Vulnerabilidades de los NFT´s

Las plataformas y proyectos NFT, como parte del ambiente de activos digitales, operan en un mercado sin requisitos vinculantes, ni normativos de ciberseguridad. En particular, los contratos inteligentes que crean NFT´s, dictan ciertas características y transfieren la propiedad, pero son vulnerables a ataques y otras vulnerabilidades cibernéticas.

Muchos creadores de NFT´s hacen que su código sea visible para el público, lo que puede aumentar la transparencia y el interés de los usuarios de NFT´s y colecciones de NFT´s posteriores. Sin embargo, esto también puede brindar oportunidades para que los ciberdelincuentes revisen el código e identifiquen posibles vulnerabilidades que permitan robos u otros usos indebidos. Las vulnerabilidades en los contratos inteligentes podrían verse agravadas por el número limitado de desarrolladores que trabajan en protocolos de la blockchain, la reutilización de código para varios proyectos, la posibilidad de que los delincuentes diseñen intencionadamente contratos inteligentes con puertas traseras y la falta de supervisión externa o autorregulación formal para las “auditorías” de códigos. Las empresas de auditoría de códigos pueden tener o no la experiencia necesaria para auditar cualquier protocolo de blockchain y protocolos de “crowdsourcing”, a través de programas de “recompensas por errores”, que premian a los buenos ciudadanos que informan fallas.

Además de explotar las vulnerabilidades dentro de las plataformas y proyectos NFT, las empresas de NFT´s están potencialmente en riesgo de vulnerabilidades de software y hardware, comúnmente explotadas por delincuentes en todas las empresas, además de vulnerabilidades específicas de NFT´s y otras empresas de activos digitales. Por ejemplo, los delincuentes han utilizado técnicas de phishing, comprometiendo redes sociales o cuentas de correo electrónico de plataformas o proyectos NFT, para distribuir malware a las víctimas. En algunos casos, el malware está diseñado para robar información, en particular credenciales de billetera, lo que permite el robo de NFT´s.

Los delincuentes pueden tergiversar los derechos reales, particularmente sobre el activo o derecho de acceso al que se hace referencia en un NFT. Los delincuentes también pueden violar las protecciones de derechos de autor y marcas registradas para comercializar NFT. Estas tácticas podrían inflar el precio de un NFT.

Muchas plataformas de NFT dependen de usuarios de plataformas individuales o propietarios de propiedad intelectual para identificar infracciones de derechos de autor o marcas registradas, las que afectan sus obras o marcas. La detección de estas faltas puede requerir muchos recursos y ser costosa. Además, es posible que los mercados de NFT´s no requieran que los vendedores proporcionen nombres reales, lo que dificulta la identificación de los infractores, y algunos infractores pueden estar ubicadas fuera de los Estados Unidos, lo que plantea complicaciones jurisdiccionales.

Por otro lado, dadas las lagunas de divulgación e integridad, los consumidores pueden comprar, sin saberlo, un NFT asociado con material infractor. Esto puede complicarse por la confusión de los consumidores sobre los derechos que se transmiten con los NFT´s, que a menudo son poco claros o inexistentes, puediendo variar según las plataformas y según los NFT. Los mercados de NFT´s son usados por delincuentes, quienes pueden prometer de manera fraudulenta propiedad física o derechos de propiedad intelectual de activos referenciados o derechos de acceso representados por un NFT, desarrollando y vendiendo NFT´s falsificados o emplear técnicas similares.

El valor de los NFT puede fluctuar en función de las tendencias, la demanda y la escasez que cambian rápidamente, entre otras razones. Los delincuentes se han aprovechado de la naturaleza veloz del mercado, explotando en particular la publicidad y el revuelo que rodean a los NFT. En algunos casos, los estafadores indicarán que las ofertas fraudulentas son urgentes o indicarán que las víctimas potenciales tienen acceso temprano y único a colecciones raras de NFT. Estas tácticas aumentan la presión sobre las víctimas para que actúen con rapidez y evitar perder oportunidades potencialmente lucrativas.

