KYC de conocimiento cero: El cambio de ‘recopilar y almacenar’ a ‘demostrar lo que es necesario’

El cumplimiento se volvió más frágil al almacenar más datos

Durante años, el enfoque estándar para el KYC tradicional ha dependido de un mecanismo directo y de fuerza bruta: recopilar todos los documentos físicos o digitales posibles, verificarlos contra una base de datos o un revisor humano, y almacenarlos indefinidamente. Esta metodología nació en una era donde poseer una copia física de un documento era sinónimo de mitigar riesgos. La lógica era simple: cuanta más evidencia tengas en tus servidores, más cumplidor parecerás ante auditores externos.

Sin embargo, este hábito operativo profundamente arraigado ha creado inadvertidamente vulnerabilidades masivas en el sector financiero global. Cada escaneo de pasaporte, factura de servicios públicos y selfie almacenado como PII aumenta el riesgo de confidencialidad y la carga de controles necesarios para prevenir accesos, usos o divulgaciones inapropiadas (4). No hicimos que el cumplimiento fuera fundamentalmente más seguro acumulando datos de identidad; simplemente ampliamos el radio de impacto en caso de brechas.

La mayoría de las organizaciones no pretenden crear dispersión de datos; esto sucede por las herramientas, los equipos y el tiempo. Si alguna vez has tenido que responder “¿dónde está replicada la imagen del pasaporte de este cliente?” durante una auditoría de seguridad, conoces la magnitud exacta del problema. Los datos rara vez permanecen en un solo lugar. Se propagan a través de entornos de staging, lagos de datos, motores analíticos y servidores de respaldo.

El KYC tradicional crea vulnerabilidades de seguridad

Cuando las empresas dependen en gran medida de los flujos de trabajo tradicionales de KYC, los costos financieros y reputacionales de defender estos repositorios de datos dispersos aumentan rápidamente. Cuando millones de registros sensibles están centralizados, las consecuencias económicas de una brecha en la infraestructura se vuelven significativas, con costos de brecha que rutinariamente alcanzan millones de dólares (5).

Por eso, los programas tradicionales de KYC pueden ser cumplidores y aún así frágiles: los mismos almacenes de datos se convierten en el centro de gravedad para las brechas de datos. Las instituciones financieras se encuentran atrapadas en una paradoja peligrosa de cumplimiento. Se espera que conozcan a sus clientes lo suficiente para gestionar el riesgo, pero el acto mismo de almacenar datos sensibles y granulares transforma su arquitectura en un objetivo de alto valor para adversarios sofisticados.

La exposición de datos se vuelve mucho más probable cuando la información de identidad se replica en diferentes sistemas. Cada vez que un equipo de cumplimiento solicita almacenar datos personales para satisfacer una revisión rutinaria, están aceptando responsabilidades a largo plazo. Esta no es una postura de seguridad sostenible para la infraestructura financiera moderna. El mecanismo debe cambiar de acumular documentos sensibles a validar las verdades inmutables que esos documentos representan. A escala, la confianza digital depende de demostrar resultados de cumplimiento, no de replicar documentos de identidad.

Qué significa KYC de Conocimiento Cero (en lenguaje sencillo)

Para entender este cambio arquitectónico, primero debemos separar los conceptos centrales que a menudo se confunden en las discusiones sobre tecnología regulatoria y cumplimiento.

(Nota: Este artículo proporciona contexto operativo y arquitectónico, no asesoramiento legal. KYC de Conocimiento Cero no exime a ninguna institución de sus mandatos regulatorios de evaluar riesgos y monitorear la actividad del cliente).

La verificación de identidad no es todo el programa de KYC

La verificación de identidad es el proceso y resultado concreto de confirmar que una persona natural es exactamente quien afirma ser. Es el primer obstáculo en la incorporación. Por otro lado, las obligaciones más amplias del programa de KYC van más allá de la incorporación, extendiéndose a la supervisión continua y a mantener la información del cliente actualizada a medida que cambian los riesgos (2).

