En esta guía
- Qué es realmente el multisig
- Por qué el multisig importa
- Configuraciones comunes
- La complejidad oculta
- Cómo configurar multisig correctamente
- Respaldo y recuperación
- Gastar desde multisig
- Custodia colaborativa
- Cuándo el multisig es incorrecto
- Mantener el multisig en el tiempo
Qué es realmente el multisig
La multifirma es una función de bitcoin que requiere varias claves privadas para autorizar una transacción. En lugar de que una sola clave controle los fondos, una billetera multisig se rige por un conjunto de claves con un umbral definido.
La notación
Las configuraciones multisig son “m-de-n”: n es el número total de claves, m es el mínimo requerido para firmar.
Un multisig 2 de 3 tiene tres claves en total; cualquiera de dos puede autorizar un gasto. Un 3 de 5 tiene cinco claves y requiere tres firmas.
Cómo funciona
Cuando creás una billetera multisig, generás una dirección de bitcoin que codifica las reglas: qué claves públicas participan y cuántas firmas se requieren. La red de bitcoin hace cumplir esas reglas. Una transacción solo es válida si incluye el número necesario de firmas.
Este cumplimiento es a nivel de protocolo. Nadie puede saltearse el umbral: ni el software de la billetera, ni un solo titular de clave, ni ninguna institución. Las reglas están incorporadas en la propia dirección.
Lo que el multisig no es
- No es autenticación de dos factores. La 2FA protege el acceso a cuentas. El multisig protege el propio bitcoin.
- No es un esquema de respaldo. El multisig trata sobre autorización, no sobre redundancia (aunque aporta ambas).
- No es seguridad mágica. El multisig desplaza la superficie de ataque, pero no la elimina. Una mala configuración puede empeorar las cosas.
→ Leer: Guía de custodia de Bitcoin
Por qué el multisig importa
El almacenamiento con una sola clave tiene un problema fundamental: quien controla esa clave lo controla todo.
Eliminar puntos únicos de falla
Un punto único de falla es cualquier componente cuya falla por sí sola provoca pérdida. Con una sola clave:
- Si la clave se roba, todos los bitcoin se pierden.
- Si la clave se pierde, todos los bitcoin quedan inaccesibles.
- Si una persona es coaccionada, puede ser obligada a entregar todo.
Con multisig 2 de 3:
- Una clave robada no alcanza para robar los fondos.
- Una clave perdida no te deja afuera.
- Coaccionar a una persona no otorga acceso.
La matemática cambia de “una falla = pérdida total” a “se requieren múltiples fallas independientes”.
Requerir coordinación
El multisig puede imponer que nadie actúe en soledad:
- Tesorería empresarial. Varios ejecutivos deben aprobar grandes transacciones.
- Patrimonio familiar. Evita que un miembro de la familia mueva fondos de forma unilateral.
- Disciplina personal. Hace más difícil tomar decisiones impulsivas al requerir coordinación.
Distribución geográfica
Las claves pueden guardarse en distintas ubicaciones, incluso en diferentes países. Esto protege contra:
- Desastres regionales (incendio, inundación, terremoto)
- Riesgo jurisdiccional (incautación, acciones legales en un país)
- Robo físico (un ladrón solo puede acceder a una ubicación)
Un 2 de 3 con claves en tres países significa que ningún gobierno, desastre o ladrón puede comprometer los fondos por sí solo.
Configuraciones comunes
| Configuración | Claves requeridas | Ideal para | Redundancia | Complejidad |
|---|---|---|---|---|
| 2 de 3 | 2 de 3 | Estándar para la mayoría | Se puede perder 1 clave | Media |
| 3 de 5 | 3 de 5 | Montos muy grandes, organizaciones | Se pueden perder 2 claves | Alta |
| 2 de 2 | Ambas | Cuentas conjuntas, coordinación obligatoria | Ninguna | Media |
| Colaborativa | 2 de 3 con proveedor | Soporte de recuperación, herencia | El proveedor asiste | Media |
2 de 3: el estándar
Se requieren dos de tres claves. Es la configuración más común por buenas razones:
- Redundancia. Si perdés una clave, seguís con acceso.
- Seguridad. Una clave comprometida no basta para robar fondos.
- Practicidad. Solo se necesitan dos firmas para transacciones rutinarias.
Distribución típica:
- Clave 1: Dispositivo principal de firma (hardware wallet)
- Clave 2: Dispositivo de firma de respaldo (otro hardware wallet, otra ubicación)
- Clave 3: Clave de recuperación de emergencia (almacenamiento seguro fuera de sitio o en manos de una parte de confianza)
3 de 5: máxima redundancia
Se requieren tres de cinco claves. Más complejo, pero más resiliente:
- Se pueden perder dos claves y aun recuperar
- Se pueden comprometer dos claves sin pérdida
- Permite una distribución más amplia entre ubicaciones y personas
Esto tiene sentido para montos muy grandes u organizaciones con varios interesados.
