Glosario de forensia Bitcoin

La 6.ª directiva antiblanqueo de la UE — parte del paquete AMLA de 2024. Armoniza a escala de la UE las obligaciones AML, rebaja el límite de pagos en efectivo a 10 000 € y trae obligaciones reforzadas de diligencia debida para las transferencias cripto hacia wallets en self-custody (a partir de 1000 €). Transposición alemana en la ley contra el blanqueo de capitales para julio de 2027.

El término genérico para las medidas de prevención del blanqueo de capitales. Engloba KYC, KYT, informes de operaciones sospechosas (SAR/STR) y screening de sanciones. Marco jurídico en la UE: AMLR (directamente aplicable), AMLD6 (directiva), AMLA (nueva autoridad de supervisión de la UE).

La blockchain es un registro enlazado criptográficamente formado por bloques que contienen cada uno aproximadamente 2500-3500 transacciones Bitcoin. Cada 10 minutos, más o menos, se añade un nuevo bloque mediante minería. Cada bloque referencia a su predecesor mediante un hash — la cadena resultante es resistente a manipulaciones y constituye el libro mayor público completo de todas las transacciones Bitcoin.

CASP = Crypto-Asset Service Provider (término europeo procedente de MiCA). VASP = Virtual Asset Service Provider (término del GAFI, internacional). Ambos designan a los prestadores que ofrecen servicios cripto de manera profesional: plataformas de intercambio, proveedores de wallet, proveedores de pago, custodios. Están sujetos a obligaciones AML, KYC y de licencia.

Un cluster es un grupo de direcciones Bitcoin que pertenecen con alta probabilidad al mismo propietario (una persona, una plataforma de intercambio, un pool de minería). Los clusters se construyen mediante heurísticas forenses — por lo general combinando multi-input, detección de cambio y patrones de comportamiento. Cuanto más grande y estable es un cluster, más fiable es la atribución.

Una transacción colaborativa en la que varios usuarios agrupan sus inputs y mezclan los outputs para dificultar el clustering. Popularizada por Wasabi-Wallet (protocolo ZeroLink) y Samourai Whirlpool. Forensemente reconocible por importes de output iguales (Equal-Output-CoinJoin). Una buena detección evita que los participantes en un CoinJoin se agrupen por error en un mismo cluster.

La 8.ª modificación de la directiva europea sobre cooperación administrativa (Directive on Administrative Cooperation). Obliga a los CASPs a partir del ejercicio fiscal 2026 a declarar datos de cliente, volúmenes anuales de operaciones e importes derivados de cesiones a la administración tributaria del Estado de residencia. El equivalente cripto del CRS de la OCDE existente para las cuentas bancarias.

Un identificador derivado criptográficamente al que se pueden enviar importes de Bitcoin. Se genera a partir de una clave pública mediante funciones hash. Hoy se utilizan tres formatos habituales: Legacy (empieza por 1), P2SH (empieza por 3) y Bech32 (empieza por bc1). Una dirección no pertenece necesariamente a una sola persona — los análisis de clusters permiten a menudo atribuir varias direcciones a un mismo propietario.

Cuando un usuario quiere pagar 0,8 BTC pero dispone de un UTXO de 1,0 BTC, 0,2 BTC regresan como vuelta (change) a una nueva dirección del mismo usuario. Esa dirección de cambio forma parte del cluster — identificarla correctamente es una de las tareas forenses más difíciles. Heurísticas típicas: análisis de números redondos, Fresh-Address-Detection, cambio óptimo.

Dust designa importes mínimos de UTXO (unos pocos cientos de satoshis) que apenas se pueden gastar, porque la comisión superaría su valor. Una dust-attack consiste en enviar de forma intencionada esos microimportes a muchas direcciones, con el objetivo de obtener en el siguiente gasto información de clustering. Forensemente interesante como indicador de tracking.

El fan-out describe una topología en la que un cluster reparte sus coins entre muchos destinatarios (típico del layering en el blanqueo de capitales). El fan-in es lo contrario — muchas fuentes se consolidan en un cluster (típico de los wallets de agregación de las plataformas de intercambio). Ambos son indicadores potentes de tipos de entidad.

El fingerprinting de software de wallet identifica el software utilizado a partir de las características propias de las transacciones que genera — p. ej. las firmas de Wasabi, la elección del nSequence en Electrum, el orden de direcciones de la Trezor Suite. Permite deducciones sobre el tipo de usuario y su comportamiento, sin identificación directa.

Una heurística es una regla probabilística que conduce, con un esfuerzo razonable, a una respuesta probablemente correcta. En la forensia Bitcoin, las heurísticas son la base del análisis de clusters y de transacciones. A diferencia de las pruebas deterministas, proporcionan enunciados de probabilidad — su calidad se mide en la tasa de falsos positivos.

La heurística central de la forensia Bitcoin: si en una transacción se utilizan varias direcciones como inputs, estas pertenecen con alta probabilidad al mismo propietario — el software de wallet firmó simultáneamente con todas las claves privadas correspondientes. Fundamento de prácticamente todos los algoritmos de clustering.

Cada transacción Bitcoin referencia inputs (punteros a UTXOs existentes) y genera nuevos outputs. La suma total de los inputs debe ser al menos tan grande como la de los outputs; la diferencia constituye la comisión de minería. Varios inputs procedentes de direcciones distintas sugieren que esas direcciones pertenecen al mismo propietario — base de la heurística multi-input.

