Stablecoins y Blockchain
KYC, Travel Rule, wallets y trazabilidad en stablecoins
La trazabilidad útil combina expediente de identidad, contexto bancario y evidencia on-chain. Este dossier reúne diez microblogs sobre KYC/KYB, beneficiario controlador, Travel Rule, wallets, whitelisting, PEP, listas, perfil transaccional, alertas y avisos con una regla común: cada decisión debe poder reconstruirse.
Corte normativo: 9 de julio de 2026. Antes de publicar, confirme nuevamente reglas de identificación, formatos de aviso, valores en UMA y requisitos de intercambio de datos aplicables al sujeto.
Ruta de lectura
- Expediente KYC para activos virtuales: mínimo auditable
- KYB y beneficiario controlador en una mesa OTC
- Travel Rule: estándar internacional y aterrizaje mexicano
- Wallet custodiada o no custodiada: preguntas de debida diligencia
- Whitelisting de wallets y cuentas bancarias
- Trazabilidad on-chain: qué evidencia conservar
- PEP y activos virtuales: riesgo reforzado sin rechazo automático
- LPB, sanciones y screening de wallets: controles distintos
- Perfil transaccional y alertas en stablecoins
- Avisos e informes: expediente audit-ready de decisión
Método de análisis
- Dibujar entidades, cuentas, wallets, claves, datos y jurisdicciones.
- Asignar a cada participante la función que realmente ejecuta.
- Separar la obligación mexicana de cualquier estándar GAFI, lista extranjera o requisito contractual de la contraparte.
- Convertir la conclusión en contratos, controles, registros y evidencia verificable.
- Reexaminar el expediente si varían los datos capturados, la custodia, el proveedor analítico, el corredor o el perfil de riesgo.
Criterio transversal del expediente de cumplimiento
Identidad, beneficiario controlador, cuentas, wallets, alertas y decisiones deben conservar un identificador común y una fecha de actualización. Cada tema agrega la evidencia especializada que necesita, sin volver a enunciar la arquitectura general del expediente.
Expediente KYC para activos virtuales: mínimo auditable
Patrón observado. El expediente auditable conecta identidad, beneficiario controlador, propósito, perfil, wallets y actualización.
La información cambia según persona física, moral, fideicomiso o estructura extranjera. Para personas morales se necesitan existencia, poderes, estructura y beneficiario controlador. Para todos se revisan PEP, listas, propósito, origen/destino y perfil. Los documentos deben verificarse y tener reglas de actualización.
La capa cripto
Además del expediente tradicional se capturan activo, red, wallet, tipo de custodia, prueba razonable de control, VASP de origen/destino cuando sea identificable y datos requeridos para la transferencia. La dirección por sí sola no identifica al titular; la declaración del cliente por sí sola no sustituye verificaciones proporcionales al riesgo.
El expediente debe enlazarse con transacciones. Si volumen, geografía o contrapartes se apartan del perfil, se actualiza información o se investiga. KYC es un proceso continuo, no una puerta que se cruza una vez.
Base legal
LFPIORPI vigente, SAT: activos virtuales y LFPDPPP vigente.
Cómo llevarlo a operación
Índice de expediente KYC cripto. Esta pieza debe probar que el expediente permite explicar quién opera, para qué y con qué recursos.
- verificar identidad y domicilio.
- documentar actividad u ocupación.
- capturar propósito y volumen.
- vincular cuentas y wallets.
- registrar origen y destino.
- calendarizar actualización.
La revisión debe avanzar desde verificar identidad y domicilio, contrastarlo con capturar propósito y volumen y terminar en calendarizar actualización sin completar vacíos con supuestos. El resultado vuelve a diseño si documentar actividad u ocupación no coincide con vincular cuentas y wallets o si registrar origen y destino carece de soporte verificable.
El expediente debe mostrar primero verificar identidad y domicilio; después documentar actividad u ocupación; y finalmente registrar origen y destino, conservando la relación entre los tres pasos. Si aparece cambio de identidad, actividad, riesgo, wallet, cuenta o patrón de operación, la conclusión deja de cubrir la versión activa y se revisa antes de la siguiente operación.
KYB y beneficiario controlador en una mesa OTC
Patrón observado. El organigrama declarado necesita corroboración documental y explicación del control efectivo hasta personas físicas.
