Temporadas
Tabla de clasificación
Noticias
Aprender
Investigación
Clasificación
Ecosistema
Cartera
yellow banner logo
TRADING
PLATAFORMA YA DISPONIBLE
COMENZAR AHORA
yellow shooting stars
background stars

Carteras hardware con aislamiento físico, USB o Bluetooth: ¿cuál es realmente más segura?

profile-alexey-bondarev
Alexey Bondarevhace 3 horas
#Billetera Crypto
Carteras hardware con aislamiento físico, USB o Bluetooth: ¿cuál es realmente más segura?

La forma en que una cartera hardware se conecta con el mundo exterior genera intensos debates entre los poseedores de criptomonedas, pero ningún atacante ha robado fondos interceptando una señal USB o Bluetooth. Todos los exploits documentados han apuntado al firmware, a los chips físicos o a la infraestructura que los rodea. La verdadera cuestión no es qué cable cortar, sino para qué modelo de amenaza hay que prepararse.

TL;DR

  • Las carteras con aislamiento físico eliminan ciertos vectores de ataque remotos, pero introducen otros nuevos a través del análisis de códigos QR y de los microcontroladores de las microSD, y no pueden soportar protocolos de firma anti-klepto.
  • Las carteras USB con elementos seguros certificados nunca han sido comprometidas a través de su conexión de datos; el protocolo anti-klepto disponible solo mediante canales persistentes representa un avance real en seguridad.
  • Bluetooth nunca ha sido explotado en ninguna cartera hardware pese a años de preocupación en la comunidad; el aislamiento mediante elementos seguros hace que la intercepción BLE sea funcionalmente inútil para los atacantes.

No todas las carteras hardware se crean igual

Las carteras hardware share un principio central: las claves privadas permanecen en el dispositivo mientras la firma de transacciones ocurre aislada del ordenador anfitrión. Más allá de ese fundamento común, los dispositivos difieren radicalmente. El método de conectividad, la arquitectura de chips, la transparencia del firmware y el diseño físico varían según fabricantes y modelos.

El mercado se divide en tres campos de conectividad. Los dispositivos solo USB como Trezor Safe 3 y BitBox02 se conectan directamente a un ordenador. Las carteras con Bluetooth como Ledger Nano X y Ledger Stax se emparejan de forma inalámbrica con teléfonos. Los firmantes con aislamiento físico como Coldcard, Foundation Passport, Keystone 3 Pro, NGRAVE ZERO y Ellipal Titan nunca se conectan a ninguna red.

Cada enfoque implica sacrificios.

USB proporciona comunicación bidireccional de baja latencia, pero crea un canal físico de datos.

Bluetooth añade comodidad móvil, pero opens una interfaz inalámbrica. El aislamiento físico elimina por completo los canales electrónicos de datos, pero limita los protocolos de seguridad que el dispositivo puede soportar.

El precio y la filosofía también varían mucho. Un Trezor Safe 3 o un Ledger Nano S Plus costs alrededor de 79 dólares. Coldcard Mk4 cuesta 148 dólares y Foundation Passport 199 dólares. NGRAVE ZERO se sitúa en 398 dólares. La opción gratuita es AirGap Vault, que convierte cualquier smartphone de repuesto en un firmante fuera de línea.

Also Read: Ethereum Eyed For Euro Stablecoin Settlement Layer

Qué significa realmente “aislamiento físico” (air-gapped)

NIST defines un aislamiento físico como una separación material entre sistemas que impide transferencias no autorizadas de datos. En carteras hardware esto significa: sin datos USB, sin Wi‑Fi, sin Bluetooth, sin NFC, sin red celular. El único puente entre el dispositivo y el exterior es la luz o un medio de almacenamiento extraíble.

Las carteras con aislamiento físico siguen un flujo de trabajo bastante estándar. Una aplicación complementaria en un teléfono u ordenador construye una transacción sin firmar, normalmente en formato PSBT (Partially Signed Bitcoin (BTC) Transaction según BIP-174).

Codifica esa transacción como un código QR o la guarda en una tarjeta microSD. El dispositivo aislado escanea el QR o lee el archivo, muestra los detalles de la transacción en su pantalla de confianza, firma con la clave privada almacenada en su elemento seguro y genera un código QR o archivo firmado.

La firma basada en QR relies en secuencias QR animadas para transacciones grandes. Estándares como la especificación Uniform Resource de Blockchain Commons con fountain codes, o el protocolo BBQr de Coinkite, dividen los datos en decenas de fotogramas. Un único fotograma QR se satura aproximadamente entre 3 y 5 KB antes de volverse ilegible, por lo que las transacciones complejas de multisig o CoinJoin requieren paciencia.

