El último punto ciego de los NFT: empiezan los grandes robos de obras de arte digitales
  1. Tecnología
¿Los nuevos robos del siglo?

El último punto ciego de los NFT: empiezan los grandes robos de obras de arte digitales

Las denuncias por parte de varios coleccionistas sobre el supuesto 'hackeo' de sus cuentas en Nifty Gateway abre el debate sobre lo que ocurre cuando se roba un NFT, y no está muy claro

placeholder Foto: Foto. EFE
Foto. EFE

69 millones de dólares por una obra del artista Beeple, casi 300.000 por un cromo Cristiano, un millón por una tierra en un videojuego... Desde hace unos meses no paramos de ver noticias llamativas sobre un fenómeno, los NFT (o 'token no fungible') que está revolucionando el mundo del 'blockchain' y las criptomonedas, pero aún hay muchas incógnitas por resolver en relación con este nuevo mundo que, de momento, ya está reventando el mercado del arte y el del coleccionismo, al menos. Hay dudas sobre las comisiones, la autoría de la obra, las posibilidades de escalar estos proyectos, el impacto ambiental o las copias. Aunque hay una mucho más delicada, práctica y que ya tiene sus primeras víctimas: ¿qué ocurre si te roban un NFT?

La noticia saltaba esta semana cuando varios usuarios de la plataforma Nifty Gateway, una de las páginas más importantes de comercio de obras en NFT denunciaban robos de cuentas y por tanto de sus colecciones por valor de cientos de miles de euros. La compañía, tras investigar lo sucedido, negaba un 'hackeo' masivo, pero sí aseguraba que había detectado movimientos extraños y que algunos usuarios, de los que no habían activado la autenticación en dos pasos, podían estar afectados. A sí mismo, la información, publicada por medios como The Verge, dejaba un comentario un tanto llamativo: debido a la naturaleza de la tecnología blockchain, Nifty no tiene por qué hacerse cargo del robo de las obras ni de la recuperación de las mismas o de la inversión y era sencillo que los usuarios afectados no volviesen a ver ni las obras ni el dinero. Pero no es tan sencillo.

Foto: Pablo Rodríguez-Fraile. (Imagen cedida)

La tecnología de la cadena de bloques hace que esos NFT estén registrados en redes descentralizadas, la mayoría en la de Ethereum aunque ya hay varias alternativas, y la idea de muchas plataformas como Nifty es que ellos son meros intermediarios que ofrecen un mercado fiable, bien diseñado y sencillo para comerciar con todos estos activos, dejando temas como la custodia o la seguridad en manos de los propios usuarios, pero expertos como Sergio Carrasco no lo ven tan claro. Este abogado especializado en derecho digital explica a Teknautas que, aunque es cierto que aún falta regulación al respecto, estas plataformas no pueden simplemente lavarse las manos.

¿El punto clave? Dónde se ha robado el 'token' en cuestión. "Me sorprende mucho que la web en cuestión admita que ha habido un 'hackeo' pero diga que no se hace cargo del problema. Al final si el activo estaba en su plataforma, seguramente el usuario haya firmado un contrato al registrarse en el que este asunto quede apuntado. Otra cosa es que tú lo tuvieses en un 'wallet' personal y por un motivo u otro hubieran conseguido entrar a él y llevarse el contenido. Cualquier mercado que cuente con montantes económicos está regulado de una u otra forma, aunque es verdad que, como ya vimos en el pasado con la quiebra de 'exchanges' (casas de cambio) de criptomonedas (The DAO o Mt. Gox son dos de los más conocidos), hay que tener claro que a día de hoy todavía falta mucho en este sentido".

Esa falta de regulación actual hace que la salida de estos problemas quede en el aire. Según fueron publicando algunos de estos coleccionistas afectados en sus cuentas de Twitter, la plataforma, finalmente, les había podido devolver la mayor parte de sus obras, pero no la totalidad de las mismas, dando por perdida las restantes y su valor. "A ver, si la obra continuaba en la plataforma aún es posible bloquear su salida y es lo que puede haber pasado, que recibieran el aviso, vieran que todavía el NFT seguía en alguna de sus 'wallets' y pudieran evitar su escapada, pero si sale de ahí es muy difícil su recuperación. Hay opciones si pones de acuerdo a varios nodos de la cadena para que bloqueen su movimiento, pero obviamente es mucho más complejo que la decisión que puede tomar un banco, por ejemplo, que solo depende de ellos mismos", explica el abogado.

Uno de los abogados que mejor conocen todo este entorno es Pablo Fernández Burgueño, of counsel de PwC Tax & Legal, también sigue la línea de Carrasco y alaba la idea que ha podido ayudar a que Nifty haya salvado, en parte, los muebles. "Puede que esta plataforma utilice una 'sidechain', lo que se conoce como cadenas al margen de la cadena de bloques principal y que, básicamente, hacen que las transacciones solo se realicen en su espacio y no salgan de la plataforma, al menos durante un tiempo". Básicamente, las transacciones de NFTs realizadas en su web quedan registradas solo en su base de datos, así es algo más seguro porque controlas el movimiento al menos durante un tiempo y evitas costes de comisiones por el movimiento de 'wallet' propio a 'wallet' propio, teniendo solo que pagarse una vez que el propietario quiera llevarse la obra. Claro, el punto malo es que debes confiar mucho en que la plataforma va a cuidar de tus obras y se va a respetar transacciones y movimientos.

