A abril de 2026, las principales jurisdicciones, entre ellas Estados Unidos, la Unión Europea, Hong Kong y Singapur, han finalizado en gran medida sus marcos regulatorios para activos digitales, marcando la transición del sector de una fase exploratoria hacia el cumplimiento normativo integral. El 28 de abril de 2026, CertiK publicó su informe "State of Digital Asset Regulation 2026", en el que expone de forma sistemática estos cambios. El informe destaca que la aplicación de normativas contra el blanqueo de capitales (AML) ha superado a la clasificación de valores como el principal riesgo regulatorio, y que las auditorías de seguridad de contratos inteligentes están evolucionando de ser una buena práctica del sector a convertirse en un requisito obligatorio para la obtención de licencias y la inclusión de tokens.
¿Por qué la aplicación de la normativa AML ha superado a la SEC como principal riesgo regulatorio para el sector cripto?
El informe de CertiK identifica 2025 como un año clave en el enfoque regulatorio. La Comisión de Bolsa y Valores de EE. UU. (SEC) redujo considerablemente sus acciones de cumplimiento relacionadas con criptoactivos, iniciando solo 13 procedimientos en 2025, lo que supone una caída del 60 % respecto a los 33 de 2024 y el nivel más bajo desde 2017. En cuanto a sanciones, las multas de la SEC por criptoactivos se desplomaron un 97 % interanual, sumando 142 millones de dólares en 2025 frente a unos 490 millones en 2024.
En marcado contraste, el Departamento de Justicia de EE. UU. (DOJ) y la Red de Control de Delitos Financieros (FinCEN) impusieron más de 900 millones de dólares en multas y acuerdos relacionados con AML solo en el primer semestre de 2025. Algunos medios incluso informan de cifras superiores a 1 060 millones de dólares. Mientras tanto, las multas por AML en Europa aumentaron un 767 % en el mismo periodo, y las transacciones cripto vinculadas a sanciones crecieron más de un 400 % interanual. Este cambio drástico —descenso de acciones de la SEC y aumento de la aplicación de AML— indica claramente que la aplicación de AML ha sustituido por completo el enfoque anterior de la SEC centrado en valores.
¿Cómo ha pasado el liderazgo en la aplicación de la normativa de la SEC al DOJ y FinCEN?
Este cambio en el enfoque regulatorio no es casual, sino el resultado de variaciones en la dirección política y la lógica de aplicación. Tras el nombramiento de Paul Atkins como presidente de la SEC por parte del presidente Trump en 2025, la SEC ajustó rápidamente su estrategia: de las 13 nuevas acciones de cumplimiento cripto ese año, cinco procedían de casos iniciados bajo el mandato del expresidente Gensler y solo ocho se iniciaron durante los 11 meses de Atkins. La SEC se retiró de varias demandas contra grandes exchanges, incluidas acciones parciales contra Coinbase y Binance que fueron pausadas o desestimadas. El enfoque regulatorio se aleja de la divulgación de información generalizada y la clasificación de valores ("sustancia sobre forma") para orientarse hacia un marco AML "neutral en cuanto a tecnología y basado en la conducta".
Al mismo tiempo, el DOJ y FinCEN están utilizando la Ley de Secreto Bancario (BSA) y las normativas sobre transmisión de dinero sin licencia para ocupar el vacío dejado por la SEC. En el primer semestre de 2025, OKX alcanzó un acuerdo de 504 millones de dólares con el DOJ y KuCoin pagó 297 millones, ambos casos relacionados con transmisión de dinero sin licencia y violaciones de la BSA. El DOJ citó más de 5 000 millones de dólares en flujos sospechosos en el caso de OKX, señalando directamente deficiencias en la monitorización de transacciones y la notificación de actividades sospechosas. El foco de la aplicación ha pasado de debates teóricos sobre si un activo es un valor a preocupaciones prácticas sobre si los fondos de las transacciones son lícitos y si los sistemas de monitorización son eficaces.
