Filtraciones de KYC en Exchanges: Cómo se guardan tus datos realmente

Cuando un exchange dice en su sitio web «utilizamos cifrado a nivel bancario y cumplimos con GDPR», eso es una fórmula de marketing, no una descripción de la arquitectura real de almacenamiento de datos.

Legalmente, tienen razón.
Técnicamente, todo es mucho más complejo y peligroso para el usuario.

Es precisamente esta brecha entre la seguridad declarada y la práctica real lo que debemos analizar.

1. Cómo se almacenan los datos en realidad - sin declaraciones publicitarias

1.1. KYC casi nunca está «dentro del exchange»

La mayoría de los CEX grandes no tienen infraestructura propia de KYC. Es poco rentable, caro y jurídicamente arriesgado.
Por eso se usan proveedores externos:

• Onfido
• Jumio
• Sumsub
• Trulioo
• IDnow

El esquema funciona así:

1. Subes tu pasaporte y selfie no al servidor del exchange, sino a la nube del proveedor de KYC
2. Los documentos se procesan mediante IA + moderación manual
3. El exchange recibe:
   • el estado (verified / rejected)
   • metadatos
   • frecuentemente copias de los propios documentos

⚠️ Punto clave:
Un hackeo o fuga en el proveedor = compromiso de docenas de exchanges a la vez.
Es un riesgo sistémico del que los exchanges prefieren no hablar.

1.2. «Eliminar cuenta» no significa borrar datos

Según los requisitos de AML/CFT:

• UE: 5 años
• Reino Unido: hasta 6 años
• EE. UU.: 5–10 años
• Algunas jurisdicciones: hasta 12 años

Incluso si:

• cerraste la cuenta
• eliminaste el perfil
• escribiste al soporte

👉 tu pasaporte, selfie y proof of address permanecen en el archivo.

Normalmente la arquitectura es así:

• Almacenamiento caliente - usuarios activos, acceso del soporte técnico
• Almacenamiento tibio - cuentas recientemente cerradas
• Archivos fríos - almacenamiento offline (S3 Glacier, tape backup, air-gapped storage)

Pero hay un detalle del que rara vez se habla:

Durante cualquier «investigación», re-verificación o solicitud de regulador
los datos vuelven a la zona caliente, donde las personas pueden acceder a ellos.

1.3. Insider Threat - la pesadilla real de la industria

La parte más vulnerable del sistema es el ser humano.

En la práctica:

• el soporte a menudo se externaliza
• salarios bajos
• control formal
• auditorías aleatorias

Geografía típica:

• Filipinas
• India
• Europa del Este
• América Latina

El operador del soporte puede ver:

• pasaporte
• selfie
• dirección
• registros de IP
• historial de logins
• a veces transacciones

💡 Dato poco conocido:
En algunos exchanges un solo operador puede manejar 5–10 proyectos simultáneamente (a través de un proveedor).
Esto significa acceso cruzado entre ecosistemas.

2. Fugas e incidentes: lo que realmente sucedió

2.1. Binance (2019)

La red filtró:

• fotos de usuarios con pasaportes
• selfies con hojas «Binance»

El exchange declaró:

«Fue una fuga por parte del antiguo proveedor de KYC»

Lo importante:

• los datos salieron a la luz un año después de cambiar de proveedor
• los hackers exigieron 300 BTC
• parte de los datos aún circula en bases privadas

2.2. Coinbase (2024–2025)

Uno de los casos más ilustrativos.

No fue un hackeo.
No fue un bug.
Corrupción interna.

• se reclutaron contratistas de soporte
• acceso a paneles administrativos
• se descargaron datos de ~70 000 usuarios

Incluyendo:

• documentos de identidad
• direcciones
• historial KYC
• notas internas del risk-team

Es un ejemplo clásico de insider breach que no se puede prevenir solo con cifrado.

2.3. Genesis Market (2023) - señal de alerta

Genesis Market no solo vendía documentos.

Vendía:

• cookies
• fingerprint del navegador
• sesiones
• fotos KYC
• patrones de comportamiento

Resultado:

• el hacker accedía a la cuenta
• 2FA no funcionaba
• el sistema reconocía «dispositivo confiable»

👉 Esto demostró que KYC + análisis de comportamiento puede ser usado en contra del usuario.

2.4. Telegram-bot BTC-e / WEX (2020)

Uno de los casos más subestimados.

La base incluía:

• pasaportes
• direcciones
• emails
• comentarios internos de empleados

Ejemplos de notas:

• «sospechoso»
• «probablemente lavado»
• «posible conexión»

⚠️ Estas notas no se eliminan, no se resetean y pueden salir a la luz años después.

3. Estado y exchanges: más que solicitudes oficiales

3.1. Puertas semi-automáticas

Los CEX grandes en EE. UU. y UE usan sistemas donde:

• solicitud de autoridades
• verificación automática del formato
• respuesta en horas

Los abogados se involucran posteriormente.

Esto ya no es un proceso manual, sino un proceso tipo API.

3.2. CARF - fin del anonimato «silencioso»

Crypto-Asset Reporting Framework:

• implementación: 2026–2027
• intercambio automático
• balances
• ganancias
• movimientos de fondos

Importante:

• incluso sin fiat
• incluso sin retiros
• incluso si solo mantienes activos

👉 El exchange se convierte en un informante fiscal, no solo en una plataforma.