Los precios fluctuantes de los NFT también pueden aumentar la presión para que las víctimas actúen rápidamente con la esperanza de que el valor de un NFT aumente después de su compra.

Los precios variables de los NFT´s también crean vulnerabilidades, ya que resulta difícil determinar si un NFT tiene un precio adecuado o si es parte de la manipulación de precios, lavado de dinero u otros esquemas de financiación ilícita. Si bien el precio promedio de un NFT cayó drásticamente en septiembre de 2023 (a USD 38.17; desde un máximo de USD 791,84 en agosto de 2021), muchos NFT se han vendido y continúan vendiéndose por valor de cientos de miles, o incluso millones de dólares. Los delincuentes también pueden inflar o reducir fácilmente el precio de ciertos NFT para ocultar el intercambio de fondos ilegítimos. Esta vulnerabilidad es similar al uso de otros artículos que se venden a alto valor, como el arte, para lavar ganancias ilícitas, aunque las vulnerabilidades pueden ser mayores en los NFT´s, debido a la capacidad de mover NFT´s a través de la cadena de bloques sin restricciones físicas relevantes en el arte tradicional.

Las obligaciones regulatorias para los proveedores de servicios en USA, incluidas las relacionadas con la BSA y sus regulaciones de implementación, generalmente se basan en actividades y no dependen de cómo se llama una plataforma o cómo describe los servicios que ofrece. El marco regulatorio, de supervisión y de aplicación, generalmente se basa en el producto o servicio proporcionado y sobre si una actividad está cubierta por una ley civil o penal. El enfoque regulatorio estadounidense es tecnológicamente neutral. Los reguladores han aclarado este enfoque general en declaraciones y orientaciones públicas y han tomado medidas de cumplimiento que se han centrado específicamente en los NFT´s.

A pesar de dicha aclaración, algunos participantes de la industria NFT han afirmado no comprender o no estar sujetos a sus obligaciones, incluidas las relacionadas con ALD/CFT, protección de inversionistas e integridad del mercado.

Las plataformas de NFT´s, según los tipos de actividades que suministren, pueden calificar como instituciones financieras según la BSA y, por lo tanto, tener obligaciones ALD/CFT. El hecho de que una entidad caiga bajo la definición de “institución financiera” de la BSA, depende de los hechos y circunstancias específicos de la actividad, más que una etiqueta que un actor coloque a esa actividad. Por lo tanto, si un se trata de un actor vinculado a los NFT´s, está sujeto a la BSA. Dependen, por ejemplo, de la función de los NFT´s ofrecidos, más que de la terminología o los términos de marketing que aplica la plataforma.

Además, las plataformas u otras personas que realizan negocios transfiriendo activos virtuales, que como se señaló anteriormente pueden incluir NFT, pueden tener obligaciones ALD/CFT de USA, según las reglas de FinCEN para empresas de servicios monetarios si realizan negocios en su totalidad o en parte sustancial en los Estados Unidos. Las plataformas NFT que son instituciones financieras, a los efectos de la BSA, tienen las correspondientes obligaciones ALD/CFT, incluido el requisito de establecer y mantener un programa ALD y cumplir con los requisitos aplicables de monitoreo de transacciones, mantenimiento de registros y presentación de informes (incluida la presentación de informes sobre actividades sospechosas). informes).

Cuando una plataforma NFT no cumple con sus obligaciones BSA, existe el riesgo de que la actividad fomente una mayor actividad financiera ilícita. De manera similar, en la medida en que una plataforma NFT opere bajo la creencia errónea de que queda fuera de la BSA, puede existir una vulnerabilidad, debido a la menor probabilidad de que dichas plataformas NFT opten por implementar medidas ALD/CFT. Sin embargo, dichas entidades aún pueden estar sujetas a otras autoridades de aplicación o requisitos legales que podrían mitigar el daño al sistema financiero o a los consumidores.

