El supervisor europeo choca con Bruselas a cuenta de la ciberseguridad de las plataformas de criptos

La industria de las criptomonedas y los inversores europeos están en plena cuenta atrás para la entrada en vigor del reglamento MiCA (Markets in Crypto Assets), a finales de diciembre. La expectación es alta ante una normativa que pretende poner orden a un mercado desregulado y armonizar la legislación en la UE. Sin embargo, la Autoridad Europea de Valores y Mercados (ESMA) ha instado a la Comisión Europea a ir más allá y a enmendar la legislación para que exija a las empresas de criptoactivos una auditoría externa de ciberseguridad. Bruselas ha rechazado esta posibilidad, argumentando que excede el alcance regulatorio previsto por MiCA.

El debate entre las dos entidades empezó con la petición de la ESMA, recogida en un informe final de normas técnicas de regulación (RTS) que publicó el pasado marzo y donde resaltaba que “debido a la naturaleza descentralizada y digital de los criptoactivos, los riesgos de ciberseguridad para los proveedores de servicios de criptos son significativos y se presentan de muchas formas”. Por ello, según el regulador, para prevenir los ciberataques, pérdidas financieras o robo de datos, las autoridades nacionales encargadas de autorizar las solicitudes de registro de las empresas (en el caso español, la CNMV) deberían conocer los sistemas y recursos que estas compañías adoptan para abordar los riesgos de ciberseguridad.

En concreto, en sus normas técnicas de regulación la Esma exige una evaluación de vulnerabilidades, revisiones de configuración y hasta pruebas de penetración, en las que un experto en ciberseguridad intenta encontrar y aprovechar las debilidades de un sistema informático. Se trata de medidas que van más allá de lo incluido en MiCA, que prevé algunos requisitos sobre ciberseguridad, aunque de carácter más general: pide a las empresas tener establecidas políticas que estén pensadas para minimizar los riesgos, que incluyen la protección de fraudes, de amenazas cibernéticas o de cualquier tipo de negligencia.

En una opinión emitida recientemente, la Comisión Europea rechazó este requisito alegando que excede su ámbito de regulación. “Es fundamental subrayar que las normas técnicas de regulación deben estar en conformidad con el mandato legal establecido en el reglamento MiCA y no deben exceder dicho mandato imponiendo obligaciones adicionales”, se lee en la respuesta. No obstante, plantea la posibilidad de que estas auditorías externas sean opcionales, es decir, que las empresas puedan presentarlas si disponen de ellas. Si bien en estos casos las instituciones intentan llegar a un acuerdo, es la Comisión la que tiene la última palabra. Preguntada por este periódico, no ha querido hacer ningún comentario adicional.

Sin embargo, la ESMA sigue defendiendo su posición. En una respuesta a la Comisión, pidió la semana pasada una modificación de MiCA para que estas auditorías sean un requisito obligatorio para las empresas en el proceso de autorización. Y añade que, sin ellas, cada supervisor podría establecer estándares diferentes, con la consecuente fragmentación del mercado, algo contrario al objetivo perseguido por MiCA, eso es, unificar la regulación de la industria en el Viejo Continente.

Mariona Pericas Estrada, asociada principal de la consultora finReg360, explica que los requisitos propuestos por la ESMA son mucho más exigentes respecto a los previstos por MiCA y por la Ley de Resiliencia Operativa Digital (Dora) –que regula el sector financiero europeo frente a perturbaciones y amenazas relacionadas con las tecnologías de la información y las comunicaciones– y cuya aplicación empezará a ser realidad el próximo 17 de enero. “Nos sorprendió mucho por dos razones. La primera es que Dora todavía no ha entrado en aplicación y la normativa que la desarrolla no está terminada, entonces tiene sentido incorporar estos requisitos como futuribles”, detalla. “En segundo lugar, las auditorías que piden son mucho más exigentes respecto a lo que Dora, que es un reglamento de aplicación directa, exige. Mientras la Esma, en unos RTS de segundo nivel, tiene que desarrollar aquello que el reglamento permite”, destaca.

El rifirrafe entre las dos instituciones todavía no se ha cerrado. El próximo paso, explica la experta, está en encontrar un acuerdo para aprobar los RTS finales. Sin embargo, desde su punto de vista, todo apunta a que la balanza se inclinará a favor de la Comisión Europea. “Lo que pide es que no se exija como requisito de entrada, porque a lo mejor un proveedor más pequeño, con sistema más sencillo, no necesita una auditoría de este calibre. En cambio, uno más grande y con tecnología más completa, sí”, asevera.

Un riesgo bajo la lupa

La tecnología DLT y los sistemas informáticos que utilizan estos proveedores están en el punto de mira de la UE, ya que se trata de un terreno novedoso y desconocido. Por ello, la Esma insta a los legisladores europeos a blindar en MiCA todas las medidas de seguridad adicionales que estén a su alcance para proteger a los consumidores, ante la posibilidad de una adopción masiva con la entrada en vigor de la normativa.

Las preocupaciones de la entidad no son baladí. En una economía cada vez más digitalizada, los delitos informáticos están a la orden del día. En los primeros siete meses de 2024, la actividad de hacking en el ecosistema de los criptoactivos ha aumentado respecto al año pasado: el valor acumulado robado hasta finales de julio superaba los 1.580 millones de dólares (unos 1.466 millones de euros al tipo de cambio actual), según un informe de Chainalysis.

Pero los hackers se han vuelto más eficientes, ya que han robado un 84,4% más pese a que estas actividades delictivas solo han incrementado un 2,76% respecto al mismo periodo del año anterior. De hecho, el monto promedio sustraído en cada ataque se ha duplicado, pasando de los 5.900 millones de dólares de 2023 a los 10.600 de 2024 (un 79,46% más). Parte del aumento del volumen depende también del incremento del valor de las criptos: el bitcoin, por ejemplo, repunta un 60% en lo que va de año.

Las entidades atacadas son variadas, pero entre ellas figuran también plataformas grandes o establecidas. El caso más emblemático es el del exchange Mt. Gox, en su tiempo un gigante del mercado de bitcoin, que fue víctima de un hackeo masivo en 2014, cuando se pulverizaron unos 750.000 bitcoins, un 6% de la moneda digital en circulación en ese momento, decretando su colapso. En 2018, los hackers atacaron la japonesa Coincheck y robaron 534 millones en monedas NEM. En 2022, Binance, el exchange de criptomonedas más grande del mundo, sufrió un ataque en el que perdió 570 millones de dólares. El mismo año, poco después de declarar bancarrota, la plataforma FTX fue hackeada y perdió unos 600 millones. Sin ir más lejos, el mes pasado BingX vio desaparecer unos 50 millones de dólares.

Por todos estos motivos, Pericas considera que, si bien parte de la industria cree excesivos los requisitos que pide la Esma, por otro lado, algunas entidades hacen de la seguridad su bandera. Aunque no lleguen a entregar una auditoría externa en el momento de la autorización por parte de los supervisores, es posible que opten por hacerlas en futuro.