Autor: Susana B. García para CIBERPRISMA
La velocidad y exponencialidad de los cambios e innovaciones que la continua evolución tecnológica ha impuesto a los diferentes sectores económicos, incluye por supuesto al sector financiero. Las instituciones tradicionales del sector generan de manera permanente nuevos servicios en el ecosistema digital para mantener su vigencia con las nuevas generaciones de ciudadanos y en especial, frente a las nuevas modalidades «en línea» de gestionar activos fiat y/o virtuales que van surgiendo.
Sin duda, estas instituciones saben que, desde el surgimiento de las criptomonedas en 2008 y su tecnología asociada de cadena de bloques (Blockchain), sumada a toda una variedad de plataformas y aplicaciones, se está gestando un entorno financiero paralelo con nuevas formas y reglas. Y este nuevo entorno, que no requiere intermediarios, avanza a pesar de los cuestionamientos (justificados o no) sobre transparencia y seguridad porque se proclama a sí mismo como un sistema financiero eficiente y rentable, y sobre todo global, justo, transparente y democrático. Por eso vamos a introducirnos en el análisis de las plataformas de finanzas descentralizadas o DeFi.
Las plataformas DeFi, surgieron en 2017 de la mano de Ethereum (ETH) como resultado de la evolución tecnológica asociada al mundo de las finanzas digitales sobre la base de Blockchain (cadena de bloques), una tecnología desarrollada para mantener un registro online de transacciones soportado por criptografía que constituye el núcleo esencial de las criptomonedas.
En 2018, Ethereum contaba con 15 proyectos, y hoy ya son más de 50. Entre los más populares se destacan Maker, WBTC y Componud. Si bien Ethereum (ETH) es la opción principal para estas aplicaciones – tengamos en cuenta que en 2020 concentró el 95% de las transacciones que se realizaron en el ecosistema DeFi – no es la única plataforma de cadena de bloques involucrada. A principios de 2021, se destacaron entre las mejores alternativas a ETH algunas otras DeFi como QuickSwap, PancakeSwap,Venus Finance, JulSwap, LoopRing Exchange, Neutrino, Swop.fi, JustLend, JustSwap y Newdexe.
De hecho las dos plataformas más exitosas durante el primer trimestre 2021, como PancakeSwap (que corre sobre Binance Smart Chain) y Terra, no tienen a Ethereum como base. En estos dos casos según los expertos, primaron criterios de costos y performance para elevar su popularidad por encima de Uniswap y Aave, dos de las plataformas ETH más difundidas.
Como casi siempre sucede con los temas criptofinancieros, estas innovaciones aparecen en el mercado y se mantienen sin fluctuaciones en un entorno reducido sólo a «entendidos»; hasta que, en un determinado momento, irrumpen con patrones de crecimiento sorprendentes. Para las plataformas DeFi, el año 2020, caracterizado por la elevada incertidumbre que rodeó a la pandemia, parece haber sido su punto de inflexión. Existen además otras características que contribuyeron a su popularidad, como la independencia de entidades gubernamentales, el creciente interés de inversores institucionales como bancos y fondos de inversión, entre otros. Las instituciones bancarias tradicionales ya comenzaron a evaluar la necesidad de adoptar algunas políticas y prácticas de las finanzas descentralizadas.
Para entender las cifras, en este ecosistema se habla de montos o valores «bloqueados» para referirse al monto de dinero que los usuarios confían a este tipo de sistemas. En 2020 se llegó rápidamente a 15.000 millones de dólares y en el primer trimestre del 2021 Defipulse calcula que superarán los 80.000 millones de dólares, con previsiones de alcanzar los 100 billones de dólares en 2022.
Con este escenario las DeFi se encaminan a otro año de éxitos gracias a las nuevas tendencias impulsadas por las stablecoins o criptomonedas estables, la adopción de tokens no fungibles o NFTs y las nuevas opciones de escalamiento y liquidez. Por un lado, las stablecoins se presentan como una opción muy interesante para almacenar y transferir valor en la cadena de bloques, evitando a los usuarios la temida exposición a la ya conocida volatilidad de las criptomonedas. Por otra parte, los NFTs, dado su carácter indivisible, adquieren popularidad con la evidencia de autenticidad que ofrecen en cuanto a la propiedad de bienes digitales, objetos de colección o incluso parcelas de tierra virtuales.
