Mientras esperaba con el resto del mundo la aprobación del primer ETF de bitcoin, una cosa me ha estado molestando: con un puñado de excepciones, incluidas Fidelity y VanEck, casi todos los solicitantes de un ETF de bitcoin al contado tienen la intención de utilizar Coinbase como su custodio.
David Schwed es director de operaciones de Halborn.
Como líder en ciberseguridad centrado en blockchains, esta concentración de riesgo junto con la naturaleza inherentemente de alto riesgo de la custodia de criptomonedas y la naturaleza aún en evolución de las mejores prácticas de seguridad me hacen reflexionar.
No es Coinbase en sí lo que me preocupa aquí. La empresa nunca ha sido afectada por un hackeo conocido, lo que explica por qué tantas instituciones tradicionales confían en su know-how. Sin embargo, no existe un objetivo que no se pueda piratear: cualquier cosa y cualquier persona puede verse comprometida, si se le da suficiente tiempo y recursos, lo cual es una lección que he aprendido a lo largo de una carrera en la intersección de la ciberseguridad y la gestión de activos.
Lo que me preocupa es la extrema concentración de activos en un único custodio. Y dada la naturaleza comparable al efectivo de los criptoactivos, eso hace que la situación sea intrínsecamente preocupante.
Puede que sea hora de repensar la designación de “custodio calificado”, una aprobación regulatoria que en su forma genuine no necesariamente garantiza que los activos riesgosos basados en blockchain estén necesariamente (o mejor) asegurados. Además, idealmente, los custodios de activos digitales deberían estar sujetos a una mayor supervisión por parte de reguladores mejor capacitados, bajo estándares estatales y federales más rigurosos, que ahora.
Hoy en día, la mayoría de los custodios calificados protegen acciones, bonos o saldos fiduciarios rastreados digitalmente, todos los cuales son acuerdos fundamentalmente legales, que no pueden ser simplemente «robados». Pero bitcoin (BTC), al igual que el efectivo y el oro, es lo que se conoce como instrumento al portador. Un hack criptográfico exitoso es como un robo a un banco en el Salvaje Oeste: tan pronto como está en manos de un ladrón, el dinero simplemente desaparece.
Entonces, para un custodio de criptomonedas, un mistake es suficiente para que los activos desaparezcan por completo.
También sabemos que las fuerzas del criptocrimen world son formidables y decididas. Para citar sólo un ejemplo notorio, se cree que la cohorte de piratas informáticos del Grupo Lazarus de Corea del Norte ha robado criptomonedas por valor de 3 mil millones de dólares en los últimos seis años, y no muestra signos de detenerse. Se ha proyectado que las entradas a un ETF de bitcoin superarán los 6.000 millones de dólares en la primera semana de operaciones, lo que convierte a estos fondos en un objetivo principal.
Si Coinbase termina con decenas de miles de millones en bitcoins en sus bóvedas digitales, Corea del Norte puede organizar fácilmente una operación de 50 millones de dólares para robar esos fondos, incluso si lleva varios años. Los actores de amenazas como el grupo ruso Cozy Bear/APT29 también podrían encontrar cada vez más atractivo perseguir las criptomonedas institucionales a medida que esos grupos crecen, potencialmente mucho, mucho más grandes.
Este es el nivel de amenaza para el que se preparan los principales bancos. Un modelo muy extendido de gestión de riesgos para las instituciones financieras utiliza tres niveles de supervisión. Primero, la capa de gestión empresarial diseña e implementa prácticas de seguridad segundo, la capa de riesgo supervisa y evalúa esas prácticas y tercero, la capa de auditoría se asegura de que las prácticas de mitigación de riesgos sean realmente efectivas.
Además de eso, una institución financiera heredada tendrá auditores externos y supervisión de TI externa, así como numerosos reguladores estatales y federales que la vigilarán. Muchos, muchos ojos examinarán cada aspecto del riesgo y la seguridad.
Pero estos múltiples niveles de redundancia y seguridad de anidamiento requieren una cosa engañosamente easy: private.
Durante mi etapa como jefe global de tecnología de activos digitales en BNY Mellon, el banco de inversión tenía aproximadamente 50.000 empleados, de los cuales alrededor de 1.000 (o el 2%) estaban en funciones de seguridad. Coinbase, incluso después de una reciente expansión, tiene menos de 5.000 empleados. BitGo, también un custodio calificado certificado por el Estado de Nueva York y otras jurisdicciones, tiene sólo unos pocos cientos.
Esto no pretende impugnar las intenciones o habilidades de ninguna de estas organizaciones o de sus empleados. Pero una supervisión authentic requiere redundancia que estas nuevas instituciones pueden tener dificultades para proporcionar a un nivel apropiado para asegurar decenas de miles de millones de dólares en instrumentos al portador.
Antes de que esas cifras crezcan aún más (y sean más atractivas para los malos), ya es hora de perfeccionar los estándares de ciberseguridad para la designación de custodios calificados. En este momento, la designación acompaña a las licencias bancarias o fiduciarias, supervisadas por reguladores estatales y federales. Se trata de reguladores financieros centrados en gran medida en la banca tradicional, no en expertos en ciberseguridad y, ciertamente, no en criptoexpertos. Es comprensible que se centren en balances, procesos legales y otras operaciones financieras.
Pero para los custodios de criptomonedas, esos no son los únicos tipos de supervisión que importan, ni siquiera necesariamente los más importantes. No existen estándares en toda la industria para las prácticas de ciberseguridad y gestión de riesgos por parte de los custodios de criptomonedas específicamente, lo que significa que el estatus de «custodio calificado» no es tan tranquilizador como podría parecer. Eso expone no sólo a los inversores sino a todo un sector incipiente a un riesgo opaco con consecuencias potencialmente nefastas.
La aprobación de una serie de ETF de bitcoin es solo el último paso en la integración continua de los activos digitales en el sistema financiero. No es necesario confiar en los partidarios de las criptomonedas en esa predicción basta con preguntarle a Blackrock, un gigante heredado que defendió el ETF. A medida que estos acontecimientos continúen, los reguladores verdaderamente interesados en la protección de los inversores se centrarán en adaptarse a este nuevo mundo: un mundo en el que las normas rigurosas de ciberseguridad son tan importantes para la estabilidad financiera como las revelaciones honestas y las auditorías financieras.