Exposición de datos: qué información recopilan realmente las plataformas KYC

6 may 2026

Cuando completas la verificación KYC en un exchange de criptomonedas, no estás entregando solo una foto de tu documento. Un conjunto completo de datos KYC contiene suficiente información para identificarte con precisión en el mundo real. ¿Dónde se guarda esa información? ¿Quién puede acceder a ella? ¿Quién responde si algo sale mal? Vamos por partes.

Qué exigen recopilar las normas KYC

Las guías regulatorias de FinCEN exigen que los proveedores de servicios de activos virtuales regulados (VASP) implementen un CIP, o Programa de Identificación del Cliente. Sus datos básicos incluyen:

  • Nombre completo
  • Fecha de nacimiento
  • Dirección
  • Número de identificación, como pasaporte, documento nacional o número fiscal

El reglamento MiCA de la Unión Europea y el texto completo de EUR-Lex sobre MiCA también exigen una diligencia debida reforzada (EDD) para clientes de alto riesgo. Esto puede incluir explicación del origen de fondos, declaración del propósito de las operaciones y, cuando sea necesario, información financiera más detallada.

El marco regulatorio de criptoactivos de ESMA establece que las plataformas deben conservar los registros de identificación de clientes durante al menos cinco años. En algunas jurisdicciones, ese plazo puede ser más largo.

En la práctica, esto significa que los datos que entregas pueden seguir almacenados por la plataforma —y por sus archivos obligatorios de cumplimiento— durante años, incluso después de cerrar tu cuenta.

Cómo se compone un conjunto típico de datos KYC

Según el nivel de verificación de cada plataforma, un dataset KYC suele incluir varias categorías.

Nivel básico (Tier 1)

  • Nombre completo, exactamente como aparece en tu documento oficial
  • Fecha de nacimiento
  • Nacionalidad
  • Correo electrónico
  • Número de teléfono móvil

Nivel de verificación de identidad (Tier 2)

  • Foto frontal del pasaporte o documento de identidad
  • Foto del reverso del documento, si aplica
  • Selfie sosteniendo el documento
  • Video de prueba de vida, en algunas plataformas
  • Datos faciales biométricos extraídos de fotos o videos

Nivel de verificación de domicilio (Tier 2–3)

  • Dirección residencial a nivel de calle
  • Comprobante de domicilio, como factura de servicios, estado de cuenta bancario o carta gubernamental

Nivel de información financiera (Tier 3 / usuarios de mayor riesgo)

  • Declaración del origen de fondos
  • Ocupación e información del empleador
  • Volumen esperado de trading y propósito de las operaciones
  • Información de cuenta bancaria, en algunas plataformas
  • Número de identificación fiscal

Capa de vinculación con información on-chain

  • Historial de direcciones de depósito
  • Registros de direcciones de retiro
  • Datos de clustering de wallets compartidos con herramientas externas de análisis on-chain

Datos biométricos: la categoría más sensible

Los datos de reconocimiento facial son una de las categorías más difíciles de revocar dentro del KYC. Puedes cambiar una contraseña o reemplazar un número de teléfono, pero no puedes cambiar tus rasgos faciales.

Muchas plataformas delegan el procesamiento de datos faciales a proveedores externos de KYC, como Jumio, Onfido o Sumsub. Eso significa que tu información biométrica puede terminar almacenada fuera del exchange, en bases de datos de terceros. Sus estándares de seguridad y políticas de retención de datos pueden ser distintos a los de la plataforma principal, y normalmente el usuario no puede revisar los detalles contractuales.

Cómo usan las plataformas estos datos

Usos de cumplimiento, normalmente descritos en la política de privacidad

  • Monitoreo de transacciones y revisión AML contra lavado de dinero
  • Respuesta a citaciones o solicitudes de información de reguladores
  • Comparación contra listas de sanciones, como OFAC o Naciones Unidas
  • Puntuación de riesgo y gestión de niveles de cuenta

Posibles usos secundarios, menos visibles para el usuario

  • Compartir datos con terceros de analítica bajo argumentos de “mejora del servicio”
  • Segmentación de marketing y publicidad, si la política de privacidad lo permite
  • Análisis de clustering de direcciones on-chain para identificar wallets relacionadas con el usuario

La regulación de transferencias de fondos de EUR-Lex (TFR) también exige que las plataformas transmitan información del originador y beneficiario al enviar fondos a otra plataforma. En otras palabras, tus datos KYC pueden viajar junto con el flujo de fondos hacia otras instituciones.

El riesgo real de una filtración de datos

Los estudios de Chainalysis sobre métodos de ataque en cripto muestran que los ataques de ingeniería social contra usuarios de exchanges suelen necesitar información real de identidad para preparar el engaño. Las bases KYC concentran exactamente ese tipo de información.

El análisis de OWASP sobre phishing señala que los ataques más efectivos suelen incluir el nombre real de la víctima, fragmentos de su historial de operaciones o detalles de cuenta. Esa información muchas veces proviene de filtraciones. Si una base KYC de un exchange es comprometida, el atacante obtiene casi todos los elementos necesarios para lanzar phishing altamente dirigido.

Históricamente, ya han ocurrido filtraciones importantes en exchanges que expusieron información de identidad de usuarios, incluidos nombres, domicilios, números de documento y registros KYC completos. Una vez que esos datos circulan en la dark web, el daño es prácticamente permanente: no puedes “resetear” tu documento o tu rostro como reseteas una contraseña.

Comparación con el modelo de autocustodia sin KYC

Cuando usas una wallet OneKey en autocustodia, no necesitas entregar información de identidad para crear o administrar tu wallet. La generación de la wallet y la gestión de claves privadas ocurren en tu propio dispositivo, y el código abierto de OneKey permite que cualquiera verifique ese diseño.

