Presiona ESC para cerrar

Passkeys vs. Seed Phrases: Cripto más segura que los bancos

Passkeys vs. Seed Phrases: Cripto más segura que los bancos

Durante mucho tiempo, el mundo de las criptomonedas funcionó como el “Lejano Oeste”: o bien guardabas tus 24 palabras en una placa de metal dentro de una caja fuerte bancaria, o corrías el riesgo de perderlo todo por un solo enlace de phishing. Pero en 2025–2026, ocurrió un cambio tectónico. La tecnología Passkeys (estándar FIDO2/WebAuthn) junto con Account Abstraction hizo que poseer activos fuera no solo más fácil que en la banca móvil, sino también criptográficamente más seguro.

Vamos a ver por qué tu retina ahora es más confiable que una seed phrase y cómo funciona “bajo el capó”.

¿Por qué la seed phrase es la “Edad de Piedra”?

Las carteras tradicionales (EOA — Externally Owned Accounts) como MetaMask funcionan con un solo par de claves. La seed phrase es tu clave.

  • Punto único de fallo: Si la frase es robada, el dinero se pierde. Si la olvidas, los fondos desaparecen.
  • Problema del “blind signing”: Firmas transacciones sin entender su contenido, lo que abre la puerta al phishing.
  • Falta de flexibilidad: No puedes cambiar la clave sin mover todos los tokens a una nueva dirección.

Cómo las Passkeys cambian las reglas del juego

Una Passkey es un par de claves criptográficas generadas en el módulo seguro de tu dispositivo (Secure Enclave en iPhone o TPM en Windows/Android).

  • La clave privada nunca sale del chip.
  • El acceso se activa solo mediante biometría (FaceID/TouchID) o el código de desbloqueo del dispositivo.
  • Sincronización: Las claves se copian de manera segura a tus otros dispositivos mediante iCloud o Google Password Manager, eliminando el riesgo de perder acceso si un dispositivo se rompe.

Por qué es más seguro que las apps bancarias

En una app bancaria, tu seguridad depende a menudo de un PIN de 4 dígitos o confirmación por SMS (fácil de interceptar mediante SIM-swap). La Passkey usa el algoritmo P-256 (secp256r1) — estándar industrial de cifrado. Intentar romper esta clave por fuerza bruta en un ordenador moderno tomaría miles de millones de años.

Magia técnica: cómo unir Passkey y Blockchain

El problema principal: la mayoría de blockchains (Bitcoin, Ethereum) usan la curva secp256k1, mientras que los smartphones modernos para Passkeys usan secp256r1 (P-256). No se “entienden” directamente.

La solución llegó con ERC-4337 (Account Abstraction). Ahora tu cartera no es solo un par de claves, sino un smart contract.

Ejemplo de implementación (Código conceptual)

Se agrega un módulo de verificación de firma Passkey al smart contract de la cartera. Cuando colocas tu dedo en el escáner, el teléfono genera una firma que el smart contract verifica en la blockchain.


// Solidity
// Ejemplo simplificado de la lógica de verificación Passkey en un smart contract
function validateUserOp(UserOperation calldata userOp, bytes32 userOpHash) internal override returns (uint256) {
    // Extraer componentes de la firma (r, s) y coordenadas de la clave pública
    (bytes32 r, bytes32 s, uint256 x, uint256 y) = abi.decode(userOp.signature, (bytes32, bytes32, uint256, uint256));
    // Usar precompile P-256 (RIP-7212) para verificar la firma
    // Esto permite que la cartera "entienda" la biometría de tu iPhone
    bool isValid = P256Verifier.verify(userOpHash, r, s, x, y);
    if (!isValid) return SIG_VALIDATION_FAILED;
    return 0;
}

Dato poco conocido: Hasta 2024, verificar una firma así en Ethereum habría costado una fortuna (50–100 USD por transacción). Con EIP-7212 (precompile para secp256r1) en redes L2 (Base, Optimism, Arbitrum), el costo de verificación se volvió prácticamente cero.