El KYC de Conocimiento Cero funciona como un puente operativo vital entre estas dos realidades. Prácticamente, utiliza pruebas de conocimiento cero para cambiar el KYC de “recopilar y almacenar” a “demostrar solo lo necesario” para el objetivo de control. En otras palabras, una prueba de conocimiento cero se convierte en la unidad de evidencia para un control específico.

Una forma sencilla de entenderlo

El flujo operativo central de este modelo puede desglosarse en un ejemplo simple de tres pasos que redefine cómo los usuarios interactúan con los sistemas financieros:

2. El usuario completa la verificación de identidad una sola vez: En lugar de subir la licencia de conducir a cada nueva aplicación, el usuario pasa por un proceso riguroso con un emisor de credenciales altamente confiable.

3. El emisor certifica atributos específicos: El emisor confiable firma criptográficamente hechos individuales sobre el usuario —como su rango de edad, su residencia, o su cumplimiento de listas de sanciones globales.

4. El verificador solicita solo lo necesario y recibe prueba sin revelar datos adicionales: Cuando el usuario intenta abrir una cuenta, la institución financiera (el verificador) solicita solo los atributos necesarios. El usuario proporciona una prueba de conocimiento cero que demuestra que cumple con los criterios, sin revelar los datos o documentos originales.

En este modelo, los usuarios mantienen el control sobre sus datos de identidad, y las plataformas logran la certeza necesaria sin heredar la responsabilidad a largo plazo de almacenar datos personales innecesariamente.

Prueba de conocimiento cero: la primitiva central (y lo que no hace)

En el núcleo de esta evolución del cumplimiento se encuentra un método criptográfico muy específico. Una prueba de conocimiento cero es un protocolo que permite a una parte (el probador) demostrar a otra (el verificador) que una afirmación dada es verdadera, sin revelar nada más allá de la verdad de la afirmación (1).

En la práctica, esto permite que las arquitecturas de cumplimiento funcionen con certeza matemática en lugar de transmisión de documentos. Cambia fundamentalmente cómo manejamos el proceso de verificación al permitir a los usuarios divulgar selectivamente hechos autenticados.

Tecnología de pruebas de conocimiento cero: qué verifica realmente el verificador

A nivel arquitectónico, la tecnología de pruebas de conocimiento cero cambia lo que el verificador realmente está verificando. Los flujos tradicionales intentan verificar identidades moviendo documentos; las pruebas verifican la afirmación.

Cuando un verificador revisa la prueba, no está abriendo un archivo oculto para verificar una fecha de nacimiento o una dirección. Está ejecutando una ecuación matemática para confirmar que la afirmación del probador se alinea perfectamente con la firma criptográfica pública del emisor confiable. Si la matemática se cumple, la afirmación es verdadera y la verificación tiene éxito sin que ninguna parte de los datos cambie de manos. Por eso, una prueba de conocimiento cero puede validarse sin mover documentos de identidad entre sistemas.

Las pruebas de conocimiento cero (ZKPs) funcionan sin revelar datos sensibles

Cuando se implementan correctamente, las pruebas de conocimiento cero (ZKPs) ofrecen una forma matemáticamente sólida de responder consultas de cumplimiento con un simple “verdadero” o “falso”, ocultando las entradas. Esto significa que una prueba de conocimiento cero puede construirse para que un usuario demuestre que pasó una revisión de sanciones en un momento T sin revelar el conjunto completo de datos de la revisión, el informe detallado o las métricas internas.

De manera similar, una persona puede presentar una prueba verificable que valide su categoría de residencia (por ejemplo, “Residente de la Unión Europea”) sin revelar detalles específicos de su dirección o la factura de servicios públicos utilizada para establecer ese hecho inicialmente. La prueba se verifica instantáneamente por el verificador, creando una experiencia de usuario sin fricciones.

