e.firma: ¿Porqué México perdió 20 años en FinTech?

Por años he trabajado en la industria crypto principalmente atraído por la promesa de bancarizar a los no bancarizados y crear servicios financieros para mejorar la vida de las personas. Hasta ahora esto no ha ocurrido en masa, y la moral de mis compañeros ingenieros e investigadores (incluyéndome) está… baja.

Como yo, muchos otros hemos (agradecidamente) dedicado nuestro tiempo a contribuir a un ecosistema abierto y descentralizado. A pesar de que este ecosistema está plagado de estafas extremadamente sofisticadas y esquemas Ponzi, la tecnología ha entregado: tenemos transacciones por menos de un dólar, seguridad de grado bancario, contratos inteligentes a prueba del futuro, y protocolos interoperables.

Similarmente, cuando hablo con mis amigos en México que trabajan en esta industria, el dolor más común es la falta de claridad regulatoria.

He asistido a algunos meetups con abogados, contadores y profesionales relacionados a la industria FinTech Mexicana para formarme una opinión, llegando a la conclusión de que la regulación ya está ahí. Es sólo que no hemos sido capaces de articular las piezas de forma correcta.

En este contexto, comencé a trabajar en Plumaa ID aproximadamente hace un año: Una plataforma de firma digital. Y ya.

Estoy convencido de que con un único mecanismo de firmado electrónico podemos cambiar toda la economía si lo utilizamos de forma interoperable con tecnologías novedosas como Account Abstraction; por eso la doble “a” al final de Plumaa.

Plumaa ID es la primera wallet no-custodial controlada por la e.firma, certificada a más de 23 millones de usuarios. Las organizaciones pueden utilizar este canal de distribución para proyectos de tokenización.

Mi principal motivación fue darle forma al futuro que quería ver, en lugar de intentar convencer a todos de que utilizaran blockchain, guardaran sus 12 palabras de recuperación y evitaran utilizar mecanismos de verificación que violan tu privacidad; como aquellos que te requieren sostener tu INE en frente de una cámara mientras mueves la cabeza 360 grados.

Para lograrlo, desarrollé un protocolo marco de trabajo para demostrar que:

1. La regulación Mexicana está lista para crypto: Tenemos las herramientas, reglas y mecanismos para tokenizar la economía de una forma saludable.
2. Crypto es suficientemente maduro: Ya existen cientos de protocolos para proveer servicios financieros en crypto. No sólo eso, si no que la criptografía gubernamental también es suficientemente madura (tal vez demasiado).
3. México perdió 20 años en innovación FinTech: Gracias a empresas privadas que encarecieron los servicios de certificación como la NOM-151 mientras que abandonaron otras tecnologías muy prometedoras para las que el mismo gobierno les había licenciado. Así, acabamos en un mundo donde Asia es rey en pagos QR mientras que nosotros seguimos con problemas para innovar, nuestras empresas con mayor inversión son servicios financieros predatorios y además, pedimos email y contraseña para iniciar sesión en servicios de firma electrónica 🤦‍♂️.

En este artículo, exploraré mi perspectiva del sistema financiero, el blockchain, y lo que ha significado para mí el construir Plumaa ID como un emprendedor técnico auto-financiado (bootstrapped). Cuidado, esta es una lectura larga, y si no estás familiarizado con los términos es posible que no parezca tener sentido. Te invito a ponerte en contacto si quisieras discutir más al respecto.

Sobre mí

Hola, soy Ernesto — un Ingeniero de Software de 26 años apasionado por las tecnologías de código abierto. Por muchas razones, estudié dos años en la escuela de negocios antes de moverme a ingeniería, donde me encontré en la intersección de Economía, Finanzas y Ciencias Computacionales después de convertirme en un nerd de la tecnología blockchain. Desafortunadamente, no un trader nerd, más bien uno de bits y bytes; uno de esos que alguna vez escuché a alguien llamar magos.

Comencé mi carrera en Blockchain Academy México, enseñando sobre tecnologías distribuidas desde el 2019. Eventualmente, lo dejé para contribuir a yotepresto.com, donde aprendí un montón de la industria Fintech mientras trabajaba en Zenfi; una herramienta para revisar tu buró de crédito e información del SAT en forma gratuita.

A día de hoy, disfruto felizmente mi trabajo en OpenZeppelin, manteniendo la librería más popular de Solidity y asegurando billones de dólares en valor bloqueando en contratos inteligentes y transferencias en tokens. Esto, a través de las mayores blockchains compatibles con la Máquina Virtual de Ethereum (EVM).

He co-escrito y co-desarrollado un par de estándares importantes (EIPs) (principalmente con la ayuda de mis colegas, honestamente) mientras viajo por el mundo con amigos. Así, he visitado cerca de 20 diferentes países mientras trabajo y participo en conferencias de Ethereum, donde ayudo a nutrir el jardín infinito.

