-
@ Alekqs
2023-03-15 07:28:26Mi presentación contiene algunas consideraciones personales que quizás no representan a todos los miembros de la comunidad por lo que he decidido publicarla aquí en lugar de en la web de Málaga 2140.
Table of content
¿Qué es KYC/AML?
KYC y AML (acrónimos en inglés que significan "Conoce a tu cliente" y “Prevención de lavado de dinero”) son procedimientos que utilizan las empresas para verificar la identidad de sus clientes. Según la narrativa oficial, el objetivo principal es prevenir el lavado de dinero, la financiación del terrorismo y otras actividades ilícitas.
En la práctica, no dejan de ser medidas de control y vigilancia que los reguladores financieros obligan a las empresas a adoptar contra sus clientes.
El tipo de empresas que están obligadas a cumplir con los requisitos de KYC suelen ser aquellas que ofrecen servicios financieros, como bancos, casas de cambio de criptomonedas, compañías de seguros y corredores de bolsa y entre la información que recopilan de sus clientes está el nombre completo, dirección, fecha de nacimiento, número de identificación...
En el caso de exchanges de criptomonedas es habitual solicitar un selfie sosteniendo un papel que indique que te estás dando de alta en esa entidad y la fecha.¿Soft KYC?
¿Puede haber un KYC suave?
Como hemos visto, el KYC es un registro completo de los datos del cliente por lo que dar un número de teléfono o email no es pasar un KYC.
Evitar SPAM e intentos de estafa
Bien sea por preservar nuestra privacidad o para impedir que la bandeja de entrada se llene de correo no deseado, siempre que sea posible sería conveniente no usar nuestro email o teléfono principal ni asociado a nuestra identidad.
Mediante técnicas OSINT se puede determinar todos los servicios en los que nos hayamos dado de alta con un email, teléfono o incluso un alias.
Por eso puede ser muy útil usar servicios que nos cedan un número temporal para recibir SMS o que permitan generar alias con los que poder registrarnos en webs y servicios (HodlHodl, Alby, redes sociales, ...) sin desvelar nuestro email principal.
En el caso del email, existen servicios de correo temporal como guerrillamail.com o incluso bots de Telegram como @fakemailbot.
Como solución a largo plazo, lo más recomendable es usar servicios como SimpleLogin, que permiten crear alias de correo electrónico bajo tu correo principal y la opción de crear una identidad diferente para cada sitio web.
Un buen tutorial sobre cómo usar SimpleLogin: https://www.genbeta.com/correo/simplelogin-asi-puedes-crear-tus-alias-gratis-para-ocultar-tu-mail-personal-evitar-spam-mantener-tu-privacidad
¿Qué hay del IBAN?
Es habitual encontrarse con el término “Soft KYC” para referirse a empresas como Relay, que si bien no solicitan un registro completo solo admiten pagos mediante transferencia SEPA de modo que ya existiría un nexo.
Hay que tener en cuenta las implicaciones y riesgos que conlleva hacer una transferencia SEPA a una empresa como Relay con respecto a hacerlo a un particular en un intercambio p2p.
En el primer caso bastaría que cualquier autoridad solicite a la empresa el registro de todas las transacciones para acceder a todos tus datos contactando a tu banco.
En el caso de un intercambio p2p (Bisq, HodlHodl, ...) dar a tu contraparte un IBAN para que te haga un ingreso mediante cajero solo expone los datos que permiten que alguien te envíe dinero, y no los detalles de tu cuenta personal.
Riesgos del KYC
- Los datos se almacenan durante ‘X’ años. En el caso de España las empresas están obligadas a mantener el registro con tus datos hasta 5 años después de haber solicitado que se elimine tu cuenta pero quizás no sea descabellado asumir que se conservarán indefinidamente.
-
Los datos suelen almacenarse de forma insegura, lo que provoca frecuentes hackeos y filtraciones. Si empresas mastodónticas como Apple o Facebook, con recursos de sobra para dedicar a la seguridad sufren hackeos, es de esperar que le pueda ocurrir a cualquier otra empresa.
-
El KYC no se puede deshacer. El registro va asociado a la persona no a los UTXOs.
Un coinjoin es útil si, por ejemplo, uno quiere difuminar el rastro de lo que compró en un CEX para dificultar el análisis de si se gastó posteriormente en Bitrefill o se hizo autoenvío a HWW. Pero el registro de que “Fulanito, con DNI tal y domicilio en nosédonde hizo una transferencia desde su cuenta IBAN el día X para comprar X cantidad” no se borra con un coinjoin.