El análisis recorre la cadena de propiedad hasta las personas físicas o documenta por qué aplica otra forma de control. También valida que quien instruye tenga facultades y que cuenta bancaria y wallet correspondan a la entidad o a una relación aprobada. Estructuras extranjeras requieren equivalentes funcionales y traducción cuando sea necesaria.
Sustancia y propósito
Una empresa recién creada que pretende operar volúmenes incompatibles con su capital o actividad merece explicación reforzada; no necesariamente rechazo. Se solicitan contratos, estados, facturación, origen de patrimonio o evidencia comercial proporcional. El objetivo es entender, no acumular papeles.
Los cambios corporativos deben disparar actualización: nuevos accionistas, administradores, poderes, domicilio, giro o beneficiario. Lo mismo ocurre si aparecen pagadores o wallets de terceros.
Base legal
LFPIORPI vigente, SAT: información general de Actividades Vulnerables y GAFI VA/VASP 2025.
Cómo llevarlo a operación
Árbol de control KYB. Esta pieza debe probar que la cadena termina en personas físicas corroboradas y explica control efectivo.
- obtener constitutivos vigentes.
- verificar representantes y poderes.
- reconciliar libros y organigrama.
- identificar beneficiarios controladores.
- documentar porcentajes y control.
- resolver estructuras opacas.
La revisión debe avanzar desde obtener constitutivos vigentes, contrastarlo con reconciliar libros y organigrama y terminar en resolver estructuras opacas sin completar vacíos con supuestos. El resultado vuelve a diseño si verificar representantes y poderes no coincide con identificar beneficiarios controladores o si documentar porcentajes y control carece de soporte verificable.
El expediente debe mostrar primero obtener constitutivos vigentes; después verificar representantes y poderes; y finalmente documentar porcentajes y control, conservando la relación entre los tres pasos. Si aparece cambio accionario, poder, administrador, fideicomiso o acuerdo de control, la conclusión deja de cubrir la versión activa y se revisa antes de la siguiente operación.
Travel Rule: estándar internacional y aterrizaje mexicano
Patrón observado. Debe distinguirse entre ley mexicana vigente, estándar GAFI y requisito contractual de una contraparte extranjera.
GAFI revisó la Recomendación 16 en 2025 y previó transición para los cambios. Eso exige control de versiones. No es correcto afirmar que cada detalle revisado ya rige automáticamente en México; tampoco es prudente ignorarlo cuando una contraparte lo exige o el diseño anticipa interoperabilidad.
Datos y decisión
El flujo define qué información se obtiene, verifica, conserva y transmite; cómo se vincula con el hash; qué ocurre si falta; y cómo se protege. También debe reconocer transferencias a wallets no alojadas, donde no existe otro VASP que reciba datos. La respuesta puede incluir debida diligencia reforzada, prueba de control y límites basados en riesgo.
La privacidad no se resuelve enviando todo. Deben aplicarse finalidad, proporcionalidad, seguridad, retención y transferencias internacionales, con contratos que prohíban usos incompatibles.
Qué revisar
Mantener una matriz por corredor con base legal, campos, protocolo, contraparte, cifrado, SLA y regla de rechazo. Probar interoperabilidad y conservar logs sin exponer datos en blockchain pública.
Base legal
GAFI: Recomendación 16 revisada, GAFI VA/VASP 2025, LFPIORPI y LFPDPPP.
Cómo llevarlo a operación
Matriz de obligación Travel Rule. Esta pieza debe probar que ley mexicana, estándar GAFI y requisito de contraparte aparecen en columnas distintas.
- capturar originante.
- capturar receptor.
- identificar VASP de cada lado.
- vincular wallets y hash.
- documentar fundamento aplicable.
- controlar rechazo o datos faltantes.
La revisión debe avanzar desde capturar originante, contrastarlo con identificar VASP de cada lado y terminar en controlar rechazo o datos faltantes sin completar vacíos con supuestos. El resultado vuelve a diseño si capturar receptor no coincide con vincular wallets y hash o si documentar fundamento aplicable carece de soporte verificable.
