BIP39: Palabras semilla mnemotécnicas para la copia de seguridad de la billetera Bitcoin
Aproximadamente 3,7 millones de bitcoins se encuentran en monederos que nadie puede abrir. Esto representa alrededor de una quinta parte de todas las monedas jamás acuñadas. Un estudio de Chainalysis de 2020 estimó esta cifra, y los analistas la siguen citando en 2026 porque apenas varía. La mayoría de estas monedas pertenecen a personas comunes que simplemente perdieron la frase semilla. Por otro lado, Chainalysis contabilizó 158.000 casos de monederos personales comprometidos en 2025, lo que supuso una pérdida de unos 713 millones de dólares para aproximadamente 80.000 víctimas. Dos modos de fallo. Un documento en el centro de ambos. BIP39, la especificación que determina el verdadero significado de tus doce o veinticuatro palabras, es la base de todo.
Por qué la copia de seguridad BIP39 es importante en 2026
Una nueva billetera te entrega una hoja de papel con doce palabras y te dice: «Anótalas en un lugar seguro». Lo que ves es una frase semilla mnemotécnica BIP39. Si la cuidas bien, será la copia de seguridad más segura que puedas tener. Si la descuidas, será muy fácil perderla. Si guardas las palabras en cualquier billetera compatible en cualquier dispositivo, recuperarás tus fondos. Si las pierdes, no habrá soporte técnico.
La magnitud de ambos resultados ahora es cuantificable. La cifra de 3,7 millones de BTC se construyó a partir de monedas que permanecieron intactas durante al menos cinco años en monederos de la primera época, y apenas ha variado. En cuanto a los robos, el informe de hacking de Chainalysis de diciembre de 2025 contabiliza 3400 millones de dólares robados durante el año, de los cuales 713 millones correspondieron a 158 000 incidentes en monederos personales. El mismo informe atribuye el 43,8 % de esas pérdidas a claves privadas comprometidas, lo que en términos sencillos significa principalmente el robo de una frase semilla.
Todas las carteras modernas implementan BIP39. Ledger, Trezor, MetaMask, Phantom, Trust Wallet, Coinbase Wallet, Exodus, Electrum, Atomic: todas ellas. La interoperabilidad es la clave de este estándar, ya que una frase semilla generada en una cartera debe poder recuperarse en otra. Comprender qué es BIP39, tanto matemática como operativamente, es más importante que memorizar el flujo de recuperación de una marca en particular.
Qué son realmente una frase semilla mnemotécnica y una lista de palabras de BIP39.
Un mnemónico BIP39 recibe muchos nombres: frase de recuperación, frase mnemotécnica, código mnemotécnico, frase mnemotécnica, semilla de billetera. Todos describen lo mismo: una cadena de palabras que codifica la misma información que una clave criptográfica básica, solo que mucho más difícil de escribir incorrectamente. Doce o veinticuatro palabras de una lista fija de 2048 palabras en inglés cuidadosamente seleccionadas. "Abandon" se encuentra en la posición 1. "Zoo" cierra la lista en la posición 2048. "Satoshi" se esconde en la posición 1532 en el medio, un pequeño guiño al creador seudónimo de Bitcoin.
Marek Palatinus y Pavol Rusnak (Slush Pool, posteriormente SatoshiLabs y Trezor) redactaron la especificación el 10 de septiembre de 2013, junto con Aaron Voisine y Sean Bowe. La Propuesta de Mejora de Bitcoin 39 nunca fue oficialmente declarada "Final" en el repositorio BIP. Sin embargo, se convirtió en el estándar de facto de la industria en aproximadamente dos años. Actualmente existen diez listas de palabras oficiales, todas con exactamente 2048 palabras: inglés, japonés, coreano, chino simplificado, chino tradicional, español, francés, italiano, checo y portugués.
La lista de palabras es intencionadamente permisiva. Cada entrada se identifica de forma única por sus cuatro primeras letras, por lo que «abandonar» y «habilidad» nunca chocan, ni siquiera a simple vista, y las erratas al final no rompen la frase. Los autores descartaron pares que compartían un prefijo de cuatro letras, palabras demasiado raras o arcaicas y homófonos obvios.
| Posición en la lista de palabras | Palabra | Notas |
|---|---|---|
| #1 | abandonar | Primera palabra de la lista en inglés |
| #1.532 | Satoshi | Un guiño al creador seudónimo de Bitcoin. |
| #2.048 | zoo | Última palabra en la lista de inglés |
Comparado con la clave hexadecimal que representa, el mnemónico es corto, fácil de leer y se puede escribir en una sola hoja de papel. Una clave privada de 256 bits se ve así: `4a533d1654b17deecf2a6...`, mientras que la misma clave, codificada como una semilla BIP39 de 24 palabras, se lee como veinticuatro palabras comunes en inglés. Ambas contienen la misma entropía. Solo una de ellas se puede leer en voz alta a un compañero por teléfono sin parecer un demente.
