Mientras esperaba con el resto del mundo que se aprobara el primer ETF de bitcoin, una cosa ha ido creciendo en mí: con un puñado de ellos, incluidos Fidelity y VanEck, casi todos los que solicitan un ETF de bitcoin quieren usar Coinbase como su propio. supervisor.
David Schwed es el director de operaciones de Halborn.
Como líder en ciberseguridad que se centra en blockchains, la cantidad de estas amenazas combinadas con el alto nivel de seguridad criptográfica y las medidas de seguridad en evolución me hacen reflexionar.
No es Coinbase en sí lo que me preocupa aquí. La empresa nunca se ha visto afectada por un fraude conocido, lo que explica por qué muchas instituciones culturales creen saberlo. Sin embargo, no existe un objetivo inamovible: cualquier cosa y cualquier persona puede verse comprometida, si se le da suficiente tiempo y recursos, lo cual es una lección que aprendí trabajando en la intersección de la ciberseguridad y la gestión de activos.
Lo que me preocupa es la acumulación de recursos en un solo cuidador. Y teniendo en cuenta la naturaleza de los criptoactivos, eso complica las cosas.
Quizás haya llegado el momento de reconsiderar el “administrador cualificado”, una firma válida que no garantiza que los activos de riesgo de la cadena de bloques sean seguros (o incluso mejores). Además, idealmente, los administradores de activos digitales deberían estar sujetos a una mayor supervisión por parte de supervisores capacitados, bajo regulaciones estatales y federales más estrictas que la que están actualmente.
Hoy en día, la mayoría de los gestores cualificados protegen activos, bonos o saldos rastreados digitalmente, todos los cuales son contratos legalmente vinculantes que no pueden ser “robados”. Pero bitcoin (BTC), al igual que el efectivo y el oro, se conoce como portador. Un hack criptográfico exitoso es como un robo a un banco en el Salvaje Oeste: una vez que está en manos del ladrón, el dinero desaparece.
Entonces, para un custodio de criptomonedas, un error es suficiente para que el activo se destruya por completo.
También sabemos que el poder del criptocrimen en todo el mundo es peligroso y seguro. Para citar un ejemplo notable, se cree que el grupo norcoreano Lazarus ha robado 3.000 millones de dólares en los últimos seis años y no muestra signos de detenerse. Se espera que los flujos de entrada a los ETF de bitcoin superen los 6.000 millones de dólares en la primera semana de operaciones, lo que convierte al fondo en un objetivo principal.
Si Coinbase termina con miles de millones de bitcoins en sus bóvedas digitales, Corea del Norte podría planear un proyecto de 50 millones de dólares para robar el dinero, incluso si lleva algunos años. Los actores de riesgo como el grupo ruso Cozy Bear/APT29 también pueden ver crecer el número de seguidores criptográficos de la compañía a medida que estos grupos crecen, tal vez incluso más.
Ésta es la cantidad de riesgo para la que se preparan los grandes bancos. Un modelo común de gestión de riesgos en instituciones financieras utiliza tres niveles de gestión. En primer lugar, la sección de gestión empresarial desarrolla e implementa medidas de seguridad; segundo, la unidad de riesgos monitorea y evalúa el sistema; y tercero, la investigación estratificada garantiza que las estrategias de mitigación de riesgos sean efectivas.
Además de eso, una institución financiera heredada tendrá auditores externos y supervisión de TI externa, así como muchos reguladores estatales y federales que la vigilarán. Muchos, muchos ojos mirarán ambos lados del riesgo y la seguridad.
Pero estas múltiples capas de redundancia y anidamiento de seguridad requieren una cosa simple: personal.
Durante mi etapa como director global de tecnología global en BNY Mellon, el banco de inversión tenía alrededor de 50.000 empleados, de los cuales alrededor de 1.000 (o el 2%) estaban en la industria de valores. Coinbase, incluso después del reciente aumento, tiene menos de 5.000 empleados. BitGo, que también es un administrador calificado aprobado por el Estado de Nueva York y otras jurisdicciones, tiene sólo unos pocos cientos.
Esto no pretende criticar las intenciones o habilidades de estas organizaciones o sus empleados. Pero es necesario interrumpir la verdadera supervisión para que estas nuevas agencias tengan dificultades para cumplir al nivel adecuado y obtener miles de millones de dólares en equipos portátiles.
Antes de que estas cifras aumenten (y atraigan a los malos), ya es hora de actualizar los estándares de ciberseguridad para la selección de administradores calificados. Actualmente, estos nombres van acompañados de una licencia bancaria o fiduciaria, supervisada por reguladores estatales y federales. Se trata de reguladores financieros que se centran en la banca tradicional, no en expertos en ciberseguridad ni en criptoexpertos. Tiene sentido consultar sitios web, sistemas legales y otros servicios financieros.
Pero para los reguladores criptográficos, estos no son los únicos tipos de monitoreo que son importantes, ni siquiera los más importantes. No existen estándares corporativos con respecto a las prácticas de seguridad cibernética y gestión de riesgos por parte de los administradores de criptomonedas en particular, lo que significa que el “administrador calificado” no es tan alentador como podría parecer. Esto muestra no sólo a los inversores sino a toda la sociedad que empezó a estar expuesta al riesgo de consecuencias negativas.
La aprobación de los ETF de bitcoin es el último paso en la integración de los activos digitales en los mercados financieros. No es necesario confiar en los inversores criptográficos para estas predicciones; basta con preguntarle a Blackrock, el conocido gigante que respalda los ETF. Mientras esto continúa, los reguladores interesados en la seguridad empresarial se centrarán en adaptarse a este nuevo mundo: donde los estándares estrictos de ciberseguridad son tan importantes para la estabilidad financiera como las revelaciones honestas y las auditorías financieras.