Para ser claro, no soy abogado. Pero he leído las suficientes leyes y códigos para sentirme confiado de que los procesos comunitarios de realizar Propuestas de Mejora para Ethereum (EIPs) son extremadamente similares a la legislación en múltiples formas. Esos procesos en los que sí tengo experiencia.

La regulación Mexicana está lista para crypto

Las leyes y códigos (similar a cómo se organiza la gobernanza de una DAO) generalmente se componen de una especificación general para un tema en particular. Esta especificación es acordada por múltiples representantes y miembros de nuestra sociedad, llegando a un consenso.

La blockchain funciona de forma muy similar (o al menos se supone); nuevas reglas se escriben en un texto canónico (i.e. el código que ejecuta Ethereum) y mientras más validadores actualicen a la nueva version (nuestros representantes), más consumiremos dichas reglas.

Entre estas similaridades, existe una que en mi opinión es clave: la firma electrónica. Y digo literalmente: una firma electrónica se produce por una clave, lo que debió habernos dado una idea hace algunos años.

El ascenso y la caída de la firma electrónica

Comenzando en el 2001, la Comisión para el Comercio Internacional de las Naciones Unidas (UNCITRAL en inglés) publicó una Ley Model en Firmas Electrónicas, la cuál incluyó una serie de definiciones generalizadas sobre mecanismos bien conocidos para expertos en criptosistemas.

La ley definía conceptos como “certificado”, “mensaje de datos“, “datos de creación de firma“ y “firmante“. En su significado general, no dicen mucho. Sin embargo, el PDF depende fuertemente en terminología del ámbito de la criptografía de llave pública. Inclusive, existe una sección al final donde se tiene que especificar que varios otros dispositivos también están cubiertos en la noción general de firmas electrónicas.

En agosto de 2003, México incorporó estas definiciones en el Código de Comercio. La mayoría de estas definiciones fueron traducidas y perdieron su significado, llevando a la proliferación de servicios que intentan simular las propiedades de la criptografía de llave pública para firmas electrónicas. Dada la falta de una tecnología mejor, todos estos mecanismos de pseudo-firma fueron considerados como parte de la regulación.

Cerca de esas fechas, el Servicio de Administración Tributaria (SAT) empezó a certificar llaves públicas para los contribuyentes bajo el programa de “Tu Firma“. Tanto el Banco de México como el SAT estaban realizando esfuerzos para introducir servicios de criptografía a la población en general.

En el 2005, el Banco de México anunció su Infraestructura de Clave Pública bajo el nombre de “Infraestructura Extendida de Seguridad“, que es la que habilita transferencias bancarias con SPEI y otros servicios financieros entre bancos privados utilizando la firma electrónica a día de hoy.

Banco de México: ¿Cómo funciona SPEI?

Los esfuerzos eventualmente llevaron a la publicación de la Ley de Firma Electrónica Avanzada en el Diario Oficial de la Federación en 2012, la cuál definía cómo funcionaría la distribución de servicios criptográficos y estableció reglas para los Proveedores de Servicios de Certificación (PSCs): entidades con licencias para ofrecer principalmente 2 servicios.

Aunque ofrecen otros, estos dos son los que son completamente algorítmicos, no necesitan validación de una entidad tercera, son realmente auto-soberanos, y utilizan la infraestructura de Banxico:

• Certificados NOM-151: Es un certificado firmado por el PSC que dice “Sí, yo observé este mensaje con hash [ALGO] con fecha [ALGUNA]“
• Certificados de Firma Electrónica Avanzada: Es un certificado firmado por el PSC diciendo “Sí, este es [ALGUIEN] y su llave pública es [ALGO]“

Si esto hubiera ocurrido en el 2017 cuando todo el mundo estaba haciendo ICOs (Initial Coin Offerings), nos hubiéramos vuelto locos. Desafortunadamente (o no), la ley llegó muy temprano y otros Proveedores de Servicios de Certificación se establecieron en el país ofreciendo certificados NOM-151 para la práctica jurídica. Tal vez sólo 1 o 2 continuaron ofreciendo certificados de firma electrónica avanzada.

Acá entramos en equilibrio de Nash; un fenómeno económico de teoría de juegos donde ninguna entidad tiene incentivos para cambiar su estrategia, incluso aún cuando sería mejor para todos el hacerlo.

El dilema del prisionero es un ejemplo común de este equilibrio

Dado que el SAT comenzó a ofrecer certificados de firma electrónica avanzada de forma gratuita, dejó de haber razones para que los PSC compitieran, y dada la simplicidad de la NOM-151 (su otro producto estrella), habían muy pocas formas en las que podrían diferenciarse a menos que construyeran aplicaciones de firma electrónica y añadieran otros servicios a su portafolio: como revisión en listas negras internacionales o pruebas de vida.