– ¿Qué son los proyectos DeFi? –
DeFi es la abreviatura que identifica a los proyectos o plataformas que se encuadran en el principio de “finanzas descentralizadas” («descentralized finance» en inglés). Por finanzas descentralizadas entendemos al conjunto de aplicaciones financieras basadas en redes Blockchain (cadenas de bloques) que funcionan sin la intervención directa de un intermediario (actor financiero tradicional), permitiendo de este modo incorporar diversos servicios financieros en la cadena de bloques y ejecutar sus funciones de manera automática mediante contratos inteligentes.
Sus aplicaciones más comunes son las plataformas de préstamos, los mercados predictivos, los DEXs o exchanges (intercambios) descentralizados, las stablecoins (monedas estables) y las acciones tokenizadas:
- Las plataformas de crédito operan bajo la modalidad «Open Lending» (Préstamo Abierto) que se presenta como una alternativa a los engorrosos trámites que exige una entidad financiera centralizada. Los protocolos de préstamo abiertos ofrecen transacciones y procesos inmediatos (flash loans) a tasas de interés bajas en relación al mercado, comprobación criptográfica y, su mayor atractivo, son «Open Access» (Acceso Abierto) ya que se encuentran disponibles para todo el mundo. En su funcionamiento intervienen plataformas peer-to-peer (entre pares) y las transacciones se realizan conforme a las condiciones que se establezcan en los contratos inteligentes cuya ejecución se verifica mediante la red Blockchain.
- Los DEXs o Intercambios descentralizados permiten a los usuarios intercambiar y comercializar sus activos sin un intermediario central o una entidad que custodia sus fondos. Las transacciones se realizan entre pares, sin tarifas adicionales. Su popularidad radica en la confianza generada a través de operaciones directas e inmediatas, mayor seguridad (no requieren intercambiar datos personales; esta tarea la realiza el mismo intercambio a través de la función KYC (Know Your Customer – Conozca a su Cliente) de una red peer to peer, anónima y privada.
- Las Stablecoins o monedas estables ofrecen a los inversores una alternativa interesante frente a las fluctuaciones de la moneda fiat y la volatilidad de los criptoactivos como Bitcoin y Ether. Este nuevo tipo de criptomoneda se basa en tokens que están vinculados al valor de una moneda fiduciaria (como el dólar o el euro) (TrueCoin), a activos materiales como oro o propiedades (G-coin), o a otra criptomoneda (Dai). También hay monedas estables que no están vinculadas a otras monedas, sino que están controladas por algoritmos para mantener sus precios estables (USDX; Basecoin).
En resumidas cuentas estas nuevas plataformas permiten que cualquier persona pueda, mediante su propio teléfono inteligente, acceder a diferentes opciones de inversión y ahorro. Y como ya mencionamos, este ecosistema abierto permite a los propios usuarios controlar sus activos de manera directa. En el informe «DeFi descubierto: el estado de las finanzas descentralizadas«, la empresa Glassnode determina que más de 2,1 millones de usuarios han interactuado con alguna plataforma de finanzas descentralizadas (DeFi) desde 2018 a la fecha.
Según DefiPulse, las plataformas preferidas por los usuarios son:
– Maker: una plataforma descentralizada que opera en Ethereum. Trabaja con stablecoin y DAI.
– WBTC: es un token que representa a Bitcoin.
– Compoud: es una plataforma de Ethereum que se especializa en préstamos.
– Aave: Fue uno de los primeros protocolos DeFi.
– Uniswap: es un proyecto DeFi para la provisión de liquidez automatizada en Ethereum
– SushiSwap: es un exchange descentralizado (o DEX) que permite hacer intercambios entre tokens.
– Curve Finance: es un DEX dedicado a ofrecer intercambios de monedas estables o stablecoins.
– Synthetix: es un protocolo, basado en Ethereum, que permite la creación y el comercio de tokens de activos sintéticos que replican activos reales.
– Balancer: es del ecosistema DeFi de Ethereum, está centrada en la creación automática de mercados, usando para pools de liquidez y ofreciendo capacidad de intercambio de monedas de formas descentralizada.
– Las DeFi y los Ciberdelitos –
Como era de esperar todo este ruido innovador asociado al mercado financiero no pasó inadvertido para la ciberdelincuencia. Los ataques a las plataformas DeFi replicaron la tendencia global de aumento de ciberdelitos durante la pandemia COVID y las predicciones de crecimiento exponencial en los valores de las transacciones que se realizan incidieron gravemente en la seguridad de las mismas.
