Saltar al contenido principal

El OCCIP del Tesoro Integra a las Criptomonedas en el Perímetro Federal de Ciberdefensa

· 14 min de lectura
Dora Noda
Dora Noda
Software Engineer

Por primera vez en la historia de los EE. UU., el Departamento del Tesoro está tratando a las empresas de criptomonedas de la misma manera que a los bancos — al menos en lo que respecta a quién puede ver las amenazas entrantes. El 10 de abril de 2026, la Oficina de Ciberseguridad y Protección de Infraestructuras Críticas (OCCIP) anunció que las empresas de activos digitales elegibles recibirán, sin costo alguno, la misma inteligencia de ciberseguridad procesable que el gobierno federal ha reservado históricamente para los bancos asegurados por la FDIC y otras instituciones financieras tradicionales.

Es una pequeña línea en un comunicado de prensa. También marca un cambio silencioso pero profundo: Washington ha dejado de tratar a las criptomonedas como un sector tecnológico periférico y ha comenzado a tratarlas como parte de la infraestructura crítica del sistema financiero.

Una política construida sobre un hematoma de 578 millones de dólares

El momento no es accidental. Abril de 2026 fue, según algunas métricas, el peor mes para la seguridad DeFi desde el incidente de Bybit — aproximadamente 606 millones de dólares drenados en doce exploits distintos en solo dieciocho días. Solo el Grupo Lazarus movió 578 millones de dólares durante ese periodo.

Dos ataques representaron la mayor parte del daño:

  • Drift Protocol — 285 millones de dólares, 1 de abril de 2026. Atacantes atribuidos al grupo UNC4736 vinculado a la RPDC (también rastreado como AppleJeus, Citrine Sleet y Gleaming Pisces) completaron una operación de ingeniería social de seis meses. Se hicieron pasar por una firma de trading cuantitativo, se ganaron la confianza de los colaboradores de Drift y abusaron de la función "durable nonces" de Solana para engañar a los miembros del Consejo de Seguridad para que firmaran previamente transacciones inactivas que transfirieron silenciosamente el control administrativo. Desde el momento en que se produjo el rug pull, la bóveda se vació en aproximadamente doce minutos.
  • KelpDAO — 292 millones de dólares, 18 de abril de 2026. Un solo mensaje falsificado de LayerZero drenó 116,500 rsETH del puente cross-chain de KelpDAO, convirtiéndose en el mayor exploit individual de DeFi del año.

Según TRM Labs, Corea del Norte representa ahora aproximadamente el 76 % de todas las pérdidas por hackeos de criptomonedas en 2026, con un robo acumulado desde 2017 que supera los 6,000 millones de dólares. Eso ya no es una preocupación del sector; es una preocupación de seguridad nacional.

El programa de la OCCIP es, en efecto, el primer reconocimiento federal de que los ataques dirigidos al estilo de la RPDC contra plataformas de activos digitales se asemejan a los ataques patrocinados por el estado contra las transferencias bancarias, las redes ACH y SWIFT — y que los operadores de criptomonedas merecen los mismos canales de alerta temprana.

Qué obtienen realmente las empresas de criptomonedas

El titular es "inteligencia de ciberseguridad gratuita". El contenido es más interesante. Las empresas estadounidenses de activos digitales elegibles ahora pueden solicitar acceso a los mismos flujos de inteligencia de amenazas que el Tesoro utiliza para mantener al sector bancario por delante de los atacantes. En la práctica, esto incluye un conjunto de fuentes por niveles:

  • Catálogo de vulnerabilidades explotadas conocidas (KEV) de la CISA. Las agencias civiles federales ya están obligadas por la Directiva Operativa Vinculante 22-01 a remediar los CVE enumerados en el KEV dentro de plazos fijos. La lista es pública, pero el valor de estar dentro del canal federal es la oportunidad — los operadores se enteran de lo que se está utilizando como arma en el entorno real antes de que se convierta en un boletín público.
  • Flash de la FBI y Notificaciones a la Industria Privada. Estos cubren campañas activas, a menudo con indicadores técnicos de compromiso (IOC) y tácticas de adversarios que nunca aparecen en la prensa pública.
  • Indicadores de compromiso (IOC) del sector financiero específicos del Tesoro. Clústeres de billeteras, patrones de preparación de puentes, comportamientos de mezcladores y huellas dactilares de transacciones que los analistas de la OCCIP arman a partir de informes interbancarios — y que, hasta ahora, los bancos podían ver pero un exchange centralizado o un protocolo DeFi no.
  • Avisos específicos del sector sobre actores de la RPDC, vinculados a Irán y de ransomware. Este es el nivel que la cronología forense de Drift subraya más claramente. Los patrones de billetera de Lazarus y la actividad de preparación de puentes eran identificables en retrospectiva; el intercambio de información de nivel OCCIP está diseñado para sacar a la luz esos patrones antes del drenaje.