Actualmente, el uso de la firma electrónica en México es más fuerte que nunca. Sin embargo, una de las intenciones de la ley del 2012 era tener un mercado donde los PSCs compitieran y los ciudadanos naturalmente seleccionarían los servicios de aquellos que fueran los más seguros.

Yo creo que la gente está escogiendo crypto.

Crypto Bros vs Fintech Guys

La manada pro-crypto es una comunidad muy diversa. La tecnología es tan igualitaria que cualquiera puede participar. No estoy hablando de tecnologías en específico, si no en el sentido más general de que cualquiera puede utilizar blockchain como quiera, y las propiedades que tal vez sean valiosas para mí (como la descentralización) tal vez no lo sean para tí. En todo caso, las herramientas existen y nos habilitan a todos por igual.

Como resultado se han formado comunidades alrededor de distintas blockchains. Incluso algunas se consideran a sí mismas extensiones culturales de otras, compartiendo los mismos valores y haciendo más fácil el desarrollar nuevos protocolos en compañía.

Millones de dólares se han invertido en esta industria a través del Capital de Riesgo, impactando positivamente el desarrollo e investigación en usabilidad crypto. Aún así, reconozco que utilizar crypto activos sigue siendo un dolor de cabeza, pero compáralo con lo que significa utilizar la e.firma:

Sí, te piden colocar tu llave privada y contraseña en el navegador. No es una extensión.

Desde mi experiencia, la comunidad FinTech en México tiene una cultura diferente. Una donde los unicornios no están en el logo de las más grandes empresas, y, en su lugar, las startups fueron fundadas por personas experimentadas en el sector financiero y que vieron la crisis del 2008.

Ellos están cerrando rondas de inversión en Serie A para acelerar la financiarización de la economía, proveyendo mejor acceso a crédito y servicios financieros. Algunos de ellos han proclamado estar luchando en contrar de los bancos abusivos, lo cuál aplaudo hasta cierto grado.

Estos profesionales en FinTech son muy conocedores de tecnologías de nuestro sistema financiero, como el buró de crédito, SPEI y también entregando tarjetas físicas a millones.

Aunque ambos grupos son bien versados en su área, han fallado en comunicarse debido a que también fallaron en entender la cultura del otro. Especialmente, he encontrado a algunos veteranos crypto sentirse inusualmente incómodos con utilizar criptografía gubernamental. Aún así, entiendo el sentimiento después de que algunos países hicieran las cosas más difíciles para su empresas crypto.

Uno esperaría que la comunidad FinTech entendiera los beneficios de utilizar crypto y que la comunidad crypto debería ser experta en tecnología blockchain. Sin embargo, esto no es tan cierto. He escuchado a ambos lados decir que “ellos no quieren utilizar x/y/z“. En mi opinión, deberían buscar un piso en común.

La reforma a la Ley General de Títulos y Operaciones de Crédito (LGTOC)

El pasado Marzo de 2024, una reforma a la Ley General de Títulos y Operaciones de Crédito (LGTOC) formalizó ciertas prácticas que ya eran comúnes en la industria FinTech: utilizar la e.firma para firmar documentos y representar derechos literales escritos en ellos (i.e. títulos de crédito), así como endosarlos y validar sus firmas electrónicas.

En ella, se especifica que los endosos o transferencias de títulos de crédito podrán realizarse a través de medios electrónicos, utilizando tecnologías como la firma electrónica en un sistema de información. El cual, no se define a propósito con el objetivo de que se entienda que este requisito puede ser cubierto a través de la neutralidad tecnológica, de tal manera que los nuevos jugadores en el mercado puedan innovar en servicios para estos instrumentos.

Como parte de los requerimientos, los títulos de crédito deberán garantizar una cadena no interrumpida de endosos. La cuál es fácil de proveer utilizando un indexador de eventos emitidos por un token ERC-721 en la blockchain (también conocido como NFT). Toda la reforma olía a tecnología blockchain. Sin embargo, el puente todavía no se construía.

Cuando te sientas a escuchar a los expertos FinTech y los principales despachos jurídicos, todos ellos concuerdan en que la e.firma es el mecanismo de identidad más seguro en México. Aún así, cuando se trata de utilizarla, van a preferir una segunda verificación con cámara OBS y revisando una foto con Inteligencia Artificial (AI) para asegurarse de que es la persona correcta. Así, comprometen la seguridad criptográfica de la e.firma por otros mecanismos menos seguros. ¿Qué no era tan segura la e.firma, gente?