En 2019 la ciberseguridad de las DeFi no figuraba en el radar de los principales riesgos que amenazaban al sector financiero. Sin embargo, durante 2020 solamente, estas plataformas sumaron 100 millones de dólares al volumen total de pérdidas por ciberataques. Según datos de CypherTrace, las DeFi concentraron el 45% y el 50% del volumen total de robos de valores durante el primer y segundo semestre respectivamente. Sin embargo cabe resaltar que el aumento producido en el segundo semestre se debió puntualmente al hacking perpetrado contra un intercambio centralizado, KuCoin. Este incidente impactó en el mercado DeFi porque los perpetradores intentaron lavar los fondos apropiados ilícitamente a través de Uniswap, uno de los mayores intercambios descentralizados del mundo. De esta manera se hacen evidentes dos de los principales riesgos que encarna la ciberdelincuencia para las DeFi: ser víctimas de robo de fondos bloqueados o resultar particularmente atractivas para operaciones de lavado de dinero.
A continuación listamos los principales ciberataques que, según Hacken, afectaron el ecosistema DeFi en 2020:
FEBRERO 2020 – 954.000 DÓLARES
DeFi más atacada en 2020. En FEB sufrió dos ataques consecutivos con sólo 4 días de diferencia. Ambos ataques forzaron la suspensión del protocolo y utilizaron préstamos rápidos (FLASH LOANS) para facilitar un bombeo y descarga de valores en Uniswap.El atacante abusó de varias vulnerabilidades dentro de los protocolos de bZx, aprovechando los mercados de baja liquidez y empleando tácticas de manipulación de precio.
MARZO 2020 – 8,32 MILLONES DE DÓLARES
Después de recaudar $ 150 millones de dólares en ether (ETH) a través de una venta de tokens, el DAO fue pirateado mediante vulnerabilidades en su base de código
ABRIL 2020 – 25 MILLONES DE DÓLARES
El protocolo de préstamos Lendf.Me, de la plataforma china dForce fue atacado con la misma táctica que ya se había empleado contra DAOMaker en 2016, explotando una vulnerabilidad de Ethereum.
ABRIL 2020 – 300.000 DÓLARES
Una versión envuelta de Bitcoin (Wrapped Btc) llamada imBTC fue atacada utilizando una vulnerabilidad conocida como método de reentrada estándar de token ERC-777. El atacante pudo desviar un grupo de liquidez de Uniswap por todo su valor, estimado en USD 300,000 en ese momento.
SEPTIEMBRE 2020 – 15 MILLONES DE DÓLARES
El proyecto de Andre Cronje, creador de Yearn.Finance que se convirtió en la primer criptomoneda en superar el precio del Bitcoin, fue atacado a sólo tres horas después de haberse hecho viral en Twitter. No tenía todavía un sitio web oficial pero esto no detuvo a sus seguidores que invirtieron 15 MU$D que perdieron debido a un contrato beta no probado y con fallas de seguridad.
SEPTIEMBRE 2020 – 8 MILLONES DE DÓLARES
Los atacantes explotaron una vulnerabilidad en los contratos inteligentes de la plataforma, acción que les permitió duplicar las fichas iTokens y retirar unos 4.700 ETH, equivalentes al 30% de los fondos que se encuentran bloqueados en los contratos inteligentes de bZx.
OCTUBRE 2020 – 34 MILLONES DE DÓLARES.
Mediante un ataque tipo «flash», se emplearon los préstamos rápidos para manipular los precios de varias stablecoins en intercambios descentralizados, permitiendo a los atacantes comprar más stablecoins a menor precio.
NOVIEMBRE 2020 – 2 MILLONES DE DÓLARES
El agresor descubrió una vulnerabilidad en los contratos inteligentes de Akropolis, que le permitió tomar préstamos flash mediante un token ERC-20 falso.
NOVIEMBRE 2020 – 6 MILLONES DE DÓLARES
Otro ataque tipo «flash» a menos de 24 horas que anunciaran por Twitter una nueva operatoria que estaba destinada a incrementar el nivel de seguridad contra los préstamos rápidos.
NOVIEMBRE 2020 – 19,7 MILLONES DE DÓLARES
El protocolo DeFi publicó que los piratas informáticos realizaron un exploit a su estrategia DAI “pJar”. El ataque se ejecutó generando un «evil jar», contratos inteligentes que tienen la misma interfase que los protocolos originales.