Para traders que quieren operar con menor exposición de datos personales, OneKey Perps ofrece un flujo práctico: mantienes la autocustodia como base, conectas tu wallet y operas perps en protocolos on-chain compatibles sin pasar por un registro KYC tradicional en un exchange centralizado. La contraparte visible es tu dirección on-chain, no un perfil con tu documento, dirección física y biometría.

Esto no significa anonimato total. Las direcciones on-chain son seudónimas, no anónimas, y pueden vincularse si interactúas con plataformas KYC o reutilizas direcciones de forma descuidada. Pero sí reduce una categoría importante de riesgo: la acumulación de datos personales sensibles en bases centralizadas.

Cómo evaluar tu exposición actual de datos KYC

Empieza por revisar en cuántas plataformas KYC tienes cuenta. Cada una es un posible punto de exposición.

Luego revisa la política de privacidad de cada plataforma y busca tres elementos:

  • Plazo de retención de datos
  • Condiciones para compartir información con terceros
  • Derechos del titular de los datos, como el proceso para solicitar eliminación

En regiones cubiertas por GDPR, como la Unión Europea, los usuarios pueden solicitar el “derecho al olvido”. Sin embargo, las obligaciones de cumplimiento AML pueden obligar a la plataforma a retener ciertos datos durante un período legal mínimo.

Para cuentas que ya no usas, lo más prudente es solicitar formalmente el cierre de la cuenta y la eliminación de datos personales, y guardar la confirmación escrita de la plataforma.

Buenas prácticas para reducir el riesgo hacia adelante

Si ya entregaste datos KYC, no puedes deshacer completamente esa exposición, pero sí puedes limitar daños futuros:

  • Cierra cuentas que no uses y solicita eliminación de datos personales cuando sea posible.
  • Usa una contraseña fuerte y única para cada plataforma.
  • Activa autenticación de dos factores con llave de seguridad física o app autenticadora; evita SMS cuando puedas.
  • Reduce la reutilización de direcciones entre plataformas KYC y actividad on-chain.
  • Separa wallets según propósito: ahorro, trading, pruebas y retiros.
  • Considera mover operaciones futuras a flujos de autocustodia sin KYC, como OneKey + OneKey Perps, cuando se ajuste a tu perfil de riesgo.
  • Revisa notificaciones de filtraciones de datos con herramientas como haveibeenpwned.com.

FAQ

Q1: Después de completar KYC, ¿puedo pedir que la plataforma borre mis datos?

Sí, en regiones donde aplica GDPR tienes derecho a solicitar la eliminación de datos. Pero las plataformas suelen conservar parte de los registros KYC principales por obligaciones contra lavado de dinero, normalmente durante cinco años. Después del cierre de cuenta, los registros de trading y documentos de identidad pueden seguir guardados hasta que venza el plazo legal.

Q2: ¿Alguien regula la seguridad de los proveedores externos de KYC?

Los proveedores externos de KYC suelen estar sujetos a las leyes de protección de datos del lugar donde están registrados, como GDPR, y algunos cuentan con certificaciones de seguridad como ISO 27001. Aun así, el usuario rara vez puede verificar directamente su seguridad real. Una certificación de cumplimiento representa un estándar mínimo, no riesgo cero.

Q3: ¿Qué pasa si se filtran datos biométricos?

Los datos biométricos, como rasgos faciales, no se pueden cambiar como una contraseña. Si se filtran, podrían usarse para intentar eludir verificaciones faciales en otras plataformas o combinarse con otros datos personales para fraudes de identidad más sofisticados.

Q4: ¿Las operaciones on-chain no guardan datos de identidad?

Una transacción on-chain no requiere por sí misma nombre, documento o domicilio. Pero las direcciones son seudónimas, no anónimas. Si alguna vez usaste una dirección para depositar o retirar desde una plataforma KYC, esa dirección puede quedar vinculada a tu identidad real. Mantener separadas las direcciones on-chain de las plataformas KYC es una práctica básica de privacidad.

Q5: ¿Cómo reduzco mi riesgo actual de datos KYC?

Prioriza cerrar cuentas que ya no usas y pedir eliminación de datos; configura contraseñas únicas y 2FA fuerte; evita SMS como segundo factor si tienes una alternativa mejor; migra gradualmente parte de tu actividad futura a protocolos on-chain sin KYC; y revisa si tu correo o cuentas aparecen en filtraciones conocidas.

Conclusión: entiende qué estás entregando

Completar KYC no es simplemente marcar una casilla. Es una decisión de largo plazo que vincula tu identidad del mundo real con tu actividad en activos digitales. Entender qué datos entregas, cómo se almacenan y qué riesgos implican es el primer paso para tomar mejores decisiones.

Si quieres reducir esa vinculación, puedes empezar descargando OneKey y creando una wallet de autocustodia sin entregar información personal. Desde ahí, OneKey Perps puede servir como un flujo práctico para operar perps on-chain manteniendo mayor control sobre tus claves y reduciendo la dependencia de bases KYC centralizadas.

Aviso de riesgo: Este contenido es solo informativo y no constituye asesoría legal, financiera ni de cumplimiento. Los requisitos KYC y las leyes de protección de datos varían según el país. Consulta las reglas de tu jurisdicción y, si corresponde, busca orientación profesional.

Asegura tu viaje cripto con OneKey

View details for Comprar OneKeyComprar OneKey

Comprar OneKey

La cartera de hardware más avanzada del mundo.

View details for Descargar aplicaciónDescargar aplicación

Descargar aplicación

Alertas de estafa. Todas las monedas soportadas.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Claridad cripto — a una llamada de distancia.