Cómo usar TailsOS en una memoria USB, con Electrum y KeePass, construyendo tu propia billetera fría

| | | | | | | | |

Publicado originalmente en Substack el 30 de diciembre de 2021

Actualizado aquí el 20 de diciembre de 2024

Muchos usuarios nuevos de BTC me pidieron que escribiera esta guía sobre cómo crear tu propia billetera fría y no usar una billetera de hardware. Aquí describiré cómo usar TailsOS en una memoria USB, con Electrum y KeePass (también tienen un generador de contraseñas incorporado).

Este método de almacenamiento es para aquellos usuarios que se sienten cómodos con el uso de computadoras, sistemas y que ya tienen un conocimiento básico sobre Bitcoin.

Este método NO ES para aquellos que son muy nuevos en esta tecnología y no son tan técnicos. A ellos les recomiendo simplemente comprar una billetera de hardware y olvidarse de este método.

Aspectos importantes sobre las billeteras frías:

• Una billetera fría siempre debe tener al menos una copia (incluso en otra forma de respaldo) y almacenada en otro lugar geográfico. Nunca se sabe lo que podría pasar.
• ¡Una billetera fría NO es la billetera que usas todos los días! Como expliqué aquí en su guía, debes mantener tu dinero en tres niveles de billeteras. Cualquier billetera fría/HODL en cualquier formato en el que la guardes, debe almacenarse en un lugar seguro, que nadie más conozca y que no use. Para depositar en esa misma billetera, solo necesitas algunas direcciones BTC y/o una clave MPK/Xpub importada a una aplicación de billetera "solo para ver". Solo para ver significa que las claves privadas nunca tocarán el mundo en línea, solo puedes depositar en esa billetera y verificar el saldo. A continuación, se incluye una guía sobre cómo usar billeteras "solo para ver".
• Solo se puede acceder a una billetera fría cuando realmente necesita mover fondos desde allí (asunto urgente) o desea actualizar el sistema de la billetera, el firmware, el sistema operativo, etc.
• Siempre pruebe el procedimiento de recuperación ANTES de colocar fondos en esa billetera. Muchas veces, hasta que se sienta cómodo con el proceso y esté seguro de que podrá restaurar su billetera en caso de SHTF. La práctica es la clave para la competencia.

¿Por qué recomiendo este método, llamémoslo "billetera Tails"?

Existen muchas razones entre las que podemos mencionar:

• es muy barato (el único costo es el/los pendrive/s USB). Entonces, ¿por qué no acumular más sats en lugar de comprar (para algunos) costosos monederos de hardware?
• TailsOS es un sistema operativo Debian Linux potente, portátil, con Tor integrado y muchas otras aplicaciones útiles.
• no está llamando la atención. Nadie sabrá que en un simple USB normal puedes llevar las claves de tus monederos HODL. En lugar de andar por ahí con un Trezor, ledger, cold card, etc., ahora todo el mundo reconocerá que esos "llevan BTC", por lo que podrías ser un objetivo por defecto. En el pasado vi a usuarios en una cafetería que sacaban su Trezor y lo conectaban a una computadora portátil, solo para pagar la cuenta. INCORRECTO, totalmente equivocado.
• El mismo sistema operativo USB se puede usar como sistema limpio de emergencia para otras tareas. Digamos que estás de viaje y necesitas un ordenador limpio para usar. TailsOS es genial para eso, solo tienes que iniciarlo y tendrás un sistema operativo limpio en vivo de solo lectura. Acceda de forma segura a sus datos personales, billeteras BTC, etc. Y viene con muchas herramientas útiles y sencillas.
• Puede almacenar múltiples billeteras, se puede copiar y almacenar en muchas ubicaciones diferentes. También se puede usar para almacenar más datos personales (documentos escaneados, administrador de contraseñas, cosas privadas), todo encriptado, a salvo de miradas enemigas.
• Ofrece acceso fácil y rápido en cualquier momento a sus billeteras frías, sin ningún software adicional susceptible de malware, phishing, computadoras infectadas. TailsOS SIEMPRE está LIMPIO sin importar qué computadora use. Muchos usuarios están perdiendo el control de la billetera porque las usan en computadoras infectadas y son descuidados con la seguridad.