En 2021 veremos un incremento de ciberataques a las DApp o aplicaciones descentralizadas del ecosistema DeFi, según expertos en ciberseguridad. A juzgar por las cifras que presenta Atlasvpn en su informe basado en datos de SLOWMIST HACKED, las DApps de Ethereum (ETH) resultaron las más afectadas, protagonizando el 51% de los robos perpetrados durante el primer trimestre del año. Si bien esa cifra sorprende, en realidad se trató de 11 intrusiones seguidas de robo de valores y 5 eventos de estafa, que acumularon 86 millones de dólares de un total de 108 millones de dólares obtenidos a partir de los 33 ataques registrados en ese período. Y si tomáramos el año 2020 completo hasta el segundo trimestre 2021 tendríamos un aumento del 433% en ciberataques a las aplicaciones descentralizadas ETH. Comparativamente, en el mismo período, las billeteras de cadena de bloques sufrieron un aumento del 140% (de 5 a 12 infracciones). Finalmente los ataques exitosos a los intercambios de cripto activos aumentaron un 63% (de 3 a 5). Lamentablemente el informe no identifica los proyectos que fueron víctimas de ataque, ni los activos extraídos de cada uno.
A partir de las fuentes consultadas, podemos decir que el vector de ataque más utilizado ha sido del tipo «préstamo flash o rápido». Se aprovecha una funcionalidad del protocolo para evitar el mecanismo de préstamo preestablecido y, de esta forma ampliar las posibilidades de ataque, siendo la más común la manipulación del precio del activo. Esta modalidad se observó en febrero 2020 con los dos primeros ataques a la plataforma bZx. El agresor tomó un préstamo por una cantidad considerable de Ether y con esa moneda compró Wrapped Bitcoins (token que tiene el mismo valor que un bitcoin en un momento determinado) en Uniswap. El precio de los Btc se elevó de 38 ETH a 109,8 ETH, en ese punto reconvirtió los Btc a ETH en otro intercambio y pagó el crédito solicitado con parte de las ganancias. Esto quizás pudiera haberse evitado si el código abierto de la plataforma hubiera tenido alguna protección del tipo «a prueba de fallos» para responder en caso que se produjeran una suba extraordinaria de precio en otros intercambios.
Kistner, cofundador de bZx
«Es un ataque porque usó nuestro código de manera que no fue diseñado para producir un resultado inesperado que creó responsabilidades para terceros».
Los ataques del tipo «reentrada» ejecutados a partir de vulnerabilidades presentes en el código ETHEREUM – especialmente el estándar de token ERC-777 – también han tenido un éxito relativo, como en los casos de UNISWAP y dForce. Para algunos expertos, el problema no radica en el código de ETH sino en la forma en que se combina ese código con el código de los protocolos DeFi y esto sería lo que permitiría el ingreso del atacante. Los ataques no han estado solamente restringidos a ETH ya que el entorno de BINANCE SMART CHAIN y CREAM FINANCE también registraron ataques similares.
Hasta mediados de mayo 2021, algunos de los ataques a protocolos DeFi más resonantes fueron:
ALPHA HOMORA – 37,5 MILLONES DE DÓLARES.
En febrero 2021, el atacante utilizó el protocolo de CREAM FINANCE para ejecutar acciones de solicitar y brindar préstamos en repetidas ocasiones utilizando la función Iron Bank, que permite realizar préstamos apalancados. Según expertos, este engaño es similar conceptualmente al ocurrido en Pickle Finance en 2020, donde los protocolos afectados respondieron a contratos falsos como si fueran verdaderos. El incidente de ALPHA HOMORA también tuvo daños colaterales, ya que dos prestigiosas firmas de auditoría de contratos inteligentes, como QUANTSTAMP y PECKSHIELD, se habrían encargado de revisar los códigos del proyecto.
Pancake y Cream Finance –
No informaron pérdidas pero ambas plataformas mueven alrededor de USD 500 millones en 24 horas. Un ataque a los servidores de sus sitios web comprometió ambas plataformas para redirigir a las víctimas a un servidor controlado por el atacante. El ataque de suplantación de DNS provocó que en ambas páginas, cuando se está intentando conectar con la billetera Metamask, aparezca una ventana falsa solicitando al usuario que ingrese su clave privada.
