Saltar al contenido principal

47 publicaciones etiquetados con "Cumplimiento"

Cumplimiento normativo y marcos legales

Ver Todas las Etiquetas

Custodia de Activos Digitales para una Ejecución de Operaciones Segura y de Baja Latencia a Escala

· 13 min de lectura
Dora Noda
Dora Noda
Software Engineer

Cómo diseñar una infraestructura de custodia y ejecución que se mueva a la velocidad del mercado sin comprometer el riesgo, la auditoría o el cumplimiento.

Resumen Ejecutivo

La custodia y el trading ya no pueden operar en mundos separados. En los mercados de activos digitales actuales, mantener los activos de los clientes de forma segura es solo la mitad de la batalla. Si no se pueden ejecutar operaciones en milisegundos cuando los precios se mueven, se están perdiendo rendimientos y exponiendo a los clientes a riesgos evitables como el Valor Máximo Extraíble (MEV), fallos de contraparte y cuellos de botella operativos. Una infraestructura moderna de custodia y ejecución debe combinar seguridad de vanguardia con ingeniería de alto rendimiento. Esto significa integrar tecnologías como la Computación Multipartita (MPC) y Módulos de Seguridad de Hardware (HSMs) para la firma, utilizar motores de políticas y enrutamiento de transacciones privadas para mitigar el front-running, y aprovechar una infraestructura activo / activo con liquidación fuera de bolsa para reducir el riesgo de la plataforma y aumentar la eficiencia del capital. Fundamentalmente, el cumplimiento no puede ser un añadido; funciones como los flujos de datos de la Regla de Viaje (Travel Rule), registros de auditoría inmutables y controles mapeados a marcos como SOC 2 deben integrarse directamente en la cadena de transacciones.

Por qué la "Velocidad de Custodia" es Crucial Ahora

Históricamente, los custodios de activos digitales se optimizaban para un objetivo principal: no perder las claves. Si bien eso sigue siendo fundamental, las demandas han evolucionado. Hoy en día, la mejor ejecución y la integridad del mercado son igualmente innegociables. Cuando sus operaciones viajan a través de mempools públicos, actores sofisticados pueden verlas, reordenarlas o realizar ataques de tipo "sandwich" para extraer ganancias a su costa. Este es el MEV en acción, y afecta directamente la calidad de la ejecución. Mantener el flujo de órdenes sensibles fuera de la vista pública mediante el uso de relevos de transacciones privadas (private transaction relays) es una forma poderosa de reducir esta exposición.

Al mismo tiempo, el riesgo de la plataforma (venue risk) es una preocupación persistente. Concentrar grandes saldos en un solo exchange crea un riesgo de contraparte significativo. Las redes de liquidación fuera de bolsa ofrecen una solución, permitiendo a las empresas operar con crédito proporcionado por el exchange mientras sus activos permanecen en custodia segregada y remota de quiebras. Este modelo mejora enormemente tanto la seguridad como la eficiencia del capital.

Los reguladores también están cerrando las brechas. La aplicación de la Regla de Viaje del Grupo de Acción Financiera Internacional (GAFI/FATF) y las recomendaciones de organismos como la IOSCO y el Consejo de Estabilidad Financiera están empujando a los mercados de activos digitales hacia un marco de "mismo riesgo, mismas reglas". Esto significa que las plataformas de custodia deben construirse desde cero con flujos de datos conformes y controles auditables.

Objetivos de Diseño (Cómo se ve la "Excelencia")

Una infraestructura de custodia de alto rendimiento debe construirse en torno a unos principios básicos de diseño:

