Tokenization & Real World Assets

Asegurar la infraestructura de fondos tokenizados: auditoría de smart contracts, restricciones de transferencia programables y due diligence de seguridad de plataforma

Martha Mena, CTO and Co-founder·May 28, 2026·10 min read

He revisado plataformas de tokenización donde el código de los smart contracts nunca había sido auditado por una firma externa. El GP se había comprometido a desplegar capital de los LP en esa infraestructura. Los contratos controlaban la lógica de distribución, las restricciones de transferencia y la inclusión de inversionistas en listas blancas, y nadie fuera del propio equipo de ingeniería del proveedor los había revisado. Eso no es un riesgo teórico. Las vulnerabilidades en smart contracts han causado pérdidas por cientos de millones de dólares en protocolos DeFi, y un gestor de fondos que omite el due diligence de seguridad está aceptando una responsabilidad que el proveedor no divulga de antemano. Este artículo cubre lo que el due diligence riguroso de seguridad sobre la infraestructura de fondos tokenizados realmente exige.

Por qué la infraestructura de fondos tokenizados tiene un perfil de seguridad diferente

El software de administración de fondos tradicional almacena datos sensibles: registros de inversionistas, saldos de cuentas de capital, números de cuentas bancarias. Una brecha es grave y costosa. Pero el atacante roba información; no puede mover dinero directamente. La infraestructura de fondos tokenizados es diferente: los smart contracts que controlan las transferencias de tokens y la lógica de distribución son públicamente legibles on-chain, y un exploit exitoso puede transferir activos directamente a la dirección de un atacante sin mecanismo de reversión. La inmutabilidad —una ventaja al registrar transacciones legítimas— significa que una transacción maliciosa es permanente.

Esto crea tres superficies de ataque distintas que los gestores de fondos deben evaluar por separado: la capa de smart contracts (vulnerabilidades en la lógica del código), la capa de custodia de llaves (compromiso de llaves privadas) y la capa de aplicación de la plataforma (seguridad de software tradicional). Las tres deben evaluarse; la debilidad en cualquiera de ellas invalida la postura de seguridad de las demás.

El riesgo de inmutabilidad es real

A diferencia de una base de datos donde un registro fraudulento puede corregirse con los controles de acceso adecuados, las transacciones on-chain no pueden deshacerse. Si una vulnerabilidad en un smart contract permite a un atacante acuñar tokens no autorizados, transferir tokens restringidos a direcciones no elegibles o vaciar un escrow de distribución, el daño es permanente en ausencia de mecanismos de recuperación explícitos integrados en la arquitectura del contrato. Los gestores de fondos deben preguntar a los proveedores específicamente: ¿qué mecanismos de recuperación existen si ocurre un exploit del contrato? ¿Cuál es el plan de respuesta a incidentes? ¿Quién tiene autoridad de actualización sobre los contratos y cómo se gobierna esa autoridad?

Auditoría de smart contracts: cómo se ve un proceso riguroso

Una auditoría de smart contracts es una revisión sistemática del código realizada por especialistas en seguridad independientes que buscan vulnerabilidades antes del despliegue. No todas las auditorías son equivalentes. Una revisión de fin de semana por parte de un solo desarrollador no es lo mismo que un trabajo de varias semanas por parte de una firma especializada que usa tanto revisión manual como herramientas de análisis automatizado. Al evaluar una plataforma de tokenización, solicite el informe de auditoría completo, no un resumen. El resumen es marketing; el informe muestra qué se encontró, qué tan severos fueron los hallazgos y si se resolvieron antes del despliegue.

