separar operativas, minimizar software, verificar lo que instalas y definir un proceso. El enemigo real es tu propio día a día: prisa, confianza y rutina.
Soberanía y Libertad!
Si haces operativa BTC en tu PC “normal”, estás aceptando un riesgo brutal por comodidad. No te rompe la criptografía: te rompe un click. Un email “legítimo”, un enlace, una extensión, un update… y tu seguridad se evapora en segundos.
Hay diferentes capas de OPSEC (Operational Security)
🔥Utilizar tu ordenador y telefono del día a día.
🟥 Muy Inseguro (NO recomendado)
-> Posibles problemas con links/archivos recibidos por terceros (telegram, drive, mail).
-> Android rooteado y/o con apps desconocidas.
🟧 Inseguro (falsa sensación de cuidado)
-> PC de uso diario con "antivirus".
-> Instalar software de la web oficial de la wallet sin verificar nada.
🟨 Aceptable (primeras buenas prácticas)
-> PC de uso diario con contraseña SHA256 y con verificación (PGP) de las aplicaciones que instalas.
🛡️Utilizar un PC limpio y preparado para operativa
🟩 Bueno (reducción clara de superficie de ataque)
-> Usuario NO administrador + contraseña SHA256.
-> Verificación de todo el sofware con firma PGP.
-> Solo software de operativa.
🟦 Muy bueno (OPSEC fuerte, recomendado)
-> Live Linux USB
-> Airgapped + microSD para relializar operaciones
-> Check post-update + check post-update
🟪 Nivel laboratorio
-> Compilar desde source
-> Reproducir builds + comparar hashes carácter a carácter
*información OPSEC extraída de la cuenta de X de @matheymatias
Tras conocer estos puntos, me vi entre el 🟥 y 🟨, me asusté y decidí cambiar el sistema.
Opté por el "🟩🟦Bueno mejorado", y ahora te explico como es el sistema.
La seguridad NO es “tengo la seed muy bien guardada”. La seguridad es lo que haces cada día: navegador, archivos, USBs, software, hábitos. Un solo fallo humano invalida años de trabajo. Por eso cambié de enfoque: separación total de operativa BTC con mi día a día.
Saqué TODO lo relacionado con wallets del ordenador de uso diario. Punto. Ese PC es carne de brechas de seguridad por diseño: navegas, abres PDFs, conectas cosas, instalas herramientas.
Cada vez que conectas una wallet, las posibilidades de problemas se multiplican.
Compré un portátil reacondicionado: Dell Latitude 7400. Nada “gaming”, nada raro. Hardware empresarial: estable, documentado y robusto.
Y empecé a trabajar sobre él,
- BIOS actualizada + TPM activado -> Arranque y hardware bajo control.
- Cifrado completo del sistema: LUKS (AES-XTS). Sin passphrase, el disco es un ladrillo.
- Debian+Gnome limpio, solo lo necesario.
- Poda agresiva: fuera bloatware, fuera servicios inútiles, fuera todo lo que no suma a la operativa.
- Limpieza de servicios de red: menos demonios, menos descubrimiento, menos tráfico.
- Deshabilité avahi-daemon y similares: no necesito tareas en segundo plano que no voy a utilizar.
- Opero con usuario no-root + contraseña fuerte. Root solo cuando es realmente necesario. La mayoría de desastres no son “hackers geniales”: son permisos, prisas y hábitos mediocres. La disciplina es una capa de seguridad real.
- Solo he instalado software cripto verificado.
Si no puedes verificar origen e integridad (firmas/GPG cuando aplica), asumes riesgo. El instalador “oficial” también puede ser trampa (Notepad++ es un ejemplo).
He instalado Sparro Wallet, Wasabi, Trezor Suite y Brave con Metamask.
- Software configurado para que siempre salga por Tor. La privacidad no es un lujo.
- KeePassXC local solo para notas operativas con passphrase muy dura.
Llegado a este punto solo me falta un detalle, el Airgapped.
Esa será la siguiente adquisición para añadir al sistema, una Wallet Airgapped para estar en el "⬛OPSEC extra fuerta" donde muchas coincidencias tendrían que darse para cometer un error.
Esto no te da “invulnerabilidad”. Te da algo mejor:
- Menos superficie de ataque.
- Menos exposición.
- Menos probabilidades de desastre por una mala practica.
El riesgo nunca es cero, pero la negligencia sí es opcional. Yo elegí dejar de jugar.
Lo más importante no es comprar hardware caro. Es separar operativas, minimizar software, verificar lo que instalas y definir un proceso. El enemigo real es tu propio día a día: prisa, confianza y rutina.
Soberanía y Libertad!