  • Latencia predecible: Cada milisegundo, desde la intención del cliente hasta la difusión en la red, debe medirse, gestionarse y aplicarse con Objetivos de Nivel de Servicio (SLOs) estrictos.
  • Ejecución resistente al MEV: Las órdenes sensibles deben enrutarse a través de canales privados de forma predeterminada. La exposición al mempool público debe ser una elección intencionada, no un defecto inevitable.
  • Material de claves con garantías reales: Las claves privadas nunca deben salir de sus límites protegidos, ya sea que estén distribuidas en fragmentos MPC, almacenadas en HSMs o aisladas en Entornos de Ejecución Confiables (TEEs). La rotación de claves, la aplicación de quórum y los procedimientos de recuperación robustos son requisitos básicos.
  • Confiabilidad activo / activo: El sistema debe ser resistente a fallos. Esto requiere redundancia multirregión y multiproveedor tanto para los nodos RPC como para los firmantes, complementada con interruptores automáticos (circuit breakers) para incidentes de red y plataforma.
  • Cumplimiento por construcción: El cumplimiento no puede ser una ocurrencia tardía. La arquitectura debe tener ganchos integrados para los datos de la Travel Rule, verificaciones AML / KYT y pistas de auditoría inmutables, con todos los controles mapeados directamente a marcos reconocidos como los Criterios de Servicios de Confianza SOC 2.

Una Arquitectura de Referencia

Este diagrama ilustra una arquitectura de alto nivel para una plataforma de custodia y ejecución que cumple con estos objetivos.

  • El Motor de Riesgos y Políticas es el guardián central de cada instrucción. Evalúa todo —cargas útiles de la Travel Rule, límites de velocidad, puntajes de riesgo de direcciones y requisitos de quórum de firmantes— antes de acceder a cualquier material de clave.
  • El Orquestador de Firmas enruta inteligentemente las solicitudes de firma al plano de control más apropiado según el activo y la política. Esto podría ser:
    • MPC (Computación Multipartita) utilizando esquemas de firma de umbral (como t-de-n ECDSA/EdDSA) para distribuir la confianza entre múltiples partes o dispositivos.
    • HSMs (Módulos de Seguridad de Hardware) para la custodia de claves reforzada por hardware con políticas deterministas de respaldo y rotación.
    • Entornos de Ejecución Confiables (ej. AWS Nitro Enclaves) para aislar el código de firma y vincular las claves directamente a software atestiguado y medido.
  • El Enrutador de Ejecución envía las transacciones por la ruta óptima. Prefiere el envío de transacciones privadas para órdenes grandes o sensibles a la información para evitar el front-running. Recurre al envío público cuando es necesario, utilizando conmutación por error (failover) de RPC multiproveedor para mantener una alta disponibilidad incluso durante degradaciones de red.
  • La Capa de Observabilidad proporciona una visión en tiempo real del estado del sistema. Supervisa el mempool y los nuevos bloques mediante suscripciones, concilia las operaciones ejecutadas con los registros internos y genera registros de auditoría inmutables para cada decisión, firma y difusión.

Bloques de construcción de seguridad (y por qué son importantes)

  • Firmas de umbral (MPC): Esta tecnología distribuye el control sobre una clave privada para que ninguna máquina —o persona— pueda mover fondos de forma unilateral. Los protocolos MPC modernos pueden implementar firmas rápidas y seguras contra ataques maliciosos que son adecuadas para los presupuestos de latencia de producción.
  • HSMs y alineación con FIPS: Los HSM (Hardware Security Modules) imponen límites a las claves con hardware resistente a manipulaciones y políticas de seguridad documentadas. La alineación con estándares como FIPS 140-3 y NIST SP 800-57 proporciona garantías de seguridad auditables y ampliamente comprendidas.
  • TEEs atestiguados: Los Entornos de Ejecución Confiables (Trusted Execution Environments) vinculan las claves a un código específico y medido que se ejecuta en enclaves aislados. Al utilizar un Servicio de Gestión de Claves (KMS), se pueden crear políticas que solo liberen material de clave a estas cargas de trabajo atestiguadas, garantizando que solo el código aprobado pueda firmar.
  • Relays privados para protección contra MEV: Estos servicios permiten enviar transacciones sensibles directamente a los constructores de bloques o validadores, omitiendo la mempool pública. Esto reduce drásticamente el riesgo de front-running y otras formas de MEV.
  • Liquidación fuera de exchange (Off-Exchange Settlement): Este modelo permite mantener las garantías en custodia segregada mientras se opera en plataformas centralizadas. Limita la exposición a la contraparte, acelera la liquidación neta y libera capital.
  • Controles mapeados a SOC 2 / ISO: Documentar y probar sus controles operativos frente a marcos reconocidos permite que los clientes, auditores y socios confíen —y verifiquen de forma independiente— su postura de seguridad y cumplimiento.