Alcance de la auditoría y credibilidad de la firma

Las firmas de auditoría de smart contracts de buena reputación para infraestructura de tokenización institucional incluyen Trail of Bits, OpenZeppelin, Certik y Halborn. (La propia implementación de referencia de ERC-3643 —el protocolo T-REX— es mantenida por Tokeny y la ERC-3643 Association, cuyos más de 140 miembros incluyen a OpenZeppelin, Fireblocks y DTCC.) Una auditoría de una firma creíble que cubra el conjunto completo de contratos —contrato del token, módulos de cumplimiento, lógica de distribución, proxies de actualización— tiene un peso significativo. Una auditoría que cubre solo el contrato del token mientras deja sin revisar los contratos de distribución y gobernanza es incompleta.

El informe de auditoría debe documentar: hallazgos de severidad crítica, alta, media y baja; la respuesta de remediación del proveedor a cada hallazgo; la confirmación de re-prueba de que los hallazgos críticos y altos se resolvieron; y cualquier riesgo aceptado que el proveedor optó por no remediar con su justificación. Los hallazgos críticos sin resolver deberían ser descalificantes. Los hallazgos altos sin plan de remediación son una preocupación seria.

Verificación formal: el estándar más alto

La verificación formal aplica técnicas de prueba matemática al código de los smart contracts, demostrando que el contrato se comporta correctamente para todas las entradas posibles, no solo las entradas que un evaluador pensó comprobar. Certora Prover y el K Framework son herramientas de uso común. La verificación formal es más costosa y consume más tiempo que la auditoría manual, pero ofrece garantías más sólidas para contratos de alto valor. Para infraestructura de fondos tokenizados en producción que maneja decenas de millones de dólares en intereses de LP, vale la pena preguntar explícitamente sobre la verificación formal de los contratos centrales de token y distribución. Los proveedores que han invertido en verificación formal señalan un nivel de disciplina de ingeniería que importa.

Restricciones de transferencia programables: arquitectura y superficie de ataque

ERC-3643 (el protocolo T-REX) aplica restricciones de transferencia on-chain mediante una arquitectura modular de cumplimiento: el contrato del token llama a un módulo de cumplimiento externo antes de ejecutar cualquier transferencia, y el módulo de cumplimiento verifica el estado actual de múltiples claim topics (estado de acreditación, elegibilidad de jurisdicción, vencimiento de lockup, límites de cantidad de inversionistas) antes de devolver un veredicto de aprobado/reprobado. Esta arquitectura es poderosa —aplica reglas de cumplimiento automáticamente, sin la latencia de la revisión humana— pero también crea dependencias de seguridad que requieren due diligence.

Registro de identidad y confianza en el emisor de claims

La arquitectura ERC-3643 se basa en un registro de identidad on-chain que asocia las direcciones de wallet de los inversionistas con claims de identidad verificados (acreditación, estado KYC, jurisdicción). Los emisores de claims —normalmente el operador de la plataforma— firman estos claims de identidad. Si la llave de firma del emisor de claims se ve comprometida, un atacante puede emitir claims de identidad fraudulentos que incluyan en listas blancas a inversionistas no elegibles o eludan las restricciones de transferencia. Los gestores de fondos deben preguntar: ¿quiénes son los emisores de claims del registro de identidad? ¿Cómo se almacenan las llaves de firma de los emisores de claims? ¿Cuál es el mecanismo de revocación si una llave de un emisor de claims se ve comprometida?

La propia configuración del módulo de cumplimiento también es una superficie de seguridad. Cada módulo de cumplimiento tiene parámetros —cantidad máxima de inversionistas, listas de restricción por jurisdicción, duraciones de lockup— que deben configurarse correctamente en el despliegue y protegerse contra modificaciones no autorizadas. ¿Quién tiene autoridad para modificar los parámetros del módulo de cumplimiento después del despliegue? ¿Esa autoridad está protegida detrás de un multisig o un timelock? Un cambio en la configuración del módulo de cumplimiento que elimina una restricción de transferencia es económicamente equivalente a un exploit de vulnerabilidad si un atacante puede activarlo.