La firma mediante microSD evita por completo esa limitación de tamaño. Coldcard usa este método como principal. Pero las tarjetas microSD contienen microcontroladores integrados con firmware hackeable, como ha documentado el investigador Bunnie Huang documented. Es discutible si un miniordenador conectado a tu cartera preserva realmente el “air gap”.

El panorama de dispositivos con aislamiento físico incluye varios enfoques distintos:

  • Coldcard Mk4 (148 dólares) solo para Bitcoin, con doble elemento seguro de distintos proveedores, firmware totalmente de código abierto y reproducible y funciones como PIN trampa que pueden inutilizar el dispositivo bajo coacción
  • NGRAVE ZERO (398 dólares) afirma tener certificación EAL7 para su entorno de ejecución de confianza ProvenCore específicamente, no para todo el dispositivo, y su firmware sigue siendo en gran parte de código cerrado
  • Foundation Passport (199 dólares) combina una arquitectura de seguridad al estilo Coldcard con un diseño más amigable para el consumidor y hardware y software totalmente de código abierto
  • Keystone 3 Pro (149 a 169 dólares) funciona sobre un Android 8.1 personalizado con triple chip de elemento seguro y fue la primera cartera en abrir el código fuente del firmware de su elemento seguro
  • Ellipal Titan 2.0 (169 dólares) usa un cuerpo totalmente metálico sellado con autodestrucción antimanipulación

Also Read: Bitcoin Hits $72.7K High On Iran Peace Optimism

Las carteras USB y Bluetooth se basan en elementos seguros, no en el aislamiento

Las carteras conectadas por USB communicate mediante el protocolo USB HID con capas de aplicación propietarias encima. Ledger utiliza APDU, el estándar de tarjetas inteligentes. Trezor utiliza protobuf sobre HID con Trezor Bridge como servicio en segundo plano. BitBox02 utiliza mensajes protobuf cifrados sobre el marco Noise Protocol, estableciendo un canal cifrado de extremo a extremo verificado mediante un código de emparejamiento fuera de banda. Ese cifrado es único entre las carteras USB. Incluso un ordenador anfitrión totalmente comprometido no puede leer ni manipular los datos en tránsito.

La columna vertebral de seguridad de estas carteras es el elemento seguro, un chip resistente a manipulaciones certificado para resistir sondas físicas, fallos de voltaje y análisis de canales laterales. Los dispositivos más recientes de Ledger use chips ST33K1M5 con calificación EAL6+, donde su sistema operativo personalizado BOLOS se ejecuta directamente en el elemento seguro, controlando pantalla y botones dentro del perímetro seguro.

Trezor tomó un camino distinto durante años.

Sus primeros modelos no tenían elemento seguro. Los Safe 3 y Safe 5 añadieron chips Infineon OPTIGA Trust M, calificados EAL6+, para la aplicación del PIN y la atestación del dispositivo. Pero la firma criptográfica todavía occurs en el microcontrolador de propósito general, no en el elemento seguro. El próximo Trezor Safe 7 introduce TROPIC01, el primer elemento seguro totalmente auditable y de código abierto, desarrollado por Tropic Square, una filial de SatoshiLabs.

Las carteras con Bluetooth utilizan Bluetooth Low Energy solo como capa de transporte. La implementación de Ledger treats la conexión BLE como comprometida por defecto. El MCU STM32WB55 con su radio BLE actúa como relé. El elemento seguro controla de forma independiente la pantalla y los botones. Las claves privadas nunca abandonan el perímetro del elemento seguro.

Las características clave de seguridad de la implementación BLE en los dispositivos Ledger incluyen:

  • El emparejamiento utiliza Numeric Comparison, el método estándar BLE más fuerte, con autenticación AES‑CMAC para evitar ataques man-in-the-middle
  • Solo pasan por el canal inalámbrico datos públicos (transacciones sin firmar, transacciones firmadas), nunca semillas ni claves privadas
  • El usuario puede desactivar Bluetooth por completo y volver a USB en cualquier momento
  • El elemento seguro valida y muestra los detalles de la transacción de forma independiente de la pila BLE

Que Trezor haya añadido Bluetooth al Safe 7 tras años de evitar la conectividad inalámbrica indica un consenso en la industria. BLE es aceptable cuando existe un aislamiento adecuado mediante elemento seguro.