¿Cómo están evolucionando las auditorías de contratos inteligentes de buena práctica a requisito obligatorio?
El informe de CertiK señala la elevación de las auditorías de seguridad de contratos inteligentes como uno de los cuatro cambios clave en la regulación global. Actualmente, siete jurisdicciones —Hong Kong, EAU (VARA y ADGM), Singapur, UE, Brasil, Turquía y EE. UU. (Estado de Nueva York, NYDFS)— han implementado requisitos legales o cuasi-legales de auditoría. Por ejemplo, Hong Kong exige auditorías de seguridad de contratos inteligentes para emisores de stablecoins, la Autoridad Reguladora de Activos Virtuales de Dubái exige auditorías y pruebas de penetración periódicas a las entidades con licencia, y el banco central de Brasil impone la certificación técnica independiente (que abarca ciberseguridad, custodia segregada y sistemas de gestión de claves) como condición obligatoria para las licencias de proveedores de servicios de activos virtuales. El Reglamento de Resiliencia Operativa Digital (DORA) de la UE impone obligaciones reforzadas de gestión de riesgos TIC y pruebas de seguridad a instituciones financieras y proveedores de servicios relacionados.
Los datos del sector avalan la necesidad de auditorías obligatorias. El análisis de CertiK sobre los 100 protocolos más afectados por ataques muestra que el 80 % nunca se sometió a auditorías de seguridad formales antes de ser vulnerados, y estos protocolos no auditados representaron el 89,2 % de las pérdidas totales. Por tipo de pérdida, los problemas a nivel de infraestructura, como filtraciones de claves privadas y fallos de control de acceso, representan ahora el 76 % del valor perdido, superando a las vulnerabilidades tradicionales del código. Esto demuestra que las expectativas regulatorias en materia de auditorías de seguridad se están ampliando de la simple revisión de código a evaluaciones integrales que incluyen gestión de claves, control de acceso y seguridad operativa. Las auditorías de seguridad dejan de ser una tarea puntual previa al lanzamiento para convertirse en un coste de cumplimiento continuo para las operaciones reguladas.
¿Cómo están influyendo la GENIUS Act y el marco MiCA en el panorama regulatorio global en 2026?
La regulación global de stablecoins converge rápidamente en torno a dos principios: "respaldo total de reservas" y "emisión bajo licencia". En EE. UU., la GENIUS Act fue promulgada en julio de 2025, estableciendo un marco federal para stablecoins de pago. Los emisores deben obtener licencias a través de canales bancarios o rutas no bancarias federales cualificadas, con reservas limitadas a efectivo, depósitos regulados, bonos del Tesoro de EE. UU. a corto plazo y otros activos altamente seguros, y se prohíbe explícitamente el pago de intereses a los tenedores. En la UE, bajo el marco de Mercados de Criptoactivos (MiCA), las disposiciones sobre stablecoins ya están plenamente vigentes: las stablecoins respaldadas por una sola moneda fiduciaria se clasifican como tokens de dinero electrónico y están sujetas a los requisitos correspondientes, mientras que los tokens significativos enfrentan obligaciones adicionales de capital, liquidez e información.
A pesar de estos avances, persisten importantes brechas de cumplimiento transfronterizo. El "modelo bancario" estadounidense, el "modelo de licencia abierta" de la UE y el "régimen de licencias" de Hong Kong difieren fundamentalmente en estándares de reservas, marcos de gobernanza y autoridad regulatoria. Esto implica que los proveedores de servicios de activos digitales que operan en varias jurisdicciones deben establecer entidades legales, estructuras de cumplimiento y sistemas de auditoría independientes para cada región, lo que incrementa notablemente los costes y la complejidad operativa. El informe de CertiK identifica esta asimetría de cumplimiento transfronterizo como un desafío central del sector, señalando que la capacidad de obtener licencias en múltiples jurisdicciones será una barrera competitiva clave para los actores institucionales.