2 de 2: coordinación obligatoria
Se requieren ambas claves para cada transacción. Sin redundancia.
- Ninguna parte puede actuar sola.
- Perder cualquiera de las claves implica pérdida de fondos.
- Cada transacción requiere coordinación entre ambas partes.
Casos de uso:
- Cuentas conjuntas donde ambas partes deben estar de acuerdo
- Situaciones donde evitar acciones unilaterales importa más que la redundancia
Custodia colaborativa
La custodia colaborativa implica que un tercero conserve una o más claves:
- Vos conservás dos claves y un proveedor conserva una. Siempre podés actuar sin el proveedor, pero el proveedor puede ayudar en la recuperación.
La complejidad oculta
El multisig es conceptualmente simple, pero operacionalmente complejo. La mayoría de los fallos son de mantenimiento: documentación faltante, datos de configuración perdidos y rutas de recuperación que nadie practicó.
Más claves, más problemas
Cada clave necesita:
- Generación segura
- Almacenamiento seguro
- Procedimientos de respaldo
- Verificación regular
- Planificación de sucesión
Con 2 de 3, tenés tres veces la gestión de claves de un esquema de una sola clave. Con 3 de 5, cinco veces. No es solo trabajo de configuración. Es una carga operativa continua.
El problema de la configuración de la billetera
A diferencia de las billeteras de una sola clave, las billeteras multisig necesitan información adicional para reconstruirse: qué claves públicas participan, el umbral (m-de-n), las rutas de derivación y el tipo de script.
Estos datos de configuración están separados de las claves. Si perdés la configuración, es posible que no puedas gastar incluso si tenés todas las claves.
Este es el modo de falla más común en multisig. La gente respalda las frases semilla con cuidado pero se olvida del archivo de configuración de la billetera. Años después, no pueden reconstruir la billetera.
Sobrecarga de coordinación
Cada transacción requiere coordinar múltiples firmas:
- Mover un dispositivo de firma a otra ubicación, o
- Transferir transacciones parcialmente firmadas entre dispositivos, o
- Usar software que coordine la firma entre partes
Para almacenamiento en frío de largo plazo con retiros poco frecuentes, esto es manejable. Para transacciones frecuentes, la sobrecarga es significativa.
Dependencia del software
El multisig requiere software de billetera que lo soporte. No todas las billeteras lo hacen.
Si tu software de billetera desaparece o se vuelve incompatible, necesitás software alternativo que funcione con tu configuración. Elegí software que:
- Sea de código abierto (auditable)
- Se haya usado de forma fiable durante años
- Soporte tus hardware wallets
- Permita exportar la configuración de la billetera en formatos estándar
Cómo configurar multisig correctamente
Una configuración multisig es tan segura como su punto más débil.
Generación de claves
Cada clave debe generarse de forma independiente en un dispositivo dedicado:
- Usá hardware wallets. Diferentes fabricantes para distintas claves agregan defensa en profundidad.
- Generá offline. Sin conexión a internet.
- Verificá la aleatoriedad. Usá dispositivos con generación de números aleatorios verificada.
- Generación independiente. No derives varias claves de una sola semilla.
Selección de dispositivos
Para un 2 de 3, considerá usar distintas marcas de hardware wallets. Esto:
- Reduce el riesgo de vulnerabilidades de firmware en un solo fabricante
- Asegura que no dependés de la continuidad de una sola empresa
- Proporciona defensa en profundidad
Guía práctica:
- Preferí proveedores independientes (evitá tres dispositivos del mismo fabricante).
- Preferí dispositivos con buen historial y un flujo de verificación que realmente vayas a usar.
- Preferí software y hardware que faciliten exportar un descriptor de billetera estándar y reimportarlo en otro lugar.
Creación de la billetera
- Exportá las claves públicas extendidas (xpubs) de cada dispositivo
- Usá software con capacidad multisig para crear la billetera
- Verificá la dirección resultante en cada dispositivo de hardware
- Enviá una pequeña cantidad de prueba
- Practicá el gasto antes de depositar fondos significativos
Crítico: Cada hardware wallet debe verificar de forma independiente la configuración multisig. No confíes solo en el software. Confirmá que las direcciones coinciden en la pantalla de cada dispositivo.