URANIUM FINANCE – 50 MILLONES DE DÓLARES.
En este caso, acaecido en abril 2021, el atacante aprovechó errores en la nueva versión del contrato inteligente del proyecto y desvió fondos durante la migración de tokens a la versión V2.1, a tan sólo un mes de su creación. Los desarrolladores admitieron la posibilidad del error presente en el contrato inteligente y no descartaron que el atacante haya sido lo que se conoce como «amenaza interna» (insider).
Expertos en cripto finanzas también señalan que uno de los puntos débiles de las plataformas DeFi son las herramientas denominadas «oráculo de precios», mediante la cual es posible obtener información relativa a la cotización de una criptomoneda desde una fuente externa (otro intercambio, otro servicio financiero, otro proveedor de datos como CoinMarketCap) para asegurar que se trata del valor de mercado de esa moneda. Algunas plataformas descentralizadas utilizan un sistema centralizado de oráculos de precios que depende de un nodo particular para alimentar de datos a toda la red y esta característica aumenta el riesgo.
El análisis de los cibereventos acaecidos son en general efectuados por los equipos técnicos de las propias plataformas o por equipos de plataformas similares que solidariamente asisten al afectado. Esto demuestra el compromiso de la comunidad DeFi para mantener el ecosistema.
Incluso en este punto resulta difícil aseverar si se trata de la habilidad del agresor, de la debilidad del desarrollador o de una mala gestión del proyecto. Sin duda, al mantener elementos centralizados en protocolos descentralizados es una modalidad que puede generar vulnerabilidades. Una de las primeras conclusiones que arroja el análisis de casos, es que no cualquier ciberagresor puede concretar un ataque a una DeFi. Para ello es preciso conocer con algún nivel de detalle el funcionamiento de los diferentes protocolos. Han existido casos en los que se ha señalado a actores que estuvieron de alguna manera relacionados con el desarrollo del protocolo o que tuvieron acceso a información confidencial en algunas de sus etapas. En otros casos se culpó a la ambición del desarrollador que desestimó errores de diseño o que, atrapado por el espíritu independiente y transparente que alimenta al ecosistema DeFi, no previó el impacto de las vulnerabilidades. Pero para algunos defensores de este ecosistema revolucionario, no debiera desestimarse la potencialidad de agresión derivada de actores asociados al sistema financiero tradicional que, después de todo son la principal competencia y su larga existencia ha estado plagada de incidentes de estafas, operaciones de lavado de dinero que ninguna regulación ha podido exterminar por completo.
Pero no todo es improvisado en el ecosistema DeFi. Ahora también los usuarios pueden tener la posibilidad de mitigar el riesgo con opciones y seguros. En este campo se destacan Erasure, Opyn y Nexus Mutual (NXM); en este último exchange se negocian “pólizas” que permiten protegerse ante fallos en un contrato inteligente (smart contract). También existen los mercados de predicción, con los que es posible estar protegido ante posibles escenarios adversos, como el token Augur (REP) y Polymarket dentro de los mercados de predicción; Synthetix (SNX), que permite crear activos sintéticos, y el exchange MCDEX, donde se pueden negociar derivados de forma descentralizada.
– Las DeFi y las Operaciones de Lavado de Activos –
Desde su nacimiento las criptomonedas han estado sospechadas de ser facilitadoras de las operaciones de lavado de activos procedentes de actividades ilícitas. La realidad es que en los últimos años las organizaciones de seguridad internacionales coinciden en algunas cuestiones. Por un lado las principales áreas de riesgo vinculadas a las operaciones de lavado continúan siendo el dinero en efectivo y los servicios financieros, en todas sus manifestaciones. En cuanto a estos últimos, también reconocen que la aparición de nuevos servicios financieros es vertiginosa y no sólo se presenta como atractiva para ocultar el producido de sus actividades ilícitas, sino que demuestra la capacidad de adaptación de la delincuencia, siempre atenta al surgimiento de nuevas tecnologías.
Según un Informe del Ministerio de Finanzas del gobierno británico sobre la evolución de las operaciones de lavado en 2020, por ejemplo, el crecimiento y la integración de nuevas tecnologías en el sector financiero representa para el crimen organizado la posibilidad de contar con nuevos intermediarios y métodos. Y en esa línea de argumentación, sostienen que desde 2017 el riesgo de operaciones de lavado con cripto activos se ha incrementado de nivel bajo a medio en virtud del crecimiento y expansión del ecosistema cripto en general. Sin embargo, según este mismo informe, todavía se encuentran muy por debajo de los niveles que presentan los canales tradicionales.