Incluso la comunidad crypto argumentaría que no es segura porque un uso normal es que se compartaa con tu contador. Aunque estoy de acuerdo en que esto es terrible, ¿no debería de ser el punto de la e.firma que no nos veamos forzados a compartirla en primer lugar? Necesitamos mejores tecnologías, y los PSCs han fallado en proveerlas.

Para algunos, parecerá tonto que coloquemos la e.firma en una aplicación de la forma que hicimos en Plumaa ID. No obsante, yo creo que es la pieza faltante para que ambos mundos coexistan mientras proveemos claridad regulatoria y respetamos las mejores prácticas de seguridad del espacio crypto.

Crypto es suficientemente maduro

Cuando amigos y colegas se refieren a la regulación crypto, generalmente lo hacen para referirse a las criptomonedas. Aunque estoy de acuerdo con esta definición, me gustaría enfocarme más en la noción general de criptografía, ya que creo que debemos dar unos pasos hacia atrás y reconsiderar los básicos.

Mi opinión es que las quejas en relación a la falta de claridad regulatoria generalmente vienen de esperar que las autoridades definan criptomoneda formalmente en nuestras leyes. Yo no creo que eso deba ocurrir, y no deberíamos priorizar eso. De otra forma, podríamos crear una completa nueva categoría jurídica con cosas que deberíamos legislar, y las disposiciones generales terminarían por hacer más difícil el ambiente regulatorio.

Yo afirmo que crypto es suficientemente maduro porque existen cientos de protocolos con billones de dólares en valor bloqueado, listos para ser consumidos. En paralelo, la comunidad de investigadores está trabajando en modelos matemáticos novedosos y tecnologías que desafían lo que entendemos como crypto. Sólo tenemos que hacer interfaz entre estos protocolos y nuestra regulación.

La criptografía como herramienta

Tal vez interfaz sea un término muy técnico para muchos. Permítanme reutilizar un ejemplo común que he escuchado muchas veces entre la comunidad crypto:

Crypto es una herramienta. Puedes matar a alguien con un martillo o puedes construir una casa completa.

Aunque me agrada la analogía, me parece un poco simplista dado que debería de haber un clavo para martillar en primer lugar. La superficie del clavo donde el martillo debe golpear es lo que llamo interfaz.

Introducción a Interfaces

Las interfaces son especiales porque definen las reglas de interacción. De tal forma, tanto los crypto activos como las empresas de la industria FinTech son sólamente un montón de interacciones entre servicios, los que buscan las siguientes propiedades de la información:

• Integridad
• Autenticidad

Cuando cualquiera de estas propiedades de la información se rompe, nuestros sistemas se bifurcan y una autoridad es necesaria para resolver la disputa (por ejemplo, un juez de primera instancia o la cadena de bloques más larga). Por un lado, el sistema jurídico Mexicano depende de oráculos muy deficientes para resolver disputas (peritaje). Por el otro, la Blockchain ha probado ser una herramienta que muy raramente (o nunca) viola estas propiedades de la información gracias a la criptografía.

Al contrario de la creencia popular, la criptografía en el sistema financiero tiene poco que ver con secrecía y privacidad, mientras que en realidad se trata más de integridad y autenticidad. Estoy algo cansado de escuchar a los expertos en seguridad bancaria recomendar tener cuidado con ataques de phishing e ingeniería social cuando estos sólamente son posibles porque no usamos la criptografía al nivel del usuario final.

La realidad es que la infraestructura de llave pública del Banco de México provee tantas garantías que la gente sólo tiene que preocuparse de problemas secundarios como que tu pasaporte se filtre en la internet. ¿No es eso hermoso? SPEI sólo funciona. La criptografía sólo funciona.

De la misma manera, la razón subyacente por la que Blockchain puede mantener estas propiedades de la información es que depende de garantías criptográficas en lugar de controles físicos, tales como los que tienen que ejecutar los Proveedores de Servicios de Certificación para mantener sus licencias.

A día de hoy, muchos proyectos están haciendo interfaz entre la blockchain y la criptografía del mundo real. Un ejemplo concreto es el del Notario ZK; una tecnología que permite la creación de pruebas de contenido web utilizando la firma que viene con el candadito verde en tu navegador. Por si nolo sabías, cada vez que ves un candado verde en el navegador, estás viendo un certificado con firma electrónica que tiene el mismo formato que tu e.firma y la infraestructura de Banxico.

Como resultado, muy pronto serás capaz de intercambiar lo que sea en mercados secundarios. Por ejemplo, podrás crear pruebas criptográficas de que eres dueño de un boleto en Ticketmaster para luego revender el derecho a utilizarlo a través del sitio web oficial. Otro ejemplo es que podrías probar que tienes “X“ calificación en buró de credito y obtener un préstamo en blockchain. Estaría asustado si dirigiera un banco o una FinTech.