Consejos prácticos para usuarios

Si quieres pasar al modo “sin frase” hoy, considera las siguientes opciones:

  • Elección de cartera: Usa smart wallets de nueva generación: Braavos o Argent (Starknet), Safe con módulo Passkeys o Coinbase Smart Wallet.
  • Propiedad multifactor (2FA potente): Puedes configurar el smart contract para que para transacciones pequeñas solo se requiera la Passkey del teléfono, mientras que para grandes se necesite confirmación de un segundo dispositivo (por ejemplo, tu MacBook).
  • Recuperación social: Vincula Passkeys de familiares o dispositivos de respaldo como “Guardians”. Si pierdes acceso a todos tus dispositivos, pueden restaurar tu cartera sin seed phrase.

Riesgo principal: lo que los marketeros no cuentan

La única vulnerabilidad de las Passkeys es el acceso a tu cuenta en la nube (Apple ID o Google Account). Si un atacante obtiene control total de tu iCloud y restablece la contraseña, teóricamente podría sincronizar tus claves en su dispositivo.

Solución: Protege siempre tu Apple ID/Google Account con una llave física (por ejemplo, YubiKey) y activa la función “Stolen Device Protection” en la configuración de iOS.

Arquitectura WebAuthn: Cómo el navegador se comunica con la blockchain

Para que un Passkey se convierta en una transacción en la blockchain, los datos pasan por una cadena que impide su interceptación. Esto se llama API WebAuthn.

El proceso funciona así:

  • Challenge (Reto): El contrato inteligente o el backend del monedero envía una cadena aleatoria (challenge) al frontend.
  • Autenticación biométrica: El navegador abre la ventana del sistema (FaceID/TouchID). Tras la verificación biométrica exitosa, el dispositivo firma el challenge con la clave privada almacenada en el Secure Enclave.
  • Respuesta: La firma se envía de vuelta. Incluye no solo la firma criptográfica, sino también clientDataJSON (que confirma que estás en el dominio correcto, protegiendo al 100% contra phishing).

Ejemplo de código para desarrolladores frontend (registro de Passkey):


// JavaScript
// Generar opciones para crear la clave
const publicKeyCredentialCreationOptions = {
    challenge: Uint8Array.from(randomString, c => c.charCodeAt(0)),
    rp: { name: "MyCryptoWallet", id: "wallet.example.com" },
    user: {
        id: Uint8Array.from("user123", c => c.charCodeAt(0)),
        name: "[email protected]",
        displayName: "User One"
    },
    pubKeyCredParams: [{ alg: -7, type: "public-key" }], // -7 significa ES256 (P-256)
    authenticatorSelection: { authenticatorAttachment: "platform" },
    timeout: 60000
};
const credential = await navigator.credentials.create({
    publicKey: publicKeyCredentialCreationOptions
});

Detalle poco conocido: "Client Data JSON" y protección contra suplantación

A diferencia de las aplicaciones bancarias, donde una transacción podría ser interceptada por malware en el teléfono (keyloggers o alteración de campos), los Passkeys firman un hash que está estrictamente ligado al Origin (dominio).

  • Si visitas my-wallet-scam.com, tu teléfono simplemente no ofrecerá el Passkey creado para my-wallet.com.
  • En la blockchain, el contrato inteligente verifica el campo origin dentro de los datos firmados. Si un hacker intenta enviar la firma desde otro sitio, el contrato rechazará la transacción. Este es un nivel de protección que no tienen las tarjetas bancarias tradicionales.

Problema de fragmentación: Soluciones de infraestructura (Turnkey y Privy)

Los desarrolladores se enfrentaron al problema: ¿cómo dar al usuario acceso al mismo monedero en iPhone, Android y Windows si sus “nubes” (iCloud y Google Drive) no se intersectan?

Aquí es donde entran soluciones como Turnkey o Dynamic. Utilizan módulos de hardware altamente seguros (HSM) en la nube.

  • Tu Passkey desbloquea el acceso a la clave almacenada en un HSM distribuido.
  • Esto permite “un monedero — varios dispositivos” sin perder seguridad.
  • Incluso si el servidor Turnkey es hackeado, el atacante no tendrá acceso a los activos, porque la firma todavía requiere tu biometría local.