La ciberdelincuencia, en particular, concentra sus esfuerzos en el robo de criptomonedas o bien, las obtienen como resultado de sus ataques ransomware o como pago por bienes o servicios ilícitos. En su intención de ofuscar el origen de sus fondos recurren a facilitadores del sistema financiero como proveedores de servicios financieros para liquidar sus criptomonedas. Estos proveedores pueden brindar servicios explícitos o implícitos de lavado de activos. En agosto 2020, el Departamento de Justicia de EEUU demandó a los tenedores de 280 direcciones de criptomonedas por estar involucrados en el lavado de las criptomonedas robadas a dos intercambios de Corea del Sur.
La empresa Chainalysis, que se dedica a analizar Blockchains, y que tiene como clientes a algunas agencias estatales dedicadas a la prevención de lavado de activos e instituciones financieras tradicionales y de criptomonedas, sostiene que:
Sólo el 1,1% del volumen de movimiento de criptomonedas en 2020 estuvo relacionado con la comisión de delitos económicos.
Recordemos que las plataformas DeFi permiten a los usuarios ejecutar operaciones financieras de forma automática siempre y cuando se cumplan las condiciones estipuladas en los contratos inteligentes sin ninguna intervención humana. Nunca toman posesión de los valores depositados sino que simplemente mueven esos valores entre billeteras diferentes. La ausencia potencial de esa intervención atrae a usuarios en busca de privacidad y ausencia de controles, por lo que no debería sorprender que los delincuentes se sientan atraídos por este tipo de tecnologías para efectuar operaciones de lavado de dinero. Según Chainalysis, en 2020 pudieron determinar que más de 38 millones de dólares en criptomonedas asociadas a actividades ilícitas se movieron en las distintas plataformas DeFi, cifra que esta misma empresa prevé aumentará durante 2021.
No obstante, las plataformas DeFi presentan características, como la transparencia, que podrían facilitar a las agencias de control de lavado de activos, a los entes reguladores e incluso las empresas de criptomonedas su tarea contra el lavado de activos. En el mundo fiduciario, se requieren autorizaciones y comprobaciones para analizar los registros bancarios de un sospechoso de lavado. Sin embargo las plataformas basadas en Blockchain, siempre y cuando los investigadores estén los suficientemente familiarizados con esta tecnología, permite efectuar el análisis de transacciones con herramientas similares a las que emplea Chainalysis.
Por ejemplo, en 2020 se detectó un movimiento entre billeteras de criptomonedas relacionadas con un robo al exchange Bitfinex ocurrido en 2016 por valor de 119.756 Btc. Los datos de Blockchain mostraron que un usuario desconocido movió 270,97974 Bitcoin (equivalentes a 5,2 millones de dólares) desde una billetera asociada con el incidente. Los responsables del ataque han movido sólo entre el 1% y el 2% de los fondos robados durante los cuatro años transcurridos desde que se produjo el robo. Esta estrategia les ha generado aún más ganancias, teniendo en cuenta que la cantidad de bitcoins robados tenían un valor de 72 millones de dólares en ese momento, que a la cotización 2020 se convirtieron en 2.300 millones de dólares. En junio 2020, los delincuentes transfirieron 736 Btc del hackeo al mercado ruso de la darknet, Hydra, y algunas monedas terminaron incluso en Bitfinex. Al mes siguiente alguien transfirió 3503 Btc desde direcciones asociadas con el hackeo de Bitfinex. También en octubre 2020 se movieron 2.900 Btc entre diferentes billeteras. Sin embargo, el 98% de los fondos robados han permanecido intactos durante cuatro años. Esto puede sugerir que los agresores han tenido algunas dificultades para lavar los activos digitales.
– Las DeFi en la mira de los Entes Reguladores –
Toda esta actividad de innovación tecnológica, éxito financiero y ciber-inseguridad tampoco está pasando inadvertida para los organismos reguladores en algunas partes del mundo, donde están focalizando su atención en las plataformas DeFi y los requerimientos de «compliance» a los que están o deberían estar obligados. A esta altura muy pocos se sorprenden ante el hecho que los contratos inteligentes no auditados, sobre los que la mayoría de estas plataformas basan su funcionamiento, presentan errores y vulnerabilidades explotables por la ciberdelincuencia. Precisamente porque estas plataformas se encuentran en un estadio experimental que evoluciona a una velocidad vertiginosa.
