⛓️ La Cadena #7: Eliminar claves criptográficas 🔐 y NFTs y regulación en España 🖼️👩‍⚖️🇪🇸

Esto es "La Cadena", la newsletter quincenal que te enseña sobre blockchain y cripto sin que te des cuenta, de la misma manera que Netflix te cuela el siguiente episodio de esa serie que ibas a mirar sólo 20 minutos después de cenar...

En esta edición

  • ¿Eliminar las claves criptográficas para conseguir la adopción masiva? 🔐
    • ¿Qué es la abstracción de cuentas y por qué la necesitamos?
    • Argumentos en contra de las smart accounts (y por qué creo que no son un problema)
  • NFTs y regulación en España 🖼️ 👩‍⚖️ 🇪🇸
  • Algunos recursos interesantes 📚
    • "Cointelegraph - The EU is watching your wallet, but it still beats the US for crypto" 🖋️
    • "Bitcoin Visuals" 📈

¿Eliminar las claves criptográficas para conseguir la adopción masiva? 🔐

¿Puede ser la eliminación de la necesidad de gestionar claves criptográficas la funcionalidad que contribuya más decisivamente a la adopción cripto por el público general? ¿y es posible? ¡Bienvenido ERC-4337!

El ERC-4337 es una especificación de Ethereum que ya ha sido desarrollada y desplegada en el mainnet de Ethereum (la cadena pública principal). Esta implementación trae la tan esperada abstracción de cuentas, una innovación que promete mejorar la experiencia del usuario en la forma de interactuar con el blockchain y las aplicaciones descentralizadas.

La abstracción de cuentas permitirá la creación de wallets mucho más sencillos de usar, donde los usuarios podrán olvidarse de las claves criptográficas y utilizar mecanismos familiares de la Web 2.0, como contraseñas, recuperación de claves o autenticación biométrica en dispositivos móviles, por citar algunos ejemplos.

¿Qué es la abstracción de cuentas y por qué la necesitamos?

Antes de esta actualización, Ethereum contaba con dos tipos de cuentas:

  1. las cuentas de propiedad externa (EOAs), controladas por claves privadas y que son las que tienen los usuarios humanos, y
  2. las cuentas donde residen smart contracts.

Sin embargo, este modelo presenta limitaciones en términos de seguridad, accesibilidad y flexibilidad porque se requiere un conocimiento suficiente sobre gestión y custodia adecuada de claves criptográficas para poder utilizar Ethereum y las aplicaciones construidas sobre él.

Las smart accounts, la aplicación práctica de la abstracción de cuentas, solucionan estos problemas:

  • eliminan la necesidad de claves privadas para iniciar transacciones,
  • permiten la implementación de lógica personalizada y
  • brindan la capacidad de iniciar transacciones sin que esté el propietario del wallet esté presente en el momento de la transacción.

Todo esto abre la puerta a nuevas funcionalidades, como por ejemplo wallets con sistemas de autenticación más conocidos por el público, pagos automáticos y recurrentes, o pagar las comisiones de las transacciones de Ethereum mediante tókenes ERC-20 (y no sólo con ether, la moneda nativa de este blockchain).

Aunque la implementación ya está disponible, el desafío radica en lograr la adopción masiva del estándar. Se requiere el desarrollo de wallets y la adaptación de aplicaciones descentralizadas y protocolos para aprovechar al máximo este estándar. El éxito de la abstracción de cuentas dependerá en gran parte de su aceptación por parte de la comunidad de desarrollo de Ethereum.

Argumentos en contra de los smart accounts (y por qué creo que no son un problema)

Una smart account tiene los mismos retos que los smart contracts

Una smart account no deja de ser un wallet programado mediante smart contracts y por tanto hereda todos los retos asociados a los mismos, en particular pueden contener errores de programación que se manifiesten en forma vulnerabilidades que puedan ser aprovechadas por hackers de sombrero negro para robar criptoactivos. Incluso podría argumentarse que el desarrollador de la propia smart account podría ser malicioso y refugiarse en la complejidad de la programación de los smart contracts para ocultar sus intenciones.

