La custodia en DeFi: situación actual y retos a futuro – Entrevista con Joaquin Sastre y Marcelo Moscatelli

En el marco incomparable del Blockchain Expo & DeFi Congress celebrado en Zaragoza, BeInCrypto ha tenido la oportunidad de participar en una de las mesas redondas dedicadas al espacio DeFi. 

Joaquin Sastre, Managing Director de BitGo (LatAm & EMEA) y Marcelo Moscatelli, Sales Director de Ledger Enterprise (EMEA), nos ofrecieron un análisis sobre el estado actual de los servicios de custodia.

También tuvimos la oportunidad de hablar sobre cuestiones que afectan a la custodia institucional de activos digitales, relacionadas con la innovación en infraestructura, la seguridad y la regulación internacional.

BeInCrypto: Sobre la evolución de la economía 3.0 y la importancia de la custodia institucional de todo tipo de activos, no solo financieros (por ejemplo, NFT de bienes inmuebles o colecciones de arte), ¿cuál es vuestra situación actual en términos tecnológicos como proveedores de servicios de custodia?

Marcelo Moscatelli: Ledger es quizá más conocida por su parte B2C, pero también tenemos una parte B2B. Servimos a todo tipo de empresas que tengan exposición a criptoactivos. Trabajamos con una gama muy amplia de empresas, desde exchanges hasta fondos, bancos y neobancos.

Lo que hacemos básicamente es usar la misma tecnología que venimos desarrollando desde 2014, agregándole capas que permiten a las empresas monitorizar todas las operaciones.

BeInCrypto: Básicamente, usáis la tecnología de Ledger para autocustodia y la ampliáis. ¿Se da así respuesta a las necesidades actuales de vuestros clientes o hay algo más que se puede hacer?

Marcelo Moscatelli: Actualmente, sí. Seguimos estando basados en hardware. Usamos el mismo secure element, la misma tecnología que ya fue testeada por laboratorios externos, y agregamos encima estas capas de gobernanza.

Básicamente, creamos capas on demand para que las empresas puedan establecer sus propias reglas: determinar pasos de aprobación, fijar cantidades máximas para transaccionar, crear whitelists para que solamente los operadores puedan interactuar con ciertas direcciones…

En general, es lo que demandan las empresas. Nuestra actividad inicial era asegurar el envío, recepción y guardado de los activos. Actualmente, empezamos a agregar otros layers, como pueden ser la interacción con DeFi, MetaMask, smart contracts o cualquier tipo de protocolo. 

También estamos creando una propuesta de valor para las empresas interesadas en el mercado de NFT, ayudándoles en la creacion de smart contracts, la distribución de los tokens, el minteo, el envío y la recepción de los NFT. 

En definitiva, les ayudamos a proteger su identidad digital, tanto como empresa como marca. Si una marca como L’Oréal o Chanel está creando una colección de NFT, no puede permitir el hackeo de los smart contracts que protegen sus NFT.

BeInCrypto: Siguiendo con la cuestión de la seguridad en DeFi, desde BitGo, que tiene una cantidad considerable de clientes a nivel mundial, ¿cómo valoran el estado actual de la tecnología disponible y qué retos se pueden superar a medio plazo, teniendo en cuenta las demandas de vuestros clientes?

Joaquin Sastre: La custodia tradicional tiene poco que ver con la custodia de activos digitales. A nosotros, en vez de hablar de custodia, nos gusta hablar de infraestructura.

En cuanto a las tecnologías que se están usando, Ledger lleva muchos años innovando desde 2014. BitGo también. Esto significa que hemos llegado a un punto donde, efectivamente, hay tecnologías suficientes para cubrir los casos de uso más sencillos o básicos.

Podemos mencionar algunos ejemplos, ya que la forma en la que trabajan las instituciones y el retail no tiene nada que ver.

BeInCrypto: En este caso, ¿hablamos de instituciones tanto privadas como de organismos públicos?

Joaquin Sastre: Agencias del gobierno y agencias de seguridad del estado, que pillan a los cacos con un montón de cripto y necesitan dónde ponerlos. Esto pasa. Nosotros somos custodios de muchos de esos activos que se requisan.

