¿Cuáles son los principales riesgos de seguridad y vulnerabilidades de ataque en la red que afectan a los exchanges de criptomonedas como ACE después del incidente de fraude ocurrido en 2025?

Fraude interno y fallos de gestión: cómo la cúpula de ACE Exchange explotó la infraestructura de la plataforma en una estafa de más de 1 000 millones de yuanes

El caso de fraude en ACE Exchange ilustra cómo surge el fraude interno cuando las prioridades de la dirección se alejan de la seguridad de la plataforma. Se acusa al equipo directivo de haber aprovechado su acceso administrativo a la infraestructura, saltándose los protocolos de autorización estándar y explotando la falta de segregación de funciones. En vez de ataques externos, este fraude interno operó dentro del propio marco operativo legítimo del exchange, complicando mucho su detección.

Los fallos de gestión generaron un entorno permisivo, donde se realizaron transacciones no autorizadas por más de 1 000 millones de yuanes con escasa supervisión. Las debilidades de la infraestructura fueron principalmente humanas: jerarquías de aprobación poco sólidas, monitorización de transacciones deficiente y ausencia de registros de auditoría suficientes permitieron que las actividades fraudulentas pasaran desapercibidas. Personal con privilegios elevados aprovechó los huecos entre las políticas y su aplicación real, dirigiendo activos de usuarios a través de canales no autorizados mientras mantenían una fachada de legitimidad.

Este incidente demuestra que la seguridad de la infraestructura depende de la gobernanza y la responsabilidad directiva. Cuando falla la rendición de cuentas de la dirección, las salvaguardias técnicas pierden eficacia. El caso pone de relieve que los exchanges de criptomonedas requieren controles internos sólidos: supervisión independiente de las acciones directivas, revisiones obligatorias de transacciones y una clara separación entre roles operativos y de verificación. Un fraude interno de esta magnitud revela fallos sistémicos en los marcos de cumplimiento y la supervisión de la gobernanza, que van más allá de las vulnerabilidades técnicas, y subraya la importancia de las salvaguardias institucionales junto a las defensas tecnológicas.

Controles KYC y de listado de tokens insuficientes: el papel de activos no verificados como MOCT/TWD en la facilitación de fraudes

Una vulnerabilidad crítica en la infraestructura de los exchanges reside en los controles inadecuados de KYC y de listado de tokens. Si las plataformas de criptomonedas no aplican marcos de cumplimiento rigurosos para la incorporación de usuarios y la aprobación de activos, los delincuentes aprovechan estas lagunas para facilitar el lavado de dinero y los esquemas de phishing. Los marcos de referencia establecen que los procesos KYC deben incorporar el cumplimiento normativo desde el inicio, con diligencia debida continua y una monitorización AML integral durante todo el ciclo de vida del usuario.

El caso de ACE muestra cómo los activos no verificados pueden crear riesgos sistémicos. Tokens como MOCT y TWD, sin una evaluación rigurosa en las principales plataformas, se emplean como vehículos para transacciones fraudulentas. Los criterios de listado deberían exigir comprobaciones exhaustivas, pero la falta de aplicación rigurosa permite que activos problemáticos circulen y expongan a los usuarios a estafas o redes de fraude sofisticadas. Los datos del sector demuestran que la debilidad en los controles de listado de tokens se asocia directamente con servicios de phishing y lavado de dinero organizado.

Los exchanges deben integrar los controles KYC como infraestructura esencial de seguridad, no como un mero trámite de cumplimiento. El avance regulatorio previsto para 2026 exigirá a las plataformas mayor responsabilidad por sus decisiones de listado, haciendo que la verificación de tokens y de usuarios sea imprescindible para la resiliencia frente al fraude.

Riesgos de custodia centralizada y vacíos regulatorios: lecciones de las infracciones de blanqueo de capitales y fallos de cumplimiento de ACE

Las plataformas de custodia centralizada, donde los exchanges gestionan los activos y claves privadas de los clientes, concentran grandes responsabilidades regulatorias y de seguridad que generaron vulnerabilidades críticas en la operativa de ACE. Cuando la supervisión regulatoria sancionó a ACE por infracciones de blanqueo de capitales, quedó patente que las estructuras de custodia centralizada dependen por completo del cumplimiento institucional de los protocolos AML. Los fallos de ACE demuestran que incluso los exchanges centralizados consolidados pueden presentar brechas sistémicas en sus procedimientos de AML y KYC, debilitando la protección al cliente que buscan garantizar estos marcos.

