Riesgo de custodia: por qué la prueba de reservas debe ir acompañada de auditorías

by | Nov 29, 2025 | hackeos y cumplimiento, Seguridad

Riesgo de custodia: por qué la prueba de reservas debe ir acompañada de auditorías

Explore cómo persiste el riesgo de custodia a pesar de la prueba de reservas y por qué las auditorías independientes son esenciales para proteger a los inversores en criptomonedas en 2025.

  • La prueba de reservas por sí sola puede ser engañosa; las auditorías aportan una garantía verificable.
  • Los custodios pueden mantener activos fuera de la cadena, lo que genera opacidad que la prueba de reservas no puede resolver por completo.
  • Las auditorías independientes de terceros revelan discrepancias y validan las prácticas de custodia.

Riesgo de custodia: por qué la prueba de reservas debe ir acompañada de auditorías es una pregunta central en el ecosistema actual de criptoactivos. En 2025, a medida que el dinero institucional fluya hacia activos reales tokenizados (RWA), los inversores minoristas se enfrentarán a una nueva forma de exposición: la seguridad de los acuerdos de custodia que albergan los fondos o valores subyacentes. La prueba de reservas (PoR) se promueve ampliamente como un mecanismo de transparencia, pero presenta limitaciones que pueden dejar a los inversores en una situación de vulnerabilidad. En este artículo, analizaremos la relación entre PoR y las auditorías, examinaremos ejemplos reales —incluidas las propiedades de lujo tokenizadas de Eden RWA— y describiremos qué se debe buscar al evaluar plataformas de custodia. El objetivo es dotar a los inversores minoristas intermedios de un marco claro para evaluar el riesgo de custodia en 2025 y en adelante.

Abordaremos:

  • La evolución de la custodia y PoR en el espacio de los criptoactivos

Antecedentes y contexto

La custodia se ha convertido en una piedra angular del movimiento de tokenización de activos. Las finanzas tradicionales dependen de custodios (bancos, compañías fiduciarias o depositarios de valores) para salvaguardar las tenencias físicas o electrónicas. En el ámbito de las criptomonedas, la custodia está más fragmentada: las plataformas de intercambio, las billeteras multifirma, los módulos de seguridad de hardware (HSM) y las empresas de custodia especializadas ofrecen distintos grados de control. La prueba de reservas surgió en 2019 como una técnica criptográfica que permite a los custodios publicar una instantánea de sus tenencias sin revelar saldos individuales. Una PoR generalmente implica firmar una raíz de árbol Merkle con la clave privada del custodio, que luego puede ser verificada por cualquier persona con el libro mayor público. El resultado es una afirmación de que “el custodio posee al menos X cantidad del token Y”. Los reguladores han comenzado a tomar nota. En 2024, la MiCA (Regulación de Mercados de Criptoactivos) introdujo directrices provisionales para los servicios de custodia, mientras que la SEC emitió declaraciones aclaratorias sobre los requisitos de custodia para tokens similares a valores. Estos desarrollos subrayan la creciente expectativa de que los custodios demuestren transparencia y confiabilidad. A pesar de estas señales regulatorias, PoR por sí solo no es suficiente para garantizar la seguridad de los activos. La técnica no audita los procesos subyacentes que generan la raíz de Merkle, ni verifica que los registros del custodio coincidan con las declaraciones en cadena o las auditorías externas. En consecuencia, PoR puede ser manipulado o tergiversado. Cómo funciona la Prueba de Reservas El flujo de trabajo estándar de PoR consta de varios pasos: Recopilación de datos: El custodio agrega los saldos de todas las billeteras y cuentas relevantes. Construcción del árbol de Merkle: Cada saldo de activo se convierte en un nodo hoja. El árbol se somete a un hash para producir un hash raíz.

  • Firma: El custodio firma la raíz con su clave privada, creando una prueba firmada.
  • Publicación: La raíz firmada y la firma se publican públicamente (por ejemplo, en una cadena de bloques o un sitio web).
  • Verificación: Cualquiera puede verificar que la firma coincide con la clave pública del custodio y que el hash raíz corresponde a los saldos reclamados.

    • Si bien técnicamente es sólido, este proceso tiene puntos ciegos:

    • El custodio podría firmar una raíz fabricada que no refleje las tenencias reales.
    • Los errores u omisiones en la agregación de datos pueden dar lugar a un árbol Merkle inexacto.
    • PoR no ofrece garantía temporal; La instantánea puede quedar obsoleta en cuestión de minutos si los saldos cambian.

    Por qué son importantes las auditorías

    Una auditoría independiente añade una capa de verificación de la que carece PoR. Los auditores revisan:

    • Controles internos: Cómo se rastrean, concilian y reportan los saldos.
    • Segregación de funciones: Si la misma entidad se encarga de la custodia, la conciliación y los informes.
    • Postura de seguridad: Módulos de seguridad de hardware, prácticas de almacenamiento en frío y planes de respuesta a incidentes.
    • Precisión de la conciliación: Verificación cruzada de los saldos en cadena con los libros contables de custodia.

    Los auditores también emiten un informe firmado que puede compartirse públicamente. A diferencia de PoR, la credibilidad de una auditoría depende de la reputación del auditor, su metodología y su adhesión a estándares internacionales como ISO 27001 o NIST CSF.

    Impacto en el mercado y casos de uso

    La combinación de PoR y auditorías ya está dando forma a varios sectores:

    • Bienes raíces tokenizados: las plataformas emiten tokens de propiedad respaldados por activos físicos. Los inversores confían en los custodios para mantener los valores subyacentes o los títulos inmobiliarios.
    • Ofertas de tokens similares a valores (STO): Los marcos regulatorios exigen la verificación de custodia de las tenencias antes de su inclusión en la lista.
    • Muchas bóvedas de agregación de rendimiento publican PoR, pero cada vez más buscan auditorías de terceros para satisfacer a los socios institucionales.

    A continuación, se muestra una tabla comparativa simplificada que ilustra las diferencias entre confiar únicamente en PoR frente a combinarlo con una auditoría:

    Característica Solo prueba de reservas Prueba de reservas + Auditoría
    Nivel de transparencia Alto (público hash raíz) Muy alto (raíz + informe de auditoría)
    Verificación de procesos No
    Riesgo de tergiversación Medio-alto Bajo
    Aceptación regulatoria Limitada Apoyo creciente
    Confianza de los inversores Moderada Alta

    Riesgos, regulación y desafíos

    Incluso con PoR y auditorías, el riesgo de custodia persiste:

    • Riesgo de contrato inteligente: Los custodios pueden usar en cadena Monederos vulnerables a errores o exploits.
    • Fallas de cumplimiento de KYC/AML: Es posible que los custodios no investiguen completamente a todos los participantes, lo que expone a la plataforma a sanciones.
    • Ambigüedad legal sobre la propiedad: Los titulares de tokens podrían no tener derechos legales sobre los activos subyacentes si los contratos carecen de claridad.
    • Restricciones de liquidez: Incluso un custodio bien auditado puede enfrentar escasez de liquidez durante la tensión del mercado.

    Los reguladores están endureciendo las normas. La “Regla de Custodia” propuesta por la SEC para tokens de valores exigiría auditorías como parte de los requisitos de cotización, mientras que MiCA probablemente extenderá estándares similares a los residentes de la UE. El incumplimiento podría resultar en multas o la exclusión de la lista.

    Perspectivas y escenarios para 2025+

    Escenario alcista: Las empresas de custodia adoptan registros de auditoría basados ​​en blockchain e integran PoR en tiempo real con monitoreo continuo. La confianza de los inversores aumenta, lo que genera mayores entradas de capital hacia los activos tokenizados.

    Escenario bajista: Una violación de custodia de alto perfil desencadena una ola de demandas y medidas regulatorias enérgicas. El mercado reacciona endureciendo la diligencia debida, lo que aumenta los costos para los emisores.

    Caso base: Los custodios continúan publicando PoR mientras agregan gradualmente niveles de auditoría. La demanda institucional se mantiene sólida, pero los inversores se vuelven más exigentes con la divulgación de información sobre custodia.

    Eden RWA: un ejemplo concreto

    Eden RWA es una plataforma de inversión que democratiza el acceso a bienes raíces de lujo en el Caribe francés mediante propiedades tokenizadas que generan ingresos. El modelo funciona de la siguiente manera:

    • Cada villa en San Bartolomé, San Martín, Guadalupe o Martinica es propiedad de una entidad de propósito especial (SPV), generalmente una SCI o una SAS.
    • Eden emite tokens inmobiliarios ERC-20 que representan acciones indirectas de la SPV. Por ejemplo, los titulares del token STB-VILLA-01 poseen una participación fraccionaria en una villa de Saint-Barthélemy.
    • La plataforma recauda los ingresos por alquiler y los distribuye a los inversores en USDC directamente en sus monederos Ethereum mediante contratos inteligentes automatizados.
    • Un sorteo trimestral de experiencias selecciona a un titular del token para una estancia gratuita de una semana, lo que añade utilidad más allá de los ingresos pasivos.
    • La gobernanza sigue un modelo “DAO-light”: los titulares del token votan en decisiones importantes como renovaciones o el momento de la venta.

    La custodia desempeña un papel fundamental. Los activos del SPV (las escrituras de los inmuebles y los contratos de alquiler) se mantienen en un sistema de custodia seguro que debe demostrar la propiedad y los flujos de ingresos a los titulares del token. Eden publica PoR para sus saldos de tesorería, pero también encarga auditorías anuales de sus prácticas de custodia, código de contratos inteligentes e informes financieros. Este enfoque dual se alinea con el marco de mejores prácticas mencionado anteriormente. Para los inversores interesados ​​en la exposición fraccionaria a bienes raíces, Eden RWA ofrece una vía estructurada que combina la transparencia de la blockchain con las garantías legales tradicionales. La preventa de la plataforma ya está disponible para los interesados.

    Conclusiones prácticas

    • Verifique siempre que el custodio publique tanto el PoR como un informe de auditoría independiente.
    • Verifique las credenciales del auditor: busque certificaciones ISO 27001, NIST CSF o específicas del sector.
    • Comprenda cómo se concilian los saldos en la cadena con las tenencias fuera de ella. Los desajustes pueden indicar riesgo.
    • Supervisar las políticas de custodia en torno a KYC/AML para garantizar el cumplimiento normativo.
    • Evaluar las disposiciones de liquidez: ¿puede el custodio desbloquear activos rápidamente si las condiciones del mercado cambian?
    • Evaluar los mecanismos de gobernanza que permiten a los titulares de tokens influir en las decisiones de custodia.
    • Realizar un seguimiento de la frecuencia y el alcance de las auditorías; las auditorías anuales son estándar, pero las revisiones trimestrales aportan seguridad.

    Mini preguntas frecuentes

    ¿Qué es exactamente la prueba de reservas (PoR)?

    PoR es un método criptográfico en el que un custodio firma una raíz de árbol de Merkle que representa los saldos totales de los activos que posee. Cualquiera puede verificar la firma con la clave pública del custodio para confirmar las tenencias declaradas.

    ¿Puede PoR sustituir a las auditorías tradicionales?

    No. Si bien el PoR proporciona transparencia sobre los saldos en cadena, no audita los controles internos, los procesos de conciliación ni la propiedad legal. Se necesitan auditorías independientes para una garantía integral.

    ¿Con qué frecuencia debe un custodio realizar una auditoría?

    La mejor práctica del sector es realizarla al menos una vez al año, con revisiones provisionales (trimestrales o semestrales) para custodios de alto volumen. Algunas plataformas optan por la monitorización continua mediante herramientas automatizadas.

    ¿Qué sucede si un custodio no supera la auditoría?

    Una auditoría fallida suele desencadenar planes de remediación, posibles sanciones de los reguladores y la pérdida de confianza de los inversores. Los inversores pueden retirar fondos o exigir una compensación según los términos contractuales.

    ¿Es el PoR suficiente para el cumplimiento normativo?

    Los reguladores exigen cada vez más que tanto el PoR como los estados financieros auditados cumplan con los estándares de custodia, especialmente según las directrices de la MiCA y la SEC. Es poco probable que la dependencia exclusiva de PoR satisfaga todas las obligaciones legales.

    Conclusión

    El riesgo de custodia sigue siendo un desafío fundamental a medida que los criptoactivos convergen con las inversiones en el mundo real. La prueba de reservas ofrece una transparencia valiosa, pero debe complementarse con auditorías rigurosas e independientes para validar las reclamaciones y los procesos de custodia. Plataformas como Eden RWA ilustran cómo la combinación de PoR, la automatización de contratos inteligentes y la custodia auditada puede crear clases de activos tokenizados sólidas y favorables para los inversores.

    Para los inversores minoristas intermedios, la clave es la vigilancia: mirar más allá de las llamativas declaraciones de PoR y exigir informes de auditoría exhaustivos antes de asignar capital a plataformas de custodia. A medida que se acerca el año 2025, quienes adopten un enfoque disciplinado para la garantía de custodia estarán mejor posicionados para gestionar tanto las oportunidades de crecimiento como las incertidumbres regulatorias.

    Descargo de responsabilidad

    Este artículo tiene fines meramente informativos y no constituye asesoramiento en materia de inversión, legal o fiscal. Siempre haga su propia investigación antes de tomar decisiones financieras.