Claves de sesión: La magia del “monedero invisible”

Los Passkeys combinados con Account Abstraction permiten claves de sesión. Esto es lo que finalmente “mata” la experiencia bancaria tradicional — en el buen sentido.

  • Como en el banco: Para cada transferencia — SMS, push, código de la app. Molesto.
  • Como en cripto con Passkeys: Usas FaceID una vez para crear una “clave de sesión” temporal (por ejemplo, 1 hora o hasta $100). Esta clave se almacena en la memoria del navegador. Juegas o operas en un DEX, y las transacciones se realizan instantáneamente sin confirmaciones constantes. Cuando se alcanza el límite o se agota el tiempo, la clave se autodestruye.

Caso práctico: Recuperación sin seed phrase

El mayor miedo: “¿Qué pasa si pierdo mi teléfono y acceso a iCloud?”

La arquitectura de los monederos Passkey utiliza Social Recovery o Email Recovery via ZK-Proofs (pruebas de conocimiento cero).

Ejemplo: Indicas tu correo electrónico al registrarte. Si se pierde el acceso, inicias la recuperación. El contrato inteligente verifica la firma digital de tu servidor de correo (DKIM). Gracias a la tecnología ZK, la blockchain ve que el correo realmente te llegó, pero tu email no se publica en el ledger público. Vinculas un nuevo Passkey a la dirección antigua — y tus fondos regresan. No se necesita papel ni seed phrase.

Hemos llegado a la parte más interesante: la configuración práctica de la seguridad y cómo el concepto de Passkeys convierte tu cartera en una "caja fuerte digital" personal, con reglas que tú mismo defines.

Seguridad programable: Límites y roles

En una aplicación bancaria normal, los límites los establece el banco. En una cartera Passkey (ERC-4337), tú estableces los límites en el código del smart contract. Esto se llama Policy Management.

Cómo funciona en la práctica:

Puedes configurar la cartera para que requiera diferentes niveles de autorización según la cantidad:

  • Hasta $100: Firma con la clave de sesión (inmediato, sin biometría).
  • De $100 a $5,000: Se requiere un Passkey (FaceID en el teléfono).
  • Más de $5,000: Se requiere Multi-Passkey (confirmación desde el teléfono y tu MacBook).

Ejemplo de lógica (Pseudo-código del smart contract):


// Solidity
function executeTransaction(uint256 amount, bytes calldata signature) external {
    if (amount <= smallLimit) {
        require(verifySessionKey(signature), "Clave de sesión inválida");
    } else if (amount <= mediumLimit) {
        require(verifyPasskey(signature, deviceA), "Se requiere FaceID");
    } else {
        require(verifyDoublePasskey(signature, deviceA, deviceB), "Se requiere autenticación en dos dispositivos");
    }
    _transferFunds();
}

Tecnología poco conocida: Paymasters (Gas pagado por la app)

Uno de los principales problemas en cripto es tener que mantener tokens nativos (ETH, MATIC) para pagar el "gas" (comisiones). Las Passkeys combinadas con Account Abstraction resuelven esto mediante Paymasters.

Dado que tu cartera es un smart contract, puede interactuar con un intermediario que pagará el gas en ETH por ti y debitara el equivalente en USDC. O incluso hacer la transacción gratuita como parte de una promoción.

Resultado: La experiencia del usuario se vuelve idéntica a la de un banco: simplemente haces clic en "Enviar", colocas tu dedo y la magia sucede. No hay que pensar en el gas.

Comparación: Cartera Passkey vs Aplicación bancaria

FunciónAplicación bancariaCartera Passkey (WebAuthn)
PropiedadEl banco puede congelar la cuentaSólo tú (clave en Secure Enclave)
Inicio de sesiónPIN/Biometría + SMSBiometría (nivel de hardware)
Vulnerabilidad al phishingAlta (sitios falsos)Cero (vinculado al dominio)
RecuperaciónVía pasaporte/oficinaRecuperación social / ZK-Email
ComisionesOcultas / InterbancariasTransparentes (redes L2) / Paymasters

Futuro: Integración con IDs gubernamentales

En 2026, comenzamos a ver la integración de Passkeys con identificaciones digitales gubernamentales (eID). Esto permitirá crear carteras que confíen únicamente en firmas generadas por el chip gubernamental de tu tarjeta de identidad o pasaporte mediante NFC.