La obligación de identificación del cliente que bancos y CASPs deben cumplir antes del inicio de la relación comercial — verificación de identidad, justificante de domicilio, comprobación PEP. Fundamento de todo programa de cumplimiento AML. En cripto, el KYC se realiza por regla general de forma digital (vídeo-identificación, escaneo de documento).

La ampliación del KYC mediante el análisis continuo de cada transacción: ¿de dónde procede el dinero? ¿Hay vínculos con mixers o con direcciones sancionadas? ¿Resulta atípico el comportamiento? El KYT es el ámbito natural de uso de herramientas forenses on-chain como el Coinator.

Markets in Crypto-Assets Regulation — reglamento de la UE, en vigor desde el 30 de junio de 2024 (stablecoins) y el 30 de diciembre de 2024 (plenamente aplicable). Primer marco regulador integral para los criptoactivos. Incluye obligaciones de licencia, divulgación y cumplimiento para los CASPs. Combinado con el TFR, traslada la Travel Rule a todas las transferencias cripto entre CASPs.

Un servicio centralizado (o semi-descentralizado) que agrupa los depósitos Bitcoin de varios usuarios, los mezcla y los paga en otra combinación — para ocultar el origen. Ejemplos conocidos: ChipMixer (incautado en 2023), Sinbad (incautado en 2024), Tornado Cash (basado en ETH, incluido en la lista OFAC en 2022). El Coinator reconoce los patrones característicos de los mixers habituales.

OFAC = Office of Foreign Assets Control, la autoridad estadounidense de sanciones. Mantiene la lista SDN (Specially Designated Nationals) — personas, organizaciones y, desde 2022, también smart contracts con los que las personas estadounidenses no pueden hacer negocios. Las instituciones europeas no están directamente sujetas, pero suelen asumir estos listados en la práctica.

Una transacción entre dos partes en la que también el destinatario aporta un input (BIP-78). Esto inutiliza la heurística multi-input clásica — el analista forense supone erróneamente que todos los inputs pertenecen al mismo propietario. Detección mediante distribuciones de output atípicas y firmas específicas del wallet.

Una peel-chain es una secuencia de transacciones en la que en cada paso se desprende («peela») un pequeño importe y el valor restante continúa a través de una dirección de cambio. En el blanqueo de capitales, la peel-chain sirve para fraccionar grandes sumas en pequeñas porciones. Forensemente reconocible por una topología característica: un único camino hacia delante con ramificaciones regulares.

Reglamento General de Protección de Datos — reglamento europeo sobre la protección de datos de carácter personal, en vigor desde el 25 de mayo de 2018. Relevante para el Coinator porque el trabajo forense entra en contacto con datos personales: bases jurídicas del tratamiento, derechos de los interesados, obligaciones de notificación en caso de violación de datos. El Coinator se opera en Alemania con pleno respeto al RGPD.

Self-custody significa que el propio usuario controla las claves privadas de sus coins. Los hot wallets están conectados (aplicación móvil, extensión de navegador), los cold wallets están fuera de línea (hardware wallet, paper wallet). Novedad regulatoria desde MiCA: para las transferencias entre cuentas de CASP y wallets en self-custody a partir de 1000 €, se aplican obligaciones KYC ampliadas.

El intercambio directo de coins entre distintas blockchains, sin plataforma centralizada. Protocolos conocidos: THORChain (BTC ↔ ETH, BNB, AVAX, ATOM, DOGE, LTC, BCH), Chainflip (BTC ↔ ETH, SOL, Arbitrum, Polkadot), Bridgers (agregador). Originalmente desarrollados para arbitraje, cada vez se usan más también para ocultar la procedencia. El Coinator sigue los swaps mediante la decodificación de memos y la correlación temporal.

El provider tagging asigna direcciones a entidades conocidas — plataformas de intercambio, pools de minería, proveedores de pago, custodios, ETFs. Las direcciones etiquetadas son el fundamento de la interpretación forense: sin ellas, los clusters serían grafos anónimos. El tagging surge de la interacción directa (realizar un depósito y observar la dirección), de OSINT y del intercambio dentro de la comunidad forense.

Contaminación: la propiedad de que un UTXO está históricamente vinculado a una fuente sospechosa (robo, mixer, lista de sanciones). Existen varios modelos de cálculo: poison-taint (cada vínculo colorea por completo), haircut-taint (proporcional), FIFO/LIFO (basado en el tiempo). Concepto central para las comprobaciones del origen de los fondos.

Transfer of Funds Regulation — reglamento de la UE que, junto con MiCA, implementa la Travel Rule del GAFI. Obliga a los CASPs a intercambiar información sobre el remitente y el destinatario en las transferencias entre prestadores cripto — sin umbral mínimo. Similar al clásico sistema de mensajería SWIFT en la banca.

Una transacción Bitcoin es un mensaje firmado que transfiere coins de uno o varios inputs a uno o varios outputs. Cada TX tiene un identificador único (TXID, un hash). Las transacciones se agrupan en bloques y, a partir de ese momento, son inmutables.

El modelo Unspent Transaction Output es el principio contable de Bitcoin. Cada output de TX está, o bien «unspent» (utilizable), o bien «spent» (consumido). El saldo de un wallet se obtiene sumando todos los UTXOs que le son atribuibles. Central para las heurísticas: el modelo UTXO revela más información estructural que los sistemas basados en cuentas.