El Trezor Safe 5 viene con una fuerte seguridad de hardware desde el primer momento, pero la mayoría de los usuarios se detienen en la frase semilla de 12 o 24 palabras y se consideran protegidos. Eso deja sin usar una capa significativa de defensa: la frase de contraseña BIP39. Cuando se configura correctamente, una frase de contraseña convierte tu Trezor Safe 5 en una cartera fría de dos factores — algo que tienes (el dispositivo) más algo que sabes (la frase de contraseña). Esta guía te lleva a través del proceso completo de configuración de frase de contraseña del Trezor Safe 5, explica exactamente qué hace a nivel criptográfico, y cubre los casos especiales que confunden incluso a usuarios experimentados.
Lo que la frase de contraseña BIP39 realmente hace
Antes de tocar ninguna configuración, vale la pena entender qué estás habilitando. La especificación BIP39, publicada por el proceso de Propuesta de Mejora de Bitcoin e implementada en casi todas las carteras de hardware, permite que una palabra 25 opcional (o una cadena más larga) se añada a tu semilla durante la derivación de claves. La propia documentación de Trezor se refiere a esto como la función de “cartera oculta”.
La consecuencia crítica: cada frase de contraseña única — incluyendo una en blanco — produce un conjunto completamente diferente de claves privadas y direcciones de cartera. Tu cartera estándar (sin frase de contraseña) y tu cartera protegida con frase de contraseña comparten la misma semilla de 24 palabras pero son criptográficamente no relacionadas. No hay forma de fuerza bruta determinar qué frase de contraseña se usó sin conocerla de antemano.
Por qué esto importa para la seguridad
- El robo de frase semilla se vuelve no fatal. Si un atacante obtiene tus 24 palabras pero no tu frase de contraseña, solo accede a una cartera de señuelo vacía o de bajo valor.
- Negación plausible. Puedes mantener un saldo pequeño en la cartera estándar (sin frase de contraseña) y un saldo mayor en la cartera oculta. Bajo coerción, puedes revelar la semilla y el PIN sin exponer tus fondos principales.
- Sin dependencia del dispositivo. La frase de contraseña nunca se almacena en el Trezor en sí. Cualquier cartera compatible con BIP39 puede derivar las mismas cuentas dada la misma semilla más frase de contraseña.
Lo que necesitas antes de empezar
- Un Trezor Safe 5 con versión de firmware 2.7.0 o posterior (verifica a través de Trezor Suite en Configuración → Dispositivo → Firmware)
- Aplicación de escritorio Trezor Suite (no se recomienda la extensión del navegador para trabajo con frases de contraseña)
- Tu copia de seguridad de semilla de 24 palabras existente, almacenada de forma segura sin conexión
- Una frase de contraseña decidida — consulta la sección a continuación sobre cómo elegir una
- Un medio de copia de seguridad secundario para la frase de contraseña, almacenado separadamente de tu semilla
No continúes hasta que tengas un plan firme para hacer copia de seguridad de la frase de contraseña. La base de conocimientos oficial de Trezor advierte explícitamente que perder la frase de contraseña significa pérdida permanente e irrecuperable del acceso a la cartera oculta — no hay mecanismo de restablecimiento.
Eligiendo una frase de contraseña fuerte
La especificación BIP39 permite cualquier cadena UTF-8 de hasta 50 caracteres, aunque Trezor Suite acepta cadenas más largas. En la práctica, la frase de contraseña debe cumplir con estos criterios:
- Longitud sobre complejidad. Una frase de contraseña de 20 caracteres con mayúsculas, minúsculas, números y al menos un símbolo resiste ataques de diccionario efectivamente. La documentación de Trezor recomienda evitar palabras simples o frases de textos conocidos.
- Sin confianza únicamente en la memoria. A diferencia de un PIN, la frase de contraseña debe ingresarse caractér por caractér perfectamente cada vez. Un solo error tipográfico genera una cartera completamente diferente sin advertencia — el dispositivo no te dirá que la frase de contraseña fue “incorrecta”, simplemente abrirá una cartera diferente (vacía).
- Almacenada separadamente de la semilla. Mantener ambas en la misma copia de seguridad de metal anula el propósito. Considera una ubicación separada a prueba de fuego, una persona de confianza, o un esquema de almacenamiento dividido.
Paso a paso: Habilitando la frase de contraseña en Trezor Safe 5
Paso 1 — Habilitar frase de contraseña en Trezor Suite
- Abre Trezor Suite y conecta tu Safe 5 a través de USB-C.
- Desbloquea el dispositivo con tu PIN.
- En Trezor Suite, ve a Configuración → Dispositivo.
- Ubica el interruptor de Frase de contraseña y actívalo.
- Confirma la acción en la pantalla táctil del Safe 5.