Somos custodios de una gran amalgama de clientes institucionales, no solo financieros, sino corporate, que trabajan con cualquier tipo de producto para el que se necesite guardar llaves privadas.

Disponemos de diversas tecnologías para crear wallets de distintos tipos. El objetivo es que estas instituciones puedan interactuar con las blockchains de manera segura y eficaz; pero, ni mucho menos, está todo inventado. Creo que estamos al 10%. 

Por ejemplo, Marcelo mencionaba MetaMask Institutional para acceder a protocolos DeFi. Ambas empresas han solucionado un tema tecnológico mediante el cual puedes conectar las wallets seguras de estas dos empresas al ecosistema para poder interactuar con los protocolos que soporta MMI.

Pero esto suma y sigue. Ni mucho menos, esta infraestructura tecnológica que hemos inventado, y que no ha fallado hasta ahora, puede soportar absolutamente todos los casos de uso DeFi que hay en el mundo.

Hay diferentes cuestiones a tener en cuenta. Un ejemplo claro es el multisig en Ethereum. Nosotros basamos mucho nuestra tecnología en esto porque tenemos que hacer un smart contract previo para poder incluir más de una llave privada, ya que, nativamente, la red Ethereum no lo permite.

Hay mucho por hacer. El 55% de nuestra empresa está compuesta por ingenieros y personas relacionadas con producto. Es muchísimo. Gastamos mucho dinero en ello. Estamos continuamente innovando y sacando tecnologías nuevas.

BeInCrypto: Parece que todo depende del nivel de seguridad que se requiere por parte del cliente según su actividad. En este sentido, siguiendo con la tipología de cliente, podríamos destacar las entidades bancarias. En cuanto a los servicios de custodia DeFi, ¿consideras que le ven de alguna forma como competidores o entienden que hay formas de trabajar en común?

Marcelo Moscatelli: En cuanto a lo que mencionabas sobre los tipos de cliente, cada uno tiene sus particularidades. Cada uno va a requerir diferentes infraestructuras para sus casos de uso.

Por ejemplo, un exchange tiene cuatro layers de seguridad. Uno es el cold storage. Son computadoras totalmente desconectadas de Internet, y si alguien tiene que interactuar con estos dispositivos tiene que ir personalmente.

Luego, por encima de esa capa, pueden tener algún data center conectado a Internet, que funcionan como un fondo de liquidez de las billeteras hot. Además, cuentan con MPC y cold wallets para interactuar directamente con los usuarios en cuestiones como el depósito y la recepción de activos.

Es la capa que menos seguridad tiene, la más vulnerable, pero también es la que aloja la menor cantidad de activos.

En cuanto a los bancos, desde mi visión, cualquier entidad bancaria que quiera adentrarse en el mundo cripto recurre naturalmente a empresas como BitGo o Ledger Enterprise.

Nosotros aportamos la infraestructura tecnológica para que los bancos puedan acceder y servir a sus clientes. De esta forma, los bancos, como banking as a service, pueden interactuar con sus clientes en un marco legal usando nuestra infraestructura.

Como muy bien dice Joaquín, entre el 50% y el 70% de nuestro equipo son ingenieros, y llevamos construyendo infraestructuras desde 2014. Hoy en día, querer desarrollar desde cero una tecnología como la de Ledger o la de BitGo es muy complejo y costoso.

Hace más sentido apalancarse en jugadores que ya tienen ese camino recorrido.

BeInCrypto: Joaquín, ¿cómo ves el tema de las entidades bancarias?

Joaquin Sastre: Bueno, lo primero: no nos ven como competidores, ni mucho menos. Nos ven como partners porque existe una brecha tecnológica que los bancos todavía están navegando, y les va a costar mucho entender cómo hacer bien muchas cosas en relación a cualquier infraestructura de custodia que utilicen.