3.3. Listas negras y Source of Wealth

Basta con:

• un vínculo indirecto
• a través de un mixer
• vía DeFi
• a través de 5–10 saltos

Y obtienes:

• congelación de fondos
• solicitud de SoW
• imposibilidad de probar operaciones pasadas

En ese momento, el exchange no es tu aliado, sino ejecutor del regulador.

4. IA y responsabilidad colectiva

Desde 2025 se implementan activamente:

• modelos de grafos
• clustering de usuarios
• scoring reputacional

Si interactúas con una cuenta «marcada»:

• tu perfil hereda el riesgo
• los límites disminuyen
• las verificaciones se vuelven más frecuentes

Esto ya es scoring social, no AML clásico.

Conclusiones breves pero contundentes

• KYC es para siempre, incluso después de cerrar la cuenta
• La principal amenaza son las personas, no los servidores
• Las fugas son sistémicas, no accidentales
• En 2026, CEX = punto de vigilancia financiera total

Esto no es teoría.
Es la realidad en funcionamiento.

5. Detalles poco conocidos pero críticamente importantes de los que casi nadie habla

Aquí comienza la parte que rara vez publican incluso los medios especializados, porque resulta incómoda tanto para los exchanges como para los reguladores.

5.1. «Segunda vida» de tus datos KYC

Después de la verificación inicial, los datos no permanecen inactivos.

Se reutilizan para:

• entrenar los modelos internos de anti-fraude
• calibrar el risk-score
• análisis retrospectivo («¿nos equivocamos entonces?»)

💡 Dato poco conocido:
En varias jurisdicciones, la anonimización del KYC se permite solo formalmente. En la práctica, los datos:

• se hashéan parcialmente
• se tokenizan
• pero pueden recuperarse mediante claves internas de cumplimiento

Es decir, la «anonimización» a menudo es reversible.

5.2. «Perfiles negros» internos

En los exchanges grandes existen perfiles internos de riesgo que el usuario nunca ve:

Ejemplos de parámetros:

• «probabilidad de interés regulatorio»
• «inestabilidad conductual»
• «cambio de patrones atípico»
• «anomalias geográficas»

Estos perfiles:

• no se eliminan
• no se reinician
• se transfieren en fusiones, venta del negocio o cambios de jurisdicción

👉 Incluso si el exchange «cambia de país», la base de datos viaja con él.

5.3. Fusiones, adquisiciones y transferencia de bases de datos

El GDPR permite la transferencia de datos personales en caso de:

• compra de un negocio
• reestructuración
• quiebra
• transferencia de activos

Qué significa esto en la práctica:

• realizaste KYC en un exchange
• tres años después fue adquirido
• tu pasaporte terminó legalmente en otra empresa

Y no están obligados a que vuelvas a dar tu consentimiento.

5.4. Logs – la fuente más subestimada de fugas de información

Incluso si los documentos están cifrados, quedan:

• logs de acceso (access logs)
• logs de auditoría (audit logs)
• logs de depuración (debug logs)
• errores de API

A menudo contienen:

• nombre del archivo del pasaporte
• país
• tipo de documento
• fecha de nacimiento
• a veces fragmentos en base64

⚠️ Estos logs:

• rara vez se limpian
• a menudo están accesibles para DevOps y contratistas
• se almacenan durante años

6. Por qué «cero anonimato» no es un eslogan, sino una realidad arquitectónica

6.1. Conexión KYC + análisis on-chain

Hoy, cada exchange grande utiliza:

• Chainalysis
• TRM Labs
• Elliptic
• Crystal

El modelo es simple:

1. KYC → identidad real
2. Direcciones → gráfico de relaciones
3. Comportamiento → perfil

Después, el sistema funciona automáticamente.

Incluso si:

• cambiaste de dirección
• utilizaste DeFi
• realizaste 20 pasos intermedios

El gráfico aún se colapsa.

6.2. La reputación como atributo de por vida

Dato poco conocido pero importante:

El riesgo reputacional se hereda.

Si:

• tu cuenta anterior tenía una bandera
• realizaste KYC nuevamente
• utilizas la misma jurisdicción o dispositivo

El sistema vincula los perfiles de manera probabilística, no formal.

Esto ya no es una «cuenta», sino una sombra digital.

7. Conclusiones prácticas sin moralizar

Sin eslóganes y sin llamados.

Qué es importante entender:

1. Un CEX top no es una billetera ni un banco.
   Es un nodo de observación.
2. Eliminar la cuenta ≠ eliminar los datos.
3. El interés regulatorio no desaparece con el tiempo.
   Se acumula.
4. Las tecnologías de control superan las garantías legales.

Qué no hacer (errores frecuentes):

• pensar que «las cantidades pequeñas no interesan a nadie»
• creer que «un exchange = una base de datos»
• asumir que cambiar de cuenta resuelve el problema
• ignorar los metadatos de comportamiento

8. Conclusión principal

KYC en exchanges top no es solo la verificación de identidad.
Es el punto de entrada a un sistema de largo plazo:

• almacenamiento
• análisis
• correlación
• transferencia

Y este sistema no olvida.