Aún así, no está de más solicitar a las empresas que eliminen tu cuenta de sus bases de datos.
Si te da pereza el proceso o no sabes cómo hacerlo Your Digital Rights puede ayudarte de forma sencilla y gratuita. Sólo hay que escribir en el buscador el nombre de la entidad de la que deseas eliminar tu cuenta y seguir las instrucciones.
Your Digital Rights es una una organización sin ánimo de lucro cuyo código abierto puede consultarse aquí.No sólo en Bitcoin
Estos riesgos no son exclusivos de casas de cambio de criptomonedas. Los ciberataques a multinacionales de cualquier tipo o incluso a estados son continuos y dejan a sus clientes y ciudadanos con el culo al aire.
Por desgracia no podemos decidir si damos nuestros datos a hacienda o no así que centrémonos en lo que si podemos decidir.
El riesgo en el caso de Bitcoin es obvio. Los datos recopilados mediante el proceso KYC pone a los usuarios en peligro de robo, extorsión y persecución.
Jameson Lopp lleva un registro de todos los ataques contra tenedores de criptomonedas. Una especie de diario que actualiza a menudo con cada caso de secuestro, robo, etc.
Es cierto que Lopp tiene una empresa de custodia de criptomonedas y por lo tanto tiene un incentivo económico directo en difundir estos casos pero eso no significa que no sean reales.Si no tienes las claves, no tienes bitcoin
Una de las principales propiedades de Bitcoin (aparece en el 1er párrafo del white paper) es prescindir de terceros para usarlo. Eso para mi es irrenunciable. ¿Pedir permiso para usar un protocolo diseñado para no tener que pedir permiso? No, gracias.O dicho de otra forma:
Tener bitcoin en un exchange es como dar las llaves de tu casa a desconocidos y pedirles permiso cada vez que quieres entrar en ella.
Beautyon tiene muchos tuits para enmarcar. Lleva muchos años escribiendo sobre bitcoin y es el creador de Azteco que es una de las opciones recomendadas a continuación aunque desgraciadamente ya no cuenta con ningún punto en España. De hecho, gran parte de los puntos Azteco en la UE han desaparecido por el endurecimiento de la legislación.
En uno de esos tuits para enmarcar se posiciona en contra del concepto “Bitcoin sin KYC”:
No existe el “Bitcoin sin KYC”. Dejad de promover eso. No ayuda a nadie. De echo empeora las cosas. Si la gente se empeña en utilizar el término “btc sin KYC” es obvio que el enemigo usará toda su fuerza para perseguirlo.
Creo que todos entendemos a qué enemigo se refiere. Y un enemigo con recursos ilimitados es peligroso.
Por esa misma razón Beautyon promueve que Bitcoin no es dinero sino código. Y ya que el código es expresión, si la libertad de expresión prevalece no se podrá regular Bitcoin.Es una visión pragmática porque su incentivo es que dejen a su empresa operar sin trabas pero igualmente es una propuesta noble que nos incumbe a todos así que estoy con él.
Se ha intentado poner múltiples nombres al bitcoin custodiado por exchanges: “btc con kyc”, “btc custodiado”, … Y también al btc autocustodiado: “btc ético”, “btc libre”…
Pero, ¿Qué necesidad hay de añadir sobrenombres, prefijos o sufijos?Si estamos de acuerdo en que solo tienes btc si tienes las claves: No es que tengas btc con KYC; es que no tienes btc.
Por último quisiera recordar que adquirir bitcoin sin pasar un registro no es delito. Cuando alguien sostenga lo contrario, o que es peligroso custodiar btc por ti mismo o incluso que pasar un registro es beneficioso, piensa en qué incentivos puede tener para decir algo así.
Bitcoin sin añadidos
¿Quieres adquirir bitcoin? Estas son algunas opciones para hacerlo de forma rápida, sencilla, limpia (no hay que nada que borrar 😉) e indolora (con cualquiera de estas opciones reduces considerablemente las opciones de aparecer en la lista de "ataques contra bitcoiners de Jameson Lopp 🤕):
- Intercambio por efectivo en persona (consulte en su meetup más cercano) ⛓️ ⚡ - Cajero que no requiera identificación. ⛓️ - Robosats ⚡ - Bisq ⛓️ - Azteco ⛓️ ⚡ - Peach ⛓️ - LNP2PBot ⚡ - HodlHodl⛓️ = Onchain ⚡ = Lightning