Also Read: Why Central Banks May Struggle To Control Inflation This Time

Todos los ataques reales han apuntado al firmware y al plano físico, nunca al cable

El dato más revelador en la seguridad de las carteras hardware es este: entre todos los exploits documentados desde que nació el sector, ni un solo ataque exitoso relied en interceptar o manipular el canal de transporte de datos. Ni USB. Ni Bluetooth. Ni códigos QR.

Douglas Bakkum, cofundador de Shift Crypto (BitBox), catalogó sistemáticamente todas las vulnerabilidades conocidas y concluyó que la comunicación con aislamiento físico aporta poca seguridad adicional a la vez que degrada la experiencia de usuario.

Kraken Security Labs demonstrated en enero de 2020 que se podían extraer semillas tanto de Trezor One como de Trezor Model T en aproximadamente 15 minutos usando unos 75 dólares en equipamiento. El ataque utilizó fallos de voltaje para degradar la protección de lectura del microcontrolador STM32 de RDP2 a RDP1, luego extrajo la semilla cifrada mediante depuración ARM SWD y forzó por fuerza bruta el PIN.

Esta vulnerabilidad es inherente a la familia de chips STM32 y no puede parchearse con actualizaciones de firmware. La mitigación recomendada por Trezor fue usar una passphrase BIP39, que no se almacena en el dispositivo.

La brecha en la base de datos de Ledger de junio de 2020 caused más daño real en el mundo que todas las vulnerabilidades de hardware combinadas. Una clave API mal configurada expuso 1,1 millones de direcciones de correo electrónico y aproximadamente 272.000 registros completos de clientes, incluidos nombres, domicilios addresses, and phone numbers.

Las secuelas fueron devastadoras. Se enviaron a las víctimas billeteras Ledger falsas con firmware manipulado. Correos de extorsión exigían entre 700 y 1.000 dólares en Bitcoin. Siguió un patrón de ataques físicos a poseedores de criptomonedas que continúa hasta hoy. En enero de 2025, el cofundador de Ledger, David Balland, fue secuestrado en Francia y le amputaron un dedo.

La controversia de Ledger Recover de mayo de 2023 hizo añicos una suposición central que muchos usuarios tenían. El servicio opcional de Ledger, de 9,99 dólares al mes, cifra la frase semilla del usuario, la divide en tres fragmentos y los distribuye a Ledger, Coincover y un tercer custodio, requiriendo verificación de identidad KYC.

La indignación de la comunidad se centró en una revelación fundamental: el firmware de Ledger siempre había tenido la capacidad técnica de extraer frases semilla del elemento seguro. El CTO Charles Guillemet explicó que esto es inherente a cualquier arquitectura de billetera hardware. El cofundador Éric Larchevêque confirmó en Reddit que usar Recover significa que los activos podrían ser congelados por un gobierno.

Also Read: Cardano Whale Wallets Reach 4-Month Peak Amid 42% Drop

El problema Anti-Klepto da a USB una auténtica ventaja de seguridad

Dark Skippy, disclosured en agosto de 2024 por los cofundadores de Frostsnap Lloyd Fournier y Nick Farrow junto con el desarrollador de BitVM Robin Linus, mostró que un firmware malicioso podía exfiltrar la frase semilla completa de un usuario con solo dos firmas de transacción.

El ataque incrusta datos de la semilla en los nonces de la firma. Un atacante que monitoriza la cadena de bloques pública podría reconstruir la semilla usando el algoritmo Kangaroo de Pollard. Esto afecta a todas las billeteras hardware independientemente de su conectividad.

La defensa contra Dark Skippy es el protocolo anti-klepto. En la firma ECDSA estándar, la billetera hardware genera internamente un nonce aleatorio.

Si el firmware es malicioso, puede elegir nonces que codifiquen material de la clave privada. El usuario no tiene forma de detectarlo.

La firma anti-klepto, first implemented por BitBox02 a principios de 2021, requiere que el software anfitrión aporte un nonce aleatorio adicional. La billetera hardware debe incorporar ese nonce externo en su proceso de firma. Si la billetera no lo incorpora correctamente, la verificación de la firma falla. Esto hace detectable la exfiltración encubierta de claves.

El protocolo requiere un canal persistente, bidireccional y de baja latencia. Eso es exactamente lo que proporcionan USB y Bluetooth. El escaneo de códigos QR lo hace impracticable porque cada ronda adicional de verificación anti-klepto exigiría otro ciclo de escanear secuencias QR animadas. Actualmente solo BitBox02 y Blockstream Jade implementan firmas anti-klepto. Las billeteras con air gap no pueden soportar este protocolo de forma práctica.