Generación del mnemotécnico: cómo BIP39 construye el código.
La generación es breve y vale la pena explicarla paso a paso. Primer paso: Extraiga 128 bits de entropía de un generador de números aleatorios criptográficamente seguro (256 bits si desea la versión de 24 palabras). Segundo paso: Aplique SHA-256 a esos bits de entropía. Tome los primeros 4 bits del hash (o 8 bits, en el caso de 256 bits) y agréguelos a su entropía. Esa es su suma de verificación. Ahora tiene 132 bits, o 264 bits.
El tercer paso es mecánico. Divide los bits en bloques de 11 bits. Cada bloque es un número del 0 al 2047, que se corresponde directamente con la lista de palabras. 132 dividido entre 11 da 12 palabras. 264 dividido entre 11 da 24. La suma de verificación se encarga del trabajo pesado más adelante: al restaurar, la cartera recalcula el SHA-256 y rechaza cualquier elemento que no supere la verificación, por lo que un error tipográfico en la última palabra suele detectarse inmediatamente en lugar de restaurar silenciosamente una cartera vacía.
El espacio de búsqueda por fuerza bruta es la parte que nadie comunica del todo. Una frase de 12 palabras tiene 2048¹² ≈ 5,4 × 10³⁹ combinaciones válidas después de la restricción de suma de verificación. Una frase de 24 palabras tiene 2048²⁴ ≈ 3 × 10⁷⁹. Imagínese un atacante hipotético adivinando 10¹⁸ claves por segundo. El caso de 128 bits aún tardaría alrededor de 10 cuatrillones de años. Para ponerlo en perspectiva: existen aproximadamente 10⁸⁰ átomos en el universo observable. Ningún ataque público en 2025 ha logrado descifrar por fuerza bruta un mnemónico BIP39. Cada pérdida documentada provino de una frase robada, nunca de una adivinada.
Un paso más antes de que las palabras desbloqueen algo. El código mnemotécnico se introduce en PBKDF2-HMAC-SHA512, con 2048 iteraciones, y se le añade la cadena literal "mnemónico" concatenada con una frase de contraseña opcional. El resultado de 512 bits es la semilla propiamente dicha. Esta semilla es la que BIP32 (la siguiente capa) utiliza para derivar cada clave privada de la cartera.
Mnemotecnia, semilla, claves: tres elementos distintos, tres niveles. Esta división explica por qué una misma frase de contraseña puede generar una billetera completamente diferente a partir de las mismas doce palabras. Si se cambia la frase de contraseña, cambia la clave, cambia la semilla, cambia cada clave.
BIP39 vs BIP32 vs BIP44: Cómo se apilan las capas
Aquí llega el momento de terror para principiantes. Restauras tus doce palabras correctas en una billetera diferente. La nueva billetera muestra saldo cero. Las palabras estaban bien. La ruta de derivación no. BIP39, BIP32 y BIP44 son tres Propuestas de Mejora de Bitcoin diferentes que, en conjunto, convierten tu frase semilla en direcciones reales, y cualquier dos programas que no coincidan en la ruta buscarán discretamente en la rama equivocada del árbol.
| Estándar | Año | Trabajo |
|---|---|---|
| BIP32 | 2012 | Carteras deterministas jerárquicas: convierte una semilla en un árbol de claves. |
| BIP39 | 2013 | Codificación mnemotécnica de la semilla |
| BIP44 | 2014 | Ruta de derivación estándar: m/44'/moneda'/cuenta'/cambio/índice |
Si tu monedero utiliza una ruta no estándar (algunas herramientas antiguas o específicas de hardware lo hacen), al restaurarlo en otro monedero no se mostrará nada hasta que configures manualmente la ruta. Las palabras no se pierden. La lista de direcciones simplemente se lee desde una rama diferente del mismo árbol. Es importante saberlo antes de alarmarse.
12 vs 24 palabras y la contraseña
El debate entre 12 y 24 palabras es, en gran medida, teórico. Doce palabras proporcionan 128 bits de entropía, veinticuatro, 256. Ambas cifras están completamente fuera del alcance de cualquier ataque de fuerza bruta factible, y la versión de 128 bits es el estándar AES para datos ultrasecretos del gobierno estadounidense. Veinticuatro palabras protegen contra futuros ataques cuánticos al espacio de búsqueda; doce aún no se pueden descifrar con los modelos actuales.
