Guía de Configuración Keystone Pro 3: Monedero sin conexión

La configuración de Keystone Pro 3 toma aproximadamente 15–20 minutos desde el desembalaje hasta tu primera transacción firmada. A diferencia de Ledger Nano X o Trezor Model T, el Keystone 3 Pro nunca se conecta por USB o Bluetooth — cada interacción ocurre a través de códigos QR, lo que elimina toda la clase de vectores de ataque basados en USB. Esta guía te acompaña en cada paso de la configuración del monedero Keystone, incluyendo la vinculación con MetaMask móvil en Android o iOS.

---

Contenido de la caja: Desembalaje Keystone 3 Pro

Antes de encender el dispositivo, verifica el contenido del empaque y comprueba si hay evidencia de manipulación. Keystone envía el 3 Pro con un sello holográfico a prueba de manipulaciones en la caja exterior. Si el sello está roto o falta, no uses el dispositivo — contacta inmediatamente al soporte de Keystone.

Contenido esperado de la caja:

• Dispositivo Keystone 3 Pro (pantalla táctil de 4 pulgadas, lector de huella dactilar)
• 3 × tarjetas de respaldo de frase semilla de grado metal (las tarjetas de acero inoxidable de grado AAA se venden por separado como Keystone Tablet)
• 1 × cable de carga USB-C (solo carga — sin datos)
• 3 × tarjetas de respaldo de semilla en papel
• Guía de inicio rápido

Ten en cuenta que el puerto USB-C en el Keystone 3 Pro es solo para alimentación. Ningún firmware, datos ni firma viajan jamás a través de ese cable. Las actualizaciones de firmware usan una tarjeta microSD, que se cubre en la sección de mantenimiento a continuación.

Verificación de autenticidad del firmware antes del primer arranque

Keystone integra una verificación de seguridad de la cadena de suministro directamente en la secuencia de arranque. Al encender por primera vez, el dispositivo muestra un código QR y una URL — https://keyst.one/verify — donde puedes verificar independientemente que el hash del firmware coincida con la compilación publicada por Keystone. Completa esta verificación antes de generar una semilla.

---

Paso 1: Primer arranque y configuración de idioma

1. Presiona y mantén el botón de encendido en el lado derecho del Keystone 3 Pro hasta que aparezca el logotipo de Keystone.
2. Selecciona tu idioma de la lista en la pantalla táctil. Inglés, chino (simplificado), español y varios otros están disponibles a partir del firmware v1.1.0.
3. Lee y acepta los Términos de Servicio en el dispositivo.
4. Completa la verificación de seguridad de la cadena de suministro escaneando el código QR mostrado con tu teléfono y comparando el hash del firmware con el valor listado en las versiones de GitHub de Keystone.

---

Paso 2: Establece tu PIN

Tu PIN es la primera línea de defensa si alguien obtiene físicamente el Keystone 3 Pro en sus manos.

1. Toca "Establecer PIN" en la pantalla de configuración.
2. Introduce un PIN entre 6 y 20 dígitos usando el teclado numérico en pantalla. Keystone cambia el diseño del teclado numérico en cada entrada para derrotar vigilancia de hombros.
3. Confirma el PIN introduciéndolo una segunda vez.
4. Registra tu huella dactilar (opcional pero recomendado). El Keystone 3 Pro tiene un sensor de huella dactilar sin conexión — los datos biométricos nunca salen del dispositivo. Puedes registrar hasta 5 huellas dactilares.

Directrices de PIN:

• No uses años de nacimiento, secuencias repetidas (111111) o ejecuciones ascendentes (123456).
• Después de 5 intentos incorrectos de PIN, el dispositivo impone un retraso de bloqueo exponencialmente creciente. Después de 10 intentos fallidos, el Keystone 3 Pro realiza un reinicio de fábrica.

---

Paso 3: Genera o restaura una frase semilla

Este es el paso más crítico de seguridad de toda la configuración del monedero Keystone. Elige entre generar una nueva semilla o restaurar una existente.

Opción A: Generar una nueva semilla

1. Toca "Crear monedero" en la pantalla de inicio.
2. Elige longitud de semilla: 12, 18 o 24 palabras. Para máxima entropía, selecciona 24 palabras.
3. Confirma la opción de tirada de dados si deseas mezclar tu propia entropía en la semilla. Keystone te permite lanzar un dado físico hasta 99 veces e ingresar cada resultado — el dispositivo hace XOR de tu entropía de dados con su TRNG interno. Esto es opcional pero recomendado por la especificación BIP-39 para máxima aleatoriedad.
4. Anota cada palabra en orden en las tarjetas de respaldo en papel incluidas. El Keystone 3 Pro muestra una palabra a la vez, a pantalla completa, para minimizar la exposición sobre los hombros.
5. Confirma tu respaldo ingresando las palabras solicitadas en el cuestionario de verificación. El dispositivo te pedirá que ingreses 4–6 palabras aleatorias de tu lista.

Nunca fotografíes la pantalla de frase semilla. Nunca ingreses tu frase semilla en ningún software, sitio web o almacenamiento en la nube.

