Cómo hacer una copia de seguridad de tus claves Nostr sin perderlas

La solicitud de soporte más dolorosa en Nostr es «Perdí mi nsec, ¿cómo recupero mi cuenta?». La respuesta es siempre la misma: no puedes. Ninguna empresa tiene una copia. Ningún truco criptográfico lo recupera. La cuenta se ha ido.

Esta guía te mostrará cómo asegurar que esa conversación nunca te ocurra. Tres estrategias de copia de seguridad, clasificadas por seguridad y practicidad, más los errores específicos que silenciosamente producen una pérdida irrecuperable.

TL;DR. Guarda tu nsec en un gestor de contraseñas con cifrado de extremo a extremo (1Password, Bitwarden, KeePassXC, o iCloud Keychain) en el momento en que tu cliente lo genere. Para identidades de alto valor, añade una copia de seguridad en papel en una caja de seguridad. Nunca guardes el nsec en iCloud Notes, Google Keep, una captura de pantalla, o en ninguna unidad en la nube donde el proveedor pueda leer texto sin cifrar.

Cuando estés listo, pide tu dirección @nostr.blog →

Qué estás respaldando realmente

Tu identidad Nostr es la clave privada, codificada como una cadena Bech32 nsec1.... 63 caracteres, comienza con nsec1. Cualquiera que tenga esta cadena tiene control total de la cuenta.

No necesitas hacer copia de seguridad de:

• El npub (derivable del nsec)
• Tu metadata de perfil (recuperable de los relays mientras puedas firmar eventos)
• Tu lista de seguimiento (igual)
• Tus publicaciones (existen en los relays incluso si pierdes la clave)

Necesitas hacer copia de seguridad de:

• El nsec. Solo el nsec.

Todo lo demás se deriva de tener el nsec. Nada se deriva de tener solo el npub.

Opción 1: Gestor de contraseñas

La recomendación por defecto para casi todos los usuarios.

Qué funciona: 1Password, Bitwarden, KeePassXC, Proton Pass, Dashlane, cualquier gestor de contraseñas que cifre tu bóveda con una contraseña maestra y almacene solo texto cifrado en los servidores del proveedor. iCloud Keychain de Apple también cuenta; está cifrado de extremo a extremo con tu código de acceso del dispositivo.

Configuración (ejemplo de 1Password; el flujo es equivalente en otros):

1. Crea un nuevo elemento, categoría «Nota segura» o «Contraseña».
2. Titúlalo con algo inequívoco: Nostr nsec (alice@nostr.blog).
3. Pega el nsec completo incluyendo el prefijo nsec1 en el campo de contraseña.
4. Guarda.
5. Verifica que el elemento se sincronice en tus dispositivos abriendo 1Password en un segundo dispositivo y encontrando la misma entrada.

Por qué funciona: La bóveda está cifrada con tu contraseña maestra antes de dejar tu dispositivo. El proveedor almacena blobs cifrados y nunca tiene el texto sin cifrar. Una infracción del proveedor filtra blobs cifrados, no tus claves reales.

Por qué aún puede fallar: Olvidas la contraseña maestra; pierdes la recuperación de cuenta (algunos gestores tienen un PDF de kit de recuperación que imprimes, otros no); tu dispositivo se compromete mientras la bóveda está desbloqueada y un atacante exporta los elementos.

Solución para la debilidad: Guarda tu contraseña maestra en algún lugar físico y separado. Habilita todas las opciones de recuperación y 2FA que el gestor de contraseñas ofrezca. No almacenes la contraseña maestra en una nota sincronizada.

Opción 2: Copia de seguridad en papel

La opción más resistente contra fallos digitales. Funciona cuando todo lo electrónico falla.

Configuración:

1. Abre un editor de texto y escribe el nsec exactamente (o usa la función «exportar clave» del cliente si está disponible para generar un código QR).
2. Imprime en papel en una impresora confiable. No hagas capturas de pantalla; las capturas terminan en fotos en la nube.
3. Escribe en el papel: el nombre de la cuenta, la fecha, y (opcional) dónde lo respaldaste.
4. Almacena en una ubicación en la que confías físicamente: una caja de seguridad en casa, una caja de seguridad bancaria, un cajón cerrado. No una libreta en tu escritorio, no el primer cajón que alguien abriría.

Por qué funciona: Una copia en papel no está en línea. Nadie puede exfiltrarlo remotamente. Sobrevive perder tu teléfono, tu portátil, tu proveedor en la nube, y tu acceso a internet simultáneamente.

Por qué puede fallar: Agua, fuego, alguien encontrándolo. Las soluciones estándar son una caja de seguridad ignífuga, una placa de respaldo de acero (las mismas que compran los usuarios de frases semilla de Bitcoin), o almacenar dos copias en dos ubicaciones físicas diferentes.

Las placas de respaldo de acero son una mejora si la identidad es de alto valor. Sobreviven fuego, agua, y una década de humedad. Una placa básica cuesta alrededor de $20. Estampas el nsec en filas de metal con un punzón. Excesivo para la mayoría de personas, razonable para una identidad Nostr vinculada a ingresos reales.

Opción 3: Firmante de hardware

La opción técnicamente más fuerte. Más compleja de configurar.