Los límites de la prueba matemática

Sin embargo, es crucial que los operadores entiendan que las pruebas de conocimiento cero son un mecanismo matemático, no un marco de gobernanza integral. No son una varita mágica que valida retroactivamente documentos fuente fraudulentos. Las ZKPs prueban afirmaciones; no validan la autenticidad física del documento utilizado al inicio del ciclo de verificación.

Si un actor malintencionado logra obtener una afirmación firmada criptográficamente basada en un pasaporte falsificado sofisticado, la prueba resultante simplemente validará matemáticamente una mentira. Por lo tanto, confiar en esta tecnología aún requiere controles rigurosos de aseguramiento de identidad en el origen. Aseguran la transmisión y limitan el almacenamiento de datos, pero no reemplazan la necesidad fundamental de una validación robusta de identidad cuando se crea la credencial por primera vez. Una vez que esa distinción queda clara, la arquitectura se vuelve más fácil de razonar: emisor, titular, verificador — y una prueba en lugar de un documento.

El mecanismo: de documentos a atributos y afirmaciones

Para alejarse con éxito de la práctica de alto riesgo de pasar documentos en una red interna, la arquitectura debe transicionar a confiar en atributos tokenizados. En un contexto de cumplimiento, estos se entienden y aplican mejor como afirmaciones basadas en atributos.

Esta realidad operativa se apoya en un modelo tripartito bien establecido: el emisor, el titular y el verificador (8). Una entidad confiable (el emisor) realiza el trabajo pesado: examina los documentos físicos, realiza verificaciones biométricas y realiza las consultas iniciales a la base de datos. Una vez satisfechos, emiten afirmaciones digitales firmadas criptográficamente al usuario (el titular).

Discreción selectiva en un sistema de identidad digital

Cuando ese usuario intenta acceder a un servicio financiero o realizar una transacción regulada, la institución (el verificador) no pide el pasaporte completo. En cambio, solicita prueba de atributos específicos necesarios para cumplir con su política interna de riesgos.

La divulgación selectiva limita lo que se comparte: el verificador aprende la mínima información de identidad necesaria para el control, no los detalles completos contenidos en el documento subyacente. El usuario presenta la prueba criptográfica que verifica la afirmación solicitada, y la institución verificadora comprueba matemáticamente la prueba contra la firma criptográfica pública del emisor.

Lo que se registra en lugar de lo que se almacena

Esto altera fundamentalmente la huella de datos del proceso de verificación. Si ya no almacenamos un JPEG de alta resolución de los datos de identidad del usuario, ¿qué forma exactamente el registro de cumplimiento?

En lugar de enrutar documentos en bruto a una base de datos central, el sistema se apoya en metadatos de la prueba. El registro es que una prueba de conocimiento cero fue validada, junto con los metadatos necesarios para reproducir la decisión. Cuando un auditor revisa el archivo, no ve una cara física ni una dirección. Ve un registro criptográficamente verificable que contiene:

• El resultado exacto de la política que se cumplió (por ejemplo, “Edad > 18 Verificada”).

• El identificador público (ID del emisor) de la entidad confiable que originalmente avaló la afirmación.

• La marca de tiempo criptográfica precisa de cuándo se presentó y validó la prueba.

• El hash de la transacción que vincula la prueba con la acción específica del cliente.

Al implementar verificaciones de KYC mediante afirmaciones de atributos, las instituciones reducen drásticamente la cantidad de datos personales que ingresan en su entorno.

Por qué la minimización es un control, no un eslogan

En la disciplina de la seguridad de la información, la minimización de datos no es solo una práctica teórica; es un control defensivo crítico y medible. La regla fundamental de la seguridad digital dicta que cuanto menos datos sensibles poseas, menor será tu superficie de ataque.

La KYC que preserva la privacidad reduce la exposición de datos

Almacenar datos personales en bruto crea un riesgo constante de confidencialidad, aumentando significativamente la carga operativa para defender esos sistemas contra intrusiones (4). Aquí uso ‘KYC que preserva la privacidad’ para referirme a cumplir con los controles de KYC limitando la dispersión de datos personales.

