Un quórum multifirma es el número mínimo de firmantes (M) de un conjunto total de firmantes (N) que debe aprobar una transacción antes de que se transmita. Elige M y N usando matemáticas de tolerancia a pérdidas, realidad operativa y un plan de recuperación escrito, porque cuando un firmante pierde el acceso o desaparece sin aviso, tu capacidad para mover fondos depende por completo de si los firmantes activos restantes siguen alcanzando M.
Puntos clave
- El quórum es una decisión probabilística y operativa, no una decisión visceral: los conjuntos pequeños de firmantes son fáciles de usar pero frágiles, los grandes son resilientes pero lentos y politizados.
- Las matemáticas de supervivencia binomial te permiten dimensionar N para que el monedero pueda alcanzar el quórum incluso después de perder uno o dos firmantes, ya estén comprometidos o ilocalizables.
- La diversidad geográfica, de proveedores y de dispositivos importa tanto como el número de firmantes, porque un fallo correlacionado (una nube, un proveedor de hardware, una jurisdicción legal) puede eliminar varios firmantes a la vez.
- Los interruptores de hombre muerto, la recuperación por inactividad y un plan escrito de "qué pasa si me muero" son el modo de fallo que casi nadie implementa, y el que deja a familias y DAOs sin acceso a los fondos para siempre.
Qué controla realmente un quórum multifirma
Un monedero multifirma es una dirección de Bitcoin, Ethereum o una cadena EVM cuyas reglas de gasto están codificadas en la propia cadena en lugar de en una única clave privada. En vez de bastar con una firma, el script en cadena (Bitcoin) o el contrato inteligente (Ethereum, a menudo un Safe) requiere un número mínimo de firmas distintas de un conjunto fijo de firmantes autorizados. Ese mínimo es el quórum, normalmente escrito M-de-N, donde N es el número total de firmantes autorizados y M es el umbral que debe firmar antes de que cualquier transacción sea válida.
Piensa en N como la lista y en M como la regla que define qué cuenta como decisión válida. Un 2-de-3 significa que cualquiera de los tres miembros puede mover fondos. Un 3-de-5 significa que cualquiera de cinco. Un 4-de-7 significa que cualquiera de siete. Lo interesante no es la M en sí, sino qué le ocurre a M cuando la lista se reduce en la vida real, porque la gente pierde monederos hardware, olvida frases semilla, acaba hospitalizada, fallece o simplemente deja de responder a mensajes.
Por eso la elección del quórum es un problema de supervivencia disfrazado de ajuste de seguridad. Si tres de tus siete firmantes desaparecen, tu monedero sigue funcionando porque un 4-de-7 solo necesita cuatro firmantes activos. Si dos de tus tres firmantes desaparecen, tu 2-de-3 queda congelado para siempre, porque ninguna combinación de un único firmante restante alcanza un umbral de dos. El umbral no es una propiedad estática del monedero, es un objetivo móvil que depende de quién sigue vivo, lúcido y dispuesto a firmar.
Matemáticas de pérdida de claves: supervivencia binomial para un conjunto de firmantes
La forma más limpia de razonar sobre la elección del quórum es modelar a cada firmante como independiente y preguntar: "¿cuál es la probabilidad de que al menos M de mis N firmantes sigan pudiendo firmar tras algún evento de pérdida?" Ese es un sumatorio de cola binomial, y puedes hacerlo a mano para los valores pequeños de N que importan en la práctica.
La fórmula es directa. Para cada número posible de firmantes perdidos k (desde 0 hasta N menos M), calculas la probabilidad de que exactamente k firmantes se pierdan y de que M o más sigan disponibles, y luego sumas esas probabilidades. Una aproximación viable para eventos de pérdida raros e independientes es: la probabilidad de supervivencia es igual a la suma de los términos binomiales donde el número de firmantes supervivientes es mayor o igual que M.
Los números concretos lo hacen menos abstracto. Supón que cada firmante tiene un 5% de probabilidad anual de volverse incapaz de firmar permanentemente, ya sea por pérdida de clave, fallecimiento o por quedarse offline para siempre. Esos son eventos independientes, lo cual es una idealización que relajarás después, pero da una línea base.
- 2-de-3, un firmante perdido: la probabilidad de perder exactamente un firmante es de alrededor del 13,5%, y con uno perdido todavía te quedan dos firmantes activos, así que el monedero sobrevive ese año.