Comencemos

A. Crea y prepara tu billetera Tails

1. Descarga TailsOS, USB en vivo y usa Rufus para crear la unidad USB de arranque con la imagen ISO de TailsOS. Rufus borrará y formateará esa unidad USB.

   Opcionalmente, puedes usar la suite DTails personalizada (incluye más aplicaciones y herramientas).

2. Arranca con esa unidad USB (cambia la configuración en el BIOS de la computadora para iniciar con la unidad USB o presiona F12 para algunos sistemas) y selecciona EJECUTAR/Ejecutar, no instalar, sin conexión. Este sistema operativo en vivo ya incluye la aplicación de billetera Electrum BTC y KeePass (administrador de contraseñas).
3. Si planea reutilizar este LiveUSB TailsOS, también puede crear una partición activa oculta, que se cifrará, para guardar información importante, como el archivo de base de datos de KeePass, la copia de seguridad de la billetera Electrum. Aquí encontrará instrucciones sobre cómo usar “Partición persistente” y un video tutorial aquí. Coloque una contraseña segura para abrir ese espacio de partición persistente y ¡NO LA OLVIDE!
4. Una vez que haya terminado con la creación de la partición persistente, abra la aplicación KeePass y cree una nueva base de datos de contraseñas. Guarde una copia en otra memoria USB y también use el espacio cifrado persistente de Tails. En esa base de datos, comienzas a guardar todas tus billeteras (palabras semilla, XPUB, direcciones BTC, MPK) y otra información personal. No olvides hacer copias de este archivo en otros lugares seguros. Aquí hay una guía sobre cómo usar KeePass y sincronizar entre dispositivos.
5. Si quieres usar una versión más reciente de Electrum y no la versión de Tails ya instalada, puedes descargar la AppImage (para Linux) directamente desde la página de Electrum https://electrum.org/#download
6. y guardarla en tu partición persistente. Solo necesitas iniciarla, no es necesario instalarla. Pero cualquier versión de Electrum de Tails es suficiente para crear una billetera sin conexión. La última versión es necesaria solo si desea utilizar Tails para transmitir una transacción desde esa billetera fría.
7. Abra la aplicación Electrum y cree una nueva billetera. Guarde las palabras clave en su archivo KeePass. Una vez creada, vaya al menú Electrum - información de la billetera - copie la MPK (clave pública maestra) y guárdela en su base de datos KeePass (donde también guardó la clave clave). Vaya al menú - active la vista de direcciones, luego vaya a la pestaña Direcciones y copie 3-4-5 direcciones y colóquelas en su archivo Keepass. Más tarde se utilizarán para probar el procedimiento de restauración.

Contraseña de nueva entrada de KeePass

¡LISTO! Acabas de crear tu billetera fría en TailsOS. Cierra todas las aplicaciones y apaga tu TailsOS.

OPCIONAL, puedes descargar y guardar en tu partición persistente la aplicación de la billetera Sparrow si quieres usar un tipo de dirección más avanzado y compatible con Taproot, como expliqué en esta guía. Los procedimientos a seguir para crear la billetera, guardar la copia de seguridad y las claves son casi los mismos que para la aplicación Electrum.

B. Prueba el procedimiento de restauración de la billetera

1. Vuelve a iniciar TailsOS, desbloquea la partición persistente para poder abrir tu archivo de base de datos de KeePass.
2. Abre la aplicación Electrum, selecciona restaurar billetera, ya tengo la semilla y luego sigue las instrucciones paso a paso. Selecciona segwit native y también el botón de opción para la semilla BIP39. Consulta más detalles sobre el uso de la aplicación Electrum aquí.
3. Abre tu KeePass y la entrada para los detalles de tu billetera Electrum.
4. Coloca las palabras semilla para restaurar y verifícalas una por una.
5. Una vez que el proceso de restauración esté hecho, la billetera esté cargada, ve al menú - activa "ver direcciones", luego ve a la pestaña Direcciones y verifica las primeras 3-4 direcciones generadas que sean las mismas que guardaste en tu archivo KeePass. Si son las mismas, acabas de realizar una restauración correcta de tu billetera. Opcionalmente, también puedes verificar el MPK si es el mismo, ve al menú - información de la billetera.