Opción B: Restaurar una semilla existente

1. Toca "Importar monedero" en la pantalla de inicio.
2. Selecciona mnemotécnico BIP-39, luego elige el conteo de palabras (12, 18 o 24).
3. Ingresa cada palabra usando el teclado en pantalla. Keystone completa automáticamente desde la lista de palabras BIP-39 para reducir errores tipográficos.
4. Verifica la huella dactilar o ingresa tu PIN para confirmar la importación.

---

Paso 4: Configura una contraseña BIP-39 (Opcional pero recomendado)

Una contraseña BIP-39 — a veces llamada la "25ª palabra" — actúa como un segundo secreto que deriva un monedero completamente diferente de la misma semilla. Incluso si se descubre tu frase semilla, el atacante no puede acceder a los fondos sin la contraseña.

1. Navega a Menú → Configuración → Monedero → Contraseña.
2. Activa "Contraseña" e ingresa tu contraseña. Puede contener letras, números y símbolos hasta 128 caracteres.
3. Confirma la contraseña ingresándola de nuevo.
4. Anota la huella dactilar del monedero mostrada después de la confirmación. Esta es una cadena hexadecimal corta única para tu combinación de semilla + contraseña. Regístrala junto con tu respaldo de semilla para que puedas verificar la contraseña correcta en el futuro sin reingresar la cadena completa.

Una contraseña no es recuperable por ningún medio. Si la olvidas, los fondos en ese monedero derivado son permanentemente inaccesibles.

---

Paso 5: Vincula el Keystone 3 Pro con MetaMask Mobile

MetaMask Mobile (iOS y Android, v7.12.0 y posterior) admite la firma de monedero hardware basada en QR de forma nativa. Este es el flujo de vinculación más común para cadenas EVM (Ethereum, Polygon, BNB Chain, etc.).

Requisitos:

• Aplicación MetaMask Mobile instalada en tu teléfono (última versión de App Store o Google Play)
• Keystone 3 Pro con un monedero ya creado (Pasos 1–4 completos)
• Ambos dispositivos tienen cámaras

Pasos de vinculación

1. En el Keystone 3 Pro, toca el menú "…" en la pantalla de inicio y selecciona "Conectar monedero de software".
2. Selecciona "MetaMask" de la lista de aplicaciones compatibles.
3. Elige la(s) cuenta(s) que deseas exponer a MetaMask. El Keystone 3 Pro mostrará un código QR que codifica tu clave pública extendida (formato XPUB/UR:CRYPTO-ACCOUNT).
4. Abre MetaMask Mobile en tu teléfono. Toca el menú de tres líneas → "Monedero hardware" → "Keystone".
5. Toca "Escanear código QR" y apunta la cámara de tu teléfono a la pantalla del Keystone 3 Pro. MetaMask importa tu clave pública extendida y deriva tus direcciones de Ethereum sin ver jamás tu clave privada.
6. Selecciona qué cuenta deseas usar en MetaMask y toca "Desbloquear".

MetaMask Mobile ahora muestra tus direcciones derivadas de Keystone como una vista de solo lectura. Puede ver tu saldo y construir transacciones, pero no puede firmar nada sin el Keystone 3 Pro físicamente presente.

Para la documentación oficial de MetaMask sobre integración de Keystone, consulta la guía de monedero hardware de MetaMask.

---

Paso 6: Firma de transacciones vía código QR

Este es el flujo de trabajo sin conexión central que hace único al Keystone 3 Pro. No hay cable USB involucrado en ningún punto.

1. Inicia una transacción en MetaMask Mobile como lo harías normalmente: ingresa la dirección del destinatario, cantidad y configuración de gas, luego toca "Enviar".
2. MetaMask muestra un código QR que codifica la transacción sin firmar (formato UR:ETH-SIGN-REQUEST).
3. En el Keystone 3 Pro, toca "Escanear" en la pantalla de inicio y apunta su cámara a la pantalla de tu teléfono.
4. Revisa los detalles de la transacción en la pantalla táctil del Keystone 3 Pro: dirección del destinatario, valor en ETH, tarifa de gas y datos del contrato si están presentes. Verifica cada campo cuidadosamente — esta es tu última línea de defensa contra ataques de sustitución de direcciones.
5. Aprueba con huella dactilar o PIN. El Keystone 3 Pro genera la firma criptográfica completamente sin conexión y muestra un nuevo código QR que codifica la transacción firmada.
6. Toca "Escanear transacción firmada" en MetaMask Mobile y apunta la cámara de tu teléfono a la pantalla del Keystone 3 Pro.
7. MetaMask recibe la firma y transmite la transacción a la red Ethereum.