Esto crea un equilibrio ideal:

  • Privacidad: La blockchain no conoce tu nombre, solo ve la firma válida.
  • Confiabilidad: Nunca perderás acceso a tus activos mientras tengas un documento oficial.

Checklist práctico para migrar a Passkeys:

  • Crea una cartera de nueva generación: Prueba Clave, Braavos o Coinbase Wallet (versión Smart Wallet).
  • Configura copias de seguridad: Asegúrate de que tu iCloud o cuenta de Google esté protegido con 2FA (clave física como YubiKey es lo ideal).
  • Agrega un “Guardian”: Si la cartera soporta Social Recovery, agrega tu segunda dirección o la de una persona de confianza para recuperación.
  • Prueba los límites: Configura límites diarios automáticos de gasto — esto protegerá tus fondos incluso si alguien te obliga a desbloquear tu teléfono.

Conclusión

Las Passkeys no son solo un reemplazo práctico de las seed phrases. Representan un cambio fundamental en seguridad. Hemos pasado de "seguridad mediante memorización" a "seguridad mediante matemáticas y chips físicos". Hoy en día, tener millones en cripto usando un smartphone común es más seguro que guardarlos en un banco que depende de protocolos obsoletos y del factor humano.

FAQ

WebAuthn ERC 4337 asegura las wallets reemplazando las llaves privadas tradicionales por passkeys biométricas. Estas se generan directamente dentro del hardware del dispositivo —ya sea en el Security Enclave o en el chip TPM— utilizando la curva elíptica secp256r1. En lugar de depender de una cuenta externa común (EOA), la wallet se estructura como un smart contract (Account Abstraction). Gracias al estándar de precompilación RIP-7212, el contrato puede verificar de forma nativa en la blockchain las firmas criptográficas generadas por FaceID или TouchID.

Sí, totalmente. Las wallets de smart contract permiten una recuperación completa sin necesidad de ninguna seed phrase. Esto se logra mediante la sincronización en la nube multi-sig dentro de ecosistemas de confianza o a través de mecanismos programables de social recovery. Al aprovechar Relayers descentralizados, verificación de email basada en ZK-proofs (validación DKIM) o Guardians (Guardianes) definidos on-chain, el usuario puede rotar sus llaves públicas de autenticación y recuperar el control total de sus activos sin dramas.

No, estas wallets son completamente inmunes al phishing tradicional y al SIM-swapping. El estándar WebAuthn vincula criptográficamente cada firma a un dominio único y específico (clientDataJSON). Incluso si un atacante intercepta datos o duplica tu número de teléfono, el smart contract rechazará automáticamente cualquier transacción maliciosa que no provenga de la URL verificada. Es un nivel de seguridad por hardware que las aplicaciones de banca móvil tradicionales ni siquiera tienen.
Oleg Filatov
Oleg Filatov

As the Chief Technology Officer at EXMON Exchange, I focus on building secure, scalable crypto infrastructure and developing systems that protect user assets and privacy.

With over 15 years in cybersecurity, blockchain, and DevOps, I specialize in smart contract analysis, threat modeling, and secure system architecture.

At EXMON Academy, I share practical insights from real-world...

...

Escribe una opinión

Tu correo electrónico no será publicado. Los campos obligatorios están marcados *

Te puede interesar

Backdoors en Smart Contracts: Riesgos de Upgradeability

Backdoors en Smart Contracts: Riesgos de Upgradeability
Ataques de Supply Chain: ¿Está segura tu crypto?

Ataques de Supply Chain: ¿Está segura tu crypto?
Las 5 mejores formas de proteger tus frases de recuperación (Seed)

Las 5 mejores formas de proteger tus frases de recuperación (Seed)
EXMON Academy | Blockchain, trading y seguridad EXMON Academy | Blockchain, trading y seguridad

La verdadera libertad comienza con la seguridad personal y el anonimato. Criptomoneda: tu arma contra el control financiero.

Tag Clouds

#trading #security #anonimato #bitcoin #privacy
Your experience on this site will be improved by allowing cookies.