¿Qué señales estructurales revela la curva de aplicación 2021–2025?
Al analizar las tendencias de aplicación de la SEC entre 2021 y 2025, 2023 marcó el punto álgido: se iniciaron 47 acciones relacionadas con cripto, con hasta 101 abogados liderando investigaciones. En 2024, las acciones de la SEC descendieron ligeramente a 33, pero las multas alcanzaron unos 470 millones de dólares. En 2025, los tres indicadores cayeron bruscamente: las acciones de cumplimiento bajaron a 13 (un 60 % menos), las multas se redujeron a 142 millones (un 97 % menos) y el número de abogados implicados en investigaciones cripto cayó a 33, el nivel más bajo desde 2017. Este descenso "en picado" coincide con la imposición de más de 900 millones de dólares en multas AML por parte del DOJ/FinCEN, lo que señala una transferencia estructural de la autoridad regulatoria y marca la transición de la "dominancia de la SEC" a la "gobernanza multiagencia" en la regulación cripto de EE. UU.
Mientras tanto, las normas prudenciales del Comité de Basilea para criptoactivos entraron en vigor el 1 de enero de 2026: los activos del Grupo 2 (incluidos BTC y ETH) afrontan requisitos de capital cercanos al 100 %, mientras que los activos del Grupo 1 (instrumentos tradicionales tokenizados y stablecoins que cumplen los requisitos) están sujetos a ponderaciones de riesgo estándar. Este marco global de capital bancario tendrá un impacto estructural profundo en la liquidez de las distintas clases de criptoactivos a nivel institucional.
¿Cómo deben exchanges y proyectos construir un marco de cumplimiento para 2026?
A medida que la regulación pasa de "si cumplir" a "cómo implementar capacidades de cumplimiento", los participantes del sector deben ir más allá de la interpretación superficial de la normativa y desarrollar sistemas ejecutables. El informe de CertiK recomienda avanzar en la capacidad de cumplimiento en cuatro dimensiones clave.
Primero, implementar una actualización integral de los sistemas AML. Establecer sistemas estandarizados de monitorización de transacciones, reporte de actividades sospechosas y filtrado de sanciones. En el primer semestre de 2025, las multas combinadas para OKX y KuCoin rozaron los 800 millones de dólares, estableciendo un referente para las sanciones asociadas a una monitorización de transacciones insuficiente. Este volumen ya iguala a algunos casos históricos de fraude de valores, cambiando radicalmente la lógica de retorno de la inversión en cumplimiento: asumir costes de cumplimiento en torno al 1 % de los gastos fijos operativos es ya la norma en la era del cumplimiento estricto.
Segundo, convertir las auditorías de seguridad en un requisito continuo durante todo el ciclo de licencias. Las condiciones de mantenimiento de licencia en múltiples jurisdicciones ya incluyen evaluaciones de seguridad periódicas, como la auditoría anual de contratos inteligentes exigida por VARA en Dubái. El análisis de CertiK sobre los 100 protocolos más atacados muestra que los no auditados concentran el 89,2 % de las pérdidas, lo que ilustra las consecuencias extremas de descuidar las auditorías. Las empresas que aspiran a operar a gran escala en pagos, stablecoins o trading regulado deben integrar las auditorías en el diseño de producto y adoptar una metodología Security-by-Design para una inversión continua.
Tercero, diseñar redundancias para la diferenciación del cumplimiento transfronterizo. El modelo bancario de GENIUS, la lógica de licencia abierta de MiCA y el régimen de licencias de Hong Kong difieren profundamente en reglas de reservas, estructuras de gobernanza y procedimientos operativos. Las empresas que planean expandirse globalmente deben establecer con antelación entidades legales locales independientes y diseñar sistemas de cumplimiento paralelos para satisfacer los requisitos regulatorios regionales, evitando soluciones improvisadas que generan costes innecesarios y riesgos de cumplimiento.
