Gran terremoto en la custodia de criptomonedas! Japón DMM fue hackeado con 312 millones de yenes, se impulsa el registro obligatorio en 2026

La Autoridad de Servicios Financieros de Japón (FSA) está considerando exigir de manera obligatoria que los proveedores de servicios de custodia y gestión de transacciones de criptomonedas se registren ante las autoridades. El grupo de trabajo discutió este tema el 7 de noviembre y planea limitar a las plataformas de intercambio a utilizar únicamente proveedores de servicios registrados. Esta medida surge tras el ataque de hackers a DMM Bitcoin en 2024, donde se robaron criptomonedas por un valor aproximado de 48.2 mil millones de yenes (alrededor de 312 millones de dólares), siendo el punto de entrada de los hackers confirmado como Ginco, un proveedor externo.

DMM fue hackeado, 312 millones de dólares impulsan una revolución regulatoria

El 7 de noviembre, Nikkei informó que un grupo de trabajo bajo la Comisión del Sistema Financiero, asesor del Primer Ministro de Japón, discutió nuevas regulaciones para la custodia de criptomonedas. La catalizadora directa fue el ataque a DMM Bitcoin en 2024, uno de los incidentes de seguridad más graves en la historia de las criptomonedas en Japón, donde se sustrajeron criptomonedas por aproximadamente 48.2 mil millones de yenes (unos 312 millones de dólares).

Lo más impactante fue el punto de entrada del ataque. La investigación reveló que los hackers no penetraron directamente en el sistema de la plataforma de intercambio DMM Bitcoin, sino que lo hicieron a través de su proveedor externo, Ginco, una empresa de software con sede en Tokio. DMM externalizó la gestión de sus transacciones a Ginco, cuya vulnerabilidad en el sistema se convirtió en el eslabón más débil de toda la cadena de seguridad. Este tipo de ataque, conocido como “ataque a la cadena de suministro”, ha puesto en evidencia las fallas críticas del sistema de custodia de criptomonedas actual.

Según la normativa vigente, los exchanges deben gestionar estrictamente los depósitos, almacenando los activos de los usuarios en billeteras frías. Tras el hackeo de Coincheck en 2017, que resultó en pérdidas de 530 millones de dólares, Japón estableció uno de los marcos regulatorios más estrictos del mundo para los exchanges. Sin embargo, Nikkei señala que actualmente no existen regulaciones similares para los proveedores de servicios externos que colaboran con los exchanges. Esta laguna regulatoria fue la raíz del incidente con DMM.

La lección del caso DMM es dolorosa. Incluso si un exchange cumple con todas las normas de seguridad, almacenando activos en billeteras frías y usando firmas múltiples, si su proveedor externo tiene vulnerabilidades, toda la protección puede ser en vano. Los hackers no necesitan atacar directamente el sistema central del exchange, sino que basta con encontrar el eslabón más débil en la cadena de proveedores. Este método de ataque, conocido en seguridad informática como “ataque a la cadena de suministro”, ha crecido en popularidad en los últimos años en los sectores financiero y tecnológico.

La mayoría de los miembros del grupo de trabajo apoyaron la propuesta de un nuevo sistema, solicitando mayor claridad en la regulación de activos digitales. Este consenso refleja el impacto que el incidente DMM tuvo en las autoridades regulatorias japonesas. Cuando un solo evento puede causar pérdidas por 312 millones de dólares, los reguladores tienen motivos suficientes para actuar con decisión y cerrar las brechas del sistema.

Contenido central del sistema de registro de custodia de criptomonedas

La FSA planea exigir de forma obligatoria que los proveedores de servicios de custodia y gestión de transacciones se registren ante la autoridad reguladora, y que los exchanges utilicen únicamente sistemas proporcionados por proveedores registrados. La intención es abordar posibles vulnerabilidades de seguridad que puedan derivar en robos o fallos del sistema. La clave de este sistema es incluir a los proveedores externos en el mismo marco regulatorio que los exchanges, eliminando vacíos regulatorios.

Se espera que el sistema de registro incluya los siguientes requisitos principales: un estándar de capital suficiente para que los proveedores puedan afrontar pérdidas potenciales, garantizando que tengan la capacidad financiera para compensar a los clientes en caso de incidentes. La obligación de auditorías de seguridad periódicas, realizadas por terceros independientes, que incluyan informes de pruebas de penetración y revisiones de código, para asegurar que los sistemas cumplen con los estándares mínimos de seguridad. La obligatoriedad de adquirir seguros de ciberseguridad y seguros de activos en custodia, que brinden protección a los usuarios en caso de ataques o fallos del sistema.

