Las exchanges no fallan de una sola manera. Fallan de siete. La mayoría de los usuarios solo conoce el siguiente modo de fallo cuando les toca: el cliente de FTX que podía retirar el lunes pero no el miércoles, el acreedor de Mt. Gox que sigue esperando once años después, el usuario en un país sancionado que inició sesión y encontró su saldo bloqueado.
Este es el tercer artículo de la serie Self-Custody Fundamentals. El primero, not your keys, not your coins, expuso el argumento. El segundo, custodial vs. non-custodial wallets, trazó la línea. Este inventaria los modos de fallo reales: cómo se ve cada uno, cuándo ha ocurrido, y qué puedes hacer antes de que te ocurra a ti.
TL;DR
- Una exchange es un custodio. Un custodio puede fallar de al menos siete formas distintas, y los fallos suelen acumularse.
- Los siete modos: insolvencia, hackeos, congelación regulatoria, exit scams, sanciones, bloqueo KYC/cuenta y suspensión de retiros.
- Cada modo tiene precedente histórico: Mt. Gox, FTX, Celsius, Bitfinex, QuadrigaCX, Bitzlato, BitMart y muchos otros.
- Seguros, regulación y "auditorías" no eliminan ninguno de estos modos. Cambian quién decide el orden de prelación en la quiebra, no si la quiebra ocurre.
- La cobertura para cada modo es la misma: ten las llaves tú, en dispositivos que no dependan de que una sola venue siga solvente, online y en buena situación legal.
Modo 1 — Insolvencia
La exchange se queda sin dinero adeudado a los clientes. Es el fallo canónico, y el que los usuarios retail más subestiman, porque la UI sigue mostrando los saldos correctos hasta el momento en que los retiros se detienen.
La insolvencia ocurre por las razones aburridas por las que quiebran los bancos (préstamos malos, descalce de duración entre hot/cold wallets) y por las específicas del cripto (un brazo de inversión que también hacía de market maker, una tesorería de tokens usada como colateral, un saldo interno de "liquidez" en un token propio). La cascada de 2022 — Celsius, Voyager, BlockFi, FTX — fue una cascada de insolvencias.
La señal que recibes: los retiros se pausan "para gestionar salidas", un ejecutivo tuitea que los fondos están seguros, y dos a siete días después llega el expediente del Capítulo 11. Los fondos no estaban seguros. Habían sido prestados, hipotecados o nunca habían existido como saldos identificables on chain.
Lo que te queda: una reclamación, denominada en lo que el tribunal de quiebra elija (a menudo USD a la fecha de petición, no el valor actual del activo). Los acreedores de Mt. Gox recibieron distribuciones a partir de 2024, once años después de la quiebra. Los clientes de FTX tuvieron mejores resultados y más rápidos, pero igual se liquidaron a valores en dólares de la fecha de petición, perdiéndose el siguiente mercado alcista.
Modo 2 — Hackeos
Las hot wallets (o en algunos casos cold wallets) de la exchange son drenadas por un atacante. Distinto a la insolvencia en que el negocio subyacente era solvente la mañana del hackeo; distinto a un exit scam en que el operador es la víctima, no el perpetrador.
Ejemplos históricos: Mt. Gox (2014, ~850k BTC), Bitfinex (2016, ~120k BTC, parcialmente recuperados en 2022), Coincheck (2018, $530M en NEM), KuCoin (2020, $280M), Bitmart (2021, $200M), Ronin Bridge (2022, $625M), DMM Bitcoin (2024, $305M), WazirX (2024, $230M).
Lo que pasa después depende de quién carga con la pérdida. Algunas exchanges (Binance vía SAFU, Bitfinex con tokens post-hack) socializaron la pérdida y compensaron a los clientes con el tiempo. Otras (Mt. Gox) no pudieron. El patrón: si la exchange sobrevive, eventualmente recuperas algo, potencialmente menos del 100%. Si no sobrevive, ver Modo 1.
Superficies de ataque comunes: compromiso de la clave de la hot wallet (lo más frecuente), ingeniería social a un admin interno, ataque de cadena de suministro a la infraestructura de trading o firma, bug de smart contract en un bridge conectado. El ratio cold/hot que la exchange publica (