El potencial de la criptografía del mundo real es que ya no es necesario convencer a todo el mundo de utilizar crypto. En su lugar, podemos sólo tomar la criptografía existente y ofrecer mejores servicios financieros sin pedirle permiso a nadie. Ese es el espíritu de Plumaa ID.

Los criptoactivos como herramienta

En caso de que no lo sepas, existe criptografía en los criptoactivos, duh. En mi opinión, democratizar las propiedades de la información que garantiza la criptografía detrás de los criptoactivos es la revolución más significativa.

Tal vez el público demanda regulación en criptoactivos porque no se dan cuenta que es sólamente una herramienta muy buena en resolver los mismo problemas que el sistema financiero está intentando resolver en su nivel más profundo. Esos problemas relacionados a la finalidad, identidad, y liquidez.

Para hacerlo claro, permíteme definir estos 3 problemas para luego compartir porqué creo que son fundamentalmente lo mismo para los criptoactivos y nuestro sistema financiero:

• Finalidad: Los requerimientos necesarios para considerar que una operación está en su estado final y no debería cambiar.
• Identidad: La garantía de que el usuario que interactúa con tu sistema es quien dice ser.
• Liquidez: Una medida de cuántos activos están disponibles para su uso y operación, y qué tan fácil es operarlos.

Usando estas definiciones tal vez es más claro observar porqué los bancos están implementando molestos factores de autenticación y dispositivos físicos para asegurar finalidad, mientras que las FinTechs están añadiendo capas de AI y verificación del pasaporte para asegurar identidad, y ambos están pelenado por acceso a fuentes de liquidez.

¿Qué onda con su seguridad bancaria? :S

Yo sé que los criptoactivos son un tema sensible después de que muchos fueran estafados y perdieran sus ahorros en años pasados. No obstante, la narrativa cripto no ha cambiado mucho y todo en los medios sigue teniendo qué ver con cuán muertos están los NFTs, entre muchas otras malas noticias.

Estoy de acuerdo, pero, ¿podemos revisitar los NFTs como estándares y no como fotos de changos? Cumplen todas los requisitos para representar títulos de crédito en México.

Esto es divertido, pero quisiera que nos pongamos más serios.

Las herramientas más poderosas son aquellas que ya están en uso

Ya he compartido porqué creo que tanto los criptoactivos como la criptografía son sólamente herramientas. Espero que esto ayude a clarificar mi opinión de que la regulación no debería definir a los criptoactivos. El razonamiento es que pedir que se regulen los criptoactivos es como pedir que se reconozca el papel en el que los billetes están impresos.

Por ejemplo, en una de las conferencias con contadores a las que atendí pregunté si un criptoactivo que representa un título de crédito debería ser contabilizado como criptoactivo o título de crédito. La respuesta fue bien clara: como título de crédito. Entonces, ¿porqué necesitamos que las autoridades provean más claridad en cuanto a criptoactivos?

Honestamente, esta analogía de las herramientas no es nada nueva, pero la pongo sobre la mesa porque el ejemplo simplista del martillo puede justificar a la comunidad cripto dado que ellos creen que están construyendo casas. En ese sentido, estoy de acuerdo que es emocionante saber que Bitcoin es moneda de curso legal en El Salvador porque se siente como si nos dieran permiso. Yey?

Como alguien que ayuda a escribir estándares para Ethereum, yo creo que malentendimos nuestras herramientas y tomamos partido. De forma similar a como la comunidad de Ethereum produce múltiples estándares competidores, la industria FinTech en México terminó compitiendo con los servicios que queríamos entregar en crypto. El enfoque debería estar en ser interoperables.

Como lo comento en párrafos anteriores, la regulación está lista, y las herramientas más poderosas que tenemos para hacer esto realidad ya están en las manos de la gente.

• Ley General de Títulos y Operaciones de Crédito (LGTOC): México empezó a crear billetes y otros instrumentos financieros utilizando esta y otras leyes de comercio. Reemplazcemos el papel con criptoactivos y ya está, se contabilizan como títulos de crédito.
• Firma Electrónica Avanzada (e.firma): Existen cerca de 23 millones de personas con certificados válidos. Los negocios en México ya no tienen que abrir una cuenta bancaria para empezar a recibir pagos y títulos de crédito. Cualquier FinTech amaría tener esta cantidad de usuarios.
• Ecosistema de Ethereum: El ecosistema de Ethereum y sus segundas capas (Layer 2’s) son las tecnologías más interoperables con las qué construir. Claro, aún hay retos, pero el ethos del ecosistema es acerca de colaboración con interfaces estándar. No hay nada similar en ningún lado.

Al principio de este artículo, mencioné que Plumaa ID literalmente sólo hace firmas electrónicas. Como puedes ver, sólo le dimos superpoderes a la e.firma y creamos un marco de trabajo con dinero programable para que programadores y abogados puedan construir encima. No inventamos nada, sólo levantamos las preguntas que la gente debería de hacerse respecto a la firma electrónica avanzada.

