Inversión en criptomonedas. Mixers y sanciones económicas.

Introducción

La industria de los criptoactivos o como comúnmente se denomina “la industria de la web 3.0” por su carácter comprensivo no sólo de las criptomonedas sino de todos los derivados de la tecnología blockchain, se enfrenta a grandes desafíos no solo en un mercado complicado por horizontes de creciente inflación y recesión económica sino también por los desafíos regulatorios que siguen al desarrollo de productos que ab initio se suelen proclamar como descentralizados y que los reguladores buscan encuadrar en su naturaleza jurídica.

El sector de cumplimiento normativo o compliance, que no se limita a pero suele encontrarse más vinculado al sector financiero, se encuentra teniendo un rol cada vez más importante en este ecosistema, sobre todo en empresas que ofrecen servicios de manera “compliant” con el regulador, es decir, aquellas que manifiestan su actitud de funcionar bajo la normas vigentes y cooperar con los organismos de contralor. Las empresas que participan en la custodia o compraventa de estos activos virtuales son considerados por la normativa norteamericana como “VASP” (Virtual Assests Service Providers) y se encuentran regulados y obligados a cumplir, dentro de sus obligaciones, las normativas de KYC (Know Your Customer) y AML (Anti Money Laundering).

Dentro de la categoría de VASP podemos encontrar a los exchanges centralizados de criptomonedas y que suelen contar con robustos sistemas de cumplimiento para cumplir con la normativa aplicable. Sin embargo, figuras como los mixers de criptomonedas han estado bajo la mirada del regulador, siendo noticia la reciente designación del mixer “Tornado Cash” como entidad sancionada por la OFAC (Office Of Foreign Assets) el cual es el organismo dependiente de la secretaría del tesoro norteamericano encargado de ejecutar y monitorear el cumplimiento de las sanciones económicas llevadas a cabo por el Estado norteamericano.

Para los propósitos de cumplir con el régimen de sanciones, la OFAC ha dejado bien en claro que los criptoactivos quedan regulados bajo su órbita. ^[1] Así podemos citar el caso del exchange “Suex”, el cual era originario de República Checa, que promueve sus servicios a usuarios de Rusia. Investigaciones revelaron que dicha plataforma facilitó el lavado de dinero de sumas millonarias provenientes de ataques de ransomware. Dicho organismo colocó en su lista de sanciones SDN (Special Designated Nationals) a las direcciones de criptoactivos relacionadas a dicha operatoria.^[2]

---

^[1] OFAC(https://home.treasury.gov/policy-issues/financial-sanctions/faqs/topic/1626).

^[2] CNBC (https://www.cnbc.com/2021/09/21/us-treasury-sanctions-cryptocurrency-exchange-suex.html).

Mixers: Concepto y actividades ilícitas

Una vez claro que los exchanges de criptomonedas son considerados VASP y que estos se encuentran sujetos al cumplimiento en materia de sanciones económicas, más complejo ha sido el caso de los mixers.

Los “mixers” o “mezcladores” de criptomonedas son un software o protocolo que tiene como fin aumentar el anonimato de las transacciones. Las redes públicas como Bitcoin ofrecen el carácter de seudónima, pero con transacciones fácilmente trazables sin necesidad de participar en la misma siquiera, dada su “transparencia” y carácter “open source”.

En concordancia con esa búsqueda de privacidad, los mixers ofrecen una peculiar característica muy valorada por ciertos actores del ecosistema: Falta de verificación y políticas KYC (Know Your Customer). Los mixers ofrecen la posibilidad de implementar un contrato inteligente y obstaculizar el seguimiento de la cadena transaccional que ofrece por naturaleza la cadena de bloques o blockchain.

El derecho a la privacidad puede ser visto como un punto legalmente válido, sobre todo en un ecosistema que nació en el año 2008 con un espíritu de descentralización del sistema financiero, así como lo explicaba Satoshi Nakamoto en su white paper de Bitcoin ^[1]

Lo cierto es que la línea de frontera entre el derecho a la privacidad y la existencia de “bad actors” en el ecosistema y que exceden al ecosistema blockchain per sé, es una línea que cada vez se hace más fina. En este sentido los mixers se encuentran siendo objeto de amplio debate a nivel regulatorio y de su convivencia con actividades ilícitas.