El expediente debe mostrar primero capturar originante; después capturar receptor; y finalmente documentar fundamento aplicable, conservando la relación entre los tres pasos. Si aparece nuevo país, VASP, umbral, formato o regla contractual, la conclusión deja de cubrir la versión activa y se revisa antes de la siguiente operación.
Wallet custodiada o no custodiada: preguntas de debida diligencia
Patrón observado. La prueba de control de wallet debe ser proporcional al riesgo y no confundirse con una afirmación automática de propiedad.
Para una wallet alojada conviene identificar al proveedor, jurisdicción, licencia/registro, Travel Rule, dirección asignada y restricciones. Para una no alojada se documenta la declaración del cliente y una prueba proporcional de control, por ejemplo firma de mensaje o microtransferencia, cuidando seguridad y costo.
Señales que requieren explicación
Dirección recién creada, cambio inmediato antes de liquidar, múltiples clientes usando una misma wallet, fondos de mixers o exposición a categorías de alto riesgo no implican siempre ilicitud, pero sí revisión. El análisis on-chain debe considerar calidad de datos, distancia, red y posibilidad de falsos positivos.
La empresa también define qué tipos de wallets no admite y por qué. Esa política debe ser consistente y permitir excepciones documentadas; un bloqueo arbitrario puede producir decisiones opacas.
Qué revisar
Registrar tipo, red, fecha, prueba de control, screening inicial y continuo, y VASP relacionado. Nunca solicitar semillas o claves privadas. Revalidar cuando cambie el riesgo o se actualice la dirección.
Base legal
GAFI VA/VASP 2025, LFPIORPI y LFPDPPP.
Cómo llevarlo a operación
Cuestionario de control de wallet. Esta pieza debe probar que la capacidad efectiva de ejecutar operaciones queda probada sin presumir propiedad.
- identificar quien conserva claves.
- documentar firmas requeridas.
- verificar recuperación.
- registrar subcustodia.
- probar control de dirección.
- definir tratamiento de excepciones.
La revisión debe avanzar desde identificar quien conserva claves, contrastarlo con verificar recuperación y terminar en definir tratamiento de excepciones sin completar vacíos con supuestos. El resultado vuelve a diseño si documentar firmas requeridas no coincide con registrar subcustodia o si probar control de dirección carece de soporte verificable.
El expediente debe mostrar primero identificar quien conserva claves; después documentar firmas requeridas; y finalmente probar control de dirección, conservando la relación entre los tres pasos. Si aparece cambio de custodia, multifirma, subcustodio, recuperación o dispositivo, la conclusión deja de cubrir la versión activa y se revisa antes de la siguiente operación.
Whitelisting de wallets y cuentas bancarias
Patrón observado. Vincular wallets y cuentas verificadas reduce pagos a terceros y mejora la reconstrucción de excepciones.
El alta debe usar un canal autenticado, verificación independiente y, para wallets, prueba razonable de control. La cuenta bancaria se valida contra titular y documentación. Los pagos de terceros requieren una política separada; no deben incorporarse silenciosamente a la lista del cliente.
Riesgo de cambio
El momento más vulnerable es la modificación. Compromiso de correo, ingeniería social o error de red pueden redirigir activos irreversibles. Por eso se aplican doble aprobación, notificación fuera de banda, periodo de enfriamiento y registro de quién solicitó, verificó y aprobó.
La lista debe distinguir origen y destino, producción y pruebas, y token/red. Una misma cadena visualmente similar no garantiza compatibilidad. También se vuelve a ejecutar screening antes de operaciones relevantes o cuando cambia el perfil.
Qué revisar
No permitir edición por operadores de trading; usar permisos segregados, logs inmutables y alertas por cambio. Toda liquidación fuera de whitelist se detiene. Las excepciones expiran y requieren fundamento.
Base legal
LFPIORPI, SAT: activos virtuales y GAFI VA/VASP 2025.
Cómo llevarlo a operación
Registro de destinos autorizados. Esta pieza debe probar que cada destino está vinculado con cliente verificado, prueba y aprobación vigente.
- verificar titular de cuenta.
- validar red y dirección.
- aplicar prueba proporcional.
- registrar aprobador y fecha.
- establecer vigencia.
- bloquear cambios durante operación.
