Compartición Secreta de Shamir para Frases Semilla: Divide Tu Respaldo en Partes (SLIP-39)
— By Tony Rabbit in Tutorials

Aprende cómo un respaldo de frase semilla con compartición secreta de Shamir divide la recuperación de tu billetera en N partes donde cualquier M la reconstruye, eliminando puntos únicos de falla con SLIP-39.
Un respaldo de frase semilla con compartición secreta de Shamir divide el secreto de recuperación de tu billetera en varias partes separadas, donde cualquier subconjunto elegido (por ejemplo, 3 de 5) reconstruye el original, pero menos que eso no revela absolutamente nada. La Compartición Secreta de Shamir (SSS) es un esquema de umbral respaldado por matemáticas publicado por el criptógrafo Adi Shamir en 1979, y SLIP-39 es el estándar que lo aplica a las billeteras de criptomonedas. En lugar de un respaldo frágil que puede perderse, ser robado o destruido, obtienes redundancia y resistencia al robo al mismo tiempo. Esta guía explica por qué el corte ingenuo es peligroso, cómo funciona la matemática del umbral, cómo elegir un diseño y cómo hacerlo en un Trezor.
Puntos Clave
- SSS es un esquema de umbral: cualquier M de N partes recupera la billetera, menos de M no revelan nada.
- Dividir manualmente una frase de 24 palabras en tercios es inseguro porque cada fragmento filtra entropía real.
- SLIP-39 es el estándar abierto que implementa SSS para billeteras de hardware como Trezor.
- La elección del umbral (2 de 3 vs 3 de 5) equilibra la conveniencia con la resistencia al robo.
- SSS es independiente de tu medio de almacenamiento, aún eliges papel o metal para cada parte.
Por qué dividir ingenuamente una frase de 24 palabras en tercios es inseguro
La idea intuitiva es escribir tu frase semilla de 24 palabras en tres tarjetas, ocho palabras cada una, y esconderlas por separado. Este es uno de los errores más peligrosos en la autocustodia, y falla en ambos extremos de la compensación de seguridad.
Primero, filtra entropía. Una semilla BIP-39 de 24 palabras codifica 256 bits de aleatoriedad. Si un atacante encuentra solo una de tus tres tarjetas, no ha aprendido un tercio de nada, ha aprendido ocho palabras concretas en posiciones conocidas. Eso reduce drásticamente el espacio de búsqueda restante. Con dos tarjetas de tres, forzar la tercera parte faltante está al alcance de atacantes motivados. Los fragmentos no son piezas opacas; son fragmentos de texto plano de tu clave.
Segundo, no tiene redundancia real. Pierde cualquier tarjeta y la semilla se habrá ido para siempre, porque necesitas los tres fragmentos para reconstruir la frase. Así que has aumentado simultáneamente el riesgo de robo y mantenido la misma fragilidad de punto único de falla de la que intentabas escapar. Si quieres un recordatorio de por qué la frase de recuperación es tan importante, consulta nuestra guía sobre cómo recuperar una billetera de criptomonedas de una frase semilla.
Cómo SLIP-39 y la compartición secreta de Shamir dividen una semilla en M de N partes
La Compartición Secreta de Shamir resuelve ambos problemas con matemáticas en lugar de tijeras. El secreto se codifica como un punto en una curva polinómica sobre un campo finito. Para definir una curva que requiere M puntos para resolver, el esquema extrae N puntos de ella y entrega uno a cada accionista. Cualquier M puntos determinan de forma única la curva y, por lo tanto, el secreto. Con M-1 puntos, la curva está completamente indeterminada, por lo que cada posible secreto sigue siendo igualmente probable. Las partes restantes revelan exactamente cero información.
Esta es la diferencia crucial con el corte. Una parte de SLIP-39 no es una porción de tus palabras. Cada parte es su propio mnemónico de 20 o 33 palabras que, por sí solo, es ruido criptográfico. Tener dos partes de una configuración de 3 de 5 no le dice a un atacante nada útil sobre la billetera. Eso es lo que hace que el esquema sea un verdadero eliminador de puntos únicos de falla en lugar de un multiplicador de responsabilidades. SLIP-39 (SatoshiLabs Improvement Proposal 39) es el estándar abierto que empaqueta esto para billeteras, completo con sumas de verificación, soporte de frase de contraseña y una lista de palabras dedicada.
