Cómo asegurarte de que tus contraseñas te sobrevivan

Por qué las contraseñas son la parte silenciosa de un legado digital

Cuando pensamos en lo que dejamos atrás, la mayoría imaginamos cartas, fotos, quizá un testamento ante notario. Rara vez imaginamos los veinte o treinta inicios de sesión que sostienen, en silencio, toda nuestra vida adulta: la cuenta de correo que recibe cada solicitud de restablecimiento de contraseña, el almacenamiento en la nube con veinte años de fotos, la app del banco, el portal de impuestos, la historia clínica, las suscripciones.

Si la persona que quieres no puede entrar a tu correo, no puede entrar a casi nada más. Esa única cuenta es la llave maestra de la mitad de la vida moderna, y suele estar protegida por una contraseña que nadie más conoce y un segundo factor en un teléfono que nadie más puede desbloquear.

Paso 1. Usa un gestor de contraseñas, y solo uno

Si todavía no usas un gestor de contraseñas, deja de leer e instala uno. 1Password, Bitwarden, Proton Pass y Dashlane son todas opciones razonables. Los detalles importan menos que la decisión: necesitas una única bóveda cifrada que lo guarde todo, con una contraseña maestra que no reutilices en ningún otro sitio.

La magia no está en el software. La magia está en que, a partir de ahora, entregar una sola contraseña maestra le da a la persona adecuada acceso a todo, en una lista clara y navegable.

Paso 2. Escribe lo que quieres que sepan

Una bóveda de contraseñas sin contexto es abrumadora. Tu heredero la abrirá, verá cuatrocientas entradas y no tendrá idea de cuáles importan. Así que escribe un documento corto, una página basta, que responda:

• Cuál es la cuenta de correo principal (la que recibe los restablecimientos de contraseña)
• Qué cuentas deberían cerrar, cuáles deberían mantener activas, cuáles deberían convertir en cuentas conmemorativas
• Dónde están los pagos recurrentes, para que puedan detener los que ya no tengan sentido
• Cualquier cuenta con valor real (no solo dinero, también recuerdos): fotos en la nube, borradores, carpetas en el drive

Paso 3. Resuelve pronto el doble factor de autenticación

El 2FA de la mayoría vive en un único teléfono, protegido por una sola cara o huella. Si ese teléfono queda bloqueado para siempre, la contraseña maestra por sí sola no basta. Tienes que:

• Guardar los códigos de recuperación de 2FA dentro del propio gestor de contraseñas (la mayoría de servicios te dan de 8 a 10 códigos de un solo uso al activar el 2FA; imprímelos y guárdalos en tu bóveda)
• O usar un autenticador que se sincronice con tu gestor de contraseñas (1Password, Bitwarden y Proton Pass pueden generar códigos TOTP por sí mismos)

El peor caso no es una contraseña olvidada. El peor caso es un gestor de contraseñas desbloqueado con éxito y todas las cuentas importantes dentro pidiendo un código de seis dígitos desde un teléfono al que nadie puede llegar.

Paso 4. Entrega la contraseña maestra de forma segura

Esta es la parte difícil. No puedes anotar la contraseña maestra en un papel dentro de un cajón, porque si alguien la encuentra antes de tiempo, toda la bóveda queda comprometida. No puedes ponerla en un testamento, porque los testamentos se hacen públicos durante la sucesión y la sucesión puede tardar meses. No puedes mandártela por correo, porque tu correo es justo lo que estás intentando desbloquear.

Lo que sí funciona es una entrega cifrada con AES-256-GCM, con bloqueo temporal y verificación previa: tu contenido se cifra antes incluso de tocar nuestra base de datos, se guarda ilegible en nuestros servidores y solo se libera cuando un sistema ha confirmado, mediante varias señales independientes, que ya no puedes acceder a él tú mismo.