Esto no significa que el air-gapping sea teatro. Elimina varios vectores reales:

  • Ataques BadUSB donde un dispositivo manipulado se presenta como teclado ante el host
  • Huellas de enumeración de dispositivos USB que filtran información sobre el sistema conectado
  • El ataque de canal lateral por consumo de energía del OLED descubierto por Christian Reitter en 2019, donde mediciones de potencia USB podían recuperar parcialmente el PIN o información de la semilla mostrados
  • Ataques de depuración JTAG en MCUs no seguras, como el que Kraken Security Labs encontró en el Ledger Nano X, donde era posible modificar el firmware antes de la instalación de aplicaciones

Estos son vectores reales que el air-gapping elimina. También son vectores que una arquitectura adecuada de elemento seguro, protocolos USB cifrados y arranque verificado mitigan en gran medida.

Also Read: Billions Vanished In Crypto Fraud Last Year, Here's What The FBI Found

El Bluetooth nunca ha sido explotado en una billetera hardware

A pesar de la amplia ansiedad de la comunidad sobre Bluetooth, el registro empírico es claro. Ninguna billetera hardware de criptomonedas ha sido comprometida jamás a través de su conexión Bluetooth. Esto incluye pruebas contra todas las principales clases de vulnerabilidades BLE.

BlueBorne, un conjunto de ocho CVE disclosed en 2017, permitió la ejecución remota de código sin emparejamiento en más de 5.000 millones de dispositivos Bluetooth.

Pero explotaba fallos de implementación en los stacks Bluetooth de los sistemas operativos, no en el hardware BLE.

KNOB (CVE-2019-9506) forzó la entropía de la clave de cifrado hasta 1 byte durante el emparejamiento de Bluetooth Classic, pero no afecta a BLE, que es lo que usan las billeteras hardware.

BIAS (CVE-2020-10135) permitió la suplantación de dispositivos emparejados, pero de nuevo apuntaba solo a Bluetooth Classic. BrakTooth, un conjunto de 16 vulnerabilidades affecting a más de 1.400 productos en 2021, afectó a stacks de Bluetooth Classic, no a BLE. SweynTooth en 2020 sí se dirigió específicamente a BLE, causando bloqueos y bypasses de seguridad, pero nunca se ha demostrado contra una billetera hardware.

La razón arquitectónica es sencilla. Incluso si un atacante comprometiera completamente la conexión BLE, obtendría acceso a datos de transacción firmados y sin firmar, los mismos datos que de todos modos se difunden públicamente en la cadena de bloques.

No pueden extraer claves privadas, que están aisladas en el elemento seguro. No pueden falsificar aprobaciones de transacciones, que requieren una pulsación física de botón. No pueden modificar transacciones sin ser detectados porque la pantalla de confianza muestra detalles desde el SE, no desde el canal BLE.

Vale la pena señalar una preocupación adyacente a Bluetooth. En 2025, investigadores encontraron vulnerabilidades en el chip ESP32 de Espressif, usado en billeteras como Blockstream Jade. La falla podría, teóricamente, permitir la inyección de firmware malicioso a través de las interfaces inalámbricas del chip. Este es un problema de implementación específico del chip más que una vulnerabilidad del protocolo Bluetooth.

Also Read: Main Quantum Risk For Bitcoin Is Consensus, Not Code, Grayscale Warns

Quién necesita realmente qué nivel de aislamiento

El mercado de billeteras hardware reached un estimado de entre 350 y 680 millones de dólares en 2025, con una amplia variación que refleja diferentes metodologías de investigación, y está creciendo entre un 20 y un 30 por ciento anual. Ledger domina con más de 6 millones de unidades acumuladas vendidas. SatoshiLabs envió 2,4 millones de unidades Trezor solo en 2024. La conectividad USB aún representa aproximadamente el 47 por ciento del mercado, pero está disminuyendo a medida que crece Bluetooth.

Para inversores minoristas que tienen menos de 50.000 dólares en Ethereum (ETH), Solana (SOL) o Bitcoin, una billetera USB con un elemento seguro certificado proporciona más que suficiente seguridad.

Las principales amenazas en este nivel son el phishing, la ingeniería social y el mal almacenamiento de la semilla. Ningún método de conectividad aborda ninguna de esas. La usabilidad en sí misma es una característica de seguridad porque los flujos de trabajo air-gapped complejos aumentan el riesgo de errores de usuario.

Para grandes tenedores y almacenamiento en frío a largo plazo, las billeteras air-gapped aportan beneficios significativos. No principalmente por eliminar la superficie de ataque USB, sino por el modelo de seguridad operacional que imponen. Una billetera air-gapped almacenada en un lugar seguro está físicamente separada de los dispositivos de uso diario. Eso reduce la exposición a ataques de la cadena de suministro, malware y robos físicos.