Riesgos de los proxies de actualización

La mayoría de los smart contracts en producción usan patrones de proxy actualizables (TransparentUpgradeableProxy de OpenZeppelin o el patrón UUPS) que permiten actualizar la lógica del contrato preservando la dirección y el estado del contrato. La capacidad de actualización es necesaria para el mantenimiento del cumplimiento: las regulaciones de valores cambian y el módulo de cumplimiento debe evolucionar. Pero la autoridad de actualización es un control de seguridad crítico: quien controla el admin del proxy puede insertar lógica de contrato nueva y arbitraria. Pregunte a los proveedores específicamente: ¿quién posee las llaves de admin del proxy? ¿Esa autoridad la posee un multisig (que requiere N-de-M poseedores de llaves para aprobar una actualización)? ¿Existe un timelock entre la propuesta de actualización y su ejecución, que dé a los inversionistas tiempo para revisar los cambios antes de que surtan efecto? La autoridad de actualización unilateral en manos de una sola llave es un riesgo de gobernanza y seguridad.

Seguridad de la capa de plataforma: SOC 2, cifrado y control de acceso

Más allá de los smart contracts, la capa de aplicación de la plataforma —la aplicación web, la API, la base de datos y la infraestructura en la nube— debe cumplir con estándares de seguridad institucionales. La línea base relevante es el cumplimiento de SOC 2 Type II, que proporciona la atestación de un auditor independiente de que los controles de seguridad del proveedor operaron de manera efectiva durante un período de tiempo (típicamente de 6 a 12 meses). SOC 2 Type I solo atestigua el diseño de los controles en un punto en el tiempo; Type II es significativamente más sólido. Solicite el informe SOC 2 Type II, no la carta resumen.

Estándares de cifrado

Los datos en reposo deben cifrarse con AES-256. Los datos en tránsito deben usar TLS 1.2 o superior (preferiblemente TLS 1.3). El material de las llaves privadas nunca debe existir en texto plano en ningún punto del sistema: cifrado en la capa de aplicación más protección mediante módulo de seguridad de hardware (HSM) en la capa de almacenamiento de llaves. NIST SP 800-57 proporciona la guía estándar sobre prácticas de gestión de llaves; los proveedores deberían poder confirmar que sus procedimientos de gestión de llaves se alinean con este estándar o lo superan.

Control de acceso y gestión de acceso privilegiado

¿Quién puede acceder a los sistemas de producción, a los datos de los LP y al material de las llaves privadas? El control de acceso basado en roles (RBAC) debe limitar a cada usuario y cuenta de servicio a los permisos mínimos requeridos. El acceso privilegiado a los entornos de producción debe requerir autenticación multifactor y generar registros de auditoría inmutables. Pida a los proveedores su política de gestión de acceso privilegiado: ¿cómo se aprovisionan, rotan y revocan las credenciales de admin? ¿Qué sucede con el acceso cuando un empleado se va? ¿Qué rastro de auditoría existe para las operaciones privilegiadas?

Riesgo de custodia de llaves: la decisión de seguridad de mayor impacto

En la infraestructura de fondos tokenizados, el compromiso de las llaves privadas es el escenario del peor caso. Quien posee las llaves privadas de un wallet posee los activos en ese wallet. Esto plantea una cuestión de custodia distinta en su naturaleza a la administración de fondos tradicional: los sistemas tradicionales pueden respaldarse, el acceso puede revocarse, los registros fraudulentos pueden corregirse. Las llaves privadas, una vez expuestas, no pueden dejar de estarlo. Los activos movidos usando una llave comprometida no pueden recuperarse en ausencia de una vulnerabilidad en las propias prácticas de custodia del atacante.

MPC vs. multisig: comparando las arquitecturas

Los wallets de cómputo multipartito (MPC) distribuyen el material de la llave privada entre múltiples partes de modo que ninguna parte posee jamás la llave completa. Firmar una transacción requiere cooperación de umbral (típicamente 2-de-3 o 3-de-5 fragmentos de llave) y el cómputo se realiza sin que ninguna parte reconstruya jamás la llave completa. Fireblocks, Copper y Anchorage Digital ofrecen todos custodia institucional basada en MPC. La ventaja de MPC es que no hay una llave completa que robar: incluso una brecha exitosa de un poseedor de llave produce material que es inútil sin los demás fragmentos.