Opciones de software
Varias aplicaciones soportan multisig correctamente:
- Sparrow Wallet (escritorio, excelente soporte multisig, conecta con tu propio nodo)
- Electrum (con trayectoria, multisig capaz)
- Specter Desktop (diseñado para multisig con hardware wallets)
- Nunchuk (coordinación amigable para móviles)
Elegí software de código abierto que haya sido fiable durante años, soporte tu hardware y permita exportar la configuración en formatos estándar.
Respaldo y recuperación
El respaldo en multisig es más complejo que con una sola clave. Respaldas varias cosas y todas importan.
Qué respaldar
1. Frases semilla de cada clave
- Escritas en papel o estampadas en acero
- Guardadas en ubicaciones separadas y seguras
- Nunca almacenadas digitalmente ni fotografiadas
2. Archivo de configuración de la billetera
Este es el componente crítico que la mayoría omite. Respaldar:
- El descriptor o archivo de configuración de la billetera
- Las claves públicas extendidas (xpubs) de todas las claves del esquema
- Las rutas de derivación usadas
- El tipo de script (P2SH, P2WSH, etc.)
Sin esto, no podés reconstruir las direcciones de la billetera incluso con todas las frases semilla.
3. Instrucciones para la reconstrucción
Documentá cómo reconstruir la billetera:
- Qué software se usó
- Qué hardware wallets se usaron
- Dónde se guardan las claves
- Proceso paso a paso de reconstrucción
Ubicaciones de respaldo
Para 2 de 3:
- Respaldo de clave 1: Ubicación A (por ej., caja fuerte en casa)
- Respaldo de clave 2: Ubicación B (por ej., caja de seguridad bancaria)
- Respaldo de clave 3: Ubicación C (por ej., familiar de confianza, abogado)
Guardá la configuración de la billetera con al menos dos respaldos de claves. La configuración no es secreta (contiene claves públicas, no privadas), pero perderla es catastrófico.
Probar la recuperación
Antes de confiar en multisig para fondos significativos:
- Creá la configuración con montos de prueba
- Simulá perder una clave (¿podés gastar con las dos restantes?)
- Reconstruí la billetera desde los respaldos (¿las direcciones coinciden?)
- Verificá que la documentación sea lo suficientemente completa para que otra persona pueda seguirla
Un respaldo que nunca probaste es una historia, no un respaldo.
Gastar desde multisig
Usar multisig es más involucrado que con una sola clave.
El proceso de firma
Para gastar desde multisig 2 de 3:
- Crear transacción. Especificá destinatario, monto y comisión. Creá una plantilla de transacción sin firmar.
- Primera firma. Firmá con una hardware wallet.
- Segunda firma. Firmá con otra hardware wallet.
- Difundir. Enviá la transacción completa a la red.
La transacción parcialmente firmada (PSBT) se transfiere entre dispositivos vía tarjeta SD, USB, códigos QR o transferencia de archivos.
Consideraciones prácticas
Claves en el mismo lugar: firmá con un dispositivo, luego con el otro, y después difundí. Sencillo.
Claves distribuidas: o viajás a cada ubicación, o transferís el PSBT electrónicamente por un canal seguro, o usás software de custodia colaborativa que coordine de forma remota.
Para almacenamiento en frío de largo plazo con retiros poco frecuentes, viajar para firmar es aceptable. Para acceso más frecuente, necesitás un método de coordinación.
Verificar antes de firmar
Con multisig, la verificación es aún más importante. Verificá la dirección del destinatario y el monto en la pantalla de cada hardware wallet. No confíes solo en la pantalla de la computadora.
Custodia colaborativa
La custodia colaborativa se ubica entre la autocustodia total y delegar a un custodio. Mantenés control significativo mientras obtenés apoyo operativo.
Cómo funciona
Configuración típica: 2 de 3 donde vos mantenés la Clave 1 (principal) y la Clave 2 (respaldo, en otra ubicación), y un proveedor mantiene la Clave 3.
Siempre podés gastar sin el proveedor (usando tus dos claves). El proveedor no puede gastar sin vos. Pero el proveedor puede:
- Ayudar con la recuperación si perdés una clave
- Proveer una segunda firma si elegís involucrarlo
- Ofrecer soporte de herencia mediante su clave
Beneficios
- Red de seguridad de recuperación. Si perdés una clave, el proveedor puede ayudar a recuperar.
- Soporte para herencia. El proveedor participa en procesos de sucesión.
- Sin punto único de falla. Ninguna parte tiene control unilateral.
- Soberanía mantenida. Siempre podés salir sin cooperación del proveedor.
Desventajas
- Privacidad. El proveedor conoce tu historial de transacciones.