Manual de latencia: A dónde se van los milisegundos

Para lograr una ejecución de baja latencia, es necesario optimizar cada paso del ciclo de vida de la transacción:

  • Intención → Decisión de política: Mantenga la lógica de evaluación de políticas activa en memoria. Almacene en caché los datos de Know-Your-Transaction (KYT) y las listas de permitidos con valores de tiempo de vida (TTL) cortos y limitados, y precalcule los quórums de firmantes siempre que sea posible.
  • Firma: Utilice sesiones MPC persistentes y punteros de clave HSM para evitar la sobrecarga de los arranques en frío. Para los TEE, fije los enclaves, prepare sus rutas de atestación y reutilice las claves de sesión cuando sea seguro hacerlo.
  • Transmisión (Broadcast): Prefiera las conexiones WebSocket persistentes a los nodos RPC sobre HTTP. Ubique sus servicios de ejecución en las mismas regiones que sus proveedores de RPC principales. Cuando aumente la latencia, reintente de forma idempotente y distribuya las transmisiones entre múltiples proveedores.
  • Confirmación: En lugar de realizar consultas constantes (polling) para conocer el estado de la transacción, suscríbase a los recibos y eventos directamente desde la red. Transmita estos cambios de estado a un flujo de reconciliación para obtener comentarios inmediatos de los usuarios y llevar la contabilidad interna.

Establezca SLOs estrictos para cada salto (por ejemplo, verificación de políticas < 20 ms, firma < 50–100 ms, transmisión < 50 ms bajo carga normal) y aplíquelos con presupuestos de error y conmutación por error automatizada cuando las latencias p95 o p99 se degraden.

Riesgo y cumplimiento por diseño

Un stack de custodia moderno debe tratar el cumplimiento como una parte integral del sistema, no como un complemento.

  • Orquestación de la Regla de Viaje (Travel Rule): Genere y valide los datos del originador y del beneficiario en línea con cada instrucción de transferencia. Bloquee o desvíe automáticamente las transacciones que involucren a Proveedores de Servicios de Activos Virtuales (VASPs) desconocidos y registre los recibos criptográficos de cada intercambio de datos para fines de auditoría.
  • Riesgo de direcciones y listas de permitidos (Allowlists): Integre análisis on-chain y listas de detección de sanciones directamente en el motor de políticas. Aplique una postura de denegación por defecto, donde las transferencias solo se permitan a direcciones explícitamente incluidas en listas de permitidos o bajo excepciones de política específicas.
  • Auditoría inmutable: Aplique un hash a cada solicitud, aprobación, firma y transmisión en un registro de solo adición (append-only). Esto crea un rastro de auditoría evidente ante manipulaciones que puede transmitirse a un SIEM para la detección de amenazas en tiempo real y proporcionarse a los auditores para las pruebas de control.
  • Marco de control: Mapée cada control técnico y operativo con los Criterios de Servicios de Confianza de SOC 2 (Seguridad, Disponibilidad, Integridad del Procesamiento, Confidencialidad y Privacidad) e implemente un programa de pruebas y validación continuas.

Liquidación fuera de exchange: Conectividad más segura a las plataformas

Un stack de custodia diseñado para escala institucional debe minimizar activamente la exposición a los exchanges. Las redes de liquidación fuera de exchange son un facilitador clave para esto. Permiten que una firma mantenga los activos en su propia custodia segregada mientras un exchange refleja esa garantía para permitir el trading instantáneo. La liquidación final ocurre en una cadencia fija con garantías similares a la Entrega contra Pago (DvP).