- 2-de-3, dos firmantes perdidos: la probabilidad de perder dos o más es de alrededor del 0,36% al año, pero en ese caso el monedero queda congelado porque un único firmante activo no alcanza un umbral de dos.
- 3-de-5, tres firmantes perdidos: la probabilidad de perder tres o más es de alrededor del 0,6% al año bajo la misma hipótesis, y con tres perdidos solo quedan dos, por debajo del umbral, así que el monedero queda congelado.
- 4-de-7, tres firmantes perdidos: la probabilidad de perder tres o más es de alrededor del 1,2% al año, pero como el umbral es cuatro, puedes perder tres y seguir pudiendo firmar, así que el monedero es mucho más resiliente.
En un horizonte de cinco años, esas probabilidades anuales se acumulan. Un 2-de-3 tiene aproximadamente un 1,8% de probabilidad de quedar congelado en cinco años bajo pérdidas independientes, lo cual suena pequeño hasta que recuerdas que congelado significa irrecuperable sin que el firmante ausente regrese. Un 3-de-5 tiene aproximadamente un 3% de probabilidad de caer por debajo del umbral en el mismo periodo, paradójicamente peor que el 2-de-3 para el mismo aumento de N, porque el umbral también escala. Un 4-de-7 tiene aproximadamente un 6% de probabilidad de perder tres firmantes, pero sigue siendo utilizable porque el umbral es cuatro. Esa asimetría es el corazón del diseño M-de-N: subir N sin subir también M puede reducir tu ventana útil.
2-de-3 frente a 3-de-5 frente a 4-de-7: compensaciones reales
La mayoría de los equipos eligen un umbral por intuición. Está bien para cantidades pequeñas, pero las compensaciones son lo bastante concretas como para que tomes la decisión de forma deliberada.
Multifirma 2-de-3
Una 2-de-3 es la configuración clásica de "tesorería personal", popular entre titulares individuales y pequeñas DAO. Tolera la pérdida de exactamente un firmante sin quedarse congelada, lo que le da una propiedad útil: cualquier fallo aislado de un monedero físico, una semilla perdida o un cofirmante que no responde es recuperable. El inconveniente es que un atacante o un coercionado solo necesita comprometer a dos firmantes, y la superficie de ataque de dos dispositivos, dos personas o dos copias de seguridad en la nube es reducida.
Para una sola persona que utiliza tres ranuras de firmante, un patrón habitual es un firmante en un monedero físico guardado en casa, otro en un monedero físico guardado en una caja de seguridad bancaria y otro en manos de un familiar o abogado de confianza. Eso aporta diversidad geográfica y de dispositivos con un bajo coste de coordinación. El riesgo es que el tercero de confianza pueda ser manipulado socialmente, citado judicialmente o simplemente cambiar de opinión.
Multifirma 3-de-5
Una 3-de-5 es la herramienta habitual para tesorerías serias. Tolera la pérdida de hasta dos firmantes, que es una redundancia significativa frente a pérdidas accidentales y frente a un firmante comprometido que colabore con otro firmante comprometido. El umbral de tres también eleva el coste de un ataque: un adversario necesita ahora comprometer tres entornos de firma distintos.
La compensación es la coordinación. Cinco personas, cinco dispositivos, cinco planes de respaldo, cinco puntos en los que alguien está de vacaciones, enfermo o ilocalizable. Si tu quórum es de tres y de forma habitual solo tienes a dos firmantes disponibles con poca antelación, el monedero resulta poco útil en la práctica aunque técnicamente siga activo. Aquí es donde la multifirma M-de-N deja de ser matemáticas y pasa a ser operaciones.
Multifirma 4-de-7
Una 4-de-7 es terreno institucional. Tolera tres firmantes perdidos, que es un margen generoso para tesorerías de larga vida, rotación de personal en una fundación pequeña o family offices donde cambian las generaciones. El coste es que conseguir cuatro firmas con urgencia es difícil, y la dinámica política de "quién forma parte de los siete" se convierte en una verdadera cuestión de gobernanza.