Los wallets multisig (multisig nativo de Ethereum mediante Gnosis Safe, por ejemplo) requieren M-de-N firmas on-chain antes de que una transacción se ejecute. Las llaves privadas existen como llaves completas en poder de partes separadas: la seguridad proviene de requerir que múltiples poseedores de llaves independientes cooperen. El multisig es transparente y auditable on-chain, pero requiere que cada poseedor de llave asegure individualmente una llave completa. Para la gobernanza del fondo (autoridad de actualización, configuración del módulo de cumplimiento), el multisig con poseedores de llaves bien distribuidos ofrece garantías de gobernanza sólidas.

Para los intereses de los LP en el fondo, la custodia MPC a través de un custodio institucional calificado (BNY Mellon Digital Assets, Fidelity Digital Assets, Coinbase Prime) ofrece el modelo de seguridad más robusto: las llaves nunca existen en forma completa, la custodia está regulada y asegurada, y el custodio tiene una obligación fiduciaria con el fondo. La autocustodia —donde el GP o el operador de la plataforma posee las llaves— no debería ser aceptable para estructuras de fondos reguladas.

Una lista de verificación de due diligence para gestores de fondos

Al evaluar la postura de seguridad de una plataforma de tokenización, recomiendo solicitar la siguiente documentación antes de comprometerse con cualquier despliegue:

Capa de smart contracts: informes de auditoría completos de firmas externas con nombre (no resúmenes); confirmación del alcance de la auditoría que cubra todos los contratos desplegados; documentación de verificación formal si está disponible; confirmación de remediación de todos los hallazgos críticos y altos; estructura de gobernanza de actualizaciones y documentación de la gestión de llaves de admin del proxy.

Arquitectura de cumplimiento: configuración del módulo de cumplimiento ERC-3643; gestión de llaves del registro de identidad y del emisor de claims; controles de acceso para la modificación de parámetros; plan de respuesta a incidentes ante el compromiso del módulo de cumplimiento.

Seguridad de la plataforma: informe SOC 2 Type II (informe completo, no la carta resumen); documentación de estándares de cifrado (AES-256 en reposo, TLS 1.3 en tránsito); política de gestión de acceso privilegiado; resultados de pruebas de penetración de los últimos 12 meses.

Custodia de llaves: nombres del proveedor de custodia y modelo de custodia (MPC vs. multisig); estado de custodio calificado bajo los marcos regulatorios aplicables; cobertura de seguro para la custodia de activos digitales; procedimientos de recuperación para escenarios de compromiso de llaves.

Puntos clave

  • La infraestructura de fondos tokenizados tiene tres superficies de ataque distintas —la lógica de los smart contracts, la custodia de llaves privadas y la seguridad de la aplicación de plataforma— cada una de las cuales requiere due diligence independiente. La debilidad en cualquiera de las capas invalida la postura de seguridad general.
  • Las auditorías de smart contracts deben cubrir el conjunto completo de contratos (token, módulos de cumplimiento, lógica de distribución, proxies de actualización) y ser realizadas por firmas especializadas con nombre. Solicite el informe de auditoría completo, no un resumen, y verifique que los hallazgos críticos y altos se remediaron antes del despliegue.
  • Las restricciones de transferencia programables de ERC-3643 dependen de un registro de identidad y de las llaves de los emisores de claims que deben asegurarse por sí mismas; los parámetros del módulo de cumplimiento y la autoridad de admin del proxy de actualización requieren gobernanza multisig para prevenir modificaciones unilaterales.
  • SOC 2 Type II (no Type I) proporciona una atestación significativa de los controles de seguridad de la plataforma; insista en el informe completo y verifique de manera independiente los estándares de cifrado (AES-256 en reposo, TLS 1.3 en tránsito) y las políticas de gestión de acceso privilegiado.
  • La custodia con wallet MPC —donde nunca existe una llave privada completa— ofrece el modelo de seguridad más sólido para los intereses de fondos regulados; la autocustodia por parte del GP o del operador de la plataforma no es aceptable para estructuras donde el capital de los LP está en juego. Los custodios institucionales calificados con seguro y supervisión regulatoria son la solución adecuada.