Estoy de acuerdo, pero estos son los mismos retos que tiene cualquier aplicación descentralizada (DApp) y en particular cualquier aplicación de las finanzas descentralizadas (DeFI). ¿Por qué nos fiamos que Uniswap o Lido hacen lo que dicen y no tienen errores? Porque implementan mecanismos para reducir los riesgos e incrementar la confianza. Un equipo que desarrolle un wallet con con smart accounts puede aplicar los mismos mecanismos, por ejemplo:

  1. Aplicar todas las técnicas y metodologías de desarrollo de software de calidad (testing, revisión, refactorización, integración continua, análisis estático, etcétera).
  2. Utilizar patrones de desarrollo y bibliotecas de código de smart contracts de actores reconocidos como por ejemplo las bibliotecas auditadas de OpenZeppelin.
  3. Realizar auditorías de seguridad por terceros de reconocido prestigio (por ejemplo, OpenZeppelin Consensys o Hacken).
  4. Implementar un programa de recompensa (más conocido en el mundillo como bug bounty program.
  5. Ganar una buena reputación en la industria en base a aplicar las mejores prácticas en desarrollo, producto, gestión de comunidad y comunicación.

Ocultar la criptografía hace al usuario más vulnerable

Otro argumento en contra de las smart accounts es que la criptografía es la primera defensa frente ataques de terceros a nuestra privacidad y a la seguridad de nuestros criptoactivos y las smart accounts relajan la necesidad de usar o entender la criptografía.

Entiendo el argumento pero no comparto que sea un problema por varios motivos:

  1. Ocultar la criptografía no hace la smart account más insegura per se. Depende de las decisiones que haya tomado el equipo de desarrollo y, remitiéndome al punto anterior, de qué medidas ha implementado para garantizar la seguridad. Por ejemplo, el wallet puede utilizar mecanismos de autenticación del usuario que garanticen que ni el equipo de desarrollo ni nadie pueda estar jamás en posesión de las credenciales aunque no se use criptografía (por ejemplo contraseñas de un solo uso con aplicaciones de doble factor). Una vez más, hay que saber elegir a un proveedor de confianza.
  2. Creo que es ingenuo pensar que todo el mundo acabará entiendo y podrá utilizar sistemas de criptografía asimétricos.
  3. Este estándar facilita muchísimo la creación de sistemas más seguros y fáciles de gestionar para que custodios profesionales puedan gestionar credenciales con sus clientes y usuarios e incluso establecer políticas en las que el usuario puede tener la última palabra (eliminando el riesgo de caída o desaparición del custodio).
  4. Finalmente, las smart accounts y las EOAs con criptografía no son mutuamente excluyentes. Aquellos que prefieran seguir gestionando y custodiando sus claves, podrán seguir haciéndolo.

El estándar introduce un elemento de centralización

Es cierto que un wallet construido en base a una smart account podría implementar una solución centralizada en la que el titular del wallet podría quedar a merced del desarrollador del wallet para tareas tales como retirar fondos. Que sea posible no quiere decir que sea necesariamente así.

Una vez más dependerá de la solución elegida por el usuario y es su obligación hacer la investigación pertinente antes de confiar en una proveedor u otro.

Conclusión

No tengo ninguna duda que las smart accounts van a ser un elemento revolucionario en el ecosistema de Ethereum y que van a traer un nuevo nivel de interacción con el blockchain acercándolo al público general y abriendo nuevos modelos de negocio

Algunos recursos para profundizar más 👇

👛 ¿qué es la abstracción de cuentas en Ethereum?
Las smart accounts permiten crear wallets con mejor UX. Un gran paso para la adopción masiva del blockchain.

Descripción en profundidad y en castellano del ERC-4337, las smart accounts y la abstracción de cuentas

Vídeo de la presentación del ERC-4337 de Yoav Weiss en la WalletCon de Denver del 1 de marzo del 2023: "The Road to Account Abstraction"


NFTs y regulación en España 🖼️ 👩‍⚖️ 🇪🇸

¿Tienes que cumplir alguna regulación financiera si emites NFT? 😱 Pues, como casi siempre, la respuesta es: "depende". Te comparto algunas pistas.

Mariona Pericas, asociada principal de finReg360 y Joaquim Matinero de Roca Junyent, firman el artículo «Aproximación a la naturaleza jurídica de los NFT desde la regulación financiera», que está incluido dentro de la nueva guía práctica que ha publicado Alastria para intentar responder a esta pregunta.