Cualquier plataforma NFT, dondequiera que esté ubicada, generalmente debe cumplir con los programas de sanciones económicas administrados y aplicados por la OFAC cuando una transacción involucra a una persona estadounidense. Cuando las entidades con obligaciones relevantes no se registran ante el regulador apropiado, no establecen y mantienen suficientes controles ALD/CFT, o no cumplen con las obligaciones de sanciones, es más probable que los delincuentes exploten sus servicios con éxito, incluso para eludir las sanciones de Estados Unidos y la ONU.

Ciertas instituciones financieras en los Estados Unidos están sujetas a estatutos y regulaciones que crean un sólido régimen de protección a los inversionistas e integridad del mercado, proporcionando revelaciones a los inversionistas, que incluyen información material para comprender los riesgos de la participación y tomar decisiones más informadas con respecto a sus inversiones, entre otras otras protecciones. Dependiendo de las actividades en las que pueda participar una plataforma NFT o un emisor, pueden estar sujetos a estos estatutos y regulaciones, incluidas, entre otras, las obligaciones de registro. Por ejemplo, dependiendo de los hechos y circunstancias, un NFT podría ofrecerse y venderse como un valor sujeto a las leyes federales de emisores de valores, intermediarios de valores o ambas. Sin embargo, algunas empresas de activos digitales pueden verse a sí mismas y, por lo tanto, operar como si sus actividades de activos digitales no estuvieran sujetas a leyes y regulaciones federales. Como resultado, dichas empresas pueden estar actuando en incumplimiento y, por lo tanto, no mantienen protocolos adecuados para proteger al público y al sistema financiero estadounidense.

En agosto de 2023, la SEC acusó a Impact Theory, LLC, una empresa de medios y entretenimiento con sede en Los Ángeles, California, de realizar una oferta no registrada de valores de criptoactivos, en forma de supuestos NFT. Según la orden de la SEC, de octubre a En diciembre de 2021, Impact Theory ofreció y vendió tres niveles de NFT´s, conocidos como Founder’s Keys. La orden encuentra que Impact Theory alentó a los inversiosnitas potenciales a ver la compra de una Founder’s Key como una inversión en el negocio, afirmando que los inversores se beneficiarían de sus compras si Impact Theory tuviera éxito en sus esfuerzos. Sin admitir ni negar las conclusiones de la SEC, Impact Theory aceptó una orden de cese y desistimiento determinando que violaba las disposiciones de registro de la Ley de Valores de 1933 y le ordenó pagar un total combinado de más de 6,1 millones de dólares por conceptos de restitución, intereses previos al fallo, y una pena civil.

En septiembre de 2023, la SEC acusó a Stoner Cats 2 LLC (SC2) de realizar una oferta no registrada de valores de criptoactivos en forma de supuestas NFT que recaudó aproximadamente 8 millones de dólares de inversores para financiar una serie web animada llamada Stoner Cats. Según la La orden de la SEC, SC2, violó la Ley de Valores de 1933 al ofrecer y vender estos valores de criptoactivos al público en una oferta no registrada que no estaba exenta de registro. Sin admitir ni negar las conclusiones de la SEC, SC2 acordó una orden de cese y desistimiento y pagar una multa civil de USD1 millón.

Unos pocos países han emitido directrices regulatorias o han tomado medidas de cumplimiento relacionadas con los NFT´s y las plataformas NFT. La Guía actualizada del GAFI de 2019 para un enfoque basado en el riesgo de los activos virtuales y VASP indicó que algunas NFT pueden considerarse activos virtuales, en cuyo caso las plataformas NFT que ofrecen esos activos virtuales deberían tener obligaciones ALD/CFT. Sin embargo, la guía no proporciona ejemplos específicos de qué tipos de NFT constituirían activos virtuales en comparación con cuáles no. Muchas jurisdicciones han indicado que adoptan un enfoque de regulación basado en actividades, encontrando que un proveedor de servicios NFT podría tener obligaciones ALD/CFT como VASP (Virtual Asset Service Provider; Proveedor de servicios de activos virtuales) si las NFT se consideran activos virtuales o como tipos de instituciones financieras dependiendo de los servicios prestados.