Para usuarios activos de DeFi y traders móviles, Bluetooth es una necesidad práctica, no una concesión de seguridad. Ledger Nano X con Ledger Live, o el próximo Trezor Safe 7, permite la firma de transacciones móviles con las mismas protecciones de elemento seguro que USB.

La integración de códigos QR de Keystone 3 Pro con MetaMask ofrece una alternativa air-gapped para cadenas EVM, aunque con una fricción significativamente mayor por transacción.

Para la custodia institucional, el cálculo es totalmente diferente. El segmento empresarial accounts por aproximadamente el 69 por ciento de los ingresos de billeteras hardware a pesar de menos unidades. Configuraciones multifirma en múltiples dispositivos air-gapped, potencialmente de distintos fabricantes, proporcionan defensa en profundidad que ningún método de conectividad de un solo dispositivo puede igualar.

Also Read: Can AI Really Run DeFi? New Findings Expose Major Risks

Conclusión

El debate air-gapped vs. USB vs. Bluetooth genera más calor que luz. El canal de transporte de datos es el componente menos explotado de toda la superficie de ataque de una billetera hardware. Cada robo confirmado que involucra billeteras hardware se ha rastreado hasta extracción física, manipulación en la cadena de suministro, ingeniería social o infraestructura circundante comprometida. Ni uno solo se ha rastreado a comunicaciones USB o Bluetooth interceptadas.

El air-gapping aporta un valor genuino como disciplina de seguridad operacional más que como defensa criptográfica.

Un dispositivo que permanece en una bóveda y se comunica solo mediante códigos QR es más difícil de atacar porque es más difícil de alcanzar, no porque los códigos QR sean más seguros que USB.

Mientras tanto, el canal bidireccional de USB permite protocolos anti-klepto que representan el avance más significativo en la seguridad de firma de billeteras hardware en los últimos años, una defensa que las billeteras air-gapped estructuralmente no pueden adoptar. Los tres hechos que deberían guiar cualquier decisión: la calidad del elemento seguro importa más que el método de conectividad, el firmware de código abierto permite la auditoría comunitaria independientemente de la capa de transporte, y el multisig entre dispositivos de diferentes fabricantes proporciona una protección más sólida que el air gap de cualquier billetera individual.

Read Next: Schwab Warns Even 1% Bitcoin Allocation Reshapes Portfolio Dynamics

Descargo de responsabilidad y advertencia de riesgos: La información proporcionada en este artículo es solo para propósitos educativos e informativos y se basa en la opinión del autor. No constituye asesoramiento financiero, de inversión, legal o fiscal. Los activos de criptomonedas son altamente volátiles y están sujetos a alto riesgo, incluido el riesgo de perder toda o una cantidad sustancial de su inversión. Operar o mantener activos cripto puede no ser adecuado para todos los inversores. Las opiniones expresadas en este artículo son únicamente las del autor/autores y no representan la política oficial o posición de Yellow, sus fundadores o sus ejecutivos. Siempre realice su propia investigación exhaustiva (D.Y.O.R.) y consulte a un profesional financiero licenciado antes de tomar cualquier decisión de inversión.
Artículos de aprendizaje relacionados
Cómo elegir un monedero hardware: 10 cosas que importan
Guía para elegir monederos hardware según seguridad, soporte de monedas, usabilidad y copias de seguridad, más allá de la marca.
Las 5 mejores billeteras cripto aisladas por aire que los hackers no pueden alcanzar
Apr 05, 2026
Comparativa de las 5 mejores billeteras cripto aisladas por aire para proteger Bitcoin y otras criptomonedas con máxima seguridad offline.
Mejores monederos USDT en 2026: opciones frías y calientes comparadas
Guía de los principales monederos USDT en 2026, comparando seguridad, compatibilidad de redes, comisiones y funciones entre frío y caliente.
Los 10 mejores monederos DeFi para operar con seguridad en 2026
Comparativa de 10 monederos DeFi líderes para 2026, destacando seguridad, acceso multichain y comisiones bajas para trading y staking.
Cómo proteger tu Bitcoin de las amenazas cuánticas ahora mismo
Mar 17, 2026
Pasos prácticos para reducir hoy el riesgo cuántico en Bitcoin: buenas prácticas de direcciones, entender plazos tecnológicos y preparar la futura migración.
Carteras hardware con aislamiento físico, USB o Bluetooth: ¿cuál es realmente más segura? | Yellow.com