El objetivo es evitar replicar detalles personales y otros datos en múltiples sistemas internos. Cuanto menos datos secretos copies en registros, tickets y paneles, menos tendrás que defender. La mayoría de las filtraciones de datos se amplifican por la replicación interna, no solo por atacantes externos.

Al desplegar estas arquitecturas, restringes activamente el flujo de datos en bruto. Aseguras que los sistemas solo ingieran las pruebas matemáticas necesarias para cumplir su función específica. La meta es proteger los datos del usuario haciendo que el flujo de datos predeterminado sea más pequeño. Reducir los almacenes centralizados de identidad puede disminuir el riesgo de concentración y la dinámica de ‘honeypot’, y limitar la cantidad de PII almacenada reduce la exposición a confidencialidad en caso de compromisos (4)(10).

Privacidad por diseño: los valores predeterminados importan

Además, la minimización agresiva de datos es cada vez más requerida por marcos regulatorios de privacidad en todo el mundo. Diseñar sistemas para procesar automáticamente solo los datos estrictamente necesarios para un propósito específico es la esencia misma de la privacidad por diseño y por defecto (3).

Esto no se trata solo de atender las preferencias de privacidad del consumidor; es un requisito estructural para una conformidad moderna y resiliente. Las instituciones que minimizan proactivamente su ingreso de datos mediante pruebas criptográficas reducen significativamente su carga de cumplimiento continua. Las arquitecturas que preservan la privacidad de verdad no dependen de que las personas recuerden eliminar archivos; dependen de sistemas diseñados para no recopilar archivos innecesarios desde el principio.

Gobernanza y rastros de evidencia: “probar” aún necesita auditoría

Un concepto erróneo persistente entre los oficiales de cumplimiento tradicionales es que usar KYC de Conocimiento Cero significa que una institución no puede demostrar adecuadamente a un regulador que cumplió con sus obligaciones. La obligación de “probar” la identidad del cliente aún requiere una auditoría rigurosa e irrefutable.

La diferencia crítica no radica en si existe un rastro de auditoría, sino en cómo esa evidencia está estructurada.

El cumplimiento regulatorio depende de la evidencia, no de acumulaciones de datos

Es un error suponer que el cumplimiento regulatorio requiere acumulación de datos en bruto. El verdadero cumplimiento regulatorio consiste en demostrar que se aplicó un control válido a una transacción específica, no en demostrar que se posee indefinidamente la documentación física del cliente.

Cuando la evidencia equivale a acumulación, los equipos terminan defendiendo el mismo repositorio durante años — y ese es exactamente el patrón que convierte incidentes en brechas de datos mayores. El enfoque heredado de acumular documentos de identidad trabaja en contra de la seguridad institucional. Como muestra la historia, las grandes acumulaciones de datos se han vinculado repetidamente a brechas graves, y aumentan el impacto cuando ocurren incidentes. Generar una prueba de conocimiento cero proporciona la evidencia necesaria sin la acumulación correspondiente.

Los requisitos de cumplimiento aún aplican a sistemas que preservan la privacidad

Los reguladores esperan explícitamente que las instituciones mantengan marcos de gobernanza sólidos. Las reglas básicas de CDD, monitoreo continuo y registro aún se aplican con toda su fuerza a estos nuevos tipos de evidencia (7). Aún debes poder demostrarle a un examinador exactamente por qué permitiste que un usuario específico accediera al sistema financiero en una fecha concreta.

Para mantener una postura de cumplimiento fuerte sin volver a acumular documentos tradicionales, los equipos deben implementar una lista de verificación moderna de gobernanza adaptada a atributos digitales:

• Criterios de emisor confiable: Definir exactamente qué emisores de credenciales externos (p. ej., programas de e-ID gubernamentales, bancos asociados) tu institución aceptará legalmente como prueba.

• Niveles de aseguramiento por nivel de riesgo: Mapear afirmaciones criptográficas específicas a tu enfoque interno basado en riesgos, asegurando que las transacciones de alto riesgo requieran pruebas multifactoriales de emisores de alta confianza.