Los vacíos regulatorios en los exchanges de custodia derivan en parte de la evolución de la supervisión sobre los proveedores de servicios de activos virtuales. Los reguladores exigen cada vez más que las plataformas de custodia implanten una monitorización robusta de transacciones, una debida diligencia exhaustiva de los clientes y revisiones independientes periódicas de los sistemas de cumplimiento. El caso de ACE evidenció cómo la falta de controles de monitorización permitió que se produjeran actividades de blanqueo sin ser detectadas. Estas vulnerabilidades no afectan solo a ACE: muchos operadores centralizados aún tienen dificultades para detectar delitos financieros sofisticados. El caso demuestra que los organismos reguladores ahora exigen una aplicación más estricta y mayor responsabilidad en la custodia, modificando de raíz los requisitos de cumplimiento para plataformas que gestionan criptoactivos y fondos de clientes.

Preguntas frecuentes

¿Qué ocurrió exactamente en el incidente de fraude de 2025 en ACE Exchange y qué impacto tuvo en los activos de los usuarios?

El fraude de 2025 en ACE provocó pérdidas significativas para los usuarios. Los reguladores financieros abrieron investigaciones y pueden revocar licencias de operación. El incidente implicó a antiguos directivos y desencadenó revisiones de cumplimiento bajo normativas de prevención de blanqueo de capitales.

¿Cuáles son las principales vulnerabilidades de seguridad habituales en los exchanges de criptomonedas, incluidas las de contratos inteligentes, seguridad de billeteras y riesgos internos?

Las vulnerabilidades más comunes en los exchanges de criptomonedas incluyen fallos en contratos inteligentes, compromisos de billeteras por ataques informáticos y abuso interno de privilegios. Estas situaciones pueden derivar en pérdidas considerables de fondos y exigen medidas de seguridad robustas y auditorías periódicas.

¿Cómo identificar y evaluar el nivel de seguridad de un exchange de criptomonedas? ¿Qué indicadores deben consultar los usuarios?

Verifique certificaciones regulatorias, disponibilidad de autenticación en dos pasos (2FA), protección frente a phishing, historial de auditorías de seguridad y valoraciones de seguridad externas. Revise también los registros de incidentes y las opiniones de usuarios para valorar la fiabilidad de la plataforma.

Tras incidentes de seguridad en exchanges, ¿cómo deben los usuarios proteger sus activos digitales y la seguridad de sus cuentas?

Utilice billeteras hardware para el almacenamiento, evite custodias prolongadas en exchanges, active la autenticación en dos pasos, actualice contraseñas periódicamente y monitorice la actividad de la cuenta. Considere la autocustodia para reforzar la seguridad.

¿Cuáles son las principales medidas de protección frente a ataques a la red de exchanges como DDoS o hacking?

Las protecciones a nivel de exchange incluyen cortafuegos profesionales, servicios de mitigación DDoS, sistemas de detección de intrusiones y arquitectura de seguridad multinivel. Estas soluciones resisten ataques SYN/ACK, ataques a conexiones TCP y ataques DDoS volumétricos mediante filtrado de tráfico en tiempo real y detección de anomalías.

¿Cuáles son las principales diferencias de seguridad entre exchanges centralizados y descentralizados?

Los exchanges centralizados custodian las claves privadas de los usuarios, lo que genera riesgos de hackeo, mientras que los exchanges descentralizados otorgan a los usuarios el control sobre sus claves, aumentando la seguridad aunque persisten los riesgos en contratos inteligentes. Los DEX ofrecen mayor autonomía; los CEX aportan protección institucional mediante infraestructuras reguladas.

¿Qué exigen las normativas en cuanto a seguridad de exchanges y prevención del fraude?

Las autoridades requieren medidas estrictas contra el fraude, con tolerancia cero ante incumplimientos. Los exchanges deben contar con sistemas de seguridad robustos, vigilar el mercado, prevenir el uso de información privilegiada y la manipulación, y mantener marcos de cumplimiento sólidos para proteger a los usuarios y la integridad del mercado.

¿Cuál es el equilibrio de seguridad entre el almacenamiento en cold wallet y las billeteras hot?

Las cold wallets almacenan criptomonedas fuera de línea para máxima seguridad, pero resultan menos prácticas y requieren operaciones complejas. Las hot wallets ofrecen acceso inmediato y facilidad para el trading, aunque presentan mayor riesgo de hackeo. Use cold wallet para almacenamiento a largo plazo y hot wallet para operaciones frecuentes.