«Me asusta un poco el volumen de activos que se mueven a través de contratos inteligentes no auditados. Creo que las auditorías de seguridad serán una parte importante a medida que estos sistemas maduren.«
OLAF CARLSON-WEE, CEO de POLYCHAIN CAPITAL
EL Grupo de Acción Financiera Internacional (GAFI o FATF por su sigla en inglés) ya dio los primeros pasos emitiendo en marzo 2021 una nueva Guía para las aplicaciones descentralizadas (DApp) donde establece una relación potencial entre el desarrollador de la DApp y un proveedor de servicios de activos virtuales (VASP por su sigla en inglés), si se dedica como empresa, quedando en tanto obligado a implementar controles contra operaciones de lavado de dinero. LLega incluso a considerar que «la descentralización de cualquier elemento individual de las operaciones no elimina» esta responsabilidad por lo que los intercambios descentralizados también están incluidos.
FinCEN, la Red de Lucha contra el Crimen Financiero, aplica las mismas regulaciones a las plataformas de finanzas descentralizadas (DEXs) que a los ATM (cajeros automáticos) de Bitcoin, sin tener en cuenta si operan con fines comerciales o no.
La Comisión de Intercambio y Valores (SEC – Securities and Exchange Commission) de EEUU hace foco en las vulnerabilidades de las DeFi que han resultado en ciberataques, fraude y manipulación. La responsable del sector de criptomonedas, Valerie Szczepanik, en la Reunión Parallel Summit del 18 de septiembre 2020, recomendó a la industria del sector DeFi que trabajen en colaboración con los entes reguladores para evitar que estas innovaciones tecnológicas en finanzas se conviertan en facilitadores del fraude y otros ciberdelitos.
La Unión Europea, por su parte, introdujo la propuesta de regulación MICA (Markets in Crypto-Assets = Mercados de Critoactivos) que, en caso de ser aprobada, prohibirá a los intercambios descentralizados operar con ciudadanos europeos, salvo que se encuentren registrados como persona jurídica y tengan domicilio legal en uno de los estados miembros de la Unión. Podés leer el análisis de esta propuesta en este enlace del Grupo ATICO34. Sin embargo, a pesar de haber sido presentada en septiembre 2020, aún no ha sido aprobada.
En América Latina países como Argentina, Brasil, Chile y Panamá ya tienen proyectos de ley para una futura regulación de las criptomonedas; si se aprueban, es probable que estos proyectos contribuyan a reformular el ecosistema cripto. Sin embargo, no se observa con la misma intensidad el esfuerzo regulatorio que se encuentra en ciernes a nivel internacional con respecto a las DeFi, como tampoco a otras tecnologías como el crowdfunding y los contratos inteligentes.
Como novedad, en mayo de este año Colombia se convirtió en el primer país latinoamericano en abrir el primer Sandbox operativo en Latinoamérica. El mismo se encuentra regulado por la Comisión de Regulación de Comunicaciones (CRC) mediante la resolución 5980. Justo es mencionar que también es el único país del Cono Sur que ya poseía un sandbox regulatorio establecido por el decreto 1234. Cuando mencionamos sandbox no es sólo una regulación en sí misma sino que busca fomentar el crecimiento del sector fintech (tecnologías financieras) dentro de un marco de inclusión al sector financiero formal. El nuevo sandbox colombiano apunta a generar el crecimiento de los servicios de telecomunicaciones, Proveedores de Redes, desde multinacionales hasta comunitarios, Proveedores de Contenidos y Aplicaciones, Operadores de Servicios Postales y emprendedores. En México, por ejemplo, los activos virtuales están regulados por la Ley para Regular a las Instituciones de Tecnología Financiera o Ley Fintech, según la cual tanto estas entidades como los bancos tradicionales sólo pueden realizar operaciones con este tipo de activos de forma interna y no con el público general. Esta es la razón principal por la que el exchange de criptomonedas mexicano Bitso tuvo que crear una empresa particular que es la que ahora opera las transacciones de Bitso de cara al público general.