Las empresas elegibles presentan su solicitud contactando a OCCIP-Coord@treasury.gov. Los criterios de "elegibilidad" no están definidos deliberadamente en el anuncio — el Tesoro mantiene la discreción para dar forma al grupo de participantes, lo cual es tanto una característica como un punto de fricción.

Por qué esto es más importante que una nueva lista de distribución de correo electrónico

Si se lee el anuncio de la OCCIP de manera restrictiva, parece que el Tesoro añadió una nueva lista de correo. La lectura estructural es más trascendental.

Durante una década, la política de los EE. UU. ha tratado a las empresas de criptomonedas como empresas tecnológicas que casualmente manejan dinero. El aparato predeterminado para compartir información — el FS-ISAC, el Centro de Análisis e Intercambio de Información de Servicios Financieros — restringe la membresía a estatutos de tipo bancario o niveles industriales de pago. El FS-ISAC tiene más de 5,000 empresas miembros en 75 países, pero su membresía ha estado históricamente dominada por bancos, aseguradoras, procesadores de pagos y firmas de valores. Los exchanges nativos de criptomonedas y los protocolos DeFi rara vez han sido participantes de primera clase.

El nuevo canal de la OCCIP no reemplaza al FS-ISAC. Funciona en paralelo. Y al funcionar en paralelo, dice efectivamente: incluso si una empresa no puede o no quiere pagar para unirse al ISAC liderado por los bancos, el gobierno federal seguirá tratándola como parte de la infraestructura financiera crítica que los Estados Unidos necesitan defender.

Ese es el cambio de marco de la política. Esa misma semana, Coindesk y The Record señalaron que esta iniciativa convierte a las empresas de criptomonedas en socios "informados" para las advertencias de hackers compartidas con las firmas tradicionales — un lenguaje que habría sido impensable en cualquier declaración del Tesoro de los EE. UU. hace cinco años.

Qué cambia para los operadores

Para los exchanges, custodios, puentes y protocolos DeFi que deseen postularse, se vuelven posibles tres cosas que antes no lo eran:

Ciclos de parches más rápidos en CVEs convertidos en armas. Un equipo de protocolo que ejecuta herramientas estándar de nube y DevOps ya no tiene que esperar a un aviso del proveedor o a una descripción pública de CVE para saber que hay un exploit activo. El canal del Tesoro tiende a mostrar una señal de explotación antes que la entrada pública del NVD.

Alertas de patrones de billeteras de la RPDC. Este es el cambio más concreto de todos. La historia forense de Drift mostró que el comportamiento de preparación de Lazarus era visible en los datos de la cadena días antes del drenaje, pero ningún equipo individual tenía el contexto para actuar. Un canal federal que agrega avistamientos de múltiples firmas y los envía a los centros de operaciones otorga a DeFi la misma señal de "tu par acaba de ver esta dirección sondear su flujo de custodia" que los bancos han tenido durante mucho tiempo sobre el origen de ACH sospechosos.

Indicadores de riesgo interno y de los procesos de contratación. El caso Drift se ha convertido en un ejemplo didáctico de que la RPDC ahora invierte meses en ingeniería social: firmas de trading cuantitativo falsas, contrataciones falsas, contrapartes falsas. El Tesoro dispone de informes agregados sobre casos de fraude en la contratación del sector financiero que los operadores de criptomonedas apenas están empezando a ver a gran escala.

La otra cara de la moneda es que las relaciones de intercambio de inteligencia son bidireccionales. Para permanecer dentro del canal, se esperará que las empresas informen sobre incidentes e IOC (indicadores de compromiso). Ese cambio cultural, de "nuestra postura de seguridad es propietaria" a "lo que nosotros vemos, el gobierno federal y nuestros pares también lo ven", es la parte más difícil.

La política: Infraestructura crítica, no un casino

Hay un subtexto regulatorio que vale la pena mencionar directamente. Durante la mayor parte de los últimos cinco años, la política de criptomonedas de EE. UU. ha sido confrontativa, con la SEC, la CFTC y la FinCEN impulsando diferentes teorías sobre qué es el cripto y cómo debe ser supervisado. El movimiento de la OCCIP proviene de un músculo diferente del gobierno federal — el músculo de la ciberseguridad y la infraestructura crítica — y se asienta sobre una premisa distinta.