Este diseño reduce drásticamente la huella de la "hot wallet" y el riesgo de contraparte asociado, todo mientras preserva la velocidad requerida para el trading activo. También mejora la eficiencia del capital, ya que ya no es necesario sobre-financiar saldos inactivos en múltiples plataformas, y simplifica la gestión del riesgo operativo al mantener las garantías segregadas y totalmente auditables.

Lista de verificación de control (Copie y pegue en su manual de procedimientos)

  • Custodia de claves
    • MPC utilizando un umbral t-de-n a través de dominios de confianza independientes (por ejemplo, multi-cloud, on-prem, HSMs).
    • Utilice módulos validados por FIPS cuando sea factible; mantenga planes para la rotación trimestral de claves y el cambio de claves impulsado por incidentes.
  • Políticas y aprobaciones
    • Implemente un motor de políticas dinámico con límites de velocidad, heurísticas de comportamiento y restricciones de horario comercial.
    • Requiera la aprobación de cuatro ojos para operaciones de alto riesgo.
    • Aplique listas de permitidos de direcciones y verificaciones de la Regla de Viaje (Travel Rule) antes de cualquier operación de firma.
  • Fortalecimiento de la ejecución
    • Utilice relays de transacciones privados de forma predeterminada para órdenes grandes o sensibles.
    • Utilice proveedores de RPC duales con cobertura basada en el estado de salud y protección robusta contra repeticiones.
  • Monitoreo y respuesta
    • Implemente la detección de anomalías en tiempo real sobre las tasas de intención, valores atípicos en los precios del gas e inclusión de transacciones fallidas.
    • Mantenga un interruptor de apagado (kill-switch) de un solo clic para congelar a todos los firmantes por activo o por plataforma.
  • Cumplimiento y auditoría
    • Mantenga un registro de eventos inmutable para todas las acciones del sistema.
    • Realice pruebas de control continuas alineadas con SOC 2.
    • Asegure una retención robusta de toda la evidencia de la Regla de Viaje.

Notas de Implementación

  • Personas y Procesos Primero: La tecnología no puede solucionar políticas de autorización ambiguas o una propiedad de guardia poco clara. Defina claramente quién está autorizado para cambiar políticas, promover código de firmante, rotar llaves y aprobar excepciones.
  • Minimice la Complejidad Donde Pueda: Cada nueva blockchain, puente o plataforma que integre añade un riesgo operativo no lineal. Agréguelos deliberadamente, con una cobertura de pruebas clara, monitoreo y planes de reversión.
  • Pruebe Como un Adversario: Realice regularmente simulacros de ingeniería de caos. Simule la pérdida del firmante, fallos de atestación de enclaves, mempools estancados, limitación de API de plataformas y datos malformados de la Regla de Viaje (Travel Rule) para asegurar que su sistema sea resiliente.
  • Demuéstrelo: Realice un seguimiento de los KPI que realmente les importan a sus clientes:
    • Tiempo de difusión y tiempo hasta la primera confirmación (p95 / p99).
    • El porcentaje de transacciones enviadas a través de rutas seguras contra MEV frente al mempool público.
    • Utilización de plataformas y ganancias en eficiencia de colateral al usar liquidación fuera de los exchanges (off-exchange settlement).
    • Métricas de efectividad de control, como el porcentaje de transferencias con datos completos de la Regla de Viaje adjuntos y la tasa a la que se cierran los hallazgos de auditoría.

En Resumen

Una plataforma de custodia digna del flujo institucional ejecuta rápido, demuestra sus controles y limita el riesgo de contraparte y de información, todo al mismo tiempo. Esto requiere un stack profundamente integrado construido sobre enrutamiento consciente de MEV, firma anclada en hardware o basada en MPC, infraestructura activo / activo y liquidación fuera de los exchanges que mantiene los activos seguros mientras se accede a la liquidez global. Al integrar estos componentes en un único flujo de trabajo medido, usted ofrece lo que los clientes institucionales más valoran: certeza a gran velocidad.