El control realmente interesante es la frase de contraseña, a veces llamada "la palabra número 25". Cualquier cadena que elijas, de cualquier longitud, se mezcla con el salt PBKDF2 antes de derivar la semilla. Frase de contraseña diferente, billetera diferente, mismas palabras. Esto habilita una característica única de BIP39: la negación plausible. No hay forma de probar que existe una frase de contraseña, porque cada frase de contraseña posible produce una billetera válida (aunque vacía). Un usuario bajo coacción puede entregar las doce palabras a una billetera "señuelo" que contiene pequeños fondos, mientras que los fondos reales están protegidos por una frase de contraseña que solo él recuerda. La trampa es simétrica. Si pierdes la frase de contraseña, la billetera asociada desaparece para siempre: sin recuperación, sin servicio de asistencia.
Robo real de la frase semilla BIP39: Lo que aprendimos entre 2023 y 2025
Si bien las matemáticas son inquebrantables, los humanos que las rodean no lo son. Los últimos tres años han ofrecido un manual de casos de fallos.
En junio de 2023, Atomic Wallet sufrió un robo de más de 100 millones de dólares en al menos 5500 cuentas de usuario. Elliptic atribuyó la operación al Grupo Lazarus de Corea del Norte. Atomic afirmó que menos del 0,1 % de sus 5 millones de usuarios se vieron afectados. La causa principal aún no se ha confirmado formalmente, pero es evidente que el material de recuperación de datos en los dispositivos se vio comprometido.
El 14 de diciembre de 2023, el paquete npm "Connect Kit" de Ledger fue pirateado durante aproximadamente cinco horas mediante el token npm de un exempleado, obtenido mediante phishing. El grupo Angel Drainer distribuyó código malicioso en las versiones 1.1.5 a 1.1.7, inyectándolo silenciosamente en numerosas dApps de EVM. Se robaron alrededor de 600 000 dólares antes de que Ledger retirara el paquete. Esto no se debió a un fallo en el hardware de Ledger, sino a una vulnerabilidad en la cadena de suministro que afectaba a una dependencia de JavaScript y a las carteras de los usuarios en un nivel diferente.
Los ataques de vaciado de monederos a escala industrial continuaron hasta 2024. El informe de enero de 2025 de Scam Sniffer contabilizó 494 millones de dólares robados mediante scripts de vaciado, afectando a 332 000 direcciones de víctimas. Inferno Drainer alcanzó una cuota de mercado del 40-45 % y Pink Drainer del 28 % antes de su desaparición. Muchas de estas víctimas proporcionaron voluntariamente sus frases semilla en ventanas emergentes falsas de "validación de monedero" que parecían propias de MetaMask o Phantom.
La amenaza más personal es el malware que afecta al portapapeles. Kaspersky reveló la campaña "GitVenom" en febrero de 2025: aproximadamente 5 BTC (unos 485 000 dólares) fueron robados mediante código que reemplazaba el portapapeles, distribuido a través de repositorios falsos de GitHub, con víctimas concentradas en Brasil, Turquía y Rusia. Otro troyano, ClipBanker, distribuido dentro de un instalador falso de Proxifier en 2025, afectó a más de 2000 usuarios de Kaspersky en BTC, ETH, XMR, DOGE, SOL, TRX, XRP y XTZ, intercambiando silenciosamente las direcciones copiadas por direcciones controladas por el atacante durante el proceso de pegado.
Chainalysis cifró las pérdidas de monederos personales a finales de año en 713 millones de dólares, repartidas en 158 000 incidentes, de los cuales el 43,8 % se debieron a claves privadas comprometidas. El robo se produjo mayoritariamente mediante el robo de frases semilla.
Copia de seguridad segura de la cartera Bitcoin BIP39: Papel, metal, Shamir
La defensa práctica es principalmente física. El papel resiste la tinta y un archivador bien guardado durante años, pero se incendia a unos 233 °C y un incendio doméstico típico alcanza entre 600 y 1100 °C. La cápsula Cryptosteel, fabricada en acero inoxidable de grado 303/304, ha sido sometida a pruebas térmicas independientes, con datos legibles a 1350 °C. Billfodl utiliza acero inoxidable de grado marino con una resistencia al calor de aproximadamente 1400 °C, según la información del proveedor.