Cuarto, incorporar operaciones de seguridad de nivel institucional en el marco de cumplimiento. Dado que los incidentes de seguridad de infraestructura representan ya el 76 % de las pérdidas, las expectativas regulatorias para las entidades con licencia van más allá de las auditorías de código, exigiendo evaluaciones integrales de gestión de claves, control de acceso y resiliencia operativa. Las empresas deben construir simultáneamente sistemas internos de gestión de seguridad operativa y de respuesta a emergencias.
Conclusión
El informe global de regulación de activos digitales de CertiK para 2026 ofrece una panorámica clara de la "era del cumplimiento estricto" en el sector. La aplicación de AML y las auditorías de contratos inteligentes se consolidan como los dos pilares centrales, impulsando la regulación cripto global de "restricciones blandas" a "mandatos estrictos". La contracción estructural de la acción de la SEC, junto con la intervención decidida del DOJ/FinCEN y más de 900 millones de dólares en multas, marca el cambio de liderazgo en la aplicación, pasando de los "debates sobre clasificación de valores" al "control de flujos y la implementación de sistemas de cumplimiento". El panorama regulatorio global, conformado por GENIUS, MiCA y la Stablecoin Ordinance de Hong Kong, está en gran medida definido, aunque la "fragmentación" del cumplimiento transfronterizo podría elevar aún más los requisitos para la obtención de licencias. El reto central para exchanges y proyectos ya no es "si cumplir", sino "cómo construir de forma rápida y sistemática el cumplimiento como capacidad institucional".
Preguntas frecuentes
P: ¿Cuál es el mayor riesgo regulatorio para las empresas cripto en 2026?
Según el informe de CertiK, la aplicación de AML es ahora el principal riesgo regulatorio. Solo en el primer semestre de 2025, las multas relacionadas con AML superaron los 900 millones de dólares, mientras que las sanciones de la SEC por cripto cayeron un 97 % interanual, reflejando un cambio completo en el enfoque de la aplicación.
P: ¿La auditoría de contratos inteligentes se ha convertido en un requisito obligatorio?
Sí. Siete jurisdicciones —incluidas Hong Kong, EAU (VARA), Singapur, UE (DORA), Brasil, Turquía y el Estado de Nueva York en EE. UU.— han implementado requisitos legales o cuasi-legales de auditoría. Los registros y la calidad de las auditorías son ahora criterios centrales para obtener y mantener licencias.
P: ¿Cuál es la relevancia de las multas impuestas a OKX y KuCoin?
Ambos casos sumaron casi 800 millones de dólares e implicaron transmisión de dinero sin licencia y violaciones de la BSA. Demuestran que la monitorización de transacciones y el reporte de actividades sospechosas se han convertido en riesgos regulatorios clave para los exchanges, y ya no son simples controles internos rutinarios.
P: ¿Cuáles son las principales diferencias entre los marcos GENIUS y MiCA?
GENIUS adopta una vía de licencia "liderada por bancos", exigiendo a los emisores obtener licencias a través de canales bancarios, restringir las reservas a activos altamente seguros y prohibir el pago de intereses. MiCA distingue entre tokens de dinero electrónico y tokens referenciados a activos, permitiendo que emisores no bancarios operen bajo el marco regulatorio de la UE y admitiendo escenarios de emisión multimoneda y staking.
P: ¿En qué áreas deben priorizar ahora las empresas la construcción de cumplimiento?
Se recomienda avanzar simultáneamente en tres áreas: construir una monitorización AML de transacciones integral, integrar las auditorías de seguridad en el ciclo de desarrollo de producto y garantizar su continuidad, y preparar sistemas de gobernanza legal y cumplimiento independientes para operaciones multirregionales. El cumplimiento ya no es solo una herramienta de mitigación de riesgos, sino una condición central para la obtención de licencias y la continuidad del negocio.