La infraestructura de tokenización de Polibit está construida sobre smart contracts auditados, restricciones de transferencia compatibles con ERC-3643 con arquitectura de actualización gobernada, seguridad de plataforma alineada con SOC 2 y arreglos de custodia institucional de llaves. Explore la plataforma o agende una demo para recorrer la arquitectura de seguridad en detalle y entender cómo abordamos cada capa de la lista de verificación de due diligence anterior.

Fuentes

• OpenZeppelin (2024). ERC-3643 Reference Implementation and Security Considerations — Arquitectura de seguridad de los smart contracts del protocolo T-REX
• NIST (2020). SP 800-57 Part 1 Rev. 5: Recommendation for Key Management — Prácticas de gestión de llaves y estándares de ciclo de vida
• AICPA (2023). SOC 2 Trust Services Criteria — Requisitos de control de seguridad, disponibilidad y confidencialidad
• Trail of Bits (2023). Smart Contract Security Guidelines — Metodología de auditoría y estándares de clasificación de vulnerabilidades
• Fireblocks (2024). MPC Wallet Architecture for Institutional Digital Asset Custody — Modelo de gestión de llaves por cómputo multipartito

← Volver al blog

Artículos relacionados

Tokenización y Activos del Mundo Real

Liquidación en blockchain y el problema de los datos off-chain: cómo los fondos tokenizados manejan la finalidad de liquidación, la mecánica de DvP y los oráculos de NAV

La liquidación atómica de entrega contra pago y la finalidad casi instantánea están entre las ventajas más citadas de la tokenización frente a la liquidación tradicional en T+2. Pero la liquidación on-chain depende de datos que se originan off-chain —cálculos de NAV, devengos de ingresos, valuaciones de activos— y la fiabilidad de esa cadena de datos determina si la liquidación on-chain genera confianza o agrava el riesgo. Este artículo cubre la mecánica de liquidación, la arquitectura DvP, el problema del oráculo y los rieles de distribución con stablecoins.

27 may 2026·10 min de lectura
Tokenización y Activos del Mundo Real

Custodia de activos digitales para participaciones de fondos tokenizadas: custodios calificados, wallets MPC y la función de agente de transferencia on-chain

Cuando un fondo tokeniza sus participaciones de LP, surgen dos preguntas de custodia distintas: quién resguarda el activo subyacente y quién resguarda las llaves criptográficas que representan la titularidad beneficiaria on-chain. Los gestores de fondos que evalúan infraestructura tokenizada deben comprender las obligaciones del custodio calificado bajo la regla de custodia de la SEC, las disyuntivas entre las arquitecturas de wallet MPC y multisig, y cómo funciona la función de agente de transferencia y cap table on-chain en una estructura tokenizada.

26 may 2026·10 min de lectura
Tokenización y Activos del Mundo Real

Cumplimiento KYC/AML para valores tokenizados: automatizar la verificación de inversionistas en más de 2,000 listas de vigilancia

Los valores tokenizados crean retos de cumplimiento únicos: los contratos inteligentes hacen cumplir las restricciones de transferencia, pero la verificación de identidad del inversionista aún debe realizarse off-chain. Las plataformas modernas automatizan la verificación KYC/AML en más de 2,000 listas de vigilancia internacionales mientras alimentan los datos verificados del inversionista directamente en los contratos de tokens permisionados ERC-3643.

17 may 2026·9 min de lectura