Son muchos años de conocimiento. Acortar esa brecha es muy difícil, incluso poniendo mucho dinero sobre la mesa. La prueba de ello es que, en el caso de BitGo, trabajamos con grandes bancos de inversión y grandes bancos retail, además de dar soporte al 30% de los exchanges alrededor del mundo. Claramente, la necesidad está ahí.

El primer concepto básico es la brecha tecnológica y de conocimiento. El segundo concepto, y esta es una cuestión muy importante que debe entenderse en el mundo cripto en general, institucional o no, es el concepto de subcustodia. 

Ahora mismo hay dos grandes mundos en el concepto de la custodia de activos. Nosotros la llamamos “institucional” porque firmamos directamente con las empresas o con los bancos, pero estos bancos tienen sus propios clientes, ya sean privados, grandes, pequeños, retail, etc. 

Aquí hay dos grandes mundos más allá del aspecto tecnológico. Uno es el de la custodia fiduciaria: custodios de activos digitales regulados en una jurisdicción donde son responsables fiduciarios de los fondos que se guardan en esas wallets.

Otro es el de los productos de tecnología software y hardware. Es un concepto fundamental que debatimos con los reguladores. Intentamos explicarles por qué es importante.

Digamos que un gran banco quiere ofrecer un servicio de compraventa de Bitcoin a sus clientes retail. No hay nada más fácil, ¿No? La primera pregunta es: ¿mis activos están seguros a nivel tecnológico? Segundo: ¿quién tiene la responsabilidad fiduciaria de estos activos? ¿Quién asume la responsabilidad si algo pasa? ¿Eres tú o soy yo?

BeInCrypto: ¿La entidad bancaria delegaría esa responsabilidad en la empresa?

Joaquin Sastre: Muy buena pregunta. Depende de cómo quieran jugar su partida. Pueden tomar su propia responsabilidad o pueden ir a un modelo híbrido, donde parte de los fondos están en responsabilidad fiduciaria y parte no. 

Por ponernos en contexto, BitGo es, sino el primero, el segundo mayor custodio de activos digitales del mundo con millones de activos en custodia. Tenemos un wallet utilizado por muchos exchanges y bancos, y por ahí se procesa el 20% de las transacciones diarias de Bitcoin a nivel mundial. Una quinta parte.

Entonces, ¿cómo se ajustan estos dos mundos? Básicamente, la manera que tiene un exchange o un banco que quiera ofrecer un servicio sencillo es guardar entre el 80% y el 95% de los activos en custodia fría fiduciaria. Aquí la jurisdicción importa, ya que no es lo mismo que un regulador te pregunte unas cosas en un sitio que en otro. Esto es muy importante.

Sería la primera cuestión que toda gran institución debería tener en cuenta. Luego tenemos un layer por encima, que son las famosas hot wallets, donde, dependiendo de la liquidez que se necesite y de la actividad que tengan, se guarda entre el 5% y el 8% de los activos.

Se guardan muchos menos activos, pero te da la posibilidad de transaccionar muchisímo más rápido. Ese tema está solucionado. Cuando explicas esto en una institución, las piezas encajan.

Lo importante es entender, no solo la diferencia entre hot y cold, sino que, al bajar una aplicación ¿hay detrás un custodio fiduciario o hay un proveedor de infraestructura tecnológica, que, si cae, adiós, muy buenas?

BeInCrypto: Hablas de quién da la garantía, independientemente de si es una hot o cold wallet

Joaquin Sastre: Correcto. Si la empresa que te da acceso a las llaves privadas, dependiendo de cómo sea su estructura (hay distintas formas de hacer la tecnología y gestionarla), tiene dos de tres partes de las llaves privadas, si se cae, suerte si tienes de vuelta esa material de llave privada para recuperar esos fondos. Esto es una cosa que nos preguntan demasiado poco.

BeInCrypto: Adentrándonos un poco en la cuestión regulatoria sobre custodia, y aprovechando que ambos conoces el mercado EMEA, ¿Encuentras muchas diferencias o hay algún tipo de tendencia general?