Los estándares técnicos regulan aspectos como la fortaleza de los algoritmos criptográficos, métodos de generación y almacenamiento de claves privadas, requisitos de firmas múltiples, y la separación de billeteras frías y calientes. La obligación de presentar informes periódicos a la FSA, que incluyan detalles sobre el volumen de activos en custodia, registros de incidentes de seguridad, y actualizaciones del sistema. Las sanciones por incumplimiento incluyen multas, suspensión de operaciones e incluso acciones penales, aplicándose tanto a proveedores no registrados como a exchanges que utilicen servicios no autorizados.

Marco esperado de requisitos de registro

Capital suficiente: requisitos mínimos de capital registrado y capital en curso

Auditorías de seguridad: informes anuales de auditoría independiente y pruebas de penetración

Cobertura de seguros: obligatoriedad de seguros de ciberseguridad y de activos en custodia

Estándares técnicos: requisitos de fortaleza criptográfica, gestión de claves privadas, firmas múltiples, etc.

Informes periódicos: divulgación del volumen de activos en custodia y registros de incidentes a la FSA

Sanciones por incumplimiento: multas, suspensión de operaciones e incluso acciones penales

Si se implementa este marco regulatorio integral, Japón se convertiría en uno de los países con las regulaciones más estrictas del mundo para los servicios de custodia de criptomonedas. En comparación, Estados Unidos y Europa también están fortaleciendo su regulación, pero en general se centran más en los exchanges, dejando la supervisión de los proveedores externos más laxa.

Los informes indican que la FSA planea preparar un informe basado en estas discusiones lo antes posible, y tiene previsto presentar una enmienda a la Ley de Instrumentos Financieros y Mercados en la sesión del parlamento en 2026. Esto significa que las nuevas regulaciones podrían entrar en vigor a finales de 2026 o principios de 2027. El proceso de discusión y legislación suele tomar entre 12 y 18 meses, dejando tiempo a los proveedores existentes para prepararse.

Impacto en la industria global de custodia de criptomonedas

La innovación regulatoria de Japón podría desencadenar una reacción en cadena a nivel mundial. Como tercer mercado de criptomonedas más grande del mundo (después de EE. UU. y China), las políticas regulatorias japonesas suelen ser referencia para otros países. Tras el hackeo de Coincheck en 2017, Japón estableció un marco riguroso que fue adoptado por Corea del Sur, Singapur y otros. La reciente regulación sobre los proveedores externos de custodia probablemente también sirva como ejemplo.

Para los proveedores globales, las barreras de entrada en Japón aumentarán notablemente. Empresas pequeñas como Ginco, si no cumplen con los requisitos de registro, deberán abandonar el mercado o realizar inversiones sustanciales en cumplimiento. Aunque esto pueda incrementar los costos a corto plazo, a largo plazo elevará los estándares de profesionalización y seguridad en toda la industria de custodia.

Grandes proveedores internacionales como BitGo, Fireblocks, y otros, que ya cuentan con sistemas de cumplimiento y seguridad en Europa y EE. UU., podrían beneficiarse más de esta regulación. La entrada al mercado japonés será más sencilla para ellos, mientras que las empresas más pequeñas y con menos recursos enfrentan un riesgo de supervivencia.

Para los exchanges en Japón, esta regulación los obligará a reevaluar sus actuales acuerdos de custodia. Si los proveedores actuales no logran registrarse, deberán buscar alternativas, lo que podría implicar migraciones de sistemas, renegociación de contratos y riesgos de interrupciones. Sin embargo, a largo plazo, esta regulación fortalecerá la seguridad general de los exchanges y reducirá pérdidas por vulnerabilidades de terceros.

Simultáneamente, la Agencia de Servicios Financieros ha acelerado el desarrollo de un plan para una moneda estable local. El mes pasado, aprobó la primera stablecoin vinculada al yen, JPYC, que ya está en circulación. La semana pasada, anunció un piloto en colaboración con los principales bancos japoneses: Mizuho Bank, Mitsubishi UFJ Financial Group y Sumitomo Mitsui Banking Corporation. Esta estrategia de regulación abierta combinada con una regulación estricta de custodia refleja un enfoque de equilibrio entre innovación y seguridad.

Desde la perspectiva global, la iniciativa japonesa podría convertirse en un estándar internacional. Aunque el marco MiCA de la UE es completo, aún no detalla requisitos específicos para los proveedores externos. La regulación en EE. UU. también es dispersa y varía por estado. Si el sistema de registro japonés demuestra ser efectivo, otros países probablemente seguirán su ejemplo, estableciendo un estándar global para los servicios de custodia de criptomonedas.

Para los actores del sector de custodia, esta es una oportunidad para adelantarse. Aquellos que puedan cumplir primero con los requisitos de registro en Japón podrán acceder no solo a ese mercado, sino también obtener ventajas competitivas en futuras regulaciones similares en otros países. Invertir en infraestructura de seguridad, sistemas de cumplimiento y seguros será clave para convertir los costos regulatorios en ventajas competitivas en un entorno cada vez más regulado.