México perdió 20 años en innovación FinTech

El panorama actual de Proveedores de Servicios de Certificación es que estos fallaron en entender cómo sus propias tecnologías podían interoperar con otras. En conjunto con las plataformas de firma electrónica, ambos crearon jardines cerrados e incluso algunos patentaron palabras clave para monetizar aún más. Deberían avergonzarse, la tecnología es de la gente.

El más grande error en entender la firma electrónica avanzada en México es que nunca abandonamos el modelo mental de una hoja con un trazo manuscrito. Esto ha limitado nuestra perspectiva, por lo que nos hemos enfocado en monetizar artefactos como el certificado de NOM-151 en su lugar.

Como resultado, los abogados creen que la NOM-151 es la firma misma o algún tipo de certificado que prueba la firma. Ese no es el caso, verificar una firma es gratis y hecho a través de puras matemáticas.

Criptosistema RSA

El potencial de la e.firma el día de hoy no está en cobrar casi 80 pesos por certificado. Su potencial está en conectar 23 millones de personas a las fuentes de liquidez más grandes en el planeta, con la misma finalidad e identidad que se garantiza con la criptografía detrás de los criptoactivos y blockchain.

Alguien tenía qué hacerlo, y los PSCs se veían muy lentos como para tomar iniciativa después de 20 años.

Comoditizando la NOM-151

Con cerca de 23 millones de usuarios, podríamos considerar a la e.firma como una materia prima (o commodity). Como prueba, podemos observar que muy pocos PSCs siguen ofreciendo el certificado de firma electrónica después de que el sat diera certificados gratuitos.

Independientemente de si la gente utiliza la e.firma o no. Es sólamente otra identificación que podemos traer con nosotros, excepto que es muy fácil de perder o duplicar, así que la gente común simplemente no le presta atención.

Nota que de los 2 servicios criptográficos que pueden ofrecer los PSCs (incluído el SAT), uno de ellos se comoditizó (i.e. convertimos en materia prima): el certificado de firma electrónica avanzada. Esto debería ser una evidencia fuerte de que el certificado de NOM-151 debería de comoditizarse también.

Para probar lo fácil que es producir un certificado bajo los requisitos de conservación definidos en la NOM-151, es importante clarificar 2 aspectos principales del certificado:

• No conservan nada: El mercado compró la idea de que estos certificados eran “certificados de conservación“; dando la falsa sensación de que el proveedor “conserva“ el documento. El artículo 49 del Código de Comercio específica que los comerciantes deberán guardar sus mensajes de datos por 10 años. Como puedes ver, los PSCs podrían perder tus archivos y todo estaría bien.
• Los PSCs sólo proveen fecha cierta: El razonamiento detrás del certificado NOM-151 es que las cosas expiran en los sistemas cripto y legales de todo tipo. Por ejemplo, el certificado de firma electrónica avanzada sólo es válido por un periodo. Por tanto, una fuente tiempo confiable es requerida. Lo mismo para actos de comercio, que creo que prescriben en 5 años cuando se actúa en buena fé.

Entonces, si no conservan nada, ¿cómo funcionan? Bueno, resulta que funcionan más como un testigo que provee confianza sobre la observación de algo en particular (el hash) en una fecha específica.

En 2021, conocí a Sina mientras realizaba mi segundo internship en Google. Él estaba trabajando en un proyecto de 20% relacionado a Ethereum y árboles de Merkle. Hoy él ha fundado el protocolo Witness en conjunto con su socio Joe (y tal vez me estaré perdiendo a alguien) para brindar un servicio que reemplaza completamente al certificado NOM-151 de forma gratuita.

En Witness, existe una serie de contratos inteligentes instalados en diferentes blockchains que registran valores en un árbol. ¿Porqué un árbol? Porque es una tecnología muy nerd para hacer las cosas más rápido y fácil de consultar.

Al darle la huella digital de un documento a Witness (su hash), podemos obtener más de 6 fechas ciertas de confianza a través de múltiples blockchains mientras que garantizamos que es imposible censurar dicha prueba.

Witness permite verificar la integridad utilizando blockchain

El elefante en la habitación es: un Proveedor de Servicios de Certificación podría entregar a sus usuarios certificados NOM-151 firmados con una llave expirada (la firma no es válida) sin que el usuario lo note. Por supuesto, no estoy diciendo que los PSCs harían tal cosa, si no que ellos son un punto singular de falla. Esta es la razón por la que necesitan tantos controles físicos y procedimientos especificados por las licencias que tienen.