Acorde a un informe de investigación realizado por la empresa dedicada a blockchain analytics Chainalyisis^[2] , el 10% de la direcciones de criptoactivos relacionadas a actividades ilícitas enviaron dichos fondos a mixers.

---

^[1]Bitcoin.org (https://bitcoin.org/files/bitcoin-paper/bitcoin_es_latam.pdf).

 

Acorde a dicho informe, la tendencia del uso de mixers comenzó en 2020 y se sigue acrecentando como destino de fondos de procedencia ilícita, cuyo origen es variado: exchanges centralizados, Protocolos DeFi (Finanzas Descentralizadas y Direcciones Relacionadas a Actividad Ilícita). En relación a esta última actividad, la empresa detectó el incremento de su uso en el segundo trimestre de 2022, por ejemplo el sitio de mercado negro ruso Hydra, el cual fue sancionado en el presente año. ^[1]

Este crecimiento de su uso relacionado con actividades ilícitas no ha pasado desapercibido por los reguladores y gobiernos. En relación a ello, los cryptomixers han sido objeto de sanciones económicas, quizás el más controversial ha sido el caso ^[2] de Tornado Cash en agosto de este año.

---

^[1]OFAC (https://home.treasury.gov/policy-issues/financial-sanctions/recent-actions/20220405).

^[2]Elliptic (https://hub.elliptic.co/analysis/tornado-cash-mixer-sanctioned-after-laundering-over-1-5-billion/).

¿Qué son las sanciones económicas?

Podemos definir a las sanciones económicas como medidas de “fuerza” o política económica contra una persona, entidad o país, implementadas para preservar la paz y seguridad internacional. Su fin último es influir en el comportamiento de la entidad sancionada para que ésta modifique su conducta que ha afectado dicha situación de paz y seguridad. En este sentido, sanciones impuestas contra Rusia tras la anexión de Crimea en 2014 o tras la reciente invasión a Ucrania, son un ejemplo de cómo se busca desincentivar dicho comportamiento. Son, en esencia, una herramienta de la geopolítica internacional. Son emitidas por el poder legislativo y suelen ser administradas por una entidad creada a tal efecto, por ejemplo la OFAC (Office of Foreign Assets Control) en los Estados Unidos.

Mixers: Régimen legal y sanciones

Algunas jurisdicciones como los Estados Unidos -la cual suele marcar tendencia en regulación de nuevas tecnologías- han establecido el carácter de VASP de los mixers. Recordamos que el hecho de que se usen para resguardar aspectos como la privacidad no equivaldría, a priori, a una actividad ilícita. Podemos comparar este aspecto con el uso de las VPN (Virtual Private Network) por parte de aquellos usuarios que buscan navegar por internet sin limitaciones de la jurisdicción desde la cual están accediendo, ya sea con fines lícitos o bien con alguna intencionalidad no aceptable. En este ejemplo podemos visualizar aspectos donde se unen problemáticas de la web 2.0 (es decir, la navegación por internet como la conocemos) y la web 3.0 donde no se busca intercambiar información sino valor^[1], como es el caso de los criptoactivos por citar un ejemplo.

---

^[1] El concepto de internet del valor se encuentra abordado en “Blockchain: la Revolucion Industrial del Internet. Coord. Alexander Preukschat” En este libro el autor contrasta etapas de la evolucion del internet y como blockchain se podria configurar como el “motor” de la misma.

El caso Tornado Cash

El pasado 8 de agosto, la OFAC^[1][2] impuso sanciones contra el mixer conocido como Tornado Cash mediante el listado de 38 direcciones de la red Ethereum vinculadas a billeteras de activos ETH (Ether) y USDC (USD Coin). Tornado cash ofrecía sus servicios de mixer de manera descentralizada, sin aplicación de políticas KYC y de manera anónima haciendo más “difícil” el rastreo de las transacciones realizadas por sus usuarios. Consecuencia -intencional o no- de la naturaleza de sus servicios, es que fue una herramienta utilizada por el Grupo  Lazarus (el cual se encuentra sancionado por OFAC y se encuentra ligado al gobierno Norcoreano) para lavar aproximadamente 7 billones de dólares desde su creación en 2019. Dicho grupo se ha visto involucrado en otros ciberataques más temprano este año como es el caso del “Ronin Bridge” en el cual se explotó el ataque contra un software de Smart Contracts en Bridges Cross Chain de Ronin (relacionada al popular juego “Axie Infinity”).