• Controles del ciclo de vida de las claves: Establecer protocolos de seguridad rigurosos para gestionar las claves criptográficas usadas para verificar las pruebas entrantes.

• Capacidad de reproducción de auditoría: Asegurar que tu software de cumplimiento pueda presentar sin problemas estos registros criptográficos a los reguladores en un formato que demuestre que el proceso ocurrió correctamente.

Modos de fallo: dónde las equipos fallan en KYC de Conocimiento Cero

Implementar estas arquitecturas avanzadas requiere una alta precisión operativa. La mayoría de los equipos no fallan por intención; fallan en los valores predeterminados. Si la minimización no es el valor predeterminado, no sobrevivirá a una respuesta ante incidentes.

El modo de fallo más prominente ocurre cuando los equipos de ingeniería y cumplimiento tratan el KYC de Conocimiento Cero como un simple parche de software, en lugar de una reinvención fundamental de su arquitectura de datos. No implementar estos mecanismos como valores predeterminados — y mantener vías de recopilación heredadas “por si acaso” — socava la privacidad por diseño y por defecto en la práctica (11). Esto suele manifestarse como almacenamiento paralelo: el flujo de prueba existe, pero los documentos en bruto aún se dispersan por la pila.

Riesgos de seguridad por almacenamiento paralelo y bases de datos sombra

El error más dañino, y común, es el almacenamiento paralelo. En este escenario, los equipos implementan con éxito las pruebas para la experiencia del usuario final, pero continúan almacenando silenciosamente los documentos en bruto en una base de datos sombra en el backend “solo por conveniencia” o por un miedo mal dirigido a la resistencia regulatoria.

Implementar ZKPs no es lo difícil; hacer que “no haya almacenamiento paralelo” sea el valor predeterminado sí lo es. Si generas una prueba elegante y que preserva la privacidad, pero aún registras los datos en bruto en un bucket S3, has mantenido todo el riesgo de dispersión de datos sin ninguna recompensa de seguridad. Solo has añadido complejidad a tus riesgos de seguridad.

Otros fallos operativos críticos incluyen:

• Solicitar atributos en exceso: Configurar el sistema para pedir a los usuarios que prueben afirmaciones que no son estrictamente necesarias para la transacción inmediata, violando explícitamente el principio de minimización.

• Ignorar el riesgo del emisor: Aceptar pruebas en el sistema sin mantener un marco riguroso para auditar a los emisores originales de esas afirmaciones subyacentes.

Fraude y deepfakes: por qué la verificación de identidad está cambiando

La dependencia histórica en la verificación visual de documentos está fallando rápidamente. La explosión de IA generativa y medios sintéticos sofisticados ha comprometido fundamentalmente los mecanismos visuales heredados que dependen de revisores humanos o tecnología OCR básica.

Hoy, las verificaciones solo visuales están bajo una presión creciente. Europol ha advertido que los deepfakes y medios sintéticos pueden usarse para fraude y socavar las verificaciones de identidad que dependen en gran medida de la verificación visual (6). Cuando un actor malintencionado puede generar programáticamente una imagen perfecta de un pasaporte sintético y mapear una cara sintética en una transmisión en vivo de webcam en tiempo real, los sistemas heredados son difíciles de confiar como control principal.

Puenteando la brecha en detección de fraude

Debido a que la evidencia visual ya no puede confiarse ciegamente, las estrategias de detección de fraude deben pivotar agresivamente hacia la certeza criptográfica. Restablecer la confianza digital requiere cambiar la dependencia de píxeles vulnerables a criptografía verificable.

Los deepfakes presionan en la parte frontal; las atestaciones criptográficas presionan en la parte trasera. El KYC de Conocimiento Cero mitiga el fraude visual al cambiar el ancla de confianza principal. En lugar de pedir a una red neuronal vulnerable que adivine si una selfie “parece real”, la arquitectura solicita una prueba matemáticamente verificable derivada de una credencial de alta confianza creada en un entorno seguro.