La revisión debe avanzar desde verificar titular de cuenta, contrastarlo con aplicar prueba proporcional y terminar en bloquear cambios durante operación sin completar vacíos con supuestos. El resultado vuelve a diseño si validar red y dirección no coincide con registrar aprobador y fecha o si establecer vigencia carece de soporte verificable.
El expediente debe mostrar primero verificar titular de cuenta; después validar red y dirección; y finalmente establecer vigencia, conservando la relación entre los tres pasos. Si aparece alta, sustitución o compromiso de cuenta, wallet o firmante, la conclusión deja de cubrir la versión activa y se revisa antes de la siguiente operación.
Trazabilidad on-chain: qué evidencia conservar
Patrón observado. El hash aislado no basta: debe conservarse su contexto de red, activo, dirección, fecha, contraparte y decisión.
El expediente incluye dirección y red, hash, fecha/hora, proveedor y versión, resultado completo, categorías de exposición, distancia, umbral aplicado, analista y decisión. Si el proveedor actualiza etiquetas después, la empresa debe poder explicar qué información tenía al decidir.
Contexto y falsos positivos
Una exposición indirecta no equivale a identidad ni culpabilidad. Deben considerarse actividad del cliente, contraparte, monto relativo, tiempo, hops, servicio identificado y explicaciones. El escalamiento puede concluir continuar, pedir información, limitar, rechazar o analizar reporte; cada resultado necesita motivo.
La trazabilidad se enlaza con banco y KYC. Una transferencia limpia on-chain no explica el origen económico de pesos, y un nombre bancario coincidente no prueba control de una wallet.
Qué revisar
Definir matriz de categorías y acciones, revisión por segunda línea para casos críticos, retención de evidencia y pruebas periódicas del proveedor. No publicar scores ni revelar información que pueda constituir tipping-off.
Base legal
LFPIORPI, GAFI: guía rápida de riesgos VA/VASP y GAFI VA/VASP 2025.
Cómo llevarlo a operación
Paquete de evidencia on-chain. Esta pieza debe probar que el hash conserva contexto suficiente para reconstruir la decisión jurídica y operativa.
- registrar red y activo.
- capturar direcciones.
- conservar fecha y bloque.
- vincular orden interna.
- archivar análisis de riesgo.
- documentar disposición final.
La revisión debe avanzar desde registrar red y activo, contrastarlo con conservar fecha y bloque y terminar en documentar disposición final sin completar vacíos con supuestos. El resultado vuelve a diseño si capturar direcciones no coincide con vincular orden interna o si archivar análisis de riesgo carece de soporte verificable.
El expediente debe mostrar primero registrar red y activo; después capturar direcciones; y finalmente archivar análisis de riesgo, conservando la relación entre los tres pasos. Si aparece reorganización de red, cambio de explorador, activo, etiqueta o proveedor analítico, la conclusión deja de cubrir la versión activa y se revisa antes de la siguiente operación.
PEP y activos virtuales: riesgo reforzado sin rechazo automático
Patrón observado. La condición PEP activa evaluación y monitoreo reforzados, no un rechazo automático sin análisis.
El análisis incluye PEP nacionales y extranjeras, familiares y personas relacionadas conforme al marco aplicable. Debe considerar cargo, jurisdicción, temporalidad, exposición a contratación pública, medios adversos confiables y estructura usada para operar. Los resultados se documentan con fuentes y fecha.
La capa transaccional
En stablecoins interesa si se usan wallets o sociedades no declaradas, corredores de alto riesgo, pagos de terceros, cambios frecuentes o servicios de opacidad. Ninguna señal se evalúa aislada. La empresa compara contra el perfil y solicita explicación proporcional.
La decisión debe ser revisable: aceptar con límites, monitoreo reforzado y actualización más frecuente; o rechazar con fundamento de riesgo. Evitar reglas informales basadas sólo en nacionalidad o cargo.
Qué revisar
Asignar dueño del caso, aprobación senior, calendario de revisión, alertas específicas y evidencia de origen. Los nombres se vuelven a filtrar periódicamente y ante eventos. El acceso a los expedientes se restringe.
Base legal
CNBV: guías PLD/FT y PEP, LFPIORPI y GAFI VA/VASP 2025.