Cómo se persigue esto

Una vez fuera de la plataforma, algo interesante de los NFT es que permiten una trazabilidad absoluta de su camino, es decir, quedan registrados todos los movimientos del 'token' con la idea de dar una especie de historial y certificado de autoría y propiedad digital, pero el anonimato de esas cuentas hace casi imposible el rastreo por parte de las autoridades. Los registros se muestran y son públicos, pero no la identidad de quien lo posee en un momento, cómo lo ha conseguido o cómo lo está moviendo.

Fernández Burgueño, que incluso estuvo detrás de uno de los primeros pleitos por el robo de criptomonedas en nuestro país y a nivel europeo, conoce bien estos casos. Él sí señala que en España habría legislación para perseguir casos como el de Nifty, pero no es fácil. Por ejemplo, el propio 'hackeo' de las cuentas ya está amparado por el artículo 197 del Código Penal e incluso un juez español puede pedir que se abran investigaciones a nivel internacional si ve esos indicios de delito. Las dudas llegan, eso sí, con el activo digital en sí mismo.

Según este experto, la sustracción de NFT se podría argumentar que encaja en el tipo del artículo 234 del Código Penal, pero, de llegar a los juzgados, sería la primera vez conocida que un activo que opera como bien material en formato digital puede ser aprehendido ilícitamente por medios electrónicos, por lo que el debate está servido. ¿Es un NFT un bien materia, dinero, criptoactivo o activo financiero? Aún se discute sobre ello y es clave en estas cuestiones. Y encima chocas con normativas internacionales muy desiguales.

Siguiendo este mismo debate, habla del artículo 1955 del Código Civil, que podría dar lugar a que 6 años después de poseer sin justo título el NFT, si lo tratamos como un bien mueble, se produjese una prescripción adquisitiva del activo. Siempre y cuando hubiese prescrito el delito o, en el caso del subadquirente, desde la transmisión inicial. Todo esto, claro, partiendo de un debate sobre estos criptoactivos y, sobre todo, sabiendo de la complejidad de cazar a los delincuentes. "Yo he sufrido estos casos y no hay que olvidar que la víctima puede ver su 'token' en la cadena, y ver el nombre público de quien lo ha robado sin poder hacer nada. Es como si te roban el coche y lo ves alejarse sin poder hacer más", añade este especialista.

placeholder 'Everydays: The First 5000 Days', el NFT más caro de la historia, que se vendió por 69 millones de dólares. Foto: EFE.
'Everydays: The First 5000 Days', el NFT más caro de la historia, que se vendió por 69 millones de dólares. Foto: EFE.

Este último punto es vital para los NFT, pues en estos casos muchas de las obras desaparecen de las grandes plataformas por mercados secundarios, y aunque se pueda seguir el trazado del 'token' habría un momento en el que incluso dejaría de poder considerarse un objeto robado. "El problema es que muchas de estas ventas de obras se dan en mercados secundarios, salen de las plataformas y se venden en transacciones P2P por lo que en esos entornos tampoco es que se mire mucho de dónde viene ese 'token'", añade Carrasco. Este mercado 'negro' del arte digital lo admite hasta la propia plataforma afectada, que en su análisis detectó y confesó que muchas de las obras robadas habían sido después revendidas en redes como Twitter o Discord, con el objetivo de escapar de cualquier control posible.

Por todo ello, muchos expertos piden que se opte por un 'wallet' físico de criptomonedas o uno digital personal fuera de las plataformas de mercado y que te permitan tener algo más de seguridad. "Ya lo vimos con el caso de Mt. Gox, que todavía sigue en los tribunales". Mucha gente tenía criptomonedas en el 'wallet' propio que ofrecía la casa de cambio, pero la web sufrió un 'hackeo', quebró y la mayoría de los usuarios no volvieron a ver el dinero o al menos buena parte del mismo. "Además, muchos de estos sitios no tienen fondos de garantías ni nada similar y son independientes por lo que hay que ir con cuidado". Por lo que muchos son los que miran hacia más regulación.

Lo que viene en Europa: el MiCA

Carrasco, por ejemplo, señala claramente a Europa y al reglamento que, en principio, está muy cerca de aprobarse y puede dar respuesta a muchas de estas dudas sobre robos, responsabilidades y garantías: el reglamento europeo en relación con los mercados de criptoactivos (o MiCA, por sus siglas en inglés). Este reglamento tiene como objetivo regularizar todo el mercado de criptoactivos a nivel regional y, aunque aún no se sabe cuándo será aprobado ni si sufrirá algún tipo de modificación (todo apunta a que hasta finales de 2021 o 2022 no se verá aprobado), si ayuda a ver cómo puede ir el futuro en estos entornos.

El artículo 67, por ejemplo, entra directamente en varios puntos en el debate de los robos. "Punto 3. Los proveedores de servicios de criptoactivos autorizados para prestar el servicio de custodia y administración de criptoactivos por cuenta de terceros establecerán una política de custodia que incluya normas y procedimientos internos para garantizar la guarda o el control de dichos criptoactivos, o de los medios de acceso a los criptoactivos, tales como claves criptográficas". "Punto 8. Estas normas y procedimientos garantizarán que el proveedor de servicios de criptoactivos no pueda perder los criptoactivos de los clientes o los derechos relacionados con estos activos debido a fraudes, amenazas cibernéticas o negligencias".

"Lo veremos cuando llegue, pero esta normativa va a igualar mucho a 'exchanges' o plataformas como Nifty a los bancos, y todo el que quiera entrar en este terreno va a tener que adaptarse y, sobre todo, estar preparado. Hasta ahora bastaba tener poco más que una web para poder funcionar con criptoactivos, pero eso se va a acabar y puede ser un problema para el que se meta sin saberlo", termina Carrasco.

Hackers
El redactor recomienda