Eligiendo un umbral: 2 de 3 vs 3 de 5 y geografía de almacenamiento
Elegir M y N es una decisión de gestión de riesgos, no técnica. Dos números lo definen todo: M es cuántas partes necesitas para recuperar, y N menos M es cuántas partes puedes permitirte perder. La brecha entre M y N es tu presupuesto de redundancia.
Una configuración de 2 de 3 es el punto de partida popular. Puedes perder una parte y aún así recuperar, y un atacante necesita dos de tus tres ubicaciones para robar fondos. Una configuración de 3 de 5 es más robusta: toleras dos partes perdidas y un atacante debe comprometer tres de cinco sitios. Umbrales más altos aumentan la resistencia al robo, pero también aumentan la posibilidad de que no puedas reunir suficientes partes cuando realmente las necesites.
La geografía de almacenamiento importa tanto como los números. Las partes almacenadas en el mismo cajón ofrecen redundancia contra una sola copia dañada, pero ninguna contra un incendio en casa o un robo. Distribuye las partes en distintos dominios de confianza: una caja fuerte en casa, una caja de seguridad bancaria, un familiar de confianza, una segunda propiedad. Combina esto con nuestro consejo sobre cómo almacenar una frase semilla de forma segura en papel versus metal, porque SSS decide cómo se divide el secreto, no en qué material se graba cada parte. Para la planificación patrimonial, la distribución de partes a los herederos también se cubre en nuestra guía sobre qué sucede con tus criptomonedas cuando mueres.
Guía de Trezor SLIP-39
Las billeteras de hardware Trezor implementan SLIP-39 de forma nativa bajo el nombre Shamir Backup, disponible en los dispositivos Trezor Model T y Safe series. SatoshiLabs fue el autor del estándar, por lo que el flujo en el dispositivo es de primera clase. Aquí está el camino típico usando la aplicación Trezor Suite:
- Inicia una nueva configuración de billetera en el dispositivo y elige Shamir Backup en lugar de una única frase de recuperación. Las billeteras existentes de una sola semilla no se pueden convertir en el mismo lugar; debes crear una nueva billetera y transferir los fondos.
- Establece el número total de partes (N) y el umbral (M) en la pantalla del dispositivo. El hardware aplica las reglas para que no puedas elegir una combinación imposible.
- El dispositivo muestra cada parte de 20 palabras una a la vez. Escribe cada parte en su propia tarjeta de respaldo o placa de metal y etiquétala claramente, por ejemplo, "Parte 1 de 5".
- El dispositivo te pedirá que confirmes algunas palabras de cada parte para asegurarse de que la transcripción sea correcta antes de finalizar.
- Distribuye las partes en las ubicaciones elegidas. Para recuperar más tarde, vuelves a introducir cualquier M partes en un dispositivo Trezor, que reconstruye el secreto maestro solo en el dispositivo.
Debido a que la reconstrucción ocurre dentro del elemento seguro, el secreto completo nunca existe en una computadora conectada a internet. Si aún estás eligiendo hardware, compara opciones en nuestra comparación de las mejores billeteras frías.
Modos de falla: partes perdidas, umbrales demasiado altos y error humano
SSS elimina los puntos únicos de falla, pero introduce nuevas formas de bloquearte si eres descuidado. La falla más común es establecer el umbral demasiado alto en relación con la fiabilidad con la que puedes almacenar las partes. Un esquema de 4 de 4 no tiene redundancia en absoluto; es estrictamente peor que un solo respaldo porque ahora cualquiera de las cuatro pérdidas es fatal. Siempre mantén N mayor que M.
La falla de imagen especular es perder más de N menos M partes. En una configuración de 3 de 5, perder tres partes es irrecuperable. Audita tus partes periódicamente y reemplaza cualquiera que esté dañada, ilegible o cuyo titular ya no confíes. Mezclar partes de dos billeteras diferentes, o de dos sesiones SSS diferentes de la misma billetera, también fallará, porque las partes solo se combinan dentro del conjunto en el que fueron generadas juntas.
Finalmente, trata cada parte individual con el mismo cuidado que una semilla completa en tránsito. Si bien un número de partes por debajo del umbral no revela nada, una frase de contraseña SLIP-39 (si configuras una) es la única pieza que debe recordarse o almacenarse completamente por separado, nunca con las partes. Para hábitos de seguridad operativa más amplios, consulta nuestra guía sobre cómo proteger las criptomonedas de los hackers.
Este artículo es solo para fines educativos y no constituye asesoramiento financiero.