La frase más importante para empezar: tus monedas son «tuyas» solo si no están en un exchange; si están en un exchange, no son tuyas. Not your keys, not your coins — este lema vive en cripto desde hace quince años porque cada tres años algo lo vuelve a comprobar. En este artículo desarmamos qué es una wallet autocustodiada, cómo se configura MetaMask sin tropezar, dónde guardar de verdad la frase semilla, y cómo defenderte de los phishings de approve que vacían cuentas en segundos.
Primero ubicate · ¿dónde están tus monedas ahora mismo?
En un exchange · solo tienes un pagaré
Compraste 0,1 BTC en Binance y la pantalla muestra «saldo 0,1 BTC». Esos 0,1 BTC no están en tus manos. La semana de la quiebra de FTX, en noviembre de 2022, el hashtag #notyourkeysnotyourcoins inundó Twitter; vi a un amigo encender por primera vez su Ledger y reiniciarlo seis veces porque olvidó el PIN — la autocustodia no es solo instalar una app. Tu 0,1 BTC está en alguna wallet caliente o fría de Binance, y en la base de datos del exchange figura una entrada que dice: «este usuario tiene un crédito de 0,1 BTC». Lo que ves en la pantalla es el pagaré que Binance te firma.
Si el exchange se cae, el pagaré se hace humo. Cuando FTX implosionó en 2022, cientos de miles de usuarios pasaron a tener saldos en pantalla que ya no podían retirar. Desde entonces, mi regla personal: no dejo más allá de dos semanas de capital operativo en un exchange. El resto se va a autocustodia.
Wallet autocustodiada · tú eres el dueño
Una wallet autocustodiada es una en la que tú controlas la clave privada. La clave privada es una cadena de números que solo conoces tú, y esa exclusividad equivale a ser el único que puede mover esas monedas. Nadie te puede congelar la cuenta, nadie te puede rechazar un retiro, nadie se puede fugar con tus monedas.
El costo es que tampoco hay servicio al cliente. Si perdés la clave privada, perdés las monedas — nadie te las puede recuperar. Si transferís a la dirección equivocada, el dinero no vuelve — las transacciones en blockchain son irreversibles. La autocustodia, en el fondo, es agarrar la responsabilidad y ponerla en tu propio bolsillo.
Tipos de wallet
| Tipo | Ejemplos | Seguridad | Comodidad | Para qué sirve |
|---|---|---|---|---|
| Wallet de exchange | Binance / OKX / Bitso | Baja | Altísima | Trading diario, montos chicos (uso de 2 semanas) |
| Hot wallet de software | MetaMask / Phantom / OKX Web3 | Media | Alta | Interacción DeFi, transferencias on-chain, montos medianos |
| Wallet móvil | Trust / Rainbow / Bitget | Media | Alta | DeFi en celular, similar a las hot wallets |
| Hardware wallet (cold) | Ledger / Trezor | Muy alta | Media | Posición principal a largo plazo, montos grandes |
| Paper wallet | Clave / frase semilla escrita a mano | Depende dónde la escondas | Baja | Escenarios muy específicos, casi nunca recomendable hoy |
Combo recomendado para empezar: exchange + MetaMask + Ledger. El exchange para operar día a día, MetaMask para DeFi y firmas, Ledger para la posición principal que no tocás por meses.
MetaMask desde cero · paso a paso
Paso 1 · descargá solo del sitio oficial
Abrí metamask.io (fijate bien la ortografía, no es metamesk ni metamaks). Las páginas de phishing copian la oficial al pixel, cambian una letra del dominio, y si descargás desde ahí e importás la frase semilla, en segundos perdés todos los activos. Mejor tipear el dominio a mano que hacer clic en un anuncio del buscador — la primera posición publicitaria de Google al buscar «MetaMask» suele ser un sitio fraudulento.
Paso 2 · creá una wallet nueva
Abrí la extensión y elegí «Create a new wallet» (no Import). Definí una contraseña — esta contraseña solo desbloquea la wallet en esta máquina, perderla no compromete tus monedas. Usá una contraseña fuerte (15+ caracteres, mayúsculas, minúsculas, números y símbolos) y guardala en un gestor de contraseñas del navegador.
Paso 3 · mirá las 12 palabras en inglés (el momento crítico)
MetaMask te pide copiar 12 palabras en inglés — esa es la frase semilla (seed phrase / mnemonic). Tanto el orden como la ortografía deben quedar exactos: las 12 palabras corresponden directamente a la clave privada de la wallet. Cualquiera que tenga esas 12 palabras puede importar la wallet en otra computadora y vaciar tus monedas.
Paso 4 · copiala con papel y lapicera
Copiá la frase con papel y lapicera. Lo que no hay que hacer:
- Sacarle screenshot — si te hackean el celular o la galería se sincroniza al cloud, perdés todo.
