Al crear una billetera de criptomonedas, la primera reacción de muchas personas es hacer una captura de pantalla de la frase semilla, ya que es la forma más rápida y conveniente. Pero esta acción aparentemente inofensiva es en realidad una de las principales razones por las que se roban criptoactivos. Los datos del equipo de seguridad de SlowMist muestran que más del 30% de los casos de robo de billeteras están directamente relacionados con el almacenamiento inseguro de frases semilla, y las capturas de pantalla representan una gran proporción.
¿Por qué es peligroso guardar la frase semilla con captura de pantalla?
Una captura de pantalla puede parecer solo una imagen más en tu teléfono, pero las amenazas de seguridad que enfrenta son mucho mayores de lo que imaginas.
La sincronización automática en la nube es el mayor riesgo
Los iPhone tienen la sincronización de fotos de iCloud activada por defecto, y los dispositivos Android activan Google Photos por defecto. A los pocos segundos de tomar una captura, la imagen de tu frase semilla ya se ha subido a los servidores en la nube.
Los riesgos de las cuentas en la nube incluyen:
- Filtración de contraseñas (las brechas de bases de datos son cada vez más frecuentes)
- Ataques de phishing dirigidos a cuentas en la nube
- Ataques de ingeniería social
- Exposición de inicio de sesión por dispositivos compartidos
Una vez que la cuenta en la nube se ve comprometida, los hackers pueden revisar todas tus fotos, encontrar la captura de la frase semilla y restaurar tu billetera al instante.
La tecnología OCR hace que las imágenes no sean seguras
El malware moderno cuenta con capacidades OCR (Reconocimiento Óptico de Caracteres) que pueden escanear automáticamente todas las imágenes de la galería de tu teléfono, identificar palabras en inglés y determinar si forman una frase semilla. Esto significa que aunque la frase semilla exista solo como imagen, puede ser detectada y extraída automáticamente.
Los permisos de la galería de fotos se conceden ampliamente
¿Cuántas aplicaciones en tu teléfono tienen acceso a tu galería de fotos? Aplicaciones de cámara, redes sociales, editores de fotos, gestores de archivos... casi todas las aplicaciones pueden solicitar acceso a la galería. Cualquier aplicación maliciosa con permisos de galería puede leer silenciosamente tu captura de frase semilla.
Escenarios que siguen siendo riesgosos incluso sin capturas en el teléfono
Las siguientes prácticas aparentemente seguras también conllevan riesgos:
Capturas de pantalla en computadora: Las computadoras también ejecutan gran cantidad de software que puede contener código malicioso, y los datos del portapapeles y archivos de captura pueden ser monitoreados.
Capturar y enviarse por correo electrónico: El correo electrónico es uno de los objetivos más atacados, y los mensajes generalmente se almacenan sin cifrar.
Capturar, imprimir y luego borrar: La captura puede haber sido sincronizada o escaneada antes de ser eliminada, y los datos eliminados pueden ser recuperados.
Guardar capturas en una galería cifrada: La mayoría de las aplicaciones de galería cifrada no han sido auditadas en seguridad y pueden contener vulnerabilidades.
Casos reales de robo
Caso 1: Filtración de iCloud con pérdida millonaria
Un usuario guardó una captura de la frase semilla de MetaMask en la galería de fotos de su iPhone. Después de la sincronización automática de iCloud, su Apple ID fue comprometido por una filtración de contraseña. El hacker encontró la captura de la frase semilla en iCloud Photos, restauró la billetera y transfirió aproximadamente $1.2 millones en criptoactivos.
Caso 2: Robo durante la reparación del teléfono
Un usuario envió su teléfono a reparar la pantalla. Durante la reparación, el técnico revisó la galería de fotos del teléfono, descubrió la captura de la frase semilla y le tomó una foto. Pocos días después, todos los activos de la billetera del usuario fueron transferidos.
Caso 3: Aplicación maliciosa escaneando la galería
Un usuario descargó una aplicación de "seguimiento de precios cripto". Tras obtener permisos de galería, la aplicación escaneó automáticamente todas las imágenes y usó OCR para identificar la frase semilla. En 24 horas, la billetera fue vaciada.
Métodos correctos de respaldo de frase semilla
Abandona las capturas de pantalla y usa estos métodos verdaderamente seguros:
- Escritura a mano en papel: Usa un bolígrafo resistente al agua para escribir claramente cada palabra y su número
- Grabado en placa metálica: Usa productos profesionales de placa de acero para frases semilla, resistentes al fuego, agua y corrosión
- Múltiples copias de seguridad: Mantén al menos 2 copias almacenadas en ubicaciones seguras separadas
- Almacenamiento seguro: Cajas fuertes, cajas de seguridad bancarias y otros lugares físicamente seguros
- Verificaciones periódicas: Confirma que tus copias de seguridad estén intactas y legibles cada pocos meses
Recordatorio de seguridad
Proteger tu frase semilla requiere eliminar el almacenamiento electrónico de raíz:
- Nunca captures tu frase semilla: Ya sea en un teléfono o computadora, las capturas no son seguras
- Desactiva la sincronización automática de fotos en la nube: O al menos asegúrate de que las frases semilla nunca aparezcan en tu galería
- Audita los permisos de las aplicaciones: Revisa regularmente qué aplicaciones tienen acceso a la galería y elimina permisos innecesarios
- Asegura un entorno seguro al crear una billetera: Desactiva la grabación de pantalla y asegúrate de que no haya cámaras cerca
- Si ya guardaste una captura: Crea inmediatamente una nueva billetera, transfiere tus activos y elimina la captura (incluyendo copias en la nube)
- Desarrolla el hábito del respaldo seguro: Dedicar unos minutos a un respaldo escrito a mano es mucho mejor que arriesgar años de activos acumulados
Si consideras que la gestión de seguridad de una billetera autocustodiada es demasiado compleja, también puedes optar por almacenar activos en un exchange grande y regulado. Binance ofrece seguridad profesional de plataforma, o descarga la app de Binance — los usuarios de iPhone pueden consultar la guía de instalación para iOS para una gestión fácil.
¿Agregar una marca de agua a la captura puede prevenir el robo?
No. Las marcas de agua no afectan el reconocimiento ni el uso de una frase semilla. Mientras un hacker pueda ver las 12/24 palabras y su orden, puede restaurar tu billetera. Las marcas de agua solo sirven para "rastrear la fuente de la filtración" — no pueden prevenir el robo de activos.
¿Es seguro poner la captura en una carpeta segura del teléfono?
Relativamente seguro pero aún no recomendado. Las carpetas seguras como Samsung Knox o el Espacio Privado de Huawei proporcionan una capa adicional de cifrado, pero estas protecciones pueden ser eludidas si el teléfono tiene root o jailbreak. Los medios físicos (papel/placas metálicas) siguen siendo la opción más confiable.
¿Mi frase semilla está segura después de eliminar la captura?
No completamente. Los archivos eliminados pueden ser recuperados con herramientas de recuperación de datos, las copias sincronizadas en la nube pueden no haberse eliminado, y el malware puede haber leído y subido el contenido durante el tiempo que existió la captura. Si la captura ha existido durante un tiempo, lo más seguro es crear una nueva billetera y transferir tus activos.
¿Es viable cifrar y comprimir la captura?
Es algo más seguro que una captura en texto plano, pero añade complejidad a la recuperación y aún conlleva el riesgo de que el cifrado sea descifrado tras la compromisión del dispositivo. Si debes usar un respaldo electrónico como método complementario, un archivo cifrado de VeraCrypt con una contraseña fuerte es una opción relativamente buena, pero no debería ser tu único respaldo.