Esto es exactamente lo que hace Final Capsule. Escribes tu contraseña maestra dentro de una cápsula (en claro, porque el cifrado es justamente el sentido de todo esto), nombras a uno o dos Confidentes de confianza más un SafeGuard (una persona cuya única tarea es respaldar, en el peor de los casos, que la entrega debe producirse), y el sistema se encarga del resto. La cápsula está cifrada de extremo a extremo; se libera al heredero designado solo cuando la verificación se completa, nunca antes, nunca a nadie más.

El caso especial: monederos hardware y frases de recuperación

Cada vez más lectores de esta guía tienen una categoría de 'contraseña' que no vive en una bóveda: la frase semilla de un monedero hardware: 12 o 24 palabras que, juntas, reconstruyen un monedero de criptomonedas desde cero. Estas palabras no las guarda ninguna empresa. Existen únicamente en el papel o la placa de metal donde las anotaste. Si tu familia no sabe dónde están, el monedero está, en la práctica, calcinado.

La mayoría de las guías te dicen que 'escondas el papel en un lugar seguro'. En la práctica, ahí es justo donde empieza el problema: el papel puede ser robado, quemarse en un incendio, arruinarse con una inundación o, simplemente, encontrarlo demasiado pronto la persona equivocada. Una placa de acero sobrevive al fuego pero no a una visita curiosa. Repartir las palabras en varios lugares parece ingenioso hasta que tus herederos no tienen idea de que existe siquiera un segundo fragmento.

El método más limpio hoy es meter la propia frase dentro de una cápsula cifrada con AES-256-GCM. Las 12 o 24 palabras se escriben una sola vez, se cifran antes de guardarse, se mantienen ilegibles en nuestros servidores y solo se liberan al heredero que designaste, únicamente después de que una verificación en varias fases confirme que ya no puedes acceder al monedero por ti mismo. Sin papel que perder. Sin cajón que olvidar. Sin parientes hurgando por tu casa antes de tiempo.

• Tres reglas para una configuración segura:
• Pon las palabras mismas dentro de la cápsula, en claro. Escribe directamente las 12 o 24 palabras. Lo que las protege es el cifrado, no la ofuscación, ni una pista a medio escribir. Una pista a medias no le sirve a tu heredero y tampoco le complica la vida a un ladrón.
• Escribe instrucciones en lenguaje sencillo junto a las palabras. 'Abre la app Ledger Live, conecta el dispositivo marcado como Main BTC, elige Restaurar desde frase de recuperación e introduce las 24 palabras de abajo, una por una' vale más que cualquier diagrama. Un heredero no técnico necesita frases, no un tutorial.
• Mantén el dispositivo y la cápsula en caminos de confianza separados. El monedero hardware vive en el mundo físico (un cajón, una caja fuerte). La frase vive dentro de una cápsula cifrada, dirigida al heredero. Ninguno de los dos basta por sí solo para mover fondos, pero juntos, en las manos correctas, la recuperación lleva diez minutos.

Si tienes una cantidad importante de cripto, plantéate dividir la frase en partes Shamir o usar una configuración multisig, pero solo si tus herederos pueden reconstruirla de forma realista. Un plan de recuperación demasiado complejo para un heredero no técnico no es un plan de recuperación. Para la mayoría, una sola cápsula cifrada con la frase completa e instrucciones claras es la mayor fiabilidad que vas a conseguir.

Una breve lista que puedes copiar hoy

1. Instala un gestor de contraseñas si no tienes uno
2. Audita tus cuentas y borra las que no uses
3. Guarda los códigos de recuperación de 2FA dentro de la bóveda
4. Escribe un mapa de una página explicando qué cuentas importan y por qué
5. Para cualquier frase semilla o documento de recuperación: escribe las palabras directamente en una cápsula cifrada de extremo a extremo, con instrucciones en lenguaje sencillo. Sin papel, sin cajón, sin mapa que dibujar
6. Mete la contraseña maestra (y cualquier frase semilla) en una cápsula dirigida al heredero correcto
7. Cuéntale al menos a un Confidente que la cápsula existe