Con N más grande, la tentación de "simplemente añadir otro firmante" es fuerte, y es el error de diseño sobre el que este artículo lleva advirtiendo. Subir N de cinco a siete manteniendo M en tres aumenta la tolerancia a pérdidas, pero también amplía la superficie de compromiso y ralentiza la coordinación. El ajuste correcto al añadir un firmante suele ser también subir M; si no, el monedero resulta más fácil de atacar en relación con su resiliencia.
Riesgos que las matemáticas por sí solas no capturan
La supervivencia binomial asume independencia, y en configuraciones reales de cripto, los fallos de los firmantes están altamente correlacionados. Esa es la parte que la mayoría de guías se saltan, y es donde realmente mueren los monederos.
Concentración geográfica y de proveedor
Si tus cinco firmantes usan dispositivos Trezor, un único ataque a la cadena de suministro o un bug de firmware puede comprometer a los cinco. Si los cinco firmantes viven en el mismo país, un desastre natural, una crisis política o un cambio de régimen legal puede tumbar al quórum de golpe. Si las cinco copias de seguridad están guardadas en iCloud, el compromiso de un único Apple ID las expone todas.
La solución es la diversidad en al menos tres ejes: fabricante del dispositivo, ubicación física y, de forma ideal, jurisdicción legal. Dos firmantes con Ledger, dos con Trezor, uno con un dispositivo air-gapped Keystone, todos en ciudades distintas y, a ser posible, en países distintos, es más resiliente que cinco configuraciones idénticas en la misma oficina, aunque las matemáticas los traten igual.
Herramientas de coordinación de punto único
Un número sorprendente de multifirmas "distribuidas" colapsan en un único punto de fallo a través de su capa de coordinación. Si tu tesorería 3-de-5 usa un grupo de Telegram compartido para las decisiones de firma, y el teléfono del administrador del grupo es intervenido, es posible que los demás firmantes ni siquiera sepan que hay una transacción pendiente. Si tu Safe usa un único Relayer o un único endpoint RPC, ese endpoint se convierte en un punto blando de fallo aunque las claves estén repartidas.
La regla práctica es que los canales de coordinación deben estar al menos tan distribuidos como los propios firmantes, y a ser posible más. Correo electrónico más Signal más presencial más un canal de respaldo en papel es el tipo de exceso que compensa el día que un canal falla.
Bugs de software en la interfaz del monedero
Safe, Sparrow, Electrum, Nunchuk y otros front-ends de multifirma han tenido en algún momento bugs que afectaban a cómo mostraban las transacciones, derivaban direcciones o contaban firmas. No hace falta que un firmante esté comprometido para que el monedero se comporte mal: la interfaz puede mentir sobre lo que se está firmando, o el monedero puede exigir un umbral distinto del que la cadena aplica. Los usuarios de multifirma deben tratar la interfaz del monedero como parte de su modelo de confianza, fijar versiones concretas y verificar los detalles de la transacción en al menos dos dispositivos independientes antes de firmar.
Recuperación por inactividad y el problema del interruptor del hombre muerto
El modo de fallo menos planificado en una multifirma no es el robo. Es la lenta y aburrida desaparición de un firmante, a menudo el más importante, y la forma en que deja fuera de juego a todos los demás.
Por qué "simplemente añadir otro firmante" puede romper las cosas
Cuando un firmante deja de estar localizable, la respuesta instintiva es migrar a un nuevo monedero con un conjunto de firmantes ampliado, pero la mayoría de multifirmas on-chain no te dejan añadir firmantes. Las multifirmas de Bitcoin suelen estar bloqueadas en la configuración, e incluso Safe en Ethereum, que sí admite cambios de umbral a través de su contrato, requiere que se cumpla el umbral existente para autorizar el cambio. Si tu 2-de-3 ha perdido a un firmante y los dos restantes todavía pueden alcanzar el umbral, en principio puedes migrar. Si tu 2-de-3 ha perdido a dos firmantes, nadie puede firmar nada, ni siquiera una transacción de migración.
Por eso "simplemente añadir otro firmante" es el instinto correcto en el momento equivocado. El momento para ampliar tu conjunto de firmantes o cambiar el umbral es cuando todo funciona, en migraciones programadas, no en mitad de una crisis cuando falta un firmante y el resto está en pánico.
