La conformidad financiera siempre ha estado en una línea delicada: los reguladores necesitan tener suficiente visibilidad para mantener alejados a los actores maliciosos, mientras que los usuarios desean que su vida financiera se mantenga privada, incluso si solo se trata de realizar un pago o una transacción. En 2025, esa tensión se siente más intensa que nunca. Las normas de prevención del lavado de dinero (AML) son más estrictas, existen regímenes de protección de datos más amplios, hay más actividad transfronteriza y, al mismo tiempo, contamos con tecnologías de privacidad más avanzadas que nunca.

La buena noticia es que ya no es necesario sacrificar la privacidad para garantizar la conformidad. Las pruebas de conocimiento cero (ZKPs, por sus siglas en inglés) brindan una solución al llamado paradoja de la privacidad: los reguladores necesitan la certeza de que se cumplen las normas, pero exponer identidades completas y detalles de transacciones crea riesgos en términos de seguridad, legales y de protección de datos. Las ZKPs permiten transformar el modelo de «muéstrame los datos» a «muéstrame una prueba», lo que posibilita que las empresas demuestren la conformidad sin revelar información subyacente.

Este enfoque no está diseñado para obscurecer la supervisión regulatoria. En lugar de ello, moderniza el conjunto de herramientas de conformidad para que las empresas reguladas puedan demostrar que cumplen con sus obligaciones legales (verificaciones de sanciones, obligaciones KYC, segregación de activos de clientes, controles de capital) sin transferir ni exponer los datos subyacentes. Las ZKPs pueden ser beneficiosas para los usuarios y, a largo plazo, para la conformidad regulatoria, ya que las pruebas son verificables y evidencian cualquier alteración.

¿Qué hacen realmente las pruebas de conocimiento cero?

Una prueba de conocimiento cero es una forma criptográficamente avanzada de afirmar: “Puedo demostrarte que seguí la regla X, pero no te mostraré la información sensible que normalmente se requiere para probarlo.” En finanzas, “regla X” puede ser muy concreta: “esta billetera fue verificada contra la lista actual de sanciones”; “este usuario tiene una credencial KYC válida de un emisor confiable”; “este intercambio mantiene los activos de los clientes 1:1 y concuerdan con sus pasivos”; “esta transacción está por debajo (o dentro) de un rango permitido”, entre otros.

Hoy en día, podemos ser requeridos por ley a reportar grandes conjuntos de datos a reguladores específicos. Cumplimos con las leyes de protección de datos aplicables, pero esto también aumenta el riesgo de brechas de ciberseguridad y mal uso. Un enfoque basado en ZK demuestra el resultado, no todos los insumos. Si un regulador necesita profundizar, se puede diseñar un proceso para la divulgación selectiva de datos específicos requeridos (claves de visualización, acceso limitado en el tiempo, y registros de auditoría completos, otorgados bajo el debido proceso cuando sea necesario), como un portal regulatorio o ventana con permiso.

Por qué esto es relevante ahora

Tres tendencias están confluyendo.

En la UE, los supervisores están haciendo los controles de AML más granulares, mientras que el GDPR y otros regímenes de privacidad enfatizan la minimización de datos y la limitación de propósito. Estos pueden ser complementarios en lugar de oponerse entre sí: la conformidad debería proporcionar la misma garantía o mejor, con menos exposición rutinaria de datos personales. Este objetivo puede lograrse utilizando técnicas de informes que preserven la privacidad.

La segunda tendencia es que los marcos de identidad digital (como los previstos bajo eIDAS 2.0) están cada vez más cerca de la realidad. Están construidos sobre los mismos bloques de construcción que las ZK: credenciales verificables, divulgación selectiva y atestaciones criptográficas. Esto hace mucho más realista emitir credenciales portátiles como “pasé KYC” o “no estoy sancionado”, que puedan ser probadas, no recolectadas, a través de múltiples servicios.

Por último, los supervisores están explorando tecnologías que aumenten la privacidad, incluyendo modelos de verificación de pruebas.

Cómo podría ser una pila de cumplimiento basada en pruebas

Ya tenemos ejemplos en funcionamiento. La prueba de reservas mejorada por ZK es la más conocida: un intercambio demuestra que tiene los activos para cumplir con las obligaciones de los clientes sin revelar los saldos individuales. Esto es una garantía de conocimiento cero.

Se puede aplicar lo mismo para la verificación de sanciones. En lugar de enviar la identidad completa cada vez, una billetera presenta una prueba de que fue verificada contra la lista más reciente en un momento específico. El regulador, o un VASP regulado al otro lado, ejecuta un nodo verificador para confirmar que la prueba es válida y está actualizada. Es importante notar que los ‘nodos verificadores’ son una propuesta de política que funcionan como infraestructura de supervisión para que los supervisores validen pruebas sin recopilar datos masivos.