Marcelo Moscatelli: Todavía está bastante naciente todo el tema de regulación. MiCA está saliendo ahora. Todavía es un poco una incógnita en términos de self-custody y autorregulacion. Lo que veo es que sí hay alguna diferencia en Oriente Medio, donde están intentando promover una regulación crypto-friendly. 

Al final del día, muchas de las empresas cripto trabajan y contratan 100% remoto, así que tienen más facilidad para moverse que una empresa Web2 o una empresa de otra industria. Por lo cual, si Reino Unido saca una regulación promoviendo el uso de cripto, quizá destaxando a los que hagan cashout, de repente, la gente va a ir. Pasó en Portugal.

Y bueno, personalmente, creo que la libertad financiera siempre va a contribuir al crecimiento económico. El gobierno que entienda esto y la abrace va a terminar con más crecimiento económico. Así que va a funcionar por decantación.

BeInCrypto: ¿Puede que las autoridades estén más centradas en el control generalizado de las DeFi y el espacio cripto? Por ejemplo, en Europa se apuesta por una regulación internacional que incluye la identificación de wallets. ¿Podría esto limitar el desarrollo y la innovación en tecnología?

Joaquin Sastre: Si hablamos específicamente sobre la regulación de la custodia de activos digitales hay dos grandes premisas a tener en cuenta. Hay dos grandes líneas donde los grandes reguladores están trabajando en Singapur, en Turquía, en Dubái, en Abu Dabi, en Alemania, en Suiza…

Por un lado, tenemos a los reguladores que obligan a separar la liquidez de la custodia. ¿Queremos que un proveedor de liquidez sea también un custodio, fiduciario o no, o, básicamente, dé un software para guardar las claves privadas y, si se van al garete, se fueron?

Esto se está discutiendo ahora mismo en Dubái, esta misma semana. Nuestra opinión como custodio fiduciario es que debería estar separado porque, de verdad, protege al cliente final, sea cual sea. Si tienes la custodia y el acceso a la liquidez en un mismo sitio, hay un conflicto de interés clarísimo.

En Dubái, se está mirando. Japón ya lo tiene desde hace un año y medio o dos. En Turquía, también. Estados Unidos, dependiendo del estado, se está viendo si hacerlo o no. En Alemania, se necesita tener un custodio regulado por la BaFin, separado del proveedor de liquidez. En Suiza, también.

Luego hay un segundo mundo, el del AML, el KYC y el KYB. Son dos cosas distintas: cómo hago mi custodia y cómo identifico a mi cliente. Esto último no está tan ligado a la custodia, excepto que, como fiduciario, tienes que conocer la procedencia de los fondos que estás recibiendo.

En nuestro caso, a nuestros clientes, el banco o el hedge bank de turno, le pasamos un proceso de KYB, KYC y AML, y si todo está ok, les hacemos alguna auditoría de vez en cuando. Pero punto. Ahí se acabó. La responsabilidad del cliente final es de nuestro cliente.

BeInCrypto: Más allá de estos procesos, ¿Qué factores deberían tener en cuenta las empresas a la hora de definir la custodia de sus activos?

Marcelo Moscatelli: Lo primero que una empresa se tiene que preguntar es si quiere hacer self-custody o prefiere trabajar con un custodio o un proveedor de infraestructura. 

Lo segundo es que, al final del día, necesitamos tener gente que entienda de cripto. Esta tecnología permite envíar proactivamente fondos a una billetera en un espacio descentralizado donde no hay terceras partes, no hay un regulador.

Cualquier mismanagement puede llevar a una catástrofe. Por lo cual, es fundamental tener internamente gente que entienda del tema.

Luego, dependiendo del caso de uso, está la infraestructura que quieran utilizar. Un corporate puede preferir una empresa que permita operar con NFT. Un exchange quizá necesite un proveedor enfocado en DeFi o en protocolos de staking.

Así que, cuál es el rol que quieren jugar: ¿Self-custody o descansar en un custodio? Luego, tener gente que entienda del tema. Y, por último, dependiendo del caso de uso, ver qué proveedor está más adelantado.

