Los exchanges de Cripto deberían analizar detenidamente los servicios de enmascaramiento de direcciones IP

Richard Malish es asesor general de NICE Actimize, donde asesora sobre cuestiones globales de lucha contra el blanqueo de dinero, fraude, cumplimiento comercial y regulación bancaria.

El Fiscal General de Nueva York (NY AG) emitió recientemente un informe sobre sus investigaciones a múltiples plataformas de intercambio de divisas virtuales que se cree operan en Nueva York. ONE de sus muchos hallazgos interesantes fue cómo las redes privadas virtuales (VPN) pueden permitir la manipulación del mercado.

Las VPN son una herramienta fundamental para los operadores de Criptomonedas que priorizan la privacidad, así como el único método para que algunos operadores accedan a estos Mercados en países como China. Según el informe del Fiscal General de Nueva York, ¿deberían las plataformas de intercambio de Cripto asumir que el acceso a las VPN ya no está permitido?

No necesariamente, pero necesitan analizar la cuestión en el contexto más amplio de su programa de cumplimiento general.

En retrospectiva, el enfoque del Fiscal General de Nueva York en las VPN se enmarcaba en la eficacia de los controles de acceso para garantizar la imparcialidad, la integridad y la protección de los clientes. Los controles de acceso comienzan con procesos básicos de Conozca a su Cliente ("KYC") para confirmar la identidad de un nuevo cliente.

Mientras que ocho de las plataformas de negociación que respondieron a la consulta exigían a los clientes que presentaran diversos tipos de información personal e identificación oficial antes de operar, Bitfinex requiere solo una dirección de correo electrónico para operar entre plataformas (a diferencia de retirar o depositar moneda fiduciaria). Tidex, que afirma prohibir el acceso a usuarios de Estados Unidos y que actualmente está solicitando a la Red de Control de Delitos Financieros (FinCEN) su conversión en una empresa de servicios financieros, solo requiere nombre, correo electrónico y número de teléfono.

Un control de acceso adicional común para los negocios en línea es monitorear las direcciones IP de los usuarios para determinar su ubicación geográfica aproximada y rastrear comportamientos sospechosos provenientes de una conexión informática específica. Por ejemplo, las transacciones en varias cuentas provenientes de una ONE dirección IP pueden ser sospechosas. El acceso simultáneo desde direcciones IP distantes podría ser una señal de fraude o ciberataque.

Las direcciones IP también se pueden enmascarar mediante VPN que enrutan la conectividad a través de una red de terceros. Esto permite a una persona simular residir en una jurisdicción diferente o abrir varias cuentas y simular que no están relacionadas. Las empresas que bloquean el acceso a las VPN, como Netflix y Hulu, probablemente estén verificando el acceso con una lista conocida de servidores VPN. Estos controles no son infalibles, ya que los servicios de VPN suelen cambiar las direcciones IP de los servidores para ir un paso por delante (como pueden validar quienes usan una VPN para acceder a Facebook o plataformas de intercambio de Cripto desde China, donde las VPN sin licencia son ilegales).

Si bien la mayoría de las plataformas de intercambio que respondieron al Fiscal General de Nueva York informaron que monitorean el acceso por dirección IP, solo dos afirmaron limitar el acceso a VPN. Las dos plataformas, Bitstamp y Poloniex (ahora parte de Circle), se han retirado de varias jurisdicciones debido a problemas regulatorios.

Comercio de lavado

Además de asegurarse de que las direcciones IP de Nueva York no tengan acceso a intercambios no autorizados, el Fiscal General de Nueva York expresó su preocupación de que los intercambios de Cripto que no requieren documentación para ejecutar una operación ni toman medidas activas para bloquear el acceso a través de VPN podrían no ser capaces de abordar la actividad comercial manipuladora o abusiva.

Por ejemplo, una persona puede abrir dos cuentas y realizar operaciones de lavado, que ocurren cuando los operadores compran y venden el mismo activo repetidamente para crear la falsa apariencia de actividad de mercado para mover los precios.

Lamentablemente, se cree que las operaciones de lavado son comunes en los Mercados de Cripto porque los intercambios se clasifican en función del volumen de operaciones.