Aquí va mi resumen del artículo desde el punto de vista de un techie emprendedor no jurista 🤓.

Los puntos fundamentales son estos:

  1. Los NFT no están explícitamente regulados en la normativa europea y en particular tampoco lo están en MiCA.
  2. Lo anterior no significa que no estén regulados en absoluto. Se les tendrá que aplicar la normativa correspondiente al subyacente para el que son una representación digital.

Por tanto si el NFT representa un medio de pago o un producto financiero estarán sometidos a las regulaciones correspondientes tanto en la emisión como en la comercialización.

Por ejemplo, si una empresa emite bonos representados como NFTs, aunque tecnológicamente sea una colección ERC721 con atributos y fotos y lo puedas subir a un maketplace para NFTs como OpenSea o Rarible, sigue siendo un bono y un producto financiero. Por tanto estos NFTs tendrán los mismos requerimientos que los bonos equivalentes en "papel"; por ejemplo: obligación de publicar un folleto regulado en la Comisión Nacional del Mercado de Valores (CNVM) para la emisión y la comercialización secundaria en un mercado regulado, etc.

En general si la colección NFT no puede utilizarse como medio de pago o inversión y se asemeja a un coleccionable parece que hay consenso en que entonces no se trata de un producto financiero y por tanto no hay que cumplir con regulaciones financieras.

Pero aún así sigue habiendo zonas grises. Por ejemplo:

  • A la hora de hacer publicidad de un NFT, sólo están excluidos de la Circular 1/2022 de 10 de enero que emitió la CNMV al respecto si "no pueden ser ofrecidos masivamente como mero objeto de inversión", que es algo bastante abierto a interpretaciones...
  • Si se consideran arte (que no está claro), los intermediarios (como marketplaces o custodios) deberían entonces someterse a las normativas de prevención del blanqueo de capitales y de financiación del terrorismo.

Parece un nuevo caso de la tecnología va mucho más rápido 🚀 que la regulación ⚖️ 🐌. Si la regulación no es extremadamente lenta, quizás es mejor que vaya algunos pasos por detrás porque intentar regular antes de tiempo puede suponer limitar la innovación demasiado pronto.


Algunos recursos interesantes 📚

  • "Cointelegraph - The EU is watching your wallet, but it still beats the US for crypto" 🖋️ - Es un artículo reciente que muestra cómo la Unión Europea es un entorno mucho más favorable que Estados Unidos para la innovación cripto porque existe una regulación y unas reglas de juego bien definidas que dan seguridad jurídica a los innovadores y emprendedores. ¿Es posible que este tren lo coja antes Europa que Estados Unidos? 🤞
  • "Bitcoin Visuals" 📈 - Es una web que agrega gráficos con una interfaz sencilla pero limpia sobre diferentes métricas blockchain. Me gusta especialmente el foco en la Lightning Network ⚡️

Comparte La Cadena 📢

Si crees que estos contenidos pueden ser interesantes para alguien, ¡no dudes en compartirlos! Puedes reenviar este email o, para tu comodidad, hacer un "copy & paste" de lo siguiente y compartirlo por cualquier medio:

  • Suscríbete gratuítamente a La Cadena para aprende sobre cripto y blockchain de forma sencilla y divertida 👇
    https://www.ivanparraga.com/la-cadena/
  • También puedes seguir a Iván en LinkedIn 👇
    https://www.linkedin.com/in/ivanparragagarcia/

También puedes ayudarme a llegar a más gente dejando un testimonio sobre cómo te ha ayudado o por qué te gusta la newsletter.

🙏 Gracias


¿Puedo ayudarte en algo? 🛟

Actualmente ofrezco servicios de consultoría y acompañamiento en los siguientes temas:

  • 🏦 fintech, lending y pagos en particular,
  • 💳 arquitectura de sistemas con medios de pago y flujos monetarios sofisticados entre varias entidades,
  • ⛓️ blockchain y tokenización,
  • 🎢 fases iniciales de empresas tecnológicas (startups) y
  • 🧑🏻‍💻 estructura y organización de equipos técnicos.

Recuerda, tienes mi perfil de LinkedIn y mi correo electrónico (ivan_parraga@hey.com). ¡Comunícate conmigo para lo que quieras! En particular para explicarme sobre qué quieres aprender o cómo podría ayudarte.