BeInCrypto: Parece que la complejidad en este asunto reside en lo vasto que puede llegar a ser el campo a cubrir dependiendo del caso de uso. ¿Se puede ofrecer un amplio abanico de soluciones DeFi desde una misma empresa?

Joaquin Sastre: Nosotros queremos ser el proveedor de infraestructura tecnológico-financiera que abarque el mayor número de casos de uso posible. 

Preguntabas antes sobre qué deberían tener en cuenta las empresas. Primero, seguridad tecnológica, por supuesto. Segundo, qué responsabilidad legal quieren tener: ¿Fiduciaria o no? Tercero, qué producto quieren ofrecer a medio y largo plazo.

Montar productos sobre infraestructuras tecnológicas limitadas conlleva un coste histórico-tecnológico enorme, ya que tienes que volver a montar lo mismo sobre la nueva infraestructura para volver a montar más.

Desde BitGo, intentamos funcionar como una pirámide. Nos basamos en esta custodia fiduciaria segura, encima montamos estas wallets con mayor capacidad para transaccionar, además de dar la tecnología necesaria, sobre todo a través de API, para que las empresas puedan dedicarse a ofrecer sus servicios a sus clientes. 

Por ejemplo, podemos hablar de trading spot y de derivados directamente desde custodia en frío para no tener que fondear en diferentes exchanges buscando un buen precio de ejecución. Podemos estar ya nosotros conectados a todos esos sitios como proveedores de infraestructura, igual que ocurre con los brókers actuales, mirando a través de la API cuánto tengo en custodia.

Eso para el trading, que es quizá lo más sencillo de solucionar porque hay millones de liquidity providers en el espacio cripto. Pero, desde ahí, nos vamos al lending y al borrowing, un mundo inmenso por la capacidad que se tiene de hacer margin call en 10 ó 15 segundos.

Si echamos un vistazo all funcionamiento de la infraestructura tecnológico-financiera tradicional, vemos que está todo como muy dividido y segregado. Cada actor se lleva sus fees y acabas. En el mundo cripto este proceso se está convirtiendo en algo que podía medir siete pisos y mide uno o dos. Se va a amalgamar todo en una solución. 

En esas estamos, intentando montar infraestructura tecnológica básicamente para que sea un plug and play, para llevar a los clientes institucionales de la mano y que esté todo ya un poco inventado. Eso requiere ser un poco creativos e intentar saber qué pasará en unos años, porque desarrollar infraestructura cuesta mucho dinero.

BeInCrypto: En este sentido, ¿Las estrategias de Ledger y BitGo están centradas exclusivamente en proyecciones a largo plazo para ofrecer sus servicios o también tenéis en cuenta la respuesta de los clientes en lugar de intentar ir por delante del mercado?

Marcelo Moscatelli: Desde Ledger nos enfocamos en una cosa, que es la que hacemos bien: el hardware. Creemos que los activos digitales, los NFT o cualquier tipo de informacion alojada en una blockchain no puede ser almacenada en un teléfono o un laptop.

Es una cuestión de seguridad. Almacenar llaves privadas en un dispositivo Web2 no es lo adecuado. Por eso creamos hardware Web3 para activos Web3.

Esto es lo que hacemos, tanto en la parte B2C como en la B2B. No tenemos ningún interés en ser regulados, ya que somos puramente proveedores de infraestructra. Estamos enfocados en ser el Apple del espacio cripto en el futuro.

Joaquin Sastre: Nuestro fundador fue el tipo que inventó el HTTP para navegar seguro por la Red y el que creó Google Chrome. Ha vivido siempre en este mundo virtual, donde no sabes nunca a dónde vas pero tienes que seguir hacia adelante, innovando. 

Más o menos el 50% o el 60% de lo que hacemos es interactuar con reguladores, clientes y gobiernos (proveemos de toda la infraestructura Bitcoin al gobierno de El Salvador). Escuchamos mucho a estos players porque para tomar decisiones. Repensamos cada cuatro meses. Es el tiempo que hemos calculado que tenemos para tomar decidir y tener las cosas a tiempo para los clientes y no perder el hilo.