Como tal, invitamos a todos los negocios pequeños en México a que certifiquen sus documentos de forma gratuita utilizando tecnologías de código abierto como Witness y sus interfaces (no necesariamente a través de Plumaa ID). Eso será de ayuda si necesitan demostrar fecha cierta ante las autoridades; algo muy requerido en el contexto contable.

Para remover este punto singular de falla, Plumaa ID utiliza el protocolo Witness para entregar certificados que cumplen con los requisitos de la NOM-151 con mejores garantías de conservación que las que te daría un PSC de forma gratuita. Hacemos esto porque creo que el mercado debe parar de glorificar hashes. De cualquier forma, también vendemos NOM-151 baratas por si les gustan.

Interoperabilidad con el sistema financiero

Algunos dirán que no necesitamos blockchain para firmas electrónicas en México. En mi opinión, aunque puede ser cierto, también lo es que no hay ninguna otra tecnología tan optimizada para interoperabilidad.

Lo que esta gente se está perdiendo es que ellos mismos están reconstruyendo las soluciones que Blockchain domina desde hace años.

• ¿Necesitas una lista detallada no-repudiable de operaciones financieras? Consulta la blockchain.
• ¿Necesitas herramientas de contabilidad para criptoactivos? Consulta la blockchain.
• ¿Necesitas automatizar operaciones financieras? Usa la blockchain.

Seguro, ¿quién quiere pagar por una transacción y esperar 10 minutos para su finalización cuando un PSC puede hacerlo de forma privada? El problema viene cuando la cantidad de servicios que el PSC tiene que construir para satisfacer tus necesidades los va a forzar a cobrarte el doble.

Tenemos información financiera indexada sobre títulos de crédito de forma gratuita. Ni una gota de sudor.

Podrá sonar loco, pero yo creo que pagar menos de un dólar para hacer nuestra información interoperable con muchos sistemas hace mucho más sentido que pagar por una NOM-151, pero tú elegiste eso, ¿verdad? (probablemente no).

Reconozco que la tecnología blockchain es más nueva que los 20 años que menciono. Sin embargo, nunca pensamos siquiera en reconciliar ambas posturas en los últimos años; si los PSCs hubieran competido en un ambiente donde podían cobrar por el certificado de firma electrónica, tal vez un firmador electrónico apropiado habría existido hace 10 años y México hubiera proveído servicos financieros a millones utilizando la e.firma incluso antes de que la tecnología blockchain se inventara. Tal vez.

Hoy en día, los bancos e instituciones están demandando servicios basados en crypto. Muchos de ellos han mostrado interés en ofrecer infraestructura crypto y están explorando cámaras de compensación internacionales, entre otros experimentos.

En este panorama, fuimos permisivos con el uso de la firma electrónica, justificamos mecanismos adicionales de verificación bajo el nombre de “firmas electrónicas simples” y terminamos con infraestructura financiera que no es más que plataformas centralizadas que capturann la fecha y un dibujito en la pantalla.

Incluso peor: nos vendimos la idea de que un pin de 4 digitos es una firma electrónica.

Mirando hacia el futuro

No todo está perdido. Toda esta investigación me ha regresado la emoción por la industria y ha hecho mi trabajo más significativo que los memecoins.

Quiero ver un mundo donde la gente utiliza la criptografía como un bien público, y donde las matemáticas nos proveen con las primitivas necesarias para confiar en los demás en esta sociedad moderna.

Aunque he compartido algunas cosas respecto a Plumaa ID, quiero hacer énfasis en que no inventamos nada: nuestro objetivo final es hacer un negocio del que podamos vivir cómodamente mientras le damos valor real a la sociedad, escalando a través de garantías criptográficas y no de inteligencia artificial.

Invito a otras empresas a construir su propia visión de una aplicación para la e.firma si creen que tiene sentido. Si Plumaa ID demuestra que los servicios pueden ser mejores y otros proveedores comienzan a utilizar lo que hemos construido sin nuestro permiso, habremos cumplido nuestras motivaciones iniciales. Mientras tanto, recuerda que tenemos una API y estamos dispuestos a hacer nuestra tecnología tan abierta como sea posible.

¡Bienvenido a Plumaa ID! - Plumaa ID

Para concluir, me gustaría compartir algunas acciones concretas que podemos tomar como sociedad para hacer que los servicios crypto y el mundo FinTech coexistan mejor.

Ni software ni hardware: sistemas.

Considerando que la reciente reforma en materia de títulos de crédito menciona un sistema de información, quisiera invitar a todos a reconsiderar lo que significa sistema. Hasta ahora, mis conversaciones con notarios y abogados sugieren que todos están construyendo otra plataforma más para guardar documentos. Por favor paren, eso lo pueden hacer a mano en Amazon S3 con un bloqueo legal y periodo de retención.

