Cómo funciona
Coldcard es un dispositivo físico de firma exclusivo de Bitcoin, fabricado por Coinkite, una empresa de Toronto que comercializa el producto desde 2017. Cumple una sola función: generar y custodiar las claves privadas de una cartera Bitcoin y, después, firmar transacciones sin conectarse nunca a un ordenador mediante un enlace de datos de confianza.
El procedimiento es deliberadamente indirecto. Una cartera de solo lectura en un ordenador o un teléfono — Sparrow, Electrum o las propias herramientas de Coldcard — construye una transacción sin firmar en formato PSBT. Ese archivo se transfiere al Coldcard en una tarjeta microSD, como código QR o mediante NFC en el Coldcard Q, de mayor tamaño. El dispositivo muestra el destinatario y el importe en su propia pantalla, el usuario aprueba con un PIN y la transacción firmada regresa por la misma vía. La máquina anfitriona se encarga de la difusión, pero nunca toca la frase de recuperación.
Las claves residen tras dos elementos seguros de fabricantes distintos, de modo que vulnerar un chip no equivale a vulnerar la cartera. La carcasa es transparente a propósito, para hacer visible cualquier manipulación física.
KYC y privacidad
No hay ninguna cuenta, ningún registro, ningún correo electrónico ni servicio en la nube asociado. El Coldcard es un objeto físico, no un servicio alojado: una vez en la mano, ningún servidor sabe que existe y no hay nada que citar judicialmente, congelar ni registrar. El dispositivo no se conecta en absoluto a Internet, por lo que no emite telemetría alguna.
La privacidad depende entonces de cómo se empareje el dispositivo. El Coldcard firma transacciones; no decide cómo consulta la red una cartera de escritorio. Un usuario que apunta una cartera de solo lectura al servidor Electrum de un desconocido expone sus direcciones a ese servidor. Emparejar el Coldcard con un nodo Bitcoin propio cierra esa brecha. El dispositivo en sí no recopila nada; es en la configuración del entorno donde la privacidad de las direcciones se gana o se pierde.
Fortalezas y límites
El argumento más sólido a favor del Coldcard es el modelo de amenaza que asume: todo ordenador es hostil, incluido el de su propietario. La firma aislada de la red, la verificación en el propio dispositivo y los dos elementos seguros dificultan un ataque remoto y hacen visible un ataque silencioso. Ocho años de operación bajo una sola empresa, con vulnerabilidades divulgadas y corregidas en lugar de ocultadas, constituyen un historial significativo.
Los límites son reales. El firmware se publica y es reproducible, pero se distribuye bajo una licencia Commons Clause — consultable para su inspección, sin ser código abierto en sentido estricto, un punto que la comunidad de la privacidad plantea con frecuencia. Divulgaciones pasadas — una elusión de la visualización de testnet en 2020, un fallo de registro de xpub multisig en 2020-21 corregido en el firmware 3.2.1 y una debilidad de extracción del PIN en el Mk2, retirado hace tiempo — se resolvieron todas, pero muestran que el dispositivo no escapa al escrutinio. Además es exclusivo de Bitcoin y exige más cuidado que una cartera móvil que se firma con un gesto.
Veredicto
El Coldcard conviene al usuario que trata la gestión de claves como una disciplina y no como una comodidad, y frustrará a quien quiera mover fondos en segundos. La licencia Commons Clause y la serie de fallos divulgados son reservas reales, pero ninguna desmiente a un dispositivo cuya promesa central — mantener la frase de recuperación fuera de toda máquina conectada — se sostiene desde hace ocho años. Nota: A (9,4/10). Confianza: TRUSTED.
El Coldcard es un instrumento de especialista: recompensa a los usuarios que buscan el control máximo y frustra a quien busca comodidad. La licencia consultable y un historial de fallos divulgados y luego corregidos lo alejan de una nota sin reservas, pero la ingeniería y el historial de ocho años son sólidos. Nota: A (9,4/10). Confianza: TRUSTED.