Construir un interruptor del hombre muerto
Un interruptor del hombre muerto, en este contexto, es un plan preestablecido que se activa si un firmante ha permanecido en silencio durante un periodo definido. Las implementaciones prácticas incluyen:
- Un conjunto de instrucciones escrito y notariado que nombre a un ejecutor y especifique qué debe ocurrir si el firmante no ha firmado nada durante, por ejemplo, 90 días. El ejecutor no recibe la clave, pero sí la autoridad y los contactos para reunir a los firmantes restantes y realizar una migración programada.
- Un envoltorio de contrato inteligente basado en inactividad alrededor del Safe que, tras un tiempo de espera, permita una transacción con umbral reducido para sustituir firmantes. Esto es delicado, porque reintroduce un punto único de fallo al dar a un mecanismo el poder de actuar sin el firmante ausente, pero para tesorerías de larga vida puede ser la diferencia entre continuidad y bloqueo total.
- Una ceremonia programada de "sigo vivo" cada trimestre, en la que cada firmante firma una pequeña transacción sin efecto. La cadena registra la marca de tiempo de la última actividad de cada firmante, y un revisor designado se da cuenta cuando uno deja de aparecer.
La verdad incómoda es que la mayoría de los patrimonios cripto no tienen nada de esto, y el resultado es exactamente el que cabría esperar: monederos que funcionaron bien durante años se vuelven permanentemente inaccesibles cuando el titular original fallece o queda incapacitado. El coste de construir un interruptor del hombre muerto es bajo. El coste de no tenerlo es la pérdida total.
Implicaciones prácticas para configurar tu multifirma
Reuniendo las matemáticas y las operaciones, esta es una secuencia de decisiones que funciona para la mayoría de lectores dentro del arquetipo de este artículo.
Paso 1: define tu tolerancia a pérdidas
Decide cuántos firmantes puedes permitirte perder sin congelar el monedero, y elige M como ese número más uno. Si necesitas que el monedero sobreviva a dos pérdidas simultáneas, fija M en tres. Si solo necesitas sobrevivir a una, M en dos es suficiente. Resiste la tentación de fijar M igual a N, lo que te deja con un monedero de un único firmante con pasos extra.
Paso 2: dimensiona N con margen
Elige N al menos M más dos para configuraciones pequeñas y M más tres para tesorerías serias. Eso te da margen para absorber una pérdida y aun así poder migrar, y para incorporar a un firmante sucesor sin tener que subir el umbral de inmediato. Bajo la suposición anterior de pérdida independiente anual del 5%, una 3-de-5 sobrevive a dos firmantes perdidos, y una 4-de-7 sobrevive a tres perdidos, con un margen cómodo para fallos correlacionados.
Paso 3: diversifica en tres ejes
Reparte los firmantes entre al menos dos fabricantes de dispositivos, dos ubicaciones físicas y, a ser posible, dos jurisdicciones legales. Evita colocar más de una copia de seguridad de firmante en la misma nube, el mismo gestor de contraseñas o el mismo linaje de hardware. Trata cualquier dependencia común como un firmante oculto que cuenta contra tu N efectiva.
Paso 4: escribe el manual de recuperación
Documenta, en papel y en un formato que tu ejecutor pueda encontrar, exactamente qué ocurre si cada firmante individual deja de estar localizable. Incluye la dirección del monedero de recuperación, la cadena y el software de monedero utilizados, las ubicaciones de las copias de seguridad y los datos de contacto de los demás firmantes. Guarda esto en al menos dos lugares que no dependan de que la misma persona esté viva para recuperarlos.
Paso 5: programa migraciones antes de necesitarlas
Planifica migrar el monedero a un nuevo conjunto de firmantes cada uno a tres años, no porque el antiguo esté roto, sino porque rotar es barato cuando nada falla e imposible cuando algo falla. Trata cada migración como un simulacro de incendio para el momento real.
Cómo seguir la seguridad multisig de forma inteligente
El diseño multisig avanza despacio, pero las amenazas que lo rodean se mueven rápido: nuevo software de monedero, nuevos módulos de Safe, nuevos errores a nivel de cadena y nuevos patrones de ingeniería social dirigidos a los cofirmantes. Hacer un seguimiento manual de todo eso es una batalla perdida. Zippfeed muestra titulares sobre multisig y autocustodia con puntuación de sentimiento (alcista, neutral o bajista) y una calificación de importancia, para que puedas detectar los riesgos reales a tiempo e ignorar el ruido.