Consejos de firma QR:

• Mantén el Keystone 3 Pro firme en buena iluminación. La pantalla de 4 pulgadas facilita escanear códigos QR que en dispositivos más pequeños.
• Los códigos QR animados (de múltiples fotogramas) se usan para cargas de datos grandes como interacciones de contratos — déjalos ciclar completamente antes de que tu teléfono los capture.
• Siempre verifica la dirección del destinatario en la pantalla del Keystone 3 Pro contra tu destino previsto. La sustitución de direcciones a nivel de UI de MetaMask mediante extensiones de navegador maliciosas no puede afectar lo que muestra el Keystone 3 Pro, ya que los datos llegan por QR, no sobre una interfaz conectada.

---

Paso 7: Actualizaciones de firmware vía tarjeta microSD

Keystone publica actualizaciones de firmware para el Keystone 3 Pro en GitHub. Las actualizaciones se entregan por tarjeta microSD, no USB, consistente con el diseño sin conexión.

1. Verifica tu firmware actual en Menú → Configuración → Acerca de → Versión del firmware.
2. Visita https://github.com/KeystoneHQ/keystone3-firmware/releases en tu PC y descarga el último archivo .bin.
3. Verifica el hash SHA-256 del archivo descargado contra el hash publicado en la página de lanzamiento de GitHub usando la herramienta hash integrada de tu sistema operativo (sha256sum en Linux/macOS, Get-FileHash en Windows PowerShell).
4. Copia el archivo .bin al directorio raíz de una tarjeta microSD (FAT32 o exFAT, 4 GB–32 GB).
5. Apaga el Keystone 3 Pro, inserta la tarjeta microSD en la ranura en el lado derecho del dispositivo y enciéndelo de nuevo.
6. Sigue el mensaje en pantalla para instalar la actualización. El dispositivo verifica la firma del firmware antes de grabar. Si la verificación de firma falla, la actualización se rechaza y el firmware existente permanece intacto.
7. Extrae la tarjeta microSD después de que la actualización se complete y el dispositivo se reinicie.

El firmware de Keystone es completamente de código abierto, por lo que puedes inspeccionar el código antes de actualizar — una ventaja significativa sobre monederos hardware de código cerrado.

---

Prácticas de seguridad continuas

• Almacena tu respaldo de frase semilla en una ubicación física separada y resistente al fuego del dispositivo Keystone 3 Pro. El dispositivo solo es inútil sin la semilla; la semilla sola es peligrosa sin la contraseña.
• Prueba tu recuperación de frase semilla en un dispositivo separado o recién reiniciado antes de almacenar fondos significativos.
• Nunca compartas tu frase semilla o contraseña con ningún sitio web, aplicación o persona que afirme ser soporte de Keystone.
• Activa la contraseña para cualquier monedero que contenga valor material. Una frase semilla sin contraseña es un único punto de fallo.

---

Preguntas frecuentes

P: ¿Funciona el Keystone 3 Pro con la extensión de navegador de MetaMask en escritorio?

El Keystone 3 Pro se vincula con la extensión de navegador de MetaMask a través de la opción "Monedero hardware" durante la importación de cuenta. El flujo de trabajo es idéntico al móvil: la extensión muestra un código QR sin firmar, lo escaneas con el Keystone 3 Pro y escaneas el QR firmado de vuelta con la cámara web de tu computadora. Se requiere una cámara web funcional en el lado del escritorio.

P: ¿Qué sucede si olvido mi PIN?

Después de 10 intentos consecutivos fallidos de PIN, el Keystone 3 Pro realiza un reinicio de fábrica — todas las claves y configuraciones se borran. Puedes restaurar tu monedero reimportando tu frase semilla (y contraseña, si se estableció) desde tu respaldo escrito. Por eso un respaldo de frase semilla legible y seguro es innegociable.

P: ¿Puede el Keystone 3 Pro usarse con Ethereum y Bitcoin simultáneamente?

Sí. El Keystone 3 Pro admite BTC (SegWit nativo, Taproot, Legacy), ETH y todas las cadenas EVM, Solana y más de 20 otras cadenas de bloques a partir del firmware v1.1.0. Cada cadena de bloques usa una ruta de derivación separada de la misma semilla. Puedes vincular el mismo dispositivo con MetaMask (EVM), Solflare (Solana) y Sparrow Wallet (Bitcoin) simultáneamente.

P: ¿Es el firmware del Keystone 3 Pro de código abierto?

Sí. La base de código del firmware completo se publica en https://github.com/KeystoneHQ/keystone3-firmware bajo la licencia GPL-3.0. El código del elemento seguro para el módulo de huella dactilar tiene un componente parcialmente de código cerrado del fabricante del chip, que Keystone documenta en el README del repositorio.

P: ¿Cómo difiere el Keystone 3 Pro de un Trezor o Ledger para propósitos sin conexión?

El Trezor Model T y Ledger Nano X ambos dependen principalmente de conexiones USB para la firma de transacciones, aunque Trezor ofrece soporte QR limitado a través de software de terceros. El Keystone 3 Pro fue diseñado desde el principio para operación solo QR — no hay modo de grabación de firmware USB, sin Bluetooth y sin NFC. La ruta de actualización microSD es la única interfaz de datos externa, y es de solo escritura desde la perspectiva del dispositivo durante operaciones de firma.