¡Listo! Ahora estás listo, puedes depositar fondos en tu billetera fría. Puedes usar el MPK en una aplicación solo para ver o simplemente usando algunas direcciones BTC de tu billetera.

C. ¡Haz copias de seguridad de esa billetera!

Bien, ahora que probaste el procedimiento de restauración, depositaste algunos fondos en esa billetera, es hora de hacer copias de seguridad.

1. Abre TailsOS, abre la billetera Electrum
2. Ve al menú Archivo - Copia de seguridad de la billetera. Guarda esa copia del archivo de la billetera en tu partición persistente y también en otro USB cifrado como una copia junto con una copia de tu archivo de base de datos de KeePass. Aquí hay algunas guías sobre cómo cifrar una unidad USB, con Windows y con Linux.
3. La copia de esa billetera Electrum también está cifrada con la contraseña Electrum que colocaste cuando creaste esa billetera por primera vez. Esa contraseña también se usa cuando tienes que transmitir una transacción, para el proceso de firma. Por lo tanto, ten en cuenta que es muy importante, guárdala también en tu archivo KeePass.
4. Entonces, ahora puedes abrir ese archivo de billetera con la aplicación Electrum, sin tener que restaurar desde la semilla, solo te pedirá que lo abras con tu contraseña Electrum para descifrar el archivo. La semilla será necesaria solo en caso de que este archivo se corrompa o se pierda. Este archivo también contiene todas las transacciones que ha realizado, las etiquetas, el historial y, con el tiempo, puede hacerse más grande.
5. En la copia de la unidad USB (encriptada) también puede almacenar muchos otros archivos, como un archivo de imagen que incorpore una semilla mediante esteganografía, documentos privados, cualquier cosa digital que sea importante para usted. Haga más copias de este "almacenamiento privado sin conexión" y guárdelas en diferentes ubicaciones. Opcionalmente, puedes colocarlos en un recipiente de metal, protegido de los campos electromagnéticos, el agua, el sol, el calor, etc.

Electrónica de supervivencia EDC de metal para exteriores, resistente al agua

Aquí tienes un enlace para comprar esos recipientes y la memoria USB.

D. Úselo como una billetera "solo para ver"

Aquí hay una guía más detallada sobre cómo importar y usar el MPK de esta billetera fría en una aplicación para billeteras solo para depósitos.

Dato curioso:

Tengo varios destinatarios como estos escondidos en lugares profundos del bosque o la montaña, fáciles (para mí) de recuperar en cualquier caso de SHTF. Incluso si alguien más los encuentra (realmente lo dudo), no se puede acceder a ellos debido al cifrado estricto. Me siento muy cómodo con ese cifrado y el lugar secreto donde están escondidos. Pero depende de cada individuo dónde y cómo guardar esas copias. También podría ser en un almacenamiento en línea, es suficiente con que se almacene el archivo KeePass y, opcionalmente, una copia del archivo de su billetera electrum (no más de unos pocos cientos de kb de datos).

E. Bitcoin-Safe como solución alternativa de monedero frío

Todo lo descrito anteriormente funciona bien, pero requiere manejar TailsOS, Electrum y KeePass por separado. Si ya tienes una máquina limpia dedicada — o estás dispuesto a configurar una — Bitcoin-Safe es un moderno monedero Bitcoin de escritorio de código abierto que cubre todo esto en una sola aplicación, con un flujo de trabajo más limpio y opciones de almacenamiento en frío más potentes.