El Grupo Lazarus involucrado fue sancionado por Orden Ejecutiva 13722 de la OFAC, por ser una entidad controlada por el régimen norcoreano.^[3]

---

^[1]OFAC (https://home.treasury.gov/policy-issues/financial-sanctions/recent-actions/20220808).

^[2]OFAC (https://home.treasury.gov/news/press-releases/jy0916).

^[3]Blockworks.Sanciones a Grupo Lazarus.(https://blockworks.co/treasury-sanctions-north-korean-hacker-group-confirms-ties-to-625m-hack/).

Antecedentes

No es la primera ocasión en donde se sancionan direcciones de criptomonedas por el referido organismo. Antecedentes como el mencionado ut supra derivaron en las sanciones contra direcciones pertenecientes a otro mixer popular en la industria: Blender^[1]. Como es el caso de Tornado Cash, Blender fue sancionado por ser una herramienta que le permitió al Grupo Lazarus actividades de ciberataques y lavado de dinero mediante criptomonedas. Acorde a la información de OFAC, Blender ha permitido transferencias de criptomonedas (Red Bitcoin) por un valor aproximado de 20.5 millones de dólares de orígenes ilícitos. Además, OFAC ha señalado la vinculación de este mixer con grupos de hackers rusos como Trickbot, Ryuk, entre otros.

---

^[1]Designación de Blender, OFAC (https://home.treasury.gov/news/press-releases/jy0768).

Controversias

En cuanto al alcance específico de dichas sanciones relacionadas a Tornado Cash, han aparecido algunas situaciones que han generado más preguntas que respuestas, y debates interesantes acerca de la validez legal de sanciones contra mixers. Ha sido noticia que, Coinbase, un jugador importante en el mercado de criptomonedas estadounidense -el cual es el primer exchange en cotizar en la bolsa de valores norteamericana- se ha visto involucrado en una demanda judicial contra el organismo estadounidense por “extralimitarse en sus funciones y violar derechos legales de los ciudadanos”.^[1]

Dada la controversia generada, el organismo publicó en su sitio web unos FAQ’S (Frequently Asked Questions) sobre dichas sanciones recientes. El mismo aborda diversos temas, entre ellos:

1. Fondos enviados antes y mezclados después de las sanciones (personas y entidades de EE.UU.).

Como lo mencionamos en este artículo, el uso de mixers per sé no se encuentra prohibido y es una herramienta utilizada por usuarios de criptoactivos para proteger su privacidad. En ese sentido, la OFAC aclaró la situación de aquellos usuarios que hubiesen enviado fondos al mixer antes de su designación en agosto y que hubiesen utilizado dichos fondos luego de su designación. En este sentido la persona debería solicitar una licencia especial demostrando su “buena fe” y enviando al organismo datos y explicaciones sobre sus transacciones. En dicho sentido, el organismo anticipa una postura “flexible” con aquellos usuarios que demuestren su “buena fe” en el uso de dicha herramienta y sería “proclive” a otorgar la licencia. Sobre esto, es de mencionar que el organismo busca proteger solo a los usuarios de buena fe y no otorga una licencia “general” para estas circunstancias.

• Ataques “Dusting”.

En los días posteriores a la designación, se conocieron muchos casos de famosos ^[2] cuyas direcciones o wallets eran públicas y fueron víctimas de los denominados “dusting attacks”. Estos consisten en el envío de montos muy pequeños por parte de direcciones relacionadas al mixer sancionado y que estarían en principio “afectadas” por las sanciones del organismo estadounidense.