Un informe estima que más de 7 de las 10 principales bolsas realizan operaciones de lavado excesivas, de entre 12 y más de 100 veces su volumen real, y se cree que una de ONE infla sus operaciones 4.400 veces.

lavado de dinero

El acceso a VPN también puede suponer riesgos desde la perspectiva de la lucha contra el blanqueo de capitales. Las casas de cambio de divisas virtuales están sujetas a los requisitos de la Ley de Secreto Bancario contra el blanqueo de capitales desde 2011. El incumplimiento de los requisitos de KYC puede acarrear importantes sanciones, como la multa de 700.000 dólares impuesta por la FinCEN a Ripple Labs en 2015.

La Oficina de Control de Activos Extranjeros (OFAC) también ha declarado que tratará las monedas digitales de la misma manera que las monedas fiduciarias, y las violaciones de las sanciones conllevan una responsabilidad estricta que no requiere que se pruebe la intención de violar la ley.

La FinCEN se ha centrado en las direcciones IP mencionadas en los informes de actividades sospechosas (SAR) durante muchos años. En 2014, la agencia informó que una investigación de las direcciones IP mencionadas en los SAR encontró 975 coincidencias con posibles direcciones de la red Tor, correspondientes a informes por un total de casi 24 millones de dólares en probable actividad fraudulenta.

Sin embargo, antes de la llegada de las criptomonedas, era improbable que la FinCEN esperara la presentación de un SAR solo por el uso de diferentes direcciones VPN. Algunos bancos han restringido el acceso VPN a sus sitios web, pero las políticas difieren entre empresas.

Es poco probable que haya nuevas reglas, pero...

Será interesante ver si la naturaleza puramente digital de las criptomonedas, y quizás el auge de los bancos digitales, resultará en un mayor escrutinio regulatorio de las VPN por parte de los reguladores estadounidenses. Parece improbable que se aprueben normas federales prescriptivas para las VPN en el futuro próximo, dado el enfoque conservador adoptado por reguladores como la Comisión de Bolsa y Valores (SEC) y la Comisión de Comercio de Futuros de Materias Primas (CFTC) en cuestiones más fundamentales relacionadas con las Criptomonedas.

Hasta la fecha, el informe del Fiscal General de Nueva York es, aparentemente, solo una plataforma para educar al público y proporcionar una serie de preguntas que los consumidores deberían plantearse para protegerse al considerar diversas plataformas de intercambio. Si bien tres de las cuatro plataformas que no respondieron a la consulta (Binance, Gate.io y Kraken) fueron denunciadas ante el Departamento de Servicios Financieros del Estado de Nueva York (DFS) por una posible infracción de las regulaciones estatales sobre monedas virtuales, no está claro si el informe del Fiscal General de Nueva York animará al DFS o a otros reguladores a obligar a las plataformas de intercambio de criptomonedas a prohibir las VPN.

En cambio, es muy probable que las plataformas de intercambio de Criptomonedas se vean obligadas a considerar el acceso a VPN como parte de cualquier acción regulatoria o policial por manipulación del mercado, algo que podría ocurrir en cualquier momento. En febrero de 2018, el DFS ya recordó a las empresas de criptomonedas que implementaran medidas para disuadir la manipulación del mercado.

Según informes, el Departamento de Justicia de EE. UU. (DOJ) ha estado trabajando con la CFTC en una investigación criminal sobre posible manipulación del Mercados de Cripto desde al menos el verano. La CFTC demostró que se toma en serio la manipulación del mercado de Criptomonedas ya en 2015, cuando resolvió los cargos de operaciones de lavado contra TeraExchange por el delito, bastante inocuo, de reportar una transacción de prueba de intercambio de Bitcoin como una transacción real.

Conclusión

Los intercambios de Criptomonedas que operan en EE. UU. o hacen negocios con clientes en EE. UU. deben revisar rápidamente sus políticas para verificar y monitorear el acceso autorizado.

Si su empresa desea seguir permitiendo direcciones VPN enmascaradas, la decisión debe tomarse considerando otros controles y el perjuicio que la manipulación del mercado o las acusaciones de blanqueo de capitales podrían tener para su negocio. Por ejemplo, los controles de acceso mediante reconocimiento facial podrían considerarse como un método alternativo para evitar que una persona opere con varias cuentas.

Sin embargo, si su intercambio actualmente permite a los usuarios abrir múltiples cuentas, no tiene una Regulación de manipulación del mercado o está fomentando activamente la manipulación del mercado para aumentar su clasificación de capitalización de mercado, la VPN puede ser solo una nota al pie en su eventual acción de cumplimiento.

MASKimagen vía Shutterstock