Bitcoin-Safe funciona en Windows, Mac y Linux. Soporta Taproot (P2TR) desde el principio, tiene etiquetado de UTXO integrado (para que puedas prescindir de las entradas separadas de KeePass para el seguimiento de direcciones), se conecta a tu propio nodo Bitcoin Core o servidor Electrum, e incluye un asistente multisig dedicado. Lo más importante para el almacenamiento en frío: gestiona el flujo de trabajo de firma airgap con PSBT — el mismo principio que TailsOS — pero con una interfaz gráfica adecuada.

Opción 1 – Monedero frío de software en una máquina offline dedicada

El principio es idéntico al método TailsOS: usa una máquina que nunca se conecte a internet y úsala solo para firmar transacciones.

1. Toma un portátil de segunda mano, instala un Linux limpio (p. ej. Linux Mint) y nunca lo conectes a internet. Esta es tu máquina de firma.
2. Instala Bitcoin-Safe en esa máquina offline.
3. Crea un nuevo monedero de firma única en Bitcoin-Safe, guarda las palabras semilla en KeePass y escríbelas en papel (dos copias, dos lugares distintos).
4. Exporta el xpub/zpub del monedero (Monedero → Información → Clave Pública Maestra).
5. En tu máquina online, instala Bitcoin-Safe de nuevo e importa ese xpub como monedero de solo lectura. Esta es tu interfaz de depósito y monitoreo — las claves privadas nunca salen de la máquina offline.
6. Para gastar: crea un PSBT en el monedero watch-only online → transfiérelo a la máquina offline por USB → fírmalo con Bitcoin-Safe en la máquina offline → lleva el PSBT firmado de vuelta a la máquina online → transmítelo.

Tus claves privadas nunca tocan un dispositivo conectado a internet. Mismo modelo de seguridad que TailsOS, mejor experiencia de uso.

Opción 2 – Almacenamiento en frío con monedero hardware (mejora recomendada)

Si quieres ir más allá de un monedero frío de software puro, Bitcoin-Safe tiene soporte nativo para todos los principales monederos hardware: Trezor, Ledger, ColdCard, Jade, BitBox02, Foundation Passport.

1. Consigue un monedero hardware de tu elección y configúralo (genera la semilla en el dispositivo, escríbela, mantenla offline y segura).
2. Instala Bitcoin-Safe en tu máquina online.
3. Conecta tu monedero hardware e impórtalo en Bitcoin-Safe. El xpub se lee automáticamente — las claves privadas nunca salen del dispositivo.
4. Usa Bitcoin-Safe como tu interfaz de solo lectura y firma: solicitará la confirmación del monedero hardware para cada transacción.

El monedero hardware ES el almacenamiento en frío. Bitcoin-Safe es la interfaz. Separación limpia.

Opción 3 – Monedero frío multisig (máxima seguridad para HODLers serios)

Para stacks grandes, un único punto de fallo es inaceptable. Bitcoin-Safe tiene un asistente multisig dedicado que hace que el multisig 2-de-3 sea sencillo — sin línea de comandos, sin archivos de configuración.

1. Consigue dos o tres monederos hardware (pueden ser de diferentes marcas para mayor resiliencia).
2. Abre Bitcoin-Safe e inicia el asistente multisig.
3. Añade cada monedero hardware como co-firmante. Bitcoin-Safe recopila los xpubs y construye el descriptor multisig.
4. Guarda el descriptor del monedero en tu archivo KeePass y como copia de texto plano — lo necesitarás para recuperar el multisig más adelante.
5. Para firmar una transacción, Bitcoin-Safe crea un PSBT y lo firmas con cualquiera de 2 de tus 3 dispositivos.

Este es el estándar de oro para el almacenamiento en frío HODL. Cualquier dispositivo individual puede perderse, ser robado o destruido y tus fondos permanecen completamente recuperables con los dos restantes.

Mi consejo: si estás configurando un nuevo monedero frío HODL hoy, usa Bitcoin-Safe con al menos un monedero hardware, con direcciones Taproot, y considera el multisig si tu stack lo justifica. Lee aquí la guía sobre migración a Taproot.