| Método | Calor | Agua | Notas |
|---|---|---|---|
| Papel | Arde a unos 233 °C. | Corre la tinta | Más barato, reemplazable |
| Cápsula de Cryptosteel | Resiste hasta 1350 °C. | Sí | Prueba de calor independiente |
| Billfodl | Clasificado para 1400 °C. | Sí | Calificación del proveedor |
| SLIP-39 (Shamir) | Depende del sustrato | Depende | Divide la semilla en acciones M de N |
Más allá del soporte físico, dos decisiones estructurales son importantes. Mantener dos copias geográficamente separadas, en caso de que un incendio o una inundación destruyan por completo una ubicación. Y considerar el Secret Sharing de Shamir mediante SLIP-39, que Trezor implementó en el Model T en agosto de 2019. SLIP-39 divide una semilla en múltiples fragmentos de veinte palabras, de los cuales cualquier M de N es suficiente para la recuperación. El equipo de Casa, por el contrario, rechazó explícitamente a Shamir en favor de la multifirma geográfica como su modelo de recuperación. Ambos esquemas están diseñados para eliminar el problema del punto único de fallo que, por definición, presenta el protocolo BIP39.
Carteras de criptomonedas compatibles con BIP39 en 2026
Casi todos los sistemas son compatibles con BIP39, pero la interoperabilidad tiene sus limitaciones. Es importante saber qué carteras utilizan qué rutas de derivación antes de dar por sentado que la restauración será limpia.
| Billetera | Cadenas | Ruta predeterminada |
|---|---|---|
| Ledger Nano | BTC, ETH, más de 5500 activos | BIP44 m/44'/moneda'/0' |
| Modelo Trezor T | BTC, ETH, muchos | Opción BIP44 / SLIP-39 |
| MetaMask | EVM | m/44'/60'/0'/0/índice |
| Fantasma | Solana, EVM | m/44'/501'/n'/0' para SOL |
| Cartera Coinbase | BTC, EVM, SOL | BIP44 estándar |
Más allá de BIP39: Claves de acceso, MPC y ERC-4337
2025 fue el primer año en que se lanzó una alternativa creíble y popular a BIP39. Coinbase Smart Wallet, basada en claves de acceso ERC-4337 y WebAuthn, superó el millón de cuentas en agosto. Añadió 270 000 de ellas en un solo día, el 16 de agosto, durante el lanzamiento de la aplicación Base. Los usuarios inician sesión con Face ID o huella dactilar, las mismas que usan para todo lo demás, y ni siquiera ven una frase semilla.
Las cuentas inteligentes ERC-4337 ahora cuentan con más de 40 millones de implementaciones en Ethereum y redes de capa 2. Las operaciones de usuario acumuladas superaron los 100 millones, lo que representa un crecimiento de aproximadamente 10 veces con respecto al año anterior desde 2023. EIP-7702, activado con la actualización de Pectra en mayo de 2025, registró 11 000 autorizaciones de EOA a cuentas inteligentes durante su primera semana. El diseño de EIP-7702 permite que las carteras comunes se comporten como cuentas inteligentes bajo demanda sin desechar sus claves existentes. En cuanto a la infraestructura, los proveedores de carteras integradas Privy (75 millones de carteras), Dynamic (más de 50 millones) y Web3Auth —ahora MetaMask Embedded— (20 millones de usuarios activos mensuales) se basan en la computación multipartita o firmas de umbral. El usuario final nunca posee una sola semilla BIP39.
Nada de esto significa que BIP39 esté desapareciendo; el estándar está demasiado arraigado. Ledger vendió su dispositivo número ocho millones durante 2025 y aumentó sus ventas un 31 %. Lo que realmente está sucediendo es una clara bifurcación. El segmento de usuarios avanzados —BIP39, una billetera de hardware y una frase de contraseña— sigue siendo el estándar de oro. Mientras tanto, el segmento generalista se ve absorbido discretamente por las claves de acceso y la abstracción de cuentas, diseñadas para personas que nunca quisieron pensar en palabras.
Reglas rápidas para cualquier persona que posea una semilla de BIP39
Cinco reglas cubren la mayor parte del riesgo. Nunca escribas las palabras en ningún campo de texto conectado a internet, ya que las ventanas emergentes de phishing se especializan en capturar el texto copiado. Tampoco fotografíes la frase, puesto que las fotos se sincronizan con la nube, la cual no controlas por completo. El metal es mejor que el papel para cualquier cosa que quieras guardar a largo plazo. Prueba la restauración en una segunda billetera antes de confiar en ella. Y si usas una contraseña, guárdala físicamente por separado: mismo modelo de amenaza, diferente ubicación, nunca en el mismo cajón.
