Wall Street no comprará promesas de seguridad “sin confianza”

Los intercambios de cifrado se han convertido en los principales lugares donde millones de personas y empresas almacenan y transfieren dinero digital. Según datos de la industria, el mercado de las criptomonedas registra actualmente entre 190 y 192 mil millones de dólares en volumen de operaciones en 24 horas. A medida que los intercambios se expanden hacia lugares de múltiples activos, el mecanismo de seguridad evoluciona más allá de las billeteras hacia la identidad, los permisos, los precios y la liquidación. Sin embargo, a pesar de la creciente presión de los reguladores, su seguridad sigue fallando.

En 2025, se robaron más de 3 mil millones de dólares en criptoactivos, según estimaciones de la industria. Además, varios incidentes causaron pérdidas de más de mil millones de dólares cada uno. ¿Eran estas plataformas pequeñas o con fondos insuficientes? No.

Los mayores hackeos ocurrieron en importantes bolsas globales con amplio capital y tecnología. Por lo tanto, la falta de recursos asignados para la protección no era el problema: la seguridad, todavía tratada como marketing, sí lo era.

Gran parte de la industria sigue tratando la seguridad como un desempeño más que como una disciplina operativa. Las bolsas invierten en lo que parece convincente en la superficie: paneles de control, instantáneas de reservas, fondos de protección, declaraciones públicas. Parece tranquilizador, pero no demuestra cómo se gestiona el riesgo en el día a día.

Por eso, a menos que la seguridad esté diseñada para ser aplicada, no para exhibirse, incluso las plataformas más grandes seguirán siendo frágiles. Y cuando llega el estrés, esa fragilidad se contagia a los usuarios de inmediato.

La seguridad performativa es peligrosa

De hecho, lo que está sucediendo es lo que yo llamo "teatro de seguridad". Es cuando un intercambio se centra en parecer seguro, pero en realidad no lo es. De modo que la atención se centra en la óptica, como los titulares y las declaraciones refinadas, mientras que la gobernanza real sigue siendo débil.

He visto cómo se arraiga esa mentalidad. Cuando una empresa está creciendo, debe moverse rápido y mantener todo fluido para los usuarios. En tales condiciones, los controles de seguridad son una fricción. Ralentizan las decisiones al agregar pasos adicionales y generar preguntas incómodas como "¿Quién puede aprobar esta transferencia?" Y "¿qué pasa si accede la persona equivocada?" Es por eso que muchas plataformas prefieren la confianza superficial a la disciplina interna.

Y el gran problema es que esta falsa confianza no sobrevive al estrés. En julio de 2024, WazirX de la India sufrió una vulneración de cartera de aproximadamente 235 millones de dólares y suspendió retiros. En mi opinión, es un recordatorio útil de lo rápido que “todo parece estar bien” puede hacer que los usuarios pierdan el acceso a sus fondos.

Y ese es el punto. La seguridad no es una página, un logotipo o un fondo. Son las reglas diarias las que controlan cómo se mueve el dinero, quién tiene acceso y cómo se manejan los casos cuando algo sale mal.

Qué deben demostrar los intercambios para ganarse una confianza real

La auténtica seguridad cambiaria es un sistema que soporta el estrés y eso se puede comprobar. Según mi experiencia, tiene tres rasgos principales:

demuestra el respaldo total de los saldos de los clientes,

controla cómo se mueve el dinero,

y responde rápidamente en una crisis.

La prueba de reservas es un comienzo para demostrar que el sistema puede resistir el estrés. En pocas palabras, es evidencia de que existen ciertos activos. Aún así, dice poco sobre lo que le debe el intercambio, qué reglas se aplican a su dinero si el intercambio tiene problemas o si los números son ciertos cuando muchos usuarios retiran a la vez. Por eso la transparencia debe ser bilateral.

Debe mostrar claramente los activos y pasivos, con una verificación independiente. Y la “prueba” debería ser verificable, por ejemplo, mediante métodos criptográficos que permitan a los usuarios confirmar la inclusión sin exponer los saldos.

Luego viene la parte que evitan la mayoría de las “páginas de seguridad”: reglas estrictas dentro de la empresa. Ninguna persona debería poder mover los fondos de los clientes, las actividades inusuales deberían generar revisiones y las transferencias grandes deben requerir la aprobación de al menos dos personas. Con estos controles implementados, una cuenta comprometida no puede provocar una reacción en cadena en toda la plataforma.

Dado que los intercambios se están convirtiendo en plataformas de múltiples activos, esas reglas necesitan un objetivo más: evitar que un error de permiso o una anomalía de precios se extienda a liquidaciones entre activos.

La respuesta rápida a incidentes es la prueba final de la seguridad real. Un intercambio serio sabe exactamente lo que sucede en la primera hora, aísla la infracción, pausa los flujos críticos y se comunica con claridad. Los retrasos y el silencio no dan tiempo; simplemente multiplican el daño.

Por supuesto, estas medidas no cubren todos los riesgos posibles. Aun así, forman la columna vertebral de la verdadera durabilidad del intercambio, del tipo que evita que los incidentes rutinarios se conviertan en fallas sistémicas.

Para 2026, “confiar en nosotros” costará demasiado

Si los intercambios quieren retener a sus clientes y atraer capital institucional serio, deben dejar de actuar como actores en un espectáculo de seguridad. Las palabras tranquilizadoras y las páginas pulidas pueden calmar a las personas en momentos de tranquilidad, pero fracasan cuando llega una gran crisis.

Los grandes inversores ya han comenzado a tratar la seguridad como un riesgo de contraparte básico. Quieren evidencia de controles, separación de funciones, garantía independiente y un plan de respuesta que funcione bajo presión.

Entonces, en 2026, un simple "confía en nosotros" en una página de inicio no será válido.