Qué es: Un dispositivo que mantiene el nsec y firma eventos remotamente, sin que el nsec nunca toque el dispositivo cliente. Tu teléfono o portátil habla con el firmante por un canal seguro (Bluetooth, USB, o una suscripción a relay cifrada), le envía un evento para firmar, y obtiene el evento firmado de vuelta.

Opciones en 2026:

• Amber (Android) es una aplicación firmante Nostr dedicada que se ejecuta en un teléfono separado y recibe solicitudes de firma por un canal local.
• Aplicaciones bunker de firmante remoto se ejecutan en algún lugar en el que confías (tu propio servidor, un dispositivo de confianza) y reciben solicitudes de firma por Nostr mismo usando NIP-46.
• Carteras de hardware con soporte Nostr (algunos firmware Coldcard, algunos firmware Jade, y proyectos dedicados como Seedsigner) pueden firmar eventos Nostr como trabajo secundario.

Por qué funciona: El nsec nunca deja el firmante. Incluso si tu teléfono o portátil está completamente comprometido, el atacante no puede robar la clave porque no pueden acceder a ella. Como máximo pueden engañar al firmante para que firme eventos maliciosos, pero solo mientras tienen conectividad activa.

Por qué es difícil: La configuración es más compleja que un gestor de contraseñas. Necesitas un segundo dispositivo o un despliegue bunker. La mayoría de clientes móviles aún no soportan firmantes remotos como ciudadanos de primera clase. Menos usuarios ejecutan este camino, pero los que lo hacen son los que tienen las necesidades de seguridad más altas.

Dónde no guardar el nsec

Cada opción en esta lista ha producido una solicitud de soporte que terminó en «tu cuenta se ha ido». Evítalas todas.

• iCloud Notes. Apple almacena el contenido de la nota en una forma que puede leer. No está cifrado de extremo a extremo. Una infracción de iCloud significa una infracción de tu identidad Nostr.
• Google Keep. El mismo problema, con Google.
• Capturas de pantalla en la galería. La captura se sincroniza automáticamente a iCloud Photos o Google Photos en texto sin cifrar. Incluso si la eliminas del teléfono, los proveedores en la nube a menudo retienen copias recientes.
• Borradores de correo electrónico o auto-correos. Tu proveedor de correo puede leer correos en borrador y enviados. Si se ven comprometidos (y varios proveedores principales lo han sido en la última década), el nsec está en la filtración.
• Telegram «Mensajes guardados» o cualquier chat de auto-DM. Los chats predeterminados de Telegram no están cifrados de extremo a extremo. Signal es mejor pero no está diseñado como copia de seguridad de contraseña.
• Un archivo de texto sin cifrar en Dropbox, Google Drive, iCloud Drive, OneDrive. El proveedor puede leer el archivo. Una infracción del proveedor filtra tu nsec.
• El gestor de contraseñas integrado de tu navegador si no está cifrado E2E. Verifica si el tuyo lo está. iCloud Keychain de Safari sí; algunas contraseñas de perfil de Chrome no lo están a menos que habilites la configuración de cifrado en el dispositivo.

La regla unificadora: si el proveedor puede, en principio, leer el texto sin cifrar, no almacenes tu nsec allí. Si el proveedor solo puede leer texto cifrado, la ubicación es aceptable.

Un diseño realista de dos copias de seguridad para la mayoría de usuarios

Lo que recomendamos si quieres seguridad buena pero no paranoica:

1. Gestor de contraseñas con el nsec como una Nota segura o elemento de Contraseña. Camino de recuperación de uso diario.
2. Copia de seguridad en papel impresa y almacenada en una ubicación física específica. Recuperación ante desastres.

Tiempo total de configuración: diez minutos. Costo recurrente total: cero. Protección total contra pérdida de clave rutinaria: muy alta.

Para identidades de mayor importancia, añade:

• Una segunda copia física en una ubicación diferente (la caja de seguridad de un miembro de la familia de confianza, una caja de seguridad bancaria)
• Una copia en placa de acero en lugar de papel
• Un firmante de hardware o remoto como camino de uso diario, con la copia de seguridad del nsec reservada como recuperación de emergencia

Errores que pierden cuentas, clasificados por cuán comunes son

De hilos de soporte reales en todo el ecosistema Nostr:

1. «Lo haré más tarde.» La causa única más común de pérdida permanente. El «más tarde» no llega antes de que el teléfono se borre, se pierda, o se actualice.
2. Confiar en una ubicación. Teléfono en la piscina, reinicio de llavero después de un incidente de seguridad, cuenta del gestor de contraseñas bloqueada. Dos copias en dos tipos diferentes de almacenamiento resuelve esto.
3. No etiquetar la copia de seguridad. Un gestor de contraseñas con 200 entradas donde una de ellas es una cadena sin etiquetar nsec1... está a una búsqueda fallida de la pérdida.
4. Usar el npub donde se necesitaba el nsec. El usuario piensa que hizo copia de seguridad pero solo guardó la mitad pública. Verifica que tu copia de seguridad comience con nsec1, no con npub1.
5. Capturas de pantalla. Una captura de la pantalla «detalles de cuenta», sincronizada automáticamente a un proveedor en la nube, y el nsec está sentado en el centro de datos de alguien más en texto sin cifrar.

Cada uno de estos es un problema de 30 segundos de prevenir y un problema permanente de recuperar. La asimetría es toda la razón por la que este artículo existe.