Custodia Momentánea, Cumplimiento a Largo Plazo: Un Manual para Fundadores de Pagos Cripto

· 7 min de lectura
Dora Noda
Dora Noda
Software Engineer

Si estás construyendo una plataforma de pagos cripto, quizás te hayas dicho: “Mi plataforma solo toca los fondos de los clientes durante unos segundos. Eso realmente no cuenta como custodia, ¿verdad?”

Esto es una suposición peligrosa. Para los reguladores financieros de todo el mundo, incluso el control momentáneo sobre los fondos de los clientes te convierte en un intermediario financiero. Ese breve contacto —incluso por unos segundos— genera una carga de cumplimiento a largo plazo. Para los fundadores, comprender la sustancia de la regulación, no solo la implementación técnica de su código, es crucial para sobrevivir.

Este manual ofrece una guía clara para ayudarle a tomar decisiones inteligentes y estratégicas en un complejo panorama regulatorio.

1. Por qué “Solo unos segundos” sigue activando las reglas de transmisión de dinero

El núcleo del problema es cómo los reguladores definen el control. La Red de Aplicación de la Ley contra el Financiamiento del Terrorismo de EE. UU. (FinCEN) es inequívoca: cualquiera que “acepte y transmita moneda virtual convertible” se clasifica como transmisor de dinero, sin importar cuánto tiempo se retengan los fondos.

Este estándar se reafirmó en la guía CVC de FinCEN 2019 y nuevamente en la evaluación de riesgos DeFi 2023.

Una vez que su plataforma cumple con esta definición, enfrenta una serie de requisitos exigentes, que incluyen:

  • Registro federal como MSB: Registrarse como un Negocio de Servicios Monetarios con el Departamento del Tesoro de EE. UU.
  • Un programa AML escrito: Establecer y mantener un programa integral de Anti-Lavado de Dinero.
  • Presentación de CTR/SAR: Presentar Informes de Transacciones de Moneda (CTRs) e Informes de Actividad Sospechosa (SARs).
  • Intercambio de datos de la Regla de Viaje: Intercambiar información del originador y beneficiario para ciertas transferencias.
  • Filtrado continuo de OFAC: Filtrar continuamente a los usuarios contra listas de sanciones.

2. Los contratos inteligentes ≠ Inmunidad

Muchos fundadores creen que automatizar procesos con contratos inteligentes brinda un refugio seguro de las obligaciones de custodia. Sin embargo, los reguladores aplican una prueba funcional: juzgan en función de quién tiene control efectivo, no de cómo está escrito el código.

El Grupo de Acción Financiera (FATF) dejó esto claro en su actualización dirigida 2023, indicando que “los términos de marketing o la autoidentificación como DeFi no son determinantes” del estatus regulatorio.

Si usted (o una multisig que controla) puede realizar cualquiera de las siguientes acciones, usted es el custodio:

  • Actualizar un contrato mediante una clave de administrador.
  • Pausar o congelar fondos.
  • Transferir fondos a través de un contrato de liquidación por lotes.

Solo los contratos sin clave de administrador y con liquidación firmada directamente por el usuario pueden evitar la etiqueta de Proveedor de Servicios de Activos Virtuales (VASP), y aun así, sigue siendo necesario integrar el filtrado de sanciones en la capa de UI.

3. El mapa de licencias de un vistazo

La ruta hacia el cumplimiento varía drásticamente entre jurisdicciones. Aquí hay una visión simplificada del panorama global de licencias.

RegiónGuardián actualObstáculo práctico
EE. UU.FinCEN + licencias estatales MTMACapa dual, fianzas costosas y auditorías. Hasta ahora, 31 estados han adoptado la Ley de Modernización de la Transmisión de Dinero (MTMA).
UE (hoy)Registros nacionales de VASPRequisitos de capital mínimos, pero los derechos de pasaporte están limitados hasta que MiCA esté completamente implementado.
UE (2026)Licencia MiCA CASPRequisito de capital de €125k–€150k, pero ofrece un régimen de pasaporte único para los 27 mercados de la UE.
Reino UnidoRegistro de criptoactivos de la FCARequiere un programa AML completo y una interfaz compatible con la Regla de Viaje.
SG / HKPSA (MAS) / Ordenanza VASPExige segregación de custodia y una regla del 90 % de cartera fría para los activos de los clientes.