También se puede aplicar para la segregación: un custodio prueba que los activos de los clientes no están mezclados con los fondos de la empresa mediante una prueba de rango o suma, sin publicar el libro mayor completo. Incluso se puede integrar esto en contratos inteligentes: las transacciones no se ejecutan a menos que la prueba sea aprobada. Eso es “conformidad programable” – reglas aplicadas en el momento de la transacción en ‘tiempo real’, en lugar de hacerlo después.

Para los reguladores, el cambio clave es de recopilar datos brutos a verificar evidencia criptográfica. Aún obtienen garantía, auditabilidad y trazabilidad cuando hay una base legal para desvelar. Pero no tienen que mantener ni procesar cantidades significativas de datos personales por defecto, reduciendo tanto el riesgo operativo como el legal.

Respondiendo preguntas clave

Los reguladores ya están comenzando a adoptar pilotos de ZK selectivos, que van desde pruebas verificables de reservas hasta el cumplimiento de la Regla de Viaje que valida atributos de usuario sin exponer conjuntos de datos completos. A medida que estas primitivas maduran, se escalan naturalmente hacia controles de integridad del mercado, permitiendo a las empresas demostrar que cumplen con los límites de concentración y exposición a través de pruebas de rango y suma sin revelar posiciones subyacentes.

Es crucial destacar que ZK no es sinónimo de opacidad; los sistemas bien diseñados utilizan divulgación selectiva a través de claves de visualización o de múltiples partes. Esto asegura que el acceso por parte de las fuerzas del orden sea limitado, verificable y sujeto al debido proceso, en lugar de ser universal y silencioso.

Lo que los reguladores podrían requerir

Para trabajar a través de fronteras, necesitamos estándares: tipos de prueba estándar (por ejemplo, “no en la lista de sanciones X a partir de la fecha Y”), formatos de credenciales estándar y lógica de verificación estándar que pueda ser inspeccionada. Así es como evitamos que cada intercambio, billetera o banco construya su propia versión y cree una complejidad supervisora innecesaria para los supervisores.

Concretamente, los reguladores podrían beneficiarse de seis cosas:

  1. Resultados sobre datos (dime qué has probado, no todo lo que posees);
  2. Pruebas de mínima información (prueba solo lo necesario para esta obligación);
  3. Controles programables (aplicados en el momento de la transacción donde sea apropiado);
  4. Mecanismos fuertes de disponibilidad de datos y salida (los usuarios siempre pueden confirmar sus saldos y retirar);
  5. Lógica de verificación verificable (inspecciones, vectores de prueba, registros de auditoría);
  6. Sin puertas traseras generalizadas (divulgación solo bajo procesos legales, estrechos y registrados).

Binance es un intercambio global que ya utiliza ZKPs para demostrar reservas. Nuestro sistema de prueba de reservas (POR) utiliza un árbol de Merkle, una estructura criptográfica que condensa muchas entradas de cuentas en una sola “huella digital”, junto con pruebas de conocimiento cero para demostrar que los activos de los clientes están totalmente respaldados sin revelar saldos individuales. Con cada actualización de POR, los usuarios pueden confirmar que su saldo está incluido en el árbol, mientras que las ZKPs aseguran que los totales generales son correctos y que no se incluyen saldos negativos o falsos. El resultado es una verificación independiente y que preserva la privacidad de las reservas que construye confianza sin comprometer datos personales.

Pero esto es más grande que una sola empresa. Si logramos esto, podemos hacer que la conformidad financiera sea más precisa, más respetuosa de la ley de privacidad y más fácil de supervisar.

Esto requerirá colaboración. Los reguladores tendrán que desarrollar estándares de prueba que acepten; la industria deberá alinearse y adoptar los estándares de prueba, y los organismos de establecimiento de normas asegurarán que los estándares de prueba sean interoperables a través de fronteras.

Cómo se verá el éxito

El éxito se define cuando un usuario puede probar su legitimidad sin sobrecompartir; un banco, VASP o intercambio puede cumplir con las obligaciones de AML/Regla de Viaje con divulgaciones de datos menores; un regulador puede ejecutar un nodo verificador y obtener garantías en tiempo real; y los actores maliciosos pueden ser desenmascarados bajo condiciones legales claras y estrechas.

En resumen, se busca garantía con menos divulgación. A medida que aumenta el riesgo cibernético, evolucionan las leyes de privacidad y crece la financiación digital transfronteriza, pasar de la recolección rutinaria de datos masivos a pruebas verificables es una mejora pragmática en la práctica supervisora.

Las referencias a la ley de privacidad de la UE en este artículo reflejan el marco vigente hasta noviembre de 2025; las propuestas del paquete digital de la Comisión están sujetas a cambios durante el proceso legislativo ordinario.

Fuente: www.coindesk.com