Sobre esto el regulador se expresó a mi juicio con falta de claridad pues señaló que: “No priorizarán la aplicación de la ley por el retraso en la recepción de los informes iniciales de bloqueo y los posteriores informes anuales de activos bloqueados de víctimas de los ataques.” Por nuestra interpretación, significa que aquellas víctimas de Tornado Cash gozaran un criterio de “flexibilidad” que puede o no acontecer. Interpretamos que esto debería haber sido otorgado con mayor precisión dada la publicidad del asunto. Tanto es su publicidad que el mensaje que los perpetradores quisieron dar se podría interpretar de la siguiente forma: “Si todos son culpables nadie lo es”. Es decir que si personas, relevantes y conocidas, no relacionadas a priori con el gobierno norcoreano, se encuentran unidas transaccionalmente a este mixer, no debería sancionarse al software en sí mismo por su relación con actos ilícitos que aprovechan sus ventajas.

• Código fuente y libertad de expresión.

En relación la demanda judicial que involucró a actores de Coinbase ^[3] se ha cuestionado  que la sanción a un software pudiera violar derechos fundamentales como la libertad de expresión y de discurso, siendo además que se sanciona en definitiva a un Smart Contracts (el cual es código en la blokchain por esencia).  En ese sentido, las FAQS aclaran que no se castiga la divulgación del código fuente per se (por ejemplo, con propósitos educativos) sino a aquella que tenga por objeto relaciones transaccionales incluyendo a las direcciones incluidas en las listas de entidades sancionadas en OFAC.^[4] Si una persona estadounidense (incluido los VASP) se viera vinculada con Tornado Cash o una de sus direcciones, esa persona estaría violando la regulación en materia de sanciones vigente.

---

^[1]Declaración de Coinbase (https://www.coinbase.com/blog/sanctions-should-target-bad-actors-not-technology).

^[2]Sitio Gfinityesports(https://www.gfinityesports.com/cryptocurrency/tornado-cash-dusting-attack/).

^[3]Cointelegraph(https://es.cointelegraph.com/news/coinbase-is-fighting-back-as-the-sec-closes-in-on-tornado-cash).

^[4] Sitio de OFAC (https://home.treasury.gov/policy-issues/financial-sanctions/recent-actions/20220808).

Conclusiones

Acorde a lo antedicho, podemos notar que la sanción a direcciones de criptomonedas vinculadas directa o indirectamente a otras entidades sancionadas (en este caso el Grupo Lazarus) se ha convertido una política de OFAC y el gobierno americano para llevar adelante su programa de sanciones a pesar la naturaleza de pseudonimia que ofrecen las criptomonedas por naturaleza y sus modos de perfeccionamiento, o mejor dicho, ocultamiento a través de software especializado como los mixers. Hace unos días, direcciones vinculadas al régimen iraní fueron listadas en la OFAC como entidades sancionadas por su vinculación con ciberataques. ^[1] Es decir, las sanciones a direcciones de criptomonedas han llegado para quedarse.

Por todo lo dicho, para los equipos de compliance de aquellos VASP regidos por la regulación estadounidense, tener un adecuado programa de sanciones es mandatorio, ya que no escapan al régimen regulatorio de OFAC por transar con productos financieros no tradicionales como es el caso de los criptoactivos. En dicho sentido, tener presente las direcciones sancionadas y estar “up to date” con las últimas sanciones y licencias que publique OFAC es requisito para llevar a cabo un adecuado control de las wallets con las que interactúen propio de su actividad comercial. Para ello, el uso de programas de blockchain analytics se han configurado como una gran herramienta, pues permiten un mejor análisis transaccional “on chain” y suelen disponer de bases de datos actualizadas de wallets vinculadas a actividades ilícitas y por supuesto, sanciones.

^[1]Sitio de Cointelegraph (https://es.cointelegraph.com/news/us-treasury-sanctions-iran-based-ransomware-group-and-associated-bitcoin-addresses).

---

Este artículo es de propiedad de su autor Fabrizio Bertini y goza de la correspondiente protección de derecho de autor, de acuerdo a los términos de la Ley 11.723 de Propiedad Intelectual. Todocompliance.com reserva para sí el derecho a usar, copiar y reproducir total o parcialmente el contenido del presente, no obstante, no asume responsabilidad alguna por la veracidad, corrección y/o actualización del mismo. Queda prohibida su reproducción sin autorización previa y expresa de Todocompliance.com.