Cómo llevarlo a operación
Ficha de decisión PEP. Esta pieza debe probar que la relación se aprueba, condiciona o rechaza mediante análisis documentado y proporcional.
- confirmar coincidencia e identidad.
- describir función pública.
- analizar país y temporalidad.
- revisar origen de patrimonio.
- obtener aprobación reforzada.
- definir monitoreo y revisión.
La revisión debe avanzar desde confirmar coincidencia e identidad, contrastarlo con analizar país y temporalidad y terminar en definir monitoreo y revisión sin completar vacíos con supuestos. El resultado vuelve a diseño si describir función pública no coincide con revisar origen de patrimonio o si obtener aprobación reforzada carece de soporte verificable.
El expediente debe mostrar primero confirmar coincidencia e identidad; después describir función pública; y finalmente obtener aprobación reforzada, conservando la relación entre los tres pasos. Si aparece nuevo cargo, familiar, asociado, país o información adversa, la conclusión deja de cubrir la versión activa y se revisa antes de la siguiente operación.
LPB, sanciones y screening de wallets: controles distintos
Patrón observado. LPB, sanciones internacionales y análisis on-chain son controles distintos con fuentes, decisiones y evidencias propias.
La política define fuentes oficiales, frecuencia, coincidencia exacta o potencial, escalamiento y acciones. Para wallets añade red, proveedor, categorías y momento del screening. También establece qué ocurre con una operación en curso y cómo se evita revelar un análisis o reporte protegido.
No mezclar regímenes
LPB mexicana, listas extranjeras y políticas comerciales pueden producir obligaciones o riesgos distintos según entidad y corredor. El contrato puede permitir rechazar por sanciones más amplias, pero el expediente debe identificar la base utilizada. “Está bloqueado” es una conclusión insuficiente.
Cuando una coincidencia aparece después del onboarding, se reconstruyen saldos, operaciones y relaciones. La reacción debe preservar evidencia, accesos y tiempos de decisión.
Qué revisar
Motor de casos con fuente, versión, datos comparados, analista, resolución y aprobador; rescreening periódico y por evento; pruebas de falsos positivos y cobertura. Las listas y reglas se actualizan sin depender de hojas manuales.
Base legal
CNBV: marco PLD/FT, LFPIORPI y GAFI VA/VASP 2025.
Cómo llevarlo a operación
Matriz de screening por capa. Esta pieza debe probar que cada alerta conserva fuente, alcance, decisión, aprobador y acción correspondiente.
- separar LPB mexicana.
- separar sanciones extranjeras.
- registrar análisis on-chain.
- resolver falsos positivos.
- escalar coincidencias reales.
- documentar bloqueo, rechazo o continuidad.
La revisión debe avanzar desde separar LPB mexicana, contrastarlo con registrar análisis on-chain y terminar en documentar bloqueo, rechazo o continuidad sin completar vacíos con supuestos. El resultado vuelve a diseño si separar sanciones extranjeras no coincide con resolver falsos positivos o si escalar coincidencias reales carece de soporte verificable.
El expediente debe mostrar primero separar LPB mexicana; después separar sanciones extranjeras; y finalmente escalar coincidencias reales, conservando la relación entre los tres pasos. Si aparece actualización de lista, proveedor, regla on-chain o coincidencia, la conclusión deja de cubrir la versión activa y se revisa antes de la siguiente operación.
Perfil transaccional y alertas en stablecoins
Patrón observado. Las alertas útiles comparan conducta observada con propósito, volumen, contrapartes, corredores y riesgo de wallets.
Las alertas pueden observar fraccionamiento, velocidad fiat-cripto-fiat, pagos de terceros, cambios de wallet, múltiples jurisdicciones, exposición a servicios de opacidad, actividad incompatible o patrones circulares. Deben calibrarse con el producto; copiar reglas bancarias sin contexto genera ruido.
De alerta a caso
La alerta sólo abre una pregunta. El analista revisa KYC, historial, banco, blockchain, explicación y documentación. La decisión puede cerrar con fundamento, actualizar perfil, aplicar límites, terminar relación o evaluar aviso/reporte. El sistema conserva evidencia y tiempos.
La efectividad se mide: cobertura, falsos positivos, casos envejecidos, escenarios sin datos y retroalimentación. Los umbrales exactos son información sensible y no deben publicarse.