En menos de 10 minutos. No dejes que tus programadores te vendan la idea de que están haciendo un vaúl encriptado o algún nombre extraño

Para firmas digitales en el sentido tradicional, existe un proyecto popular que reemplaza Docusign llamado Documenso. He pensado en ofrecer este producto en Plumaa ID por una suscripción ridículamente barata, dado que es open source podría tener el logo del cliente y esas cosas, pero ustedes mismos pueden ir a abrise una cuenta. Este es otro ejemplo de lo fácil que es comoditizar la firma electrónica simple.

El punto es que tenemos suficientes herramientas y no necesitamos más software. En su lugar, si nos enfocamos en crear formatos que sean interoperables entre sí, podemos crear un sistema de información colectivo que depende de las garantías y propiedades de la información en lugar de depender de una plataforma.

Incluso hablando de hardware, hemos visto ejemplos de innovaciones en el sector financiero que utilizan dispositivos de confianza para compartir nuestro pin de 4 digitos y así firmar un pagaré (título de crédito). Esto no sería necesario si firmamos el pagaré con un código QR y utilizando nuestra e.firma.

La e.firma está muriendo

El algoritmo RSA para firmas digitales ya no es recomendado por el National Institute of Standards and Technology (NIST) de los Estados Unidos. Este es el mismo algoritmo del que depende la e.firma.

El problema que quisiera discutir no es que nos vayan a hackear a todos, o que la e.firma no es segura. En mi opinión el verdadero problema es que nadie está hablando de esto. La computación cuántica es un riesgo latente que amenaza la criptografía de nuestro sistema financiero y debería considerarse un tema de seguridad nacional.

Por ahora, el Banco de México utiliza llaves de 4096 bits para sus certificados raíz. No he encontrado ninguna referencia respecto a un mecanismo de recuperación en caso de una catástrofe para nuestro sisterma financiero, y creo que en algún momento empezaremos a ver ataque escondidos cuando el costo de romper una llave de 2048 bits como la e.firma se vuelva mucho más barato que atacar al firmante más rico.

Imagina que eres un millonario y de repente alguien firma un préstamo impagable a tu nombre después de descifrar tu e.firma con computación cuántica. Qué miedo, ¿no? Ahora imagínate tener que explicarle eso al juez.

La acción concreta que deberíamos de tomar es demandarle a la Secretaría de Economía que reconozca el uso de algoritmos de Firma Electrónica sobre Curvas Elípticas, los cuáles se han probado resistentes a atques cuánticos. Actualmente, las disposiciones generales de la Ley de Firma Electrónica Avanzada permiten el uso de llaves RSA empezando en 1024 pero permitiendo mayores tamaños.

Sopresivamente, estas llaves de curvas elípticas son las mismas utilizadas en el ecosistema de Ethereum. Al aprobar este tipo de llaves, el gobierno podría comenzar a certificar direcciones de Ethereum como parte de la infraestructura de seguridad de Banxico dado que operarían con el mismo algoritmo. Desde el día 1, México podría utilizar todas las herramientas e infraestructura que la comunidad crypto ha construído.

Plumaa ID y otros proveedores de servicios de firma electrónica se volverían inmediatamente irrelevantes. Pero siendo honesto, estaría feliz de que pasara.

A lo largo de este artículo, compartí mi razonamiento de porqué creo que la regulación está lista; después de compartir una breve historia de la e.firma y porqué creo que nunca despegó como una solución de pagos, además compartí mi perspectiva respecto a la división que veo entre el mundo FinTech tradicional y las tecnologías blockchain. Cerré esta sección con los cambios recientes a la Ley General de Títulos y Operaciones de Crédito y justificando porqué una firma electrónica avanzada realmente portable era necesaria.

Similarmente, proveí mi razonamiento detrás de la opinión de que cripto está suficientemente maduro. Tanto la criptografía como los criptoactivos son suficientemente buenos cuando los ves como herramientas. Exploré ejemplos de los potenciales casos de usoñ cerrando con una lista de las principales herramientas que ya están disponibles y que deberíamos utilizar para empoderar a la siguiente generación de innovación FinTech.

Utilizando la regulación Mexicana y la criptografía, pudimos haber democratizado el acceso a servicios financieros después de que las autoridades pusieran llaves privadas certificadas en manos de cerca de 23 millones de negocios. Aún así, aún tenemos esperanza si nos aseguramos de comoditizar los servicios criptográficos y hacemos nuevas aplicaciones interoperables tanto con la criptografía gubernamental como aquell presente en la blockchain.

Para concluir, compartí algunas acciones concretas que podemos tomar para hacer la regulación aún mejor, como crear sistemas en lugar de hacer más software, o demandar un cambio en los algoritmos reconocidos para firmado electrónico, lo que permitiría llaves criptográficas más avanzadas, mejorando nuestra tecnología y entregándonos garantías drásticas para el futuro porvenir.