Incluso en los casos en los que las jurisdicciones determinan que los proveedores de servicios NFT son VASP, las jurisdicciones pueden carecer de suficientes sistemas de supervisión y seguimiento para llevar a cabo de manera efectiva la supervisión y sancionar a los VASP que no cumplen, según un informe del GAFI de junio de 2023 basado en una encuesta voluntaria de jurisdicciones.79 Además , el informe encontró que un tercio de los países aún no han completado una evaluación del riesgo de financiamiento ilícito para los activos virtuales y más de 40 jurisdicciones no habían decidido si regularían el sector de activos virtuales para fines ALD/CFT y cómo hacerlo.

De manera similar, muchas jurisdicciones no han determinado un enfoque para los NFT´s. Esto indica que muchas jurisdicciones aún no han considerado ni tomado medidas para mitigar los riesgos financieros ilícitos asociados con los NFT´s, incluidas aquellas que se consideran activos virtuales. La regulación y supervisión desiguales y a menudo inadecuadas permiten el arbitraje regulatorio y pueden exponer al sistema financiero estadounidense a proveedores de servicios de NFT´s que operan en el extranjero sin controles ALD/CFT adecuados para los servicios que se prestan.

Las vulnerabilidades informáticas que amenazan el normal desarrollo de una industria nuevo, moderna y con gran futuro, en cierto modo opaca el esperado esplendor. La web3 aún tiene grandes barreras de entrada, debido a lo complejo que resulta entender el ambiente digital de la web3 para el grueso de la población que se conecta a internet. Ahora, la comprensión misma de los riesgos inherentes a las plataformas de comercio de NFT´s, como a los dispositivos y aplicaciones financieras descentralizadas que son necesarios para realizar comercio, inversión y colección de estos activos, requiere un estudio y práctica permanente para quien decida atreverse a participar en esta onda digital.

Pero no todo es técnica. También existen temas relativos a los derechos de autor y marcas comerciales, que son frecuentemente vulnerados, dado que la ausencia de normativas facilitan la apropiación maliciosa de obras creadas por terceros, pero que delincuentes aprovechan de explotar comercialmente (mientras pueden), sin la obligación de responder judicialmente por la vulneración de los mencionados derechos.

También, en la cotización de los NFT´s se notan vulnerabilidades que afectan directamente a las adquisiciones de los usuarios, debido a las distorsiones de los precios, que pueden ser generadas por las vulnerabilidades que presentan los mercados y permiten la acción de criminales, inflando y bajando precios antes y después del comercio de NFT´s en las plataformas.

Si bien, los estudios para el Congreso de USA señalan que la falta de regulaciones constituyen grandes vulnerabilidades para el mercado, tendremos que decir, por nuestro lado comprometido con la descentralización, que tampoco es garantía de resolver todas las vulnerabilidades que amenazan al mercado. Incluso, el exceso de regulaciones puede resultar contraproducente y hasta dictatorial, si es que se pasan a llevar las garantías de los derechos individuales de las personas, como el derecho a la privacidad y el derecho a la propiedad privada. por ejemplo.

Las vulneraciones no solo son generadas por criminales desalmados. También pueden ser explotadas por estados abusadores que se valen de políticas y marcos jurídicos que intervienen las acciones y los activos de los ciudadanos de modo arbitrario.

Es tiempo cuando los usuarios se reúnan con los legisladores, las corporaciones de Silicon Valley y sus aliados informáticos, para lograr consensos de buenas prácticas digitales en las tecnologías de la información y la conectividad…