Y así podríamos recorrer cada uno de los países latinoamericanos donde el marco regulatorio de las finanzas descentralizadas es laxo, inexistente o antiguo de cara a las innovaciones que se ofrecen en el mercado financiero actual. Sin embargo es necesario resaltar que el público latinoamericano ante la situación de debilidad e inestabilidad de sus monedas fiat, ya hace unos años que incursionó en los activos virtuales, tendencia que se habría incrementado a causa de la pandemia COVID y su impacto en las economías regionales. Esta tendencia no pasa inadvertida para los desarrolladores de protocolos de finanzas descentralizadas que consideran seriamente la potencialidad del mercado latinoamericano, ni para los ciberdelincuentes, razón más que suficiente como para comenzar a pensar sobre la necesidad de brindar algún tipo de seguridad jurídica para quienes deseen incursionar en estas innovaciones financieras.
En Argentina en febrero 2021 se lanzó el proyecto RCN destinado a personas no bancarizadas en América Latina. «La innovación puntual que introduce RCN es la capacidad de que la deuda pedida por un usuario latinoamericano esté denominada en su moneda nacional, y no en dólares, De esta manera, su deuda no está expuesta a la devaluación de su moneda nacional», según declaró Charovzky, Jefe de Comunicaciones de RCN. Ya está disponible la opción para pedir préstamos denominados en pesos argentinos, financiados con otros activos como USD Coin (USDC), wrapped bitcoin (wBTC) y ether (ETH). Pero en el futuro próximo piensan expandir sus operaciones a los pesos colombianos, chilenos y argentinos, así como el real brasileño.
– Conclusiones –
El boom de las DeFi continuará y el apetito de la ciberdelincuencia por apropiarse de activos virtuales pareciera acompañar el ritmo innovador. Tendencia que, por otra parte, se da con casi todas las nuevas tecnologías. El impacto de la cantidad de dinero que atraen estas nuevas plataformas es notorio y su potencialidad de desarrollo recién se inicia. Como ocurre con toda innovación, el desconocimiento aumenta la percepción del riesgo pero no debiéramos desatender la evolución que irán teniendo en los próximos años.
Accesibles y dinámicas las finanzas descentralizadas se vuelvan una alternativa eficaz para todos aquellos que quieren incursionar con las criptomonedas. América Latina y el Caribe representan un mercado potencial para estas plataformas con una población estimada en 650 millones de personas, de las cuales apenas 51% tiene acceso al sistema financiero tradicional. Dos razones más que suficientes para conocer este ecosistema, sus fortalezas y debilidades y comenzar a generar estrategias frente al escenario de riesgos que puede desarrollarse alrededor de este ecosistema.
«¿Podríamos marcar el comienzo de un futuro en el que eliminemos el error, detengamos la discriminación y logremos el acceso universal para todos?»
Brian Brooks, contralor interino de la Moneda en Estados Unidos
Fuentes:
– https://dappradar.com/blog/10-defi-alternatives-not-on-ethereum
– https://decrypt.co/66038/top-performing-defi-coins-q1-not-ethereum
– https://ciphertrace.com/half-of-2020-crypto-hacks-are-from-defi-protocols-and-exchanges/
– https://hacken.io/about/
– https://www.gemini.com/cryptopedia/the-dao-hack-makerdao
https://atlasvpn.com/blog/blockchain-hackers-netted-over-100-million-in-q1-2021
https://www.ambito.com/opiniones/fintech/el-primer-sandbox-america-latina-n5190477
https://www.iproup.com/economia-digital/19901-defi-ya-podes-pedir-prestamos-en-pesos
https://blog.chainalysis.com/reports/lazarus-group-north-korea-doj-complaint-august-2020
https://es.cointelegraph.com/news/defi-coverage-protocol-expands-protection-against-centralized-exchange-hacks
https://es.cointelegraph.com/news/someone-just-moved-5m-in-btc-from-the-2016-bitfinex-hack
https://es.cointelegraph.com/news/venezuelan-police-arrest-hackers-who-had-violated-local-exchange
https://www.iproup.com/economia-digital/19901-defi-ya-podes-pedir-prestamos-en-pesos
http://etherscan.io/address/0x03e89f2e1ebcea5d94c1b530f638cea3950c2e2b#tokentxns
https://whale-alert.io/transaction/bitcoin/01528962490a332d8ec7431ef6d515fc875f2ede5827f87b603147564343ba59
Ciberprisma - alianza por la ciberseguridad 