4. Estudio de caso: Ruta VASP de BoomFi en Polonia

La estrategia de BoomFi ofrece un modelo excelente para startups que apuntan a la UE. La empresa se registró en el Ministerio de Finanzas de Polonia en noviembre de 2023, obteniendo un registro VASP.

Por qué funciona:

  • Rápido y de bajo costo: El proceso de aprobación tomó menos de 60 días y no tuvo un requisito mínimo de capital.
  • Genera credibilidad: El registro indica cumplimiento y es un requisito clave para los comerciantes de la UE que necesitan trabajar con un VASP registrado.
  • Camino fluido hacia MiCA: Este registro VASP puede actualizarse a una licencia completa MiCA CASP in situ, preservando la base de clientes existente.

Este enfoque ligero permitió a BoomFi obtener acceso temprano al mercado y validar su producto mientras se preparaba para el marco MiCA más riguroso y un futuro despliegue en EE. UU.

5. Patrones de des‑riesgo para constructores

El cumplimiento no debe ser una reflexión posterior. Debe estar integrado en el diseño de su producto desde el primer día. Aquí hay varios patrones que pueden minimizar su exposición a licencias.

Arquitectura de billetera

  • Flujos firmados por el usuario y de reenvío de contrato: Use patrones como ERC-4337 Paymasters o Permit2 para asegurar que todos los movimientos de fondos estén explícitamente firmados e iniciados por el usuario.
  • Auto‑destrucción con bloqueo de tiempo de claves de administrador: Después de que el contrato sea auditado y desplegado, use un bloqueo de tiempo para renunciar permanentemente a los privilegios de administrador, demostrando que ya no tiene control.
  • Custodia fragmentada con socios licenciados: Para liquidaciones por lotes, asóciese con un custodio licenciado para manejar la agregación y distribución de fondos.

Pila operativa

  • Filtrado previo a la transacción: Use una puerta de enlace API que inyecte puntuaciones de OFAC y análisis de cadena para evaluar direcciones antes de que se procese cualquier transacción.
  • Mensajero de la Regla de Viaje: Para transferencias entre VASP de $1,000 o más, integre una solución como TRP o Notabene para gestionar el intercambio de datos requerido.
  • KYB primero, luego KYC: Verifique al comerciante (Know Your Business) antes de incorporar a sus usuarios (Know Your Customer).

Secuenciación de expansión

  1. Europa vía VASP: Comience en Europa con un registro VASP nacional (p. ej., Polonia) o con un registro de la FCA del Reino Unido para demostrar el ajuste producto‑mercado.
  2. EE. UU. vía socios: Mientras se esperan las licencias estatales, ingrese al mercado estadounidense asociándose con un banco patrocinador o institución custodial licenciada.
  3. MiCA CASP: Actualice a una licencia MiCA CASP para asegurar el pasaporte de la UE para los 27 mercados.
  4. Asia‑Pac: Busque una licencia en Singapur (MAS) o Hong Kong (Ordenanza VASP) si el volumen y los objetivos estratégicos justifican el gasto de capital adicional.

Conclusiones clave

Para cada fundador en el espacio de pagos cripto, recuerde estos principios básicos:

  1. El control supera al código: Los reguladores observan quién puede mover dinero, no cómo está estructurado el código.
  2. La licencia es estrategia: Un VASP ligero de la UE puede abrir puertas mientras se prepara para jurisdicciones que requieren más capital.
  3. Diseñe para el cumplimiento desde el principio: Los contratos sin administrador y las API conscientes de sanciones le brindan tiempo de ejecución y confianza de los inversores.

Construya como si algún día fuera inspeccionado—porque si mueve fondos de clientes, lo será.