La realidad del almacenamiento: qué debe mantenerse (y qué no debe dispersarse)

La adopción de arquitecturas con datos minimizados no borra las estrictas realidades de la regulación financiera global. Los equipos de cumplimiento deben reconocer explícitamente que, bajo las reglas anti-lavado de dinero aplicables, ciertos registros de diligencia del cliente y monitoreo de transacciones deben mantenerse durante años después de que finalice la relación comercial. Los mínimos y detalles varían según la jurisdicción. Mantener un rastro de auditoría adecuado y accesible durante este período obligatorio es una expectativa innegociable (9).

Sin embargo, la naturaleza del registro retenido debe cambiar fundamentalmente. La meta operativa es satisfacer al regulador mientras se evita ferozmente la duplicación innecesaria en los sistemas internos.

Documentos personales vs datos personales: qué debe mantenerse

Las instituciones deben conservar la prueba matemática de la verificación, los metadatos contextuales de la transacción, la identidad registrada del emisor confiable y la marca de tiempo exacta del evento.

Absolutamente no necesitan mantener los documentos personales en bruto, propagándose indefinidamente en sus almacenes de datos internos y entornos de prueba durante una década. Al retener metadatos de la prueba en lugar de los datos subyacentes, las instituciones financieras pueden cumplir con sus requisitos regulatorios de retención a largo plazo y cerrar permanentemente las vulnerabilidades críticas asociadas con la dispersión descontrolada de datos.

En resumen

• Audita tu ingreso de datos: Identifica exactamente dónde tus sistemas heredados recopilan documentos en bruto cuando una afirmación basada en atributos simple (p. ej., “mayor de 18”) satisfaría perfectamente el requisito de control operativo.

• Reduce vulnerabilidades de seguridad minimizando dónde vive la información personal: Cada base de datos que no contiene PII en bruto es una base que no puede causar una brecha catastrófica y mediática.

• Prefiere patrones de KYC que preservan la privacidad: Cambia tus valores predeterminados arquitectónicos para exigir una prueba de conocimiento cero en lugar de escaneos físicos de documentos siempre que los marcos regulatorios lo permitan.

• Define tu marco de confianza: El KYC de Conocimiento Cero requiere decidir explícitamente qué emisores de credenciales aceptará tu institución. Construye una matriz de gobernanza sólida para proveedores confiables de identidad digital.

• Actualiza tus registros de evidencia: Asegura que tus equipos de cumplimiento, riesgo y auditoría interna comprendan a fondo cómo leer y presentar pruebas criptográficas a los reguladores, dejando atrás la dependencia de los tradicionales rastros en PDF.

• Cierra las bases de datos sombra: Verifica que los sistemas heredados no almacenen en silencio datos personales en bruto después de que se haya generado con éxito una prueba. La minimización solo funciona si los datos se minimizan permanentemente en toda la pila.

Notas al pie

(1) https://csrc.nist.gov/glossary/term/zero_knowledge_proof

(2) https://www.fatf-gafi.org/content/dam/fatf-gafi/guidance/Risk-Based-Approach-Banking-Sector.pdf

(3) https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng

(4) https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-122.pdf

(5) https://www.ibm.com/reports/data-breach

(6) https://www.europol.europa.eu/cms/sites/default/files/documents/Europol_Innovation_Lab_Facing_Reality_Law_Enforcement_And_The_Challenge_Of_Deepfakes.pdf

(7) https://www.fatf-gafi.org/content/dam/fatf-gafi/guidance/Guidance-on-Digital-Identity-report.pdf

(8) https://www.w3.org/TR/vc-data-model-2.0/

(9) https://www.fatf-gafi.org/content/dam/fatf-gafi/recommendations/FATF%20Recommendations%202012.pdf.coredownload.inline.pdf

(10) https://www.enisa.europa.eu/sites/default/files/publications/ENISA%20Report%20-%20Digital%20Identity%20-%20Leveraging%20the%20SSI%20Concept%20to%20Build%20Trust.pdf

(11) https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-42019-article-25-data-protection-design-and_en