Qué revisar
Catálogo versionado con propósito, dato, lógica, severidad, dueño y prueba. Validación antes de producción y ajuste documentado. El comité recibe métricas agregadas, no detalles personales innecesarios.
Base legal
GAFI: guía rápida de riesgo VA/VASP, GAFI VA/VASP 2025 y LFPIORPI.
Cómo llevarlo a operación
Ficha de perfil y escenarios. Esta pieza debe probar que las alertas comparan comportamiento real contra propósito y límites documentados.
- definir volumen esperado.
- registrar frecuencia y activos.
- identificar países y contrapartes.
- incorporar cuentas y wallets.
- calibrar escenarios.
- medir resolución y reincidencia.
La revisión debe avanzar desde definir volumen esperado, contrastarlo con identificar países y contrapartes y terminar en medir resolución y reincidencia sin completar vacíos con supuestos. El resultado vuelve a diseño si registrar frecuencia y activos no coincide con incorporar cuentas y wallets o si calibrar escenarios carece de soporte verificable.
El expediente debe mostrar primero definir volumen esperado; después registrar frecuencia y activos; y finalmente calibrar escenarios, conservando la relación entre los tres pasos. Si aparece desviación de volumen, frecuencia, corredor, contraparte o riesgo de wallet, la conclusión deja de cubrir la versión activa y se revisa antes de la siguiente operación.
Avisos e informes: expediente audit-ready de decisión
Patrón observado. El expediente debe permitir reconstruir datos, análisis, aprobación, envío, acuse y cualquier corrección posterior.
Para activos virtuales debe conectar cliente, operación, contraprestación, cuenta, wallet, hash y periodo. También registra informes en ceros cuando procedan y conserva evidencia de que el universo realmente fue cero, no de que el sistema omitió datos.
Control de vigencia
La reforma LFPIORPI de 2025 y la transición de reglas hacen indispensable versionar parámetros. Un umbral encontrado en una página antigua no debe codificarse sin contrastar ley, reglas, portal y UMA aplicable. El expediente conserva la fuente usada para cada periodo.
Las modificaciones se hacen por procedimiento; no se borra el archivo original. Las discrepancias entre operación y XML/plantilla alimentan remediación del sistema.
Qué revisar
Conciliación mensual firmada entre subledger y universo reportable, checklist de calidad, acuses, bitácora de errores, respaldo y acceso restringido. Auditoría selecciona muestras desde el universo, no sólo desde lo enviado.
Base legal
Portal SPPLD, SAT: activos virtuales y formatos y LFPIORPI vigente.
Cómo llevarlo a operación
Índice de aviso e informe. Esta pieza debe probar que un revisor puede reconstruir dato fuente, análisis, aprobación, envío y acuse.
- conservar operación base.
- documentar regla de reporte.
- archivar análisis y narrativa.
- registrar aprobador.
- vincular archivo enviado y acuse.
- controlar correcciones y seguimiento.
La revisión debe avanzar desde conservar operación base, contrastarlo con archivar análisis y narrativa y terminar en controlar correcciones y seguimiento sin completar vacíos con supuestos. El resultado vuelve a diseño si documentar regla de reporte no coincide con registrar aprobador o si vincular archivo enviado y acuse carece de soporte verificable.
El expediente debe mostrar primero conservar operación base; después documentar regla de reporte; y finalmente vincular archivo enviado y acuse, conservando la relación entre los tres pasos. Si aparece corrección, envío extemporáneo, cambio de criterio o nueva información, la conclusión deja de cubrir la versión activa y se revisa antes de la siguiente operación.
Cierre del dossier
Una política de identificación no puede trasladarse intacta a otro producto sin revisar usuarios, canales, datos y obligaciones de reporte. El cierre exige un índice de expediente, reglas de escalamiento y muestras que demuestren trazabilidad entre alerta, decisión y aviso.
Volver al hub de Stablecoins y Blockchain.
Siguiente paso
SVA.LAW puede revisar KYC, Travel Rule, wallets y trazabilidad en stablecoins dentro del modelo concreto y convertir el análisis de Stablecoins y Blockchain en decisiones, responsables y evidencia de implementación. Iniciar una conversación.