Los bancos reciben el apoyo de la OCCIP no porque el Tesoro apruebe cada línea de sus balances, sino porque si sus ciberdefensas fallan, el sistema de pagos del país falla. El argumento implícito en el anuncio del 10 de abril es que ahora ocurre lo mismo con las criptomonedas. Si los rieles que transportan 300 mil millones de dólares en flujos de stablecoins, más de 19 mil millones de dólares en RWA tokenizados y una parte creciente de las liquidaciones transfronterizas se rompen bajo un ciberataque, el sistema financiero en general sentirá el impacto.

Esta es también la razón por la que el anuncio es importante incluso para las empresas que nunca postulen. El hecho de que una agencia federal trate formalmente a las empresas de activos digitales como infraestructura crítica "cubierta" cambia la base política para cada lucha futura. Los futuros debates en el Congreso sobre la regulación de DeFi, las licencias de stablecoins y los pagos de agentes de IA ocurrirán ahora en un contexto en el que el propio brazo de ciberseguridad del Tesoro ya ha reconocido que el cripto es parte del sistema que vale la pena defender.

Dónde persisten las brechas

La iniciativa no es una solución mágica. Persisten tres brechas reales.

La elegibilidad es opaca. El Tesoro no ha publicado los criterios. Hasta que la lista de participantes sea pública — o al menos los criterios lo sean —, los protocolos DeFi más pequeños y las plataformas con domicilio en el extranjero no tienen un camino claro de entrada.

Es solo para EE. UU. El cripto es global; los CEX más grandes que sirven a usuarios estadounidenses no siempre tienen su sede en EE. UU. La coordinación internacional — con el NCSC del Reino Unido, los canales MAS-CSA de Singapur y ENISA en Europa — no forma parte del alcance anunciado.

No soluciona la fragilidad a nivel de protocolo. La inteligencia de amenazas ayuda a un SOC a atrapar a un atacante antes; no parchea un puente que confía en un formato de mensaje no verificado. Tanto el incidente de Drift como el de KelpDAO se basaron en debilidades (firma de nonce duradero, verificación de mensajes cross-chain) que ningún feed de correo electrónico solucionará. La OCCIP eleva el estándar mínimo de defensa operativa; no cambia las matemáticas del diseño de protocolos.

Implicaciones para los proveedores de infraestructura

Para la capa de empresas que se sitúan entre los protocolos y los usuarios finales — proveedores de RPC, plataformas de billeteras, custodios, indexadores, redes de oráculos —, el programa de la OCCIP redefine la conversación de compra. Los clientes institucionales, especialmente la nueva generación de emisores de stablecoins reguladas y gestores de RWA tokenizados, están a punto de empezar a preguntar a los proveedores de infraestructura si participan en el intercambio de información de nivel OCCIP. Esa pregunta se convertirá en un filtro de adquisición.

La señal más amplia: la ciberseguridad está pasando de ser una preocupación por protocolo a una preocupación de infraestructura para todo el sector. Los proveedores que sobrevivan a la ola de hackeos de 2026 serán aquellos que traten la ingesta de inteligencia de amenazas, el intercambio de IOC y la respuesta a incidentes alineada federalmente como servicios esenciales en lugar de un teatro de seguridad opcional.

BlockEden.xyz opera infraestructura de RPC e indexadores de nivel de producción para desarrolladores en Sui, Aptos, Ethereum y otras cadenas. Los equipos que operan en el panorama de amenazas alineado con la OCCIP pueden explorar nuestro mercado de API para obtener infraestructura diseñada para la era institucional.

El análisis de 2026

Las brechas de Drift y KelpDAO serán recordadas como el catalizador — pero la respuesta de la OCCIP es lo que podría remodelar silenciosamente la próxima década. Al extender el paraguas de ciberseguridad federal a las empresas de activos digitales, el Tesoro ha hecho dos cosas a la vez: ha reconocido que los ataques patrocinados por estados al estilo de la RPDC contra DeFi son un asunto de seguridad nacional, y ha admitido que las empresas cripto ya no pueden ser tratadas como si estuvieran fuera del perímetro de defensa del sistema financiero.

Ese es el tipo de cambio regulatorio que no genera titulares proporcionales a su importancia. Sin embargo, cambiará la forma en que cada asignador institucional, regulador y contraparte piense sobre el riesgo operativo cripto. Para cuando la Ley CLARITY, las reglamentaciones de stablecoins de la Ley GENIUS y la orientación de la OCC sobre la custodia bancaria de criptomonedas se asienten en una arquitectura regulatoria coherente en 2027, la silenciosa expansión de la OCCIP en abril de 2026 puede resultar ser la base debajo de todas ellas.

La torre de vigilancia acaba de obtener un campo de visión más amplio.

Fuentes

Share on Twitter