- Dependencia. Para la recuperación, dependés de que el proveedor siga operativo.
- Costo. Los proveedores cobran por este servicio.
Evaluar proveedores
Preguntá:
- ¿Siempre podés gastar sin ellos?
- ¿Qué pasa si salen del negocio?
- ¿A qué información tienen acceso?
- ¿Cuál es su modelo de seguridad para la clave que poseen?
- ¿Cuáles son los procedimientos de herencia y recuperación?
→ Leer: Cómo elegir un proveedor de custodia de Bitcoin
Cuándo el multisig es incorrecto
El multisig no siempre es la respuesta. A veces suma complejidad sin un beneficio proporcional.
Para montos pequeños
Si el monto no justifica la carga operativa, una sola clave con buen respaldo es más simple y suficiente. Regla general: si perder los bitcoin sería un dolor pero no cambiaría la vida, la autocustodia simple puede ser suficiente.
Cuando no podés mantenerlo
El multisig requiere mantenimiento continuo: verificar respaldos, mantener hardware funcional, actualizar software, mantener documentación. Si no lo harás de forma realista, una configuración más simple o custodia profesional puede ser más segura.
Para transacciones frecuentes
Si gastás con regularidad, la coordinación del multisig se vuelve pesada. Considerá:
- Billetera caliente de una sola clave para transacciones frecuentes y pequeñas
- Almacenamiento en frío multisig para tenencias de largo plazo
- Mover bitcoin de frío a caliente según sea necesario
Sin el entendimiento adecuado
Un multisig mal implementado es peor que una sola clave bien implementada. Si no entendés lo que hacés, es más probable que pierdas la configuración de la billetera, crees direcciones imposibles de gastar, respaldes mal o cometas errores al gastar.
Aprendé a fondo antes de implementarlo, o usá custodia colaborativa donde un proveedor maneje la complejidad.
Mantener el multisig en el tiempo
El multisig no es “configurar y olvidar”. La seguridad a largo plazo requiere atención continua.
Verificación periódica
Al menos una vez al año:
- Verificá que cada respaldo de frase semilla sea legible y accesible
- Confirmá que los hardware wallets enciendan y funcionen
- Probá que podés reconstruir la billetera desde los respaldos
- Verificá que el respaldo de configuración de la billetera esté intacto
- Revisá si la configuración aún se ajusta a tus necesidades
Ciclo de vida del hardware
Los hardware wallets no duran para siempre:
- Las baterías se agotan
- El firmware queda desactualizado
- Los fabricantes descontinúan productos
- Aparecen nuevas vulnerabilidades de seguridad
Planificá los reemplazos. Al actualizar: configurá un nuevo dispositivo, verificá que funcione con tu multisig, considerá migrar a claves nuevas si el hardware antiguo está comprometido y actualizá la documentación.
Actualizaciones de software
Mantené el software de la billetera actualizado, pero con cuidado:
- Esperá reportes iniciales de errores tras nuevas versiones
- Verificá actualizaciones desde fuentes oficiales
- Probá con montos pequeños después de actualizar
- Mantené la capacidad de usar versiones anteriores si es necesario
Cambios de vida
Tu configuración debe evolucionar con tu vida. ¿Te mudás? Actualizá las ubicaciones de almacenamiento de claves. ¿Nuevos miembros en la familia? Considerá la sucesión. ¿Cambió tu modelo de amenazas? Revaluá la configuración.
Documentación para otros
Tu multisig es inútil para los herederos si no pueden entenderlo. Escribí instrucciones claras de reconstrucción, explicá dónde se guarda cada componente, identificá a quién contactar para ayuda y probá que otra persona pueda seguir tu documentación.
→ Leer: Planificación de herencia en Bitcoin
Lecturas adicionales
- Guía de seguridad de Bitcoin. Fundamentos de seguridad.
- Custodia de Bitcoin vs hardware wallet vs multisig. Comparación de opciones.
- Planificación de herencia en Bitcoin. Sucesión para autocustodia.
- Cómo elegir un proveedor de custodia de Bitcoin. Si te interesa la custodia colaborativa.
- Qué rompe la custodia. Patrones comunes de falla.
Fuentes adicionales
- BIP11: Transacciones estándar M-de-N. Estándar original de multisig.
- BIP16: Pay to Script Hash. P2SH permitió multisig ampliamente usado.
- BIP67: Orden determinista de claves públicas. Orden de claves para generación consistente de direcciones.
- BIP174: Formato de transacción de bitcoin parcialmente firmada. Estándar PSBT para firma coordinada.
- Bitcoin Core: Descriptores de scripts de salida. Formato preciso de política de billetera, incluido multisig.