- Guardarla en el gestor de contraseñas — si te comprometen el gestor, se va todo.
- Mandártela por mail — un email vulnerado equivale a wallet vulnerada.
- Subirla a Google Drive / iCloud / Dropbox — la probabilidad de filtración es más alta de lo que pensás.
- Dársela a alguien de confianza para que la guarde — el día que cambie de opinión, perdiste.
- Memorizarla — pensás que te la acordás, pero en tres meses ya no la recordás completa.
Copiala dos veces y guardá las copias en dos lugares físicos distintos — por ejemplo, un cajón en casa y una caja de seguridad bancaria.
Paso 5 · guardar la frase semilla a nivel avanzado
El papel se humedece, se quema, se carcomen los insectos. Si tu posición supera los cinco dígitos en dólares, vale la pena comprar una placa metálica de frase semilla (Cryptosteel / Billfodl / SafePal Cypher). Grabás las palabras en acero, resiste fuego y agua. El gasto de unas decenas de dólares es ridículo comparado con lo que protege.
Un paso más: dividí las 12 palabras en 2 o 3 partes y guardalas en lugares físicos distintos, de manera que ninguna parte sola alcance para reconstruir la frase — necesitas al menos dos partes para armarla. Esto se llama Shamir Secret Sharing, y Trezor lo trae integrado de fábrica.
Errores reales · dos historias que duelen
Incidente 1 · screenshot de frase semilla sincronizado al cloud
Un amigo mío empezó a probar DeFi en 2022. Instaló MetaMask y, en lugar de copiar las 12 palabras en papel, le sacó una captura de pantalla y la dejó en la galería del celular. La galería sincronizaba automáticamente a iCloud. Una madrugada le hicieron credential stuffing al Apple ID — la contraseña era débil, de hace más de diez años, y ya había aparecido en alguna filtración de foro. A la mañana siguiente, los pocos miles de dólares en USDC y ETH que tenía en MetaMask habían salido a una dirección desconocida en una sola transacción.
En el explorador se ve perfectamente a dónde fueron los fondos, pero recuperarlos es imposible. Apple tampoco puede ayudar — su responsabilidad termina en la cuenta, no en lo que tú guardas adentro. Mi amigo no volvió a tocar DeFi.
Incidente 2 · phishing de approve
Esta es mía. En 2021 estaba minteando un NFT nuevo. Cuando terminó el mint, el sitio mostró un popup con un «airdrop reclamable» y le di aceptar sin leer. El contenido de la firma decía setApprovalForAll en inglés — lo que significa autorizar a ese contrato a mover todos los NFT de esa colección que estuvieran en mi wallet.
Al día siguiente, todos los NFT de esa colección estaban transferidos a otra dirección. La pérdida no fue grande (esos NFT no valían mucho), pero la lección sí: antes de firmar cualquier popup de «approve», mirá qué estás autorizando y a quién. Si no entendés la transacción, rechazá. Punto.
Desde entonces, cada vez que firmo algo miro con atención la dirección de contrato del lado derecho del popup. Direcciones desconocidas no firmo, funciones que no entiendo no firmo, autorizaciones ilimitadas no firmo.
¿Qué es un approve y por qué es tan peligroso?
En el estándar ERC-20, antes de que cualquier contrato pueda transferir tus tokens, tú tienes que autorizarlo primero. Por ejemplo, cuando cambias USDC por ETH en Uniswap, la primera vez te pide hacer approve — es decir, «permitir que el contrato de Uniswap mueva mi USDC». Es una pieza necesaria para que DeFi funcione de manera fluida.
El problema es que el monto del approve puede ser ilimitado. Uniswap, por defecto, pide unlimited approve: una sola autorización deja al contrato con permiso para mover toda tu USDC a futuro. Uniswap no abusa de esto (el contrato solo puede mover tokens cuando tú haces un swap), pero si la firma fue contra un contrato de phishing disfrazado de Uniswap, en el momento en que aprobas el contrato vacía la wallet.
Defensa práctica contra approve
- Leer cada firma — qué estás firmando, a quién, por qué monto. Si no entendés, rechazá.
- Limpieza periódica de approvals — usá revoke.cash para ver todos los contratos a los que diste autorización y revocá los que ya no usas.
- Definí un spending limit — MetaMask ya permite cambiar «unlimited» por un monto específico. Acostumbrate a usarlo.
- Dirección separada para montos grandes — la posición de largo plazo va en una dirección que nunca firma approve a ningún contrato. Aislamiento total.
¿Vale la pena comprar una hardware wallet?
Si tu cartera cripto pasa los diez mil dólares, ya conviene tener una. La mía es una Ledger Nano X comprada en 2020 que sigue funcionando. Alternativas razonables: Trezor, Lattice, SafePal — todas con pantalla física en el dispositivo.
El valor central de una hardware wallet es que la clave privada nunca sale del dispositivo. La firma de la transacción se hace adentro del hardware; la computadora solo ve el resultado firmado. Aunque te comprometan la PC con malware, no pueden extraer la clave.
El flujo es: la Ledger se conecta a MetaMask y cada firma requiere apretar un botón físico en el dispositivo. Esa pausa obligatoria te fuerza a leer qué estás firmando, en lugar de hacer clic en confirm por inercia. Ese pequeño gesto filtra el 99% de los ataques de phishing.
No compres una hardware wallet en MercadoLibre, Amazon de tercero, Wallapop ni en eBay — los dispositivos modificados vienen con una frase semilla preinstalada por el atacante, y el día que cargás fondos, todo se va a su dirección.
Comprá directamente en la web oficial (ledger.com, trezor.io) o en distribuidores certificados que figuren en su sitio.
La hardware wallet es lo último en lo que conviene ahorrar.
§ Wallets y autocustodia para Latam y España
El paisaje de wallets cambia bastante según en qué país estés operando: el acceso al hardware, las plataformas más usadas y las estafas en español tienen formas distintas en México, Argentina, España y el resto de Latam. Esta sección concentra lo que aprendí ayudando a gente de la región a configurar sus primeras wallets y limpiar sus cuentas después de phishings.
Hardware wallets en Latam · Ledger, importación e impuestos
En España y Portugal, comprar una Ledger Nano X o Trezor desde el sitio oficial (ledger.com) llega vía envío internacional en 5 a 10 días hábiles, sin sorpresas grandes en aduana. En México y Argentina, el envío internacional suele tardar entre 5 y 15 días: en México pagas IVA al recibir el paquete (16%) más una pequeña tarifa de importación si la mercancía supera los 50 USD; en Argentina, la AFIP retiene impuestos automáticamente sobre el valor declarado y, dependiendo del año, hay topes de cuántos envíos puedes recibir. Para evitar tener que justificar mil cosas, conviene declarar el valor real y pagar lo que corresponda — un dispositivo de 79 USD termina costando 100 USD aproximadamente puerto a puerto, y sigue siendo el gasto más justificado de toda tu seguridad cripto.
Trezor sigue siendo menos común en la región: la marca tiene menos canales de distribución que Ledger en Latam. Si quieres una Trezor One o Model T, lo más práctico es pedirla a amazon.com con envío internacional (a España suele ser más rápido que a Argentina o México) o directamente a trezor.io. Evitá completamente Mercado Libre, OLX y vendedores particulares de Wallapop — el riesgo de dispositivo modificado anula cualquier ahorro.
MetaMask · cómo lo usa el retail hispano
En España, México y Argentina, MetaMask es el estándar para retail que entra a DeFi: más del 90% de la gente que conozco empieza con la extensión de Chrome o la app móvil, configurada al menos en Ethereum, Polygon y BNB Chain. Desde 2024, Phantom (la wallet de referencia de Solana) ganó tracción importante en Argentina, principalmente porque la cultura de memecoins de Solana se popularizó en el ecosistema cripto post-Milei y muchos traders locales se mudaron parcialmente al ecosistema SOL. Una decisión sana: tener MetaMask para EVM (Ethereum, Polygon, Base, BNB Chain, Arbitrum) y Phantom o Solflare para Solana, sin mezclar.
Para wallets móviles, Trust Wallet sigue siendo el favorito en Latam por interfaz traducida al español y soporte multi-cadena. Rainbow Wallet es más popular entre usuarios DeFi que ya tienen recorrido, pero su soporte de español es parcial. OKX Web3 Wallet es una alternativa interesante para quienes ya operan en OKX, porque trae las cadenas más comunes preconfiguradas y un swap integrado.
Bitso Wallet · trampa de custodia disfrazada
Algo importante para usuarios mexicanos y argentinos: la «Bitso Wallet» dentro de la app de Bitso no es una wallet autocustodiada — es exactamente la misma custodia que cualquier cuenta de exchange. Tus pesos, tus dólares MXNB, tus criptos: todo está en una base de datos de Bitso y tú tienes un pagaré sobre esos saldos. Mucha gente se confunde porque la interfaz muestra una «dirección de wallet» de Bitcoin o Ethereum y eso lleva a pensar que es self-custody. No lo es: esa dirección es un depósito interno; las claves privadas las maneja Bitso. Mismo razonamiento aplica a Lemon Cash, Buenbit, Belo, Ripio en Argentina, y a Bit2Me en España. Para autocustodia real necesitas generar una wallet propia (MetaMask, Phantom, Ledger) y mover los fondos hacia ahí.
Estafa de MetaMask en español · 2024
Durante 2024 hubo una ola fuerte de phishing en español dirigido a usuarios de MetaMask, con páginas que copiaban el aviso «MetaMask actualización de seguridad — por favor reingresá tu frase semilla». El correo llegaba en español argentino, mexicano o ibérico (según el target), y muchas veces el dominio era una variación tipo metamask-update.com o metamask-secure.app. Quien metía la frase semilla en ese formulario perdía toda la wallet en menos de cinco minutos: los bots scrapean en tiempo real y vacían cuentas en segundos. MetaMask jamás te va a pedir tu frase semilla por mail, popup, soporte técnico o ningún otro canal — el equipo de Consensys lo aclaró públicamente decenas de veces. Cualquier mensaje que la pida, en cualquier idioma, es 100% estafa.
Soporte falso por WhatsApp · ingeniería social en Latam
Otro patrón muy común en Argentina, México y Colombia: alguien escribe por WhatsApp diciendo ser «soporte oficial de Binance» / «soporte de MetaMask» / «equipo de Trust Wallet». Suelen contactarte después de que pusiste un comentario público en un grupo de Telegram o Twitter pidiendo ayuda, y la respuesta llega a tu número personal con un display name que imita al equipo oficial. Te piden que les compartas la frase semilla «para verificar tu cuenta» o que descargues una «app de soporte» (que es malware). Regla simple: ningún equipo oficial, de ninguna plataforma cripto, te va a contactar por WhatsApp, Telegram, LINE o Signal. Todos los canales oficiales operan a través del sitio web, con ticket numerado y dentro de la app. Si alguien se presenta como «soporte» por WhatsApp, bloqueá y reportá.
Tres reglas mínimas para usuarios hispanohablantes
- Por encima de 5.000 USD en cripto, hardware wallet sí o sí — Ledger Nano S Plus básica desde 79 USD desde el sitio oficial, envío puerta a puerta. El cálculo «¿vale la pena el hardware?» se resuelve solo cuando haces la cuenta de cuánto perderías sin él.
- Nunca compartas tu frase semilla por WhatsApp, LINE, Signal o cualquier mensajería — ni a un «soporte», ni a un familiar, ni a un asesor financiero, ni siquiera para hacer una transferencia. Quien la pida, sin excepción, es un estafador.
- Solo descargá Ledger Live, MetaMask, Trezor Suite desde el sitio oficial — escribí el dominio a mano (ledger.com, metamask.io, trezor.io) y nunca cliquees el primer resultado patrocinado de Google ni de Bing. Los anuncios de phishing rotan más rápido que la capacidad de Google para banearlos.
Checklist integral de seguridad de wallet
- Frase semilla copiada a mano dos veces, en papel o metal, guardada en dos ubicaciones físicas distintas.
- Nunca screenshots, ni cloud, ni mail, ni avisar a nadie (incluyendo a cualquier supuesto «soporte»).
- Si alguien te dice que «el soporte necesita tu frase semilla para verificar tu cuenta» — es estafa al 100%, sin excepción.
- Descargá la wallet solo del sitio oficial, revisá la ortografía del dominio con calma.
- Posiciones grandes en hardware wallet; la wallet «caliente» del día a día tiene poco saldo.
- Cada firma se lee — no firmes contratos desconocidos, no firmes autorizaciones ilimitadas.
- Limpieza periódica de approvals con revoke.cash.
- Cuentas separadas — una dirección «fría» para long-term y otra «caliente» para DeFi diaria, sin mezclar.
- Antes de un retiro grande, mandá una prueba de monto chico y confirmá que la dirección es correcta.
- Sobre los «servicios de recuperación» — cualquiera que diga que puede recuperar tu frase semilla o tus fondos robados, sin excepción, es un estafador.
Para cerrar
El tema wallet no es complejo, pero la tolerancia a errores es bajísima. Un screenshot, un clic equivocado, un dispositivo de segunda mano — cualquiera de esos tres movimientos te puede liquidar.
Mi sugerencia para la primera semana: instalá MetaMask, creá la wallet, copiá la frase semilla en papel, y después importala en otra computadora para probar que la copiaste bien. Una vez confirmado eso, transferí el equivalente a 50 USD en ETH y hacé una transacción on-chain para familiarizarte con los gas fees, la confirmación, el explorador. Recién después subí montos.
Diez años en cripto, mi conclusión más sólida: casi toda la plata que perdí en el camino fue por descuidos propios — codicia comprando shitcoins, firmando approves que no leí, o dejando grandes saldos parados en un exchange durante meses. Si la seguridad de tu wallet está sólida, ya esquivás la mitad de las trampas del mercado.