Paso 2 — Elige dónde ingresar la frase de contraseña
El Safe 5 ofrece dos métodos de entrada:
- Entrada en el dispositivo (recomendado). Escribes la frase de contraseña directamente en la pantalla táctil del Safe 5. Esto asegura que la frase de contraseña nunca pase por el teclado de tu computadora o sistema operativo, donde los registradores de pulsaciones podrían interceptarla.
- Entrada en host. Escribes la frase de contraseña en Trezor Suite en tu computadora. Más rápido para frases de contraseña largas, pero expone la cadena a la máquina host.
La documentación del modelo de seguridad de Trezor recomienda explícitamente la entrada en el dispositivo para máxima protección contra entornos host comprometidos.
Paso 3 — Accede a la cartera oculta por primera vez
- Con frase de contraseña habilitada, desconecta y vuelve a conectar el dispositivo (o haz clic en Cambiar dispositivo en Trezor Suite).
- Después de la entrada del PIN, Trezor Suite te solicitará: Ingresar frase de contraseña.
- Si usas entrada en el dispositivo, confirma en la pantalla del Safe 5, luego escribe tu frase de contraseña en el teclado táctil y confirma.
- Trezor Suite cargará una cartera nueva y vacía — esta es tu cartera oculta.
- Anota la primera dirección de recepción mostrada. Regístrala de forma segura. La usarás para verificar la entrada correcta de la frase de contraseña en el futuro.
Paso 4 — Verifica derivación correcta antes de enviar fondos
Envía una transacción de prueba pequeña (la cantidad mínima viable para tu red) a la cartera oculta. Desconecta el dispositivo, vuelve a conectar, reingresa la frase de contraseña, y confirma que el saldo aparece. Solo después de un viaje de ida y vuelta exitoso deberías mover tenencias significativas a la cartera oculta. Este paso es no opcional — un error de un solo carácter en tu copia de seguridad de frase de contraseña significa que estás practicando con la cartera incorrecta.
Administrando la cartera estándar junto con la cartera oculta
Cambiar entre tu cartera estándar (sin frase de contraseña) y tu cartera oculta no requiere cambio de hardware — se maneja a nivel de sesión en Trezor Suite. Cuando se te solicita una frase de contraseña, dejar el campo en blanco y confirmar te devuelve a la cartera estándar. Esta arquitectura significa que puedes operar legítimamente ambas carteras desde un dispositivo sin ninguna diferencia visible para un observador.
La interfaz de Trezor Suite etiqueta estos como perfiles de cartera separados. Puedes agregar múltiples carteras ocultas usando diferentes frases de contraseña — cada una es una cartera completamente independiente con sus propias cuentas y direcciones derivadas de la misma semilla.
Errores comunes y cómo evitarlos
- Asumir que el dispositivo valida la frase de contraseña. No lo hace. Ingresar MyPass1! cuando pretendías MyPass1@ abre silenciosamente una cartera vacía diferente. Siempre verifica con una dirección conocida.
- Almacenar la frase de contraseña solo en un gestor de contraseñas. Los gestores de contraseñas pueden ser hackeados, sincronizados o perdidos. La copia de seguridad física sin conexión es necesaria.
- Olvidar volver a habilitar la frase de contraseña después de una actualización de firmware. Algunas actualizaciones de firmware requieren que vuelvas a confirmar la configuración del dispositivo. Verifica después de cada actualización.
- Confundir la frase de contraseña con el PIN. El PIN protege el dispositivo; la frase de contraseña protege la derivación de cartera. Ambas son necesarias para seguridad completa pero cumplen funciones diferentes.
- Usar una frase de contraseña en una configuración de solo lectura sin registrar la clave pública extendida (xpub). Si usas una cartera protegida con frase de contraseña con software de seguimiento de cartera, necesitarás re-derivar el xpub cada vez a menos que se almacene separadamente.
Lo que esto significa para ti
La configuración de frase de contraseña del Trezor Safe 5 es una de las mejoras de seguridad de mayor apalancamiento disponibles para un tenedor de autocustodia. No requiere conocimiento técnico avanzado, no cuesta nada adicional, y hace que una frase semilla robada sea en gran medida inútil para un atacante. El compromiso es operacional: ahora tienes dos secretos para proteger y dos posibles puntos de fallo. Si pierdes la frase de contraseña, los fondos en la cartera oculta se pierden permanentemente — sin ticket de soporte, sin servicio de recuperación, sin excepciones. Esa responsabilidad es el precio de la genuina autocustodia.
Para la mayoría de los tenedores con saldos significativos, ese compromiso claramente vale la pena. Configura la frase de contraseña, verifica con una transacción de prueba pequeña, haz copia de seguridad de la frase de contraseña físicamente y separadamente de la semilla, y documenta tu propio procedimiento de recuperación para que una persona de confianza pudiera seguirlo si es necesario. La base de conocimientos de Trezor y la especificación BIP39 (BIP-0039 en el repositorio de Bitcoin de GitHub) son las referencias autoritativas para cualquier pregunta de implementación más allá de esta guía.
