¿Puede BitLicense de Nueva York prevenir otra catástrofe como la de Mt. Gox?

La publicación de la propuesta de regulación para las criptomonedas por parte del Departamento de Servicios Financieros de Nueva York (NYDFS) ha suscitado numerosas preguntas, muchas de las cuales se centran en la amenaza a la innovación en este sector y su impacto en una adopción más amplia. Sin embargo, una pregunta que podría valer la pena considerar es: ¿detendrán estas regulaciones otra catástrofe de Mt. Gox?

Si bien no se puede decir que cualquier esquema regulatorio sea 100% exitoso a la hora de eliminar a los malos actores o a las empresas mal administradas, las reglas propuesto por el NYDFSParece ser un paso en la dirección correcta al implementar estrictos requisitos de ciberseguridad. Estos incluyen pruebas de penetración anuales para las plataformas de criptomonedas y el nombramiento obligatorio de un director de seguridad de la información por parte de las empresas que buscan obtener una "BitLicense".

Como se describe en la propuesta:

“Cada Licenciatario deberá establecer y mantener un programa de ciberseguridad eficaz para garantizar la disponibilidad y funcionalidad de sus sistemas electrónicos y para proteger dichos sistemas y cualquier dato confidencial almacenado en ellos contra acceso, uso o manipulación no autorizados”.

Prevenir ataques a infraestructuras críticas, y sobre todo a las billeteras que contienen fondos de clientes, es el principal objetivo de estas regulaciones. Además, el Departamento de Servicios Financieros de Nueva York (NYDFS) exige la creación de políticas de emergencia en caso de que una empresa de criptomonedas sufra un incidente catastrófico.

Amplio enfoque en la ciberseguridad

Las regulaciones buscan abarcar todos los tipos de ciberamenazas que puede enfrentar una empresa de criptomonedas. Las empresas deben evaluar activamente las amenazas y mantener sistemas robustos que puedan repeler los tipos de ataques que provocaron la quiebra de Mt. Gox y la pérdida de millones de dólares en fondos de clientes.

El NYDFS propone exigir que cada empresa de criptomonedas implemente políticas integrales de ciberseguridad que cubran cualquier posible vulnerabilidad. En concreto, la dirección de cada empresa debe certificar, al menos una vez al año, que dicha Regulación se ha implementado correctamente y realizar cambios cuando sea necesario.

En cuanto a los informes, el Departamento de Servicios de Seguridad Nacional de Nueva York (NYDFS) exigirá que cada empresa demuestre que sus sistemas de seguridad internos son suficientes para la tarea. Cada licenciatario debe presentar informes anuales al regulador estatal que describan con precisión la funcionalidad y la capacidad de los sistemas de seguridad.

También se requieren auditorías internas en varios frentes clave, incluyendo pruebas de penetración para detectar y corregir debilidades. Se requieren pruebas de penetración al menos una vez al año, junto con evaluaciones trimestrales que certifiquen la solidez continua de estos sistemas.

Las empresas de moneda digital también están obligadas a mantener registros de auditoría claros que incluyan datos de transacciones, hojas de tiempo de inicio de sesión de usuarios y registros de acceso al hardware de la empresa.

Queda por ver si este nivel de escrutinio tendrá un impacto negativo sobre las empresas de moneda digital en el estado.

Como algunos en la industria de BitcoinHan comentado que los estrictos requisitos de información imponen costos innecesarios que son más perjudiciales para las startups que para las empresas consolidadas. Por otro lado, otros afirman que, en el caso de Mt. Gox, una supervisión más rigurosa podría haber evitado los errores que llevaron a su colapso.

El liderazgo en seguridad es un requisito

Para mantener y actualizar las políticas de ciberseguridad propuestas que cada licenciatario creará, el NYDFS tiene el mandato de nombrar un director de seguridad de la información (CISO).

Este aspecto de la normativa aborda una de las críticas a Mt. Gox: la falta de una definición clara de los roles de liderazgo, lo que permitió los fallos que resultaron en una amplia vulnerabilidad. ONE podría argumentar que, al actuar como ingeniero jefe y responsable de la gestión diaria, el director ejecutivo Mark Karpeles no pudo concentrarse lo suficiente en las ciberamenazas que finalmente provocaron la caída de la plataforma.

Según el reglamento:

“Cada Licenciatario deberá designar a un empleado calificado para que se desempeñe como Director de Seguridad de la Información (“CISO”) del Licenciatario, responsable de supervisar e implementar el programa de seguridad cibernética del Licenciatario y de hacer cumplir su Regulación de seguridad cibernética”.

Este puesto está diseñado para supervisar las iniciativas de seguridad digital y facilitar la presentación de informes al regulador estatal según sea necesario. El CISO reportará a la alta dirección de la empresa de criptomonedas, elaborará el marco de seguridad e implementará los cambios necesarios.

Peores escenarios

Pero ¿qué ocurre cuando una empresa de criptomonedas se desmorona? Tras revelarse que Mt. Gox había perdido los fondos de sus clientes, la plataforma se vio paralizada e incapaz de operar. Podría decirse que la falta de una Regulación clara de gestión de desastres agravó los problemas derivados tanto del hackeo como de la respuesta posterior.

Los licenciatarios deben establecer procedimientos operativos que entren en vigor en caso de que una catástrofe impida a la empresa operar. Esto incluye la identificación de las funciones críticas, la infraestructura y el personal que asumirá el control ante la posibilidad de una quiebra. Los titulares de BitLicense también deben brindar capacitación integral a todo el personal relevante que participe en la gestión de desastres.

Además, las empresas están obligadas a informar sobre cualquier incidente que pueda suponer un riesgo para la integridad operativa. La propuesta establece lo siguiente:

“Cada Licenciatario deberá notificar de inmediato al superintendente sobre cualquier emergencia u otra interrupción de sus operaciones que pueda afectar su capacidad para cumplir con las obligaciones regulatorias o que pueda tener un efecto adverso significativo sobre el Licenciatario, sus contrapartes o el mercado”.

En conjunto, estos requisitos están diseñados para KEEP el negocio de las criptomonedas en funcionamiento en caso de que surjan problemas repentinos. Aunque no se ha probado por ahora, la propuesta busca evitar interrupciones críticas que, en ese caso, dejarían a los clientes aún más vulnerables a pérdidas.

El tiempo lo dirá

Por ahora, es imposible determinar si la propuesta de BitLicense ayudará a desviar las ciberamenazas y protegerá a los consumidores de situaciones de emergencia como las que afrontó Mt. Gox. Al igual que las leyes que rigen la gestión de quiebras bancarias, las regulaciones no pueden probarse realmente hasta que surja una situación real.

Sin embargo, según el Superintendente del Departamento de Servicios Sociales de Nueva York (NYDFS)Benjamín M. Lawsky, quien se sentó para una entrevista conCNBCEn cuanto a la propuesta, el tipo de regulaciones que propone debería implementarse en todo el sistema financiero. Reiteró su apoyo a las regulaciones y dijo que los bancos y otras empresas financieras deben intensificar sus propios esfuerzos para prevenir ataques desestabilizadores.

En la entrevista, se le preguntó a Lawsky si el NYDFS habría podido prevenir o al menos contener una situación similar a la de Mt. Gox, o cualquier situación en la que un ataque prolongado pusiera en riesgo los fondos de los clientes. Respondió que las propuestas de ciberseguridad habrían sido útiles, pero sugirió que el sistema financiero en general adolece de las mismas debilidades.

Él dijo:

Vamos a evaluar la preparación en ciberseguridad de estas empresas en Nueva York para asegurarnos de que están haciendo todo lo posible para prevenir ese tipo de ataque. Mira, esto también se podría decir de todo nuestro sector bancario. Deberíamos hacer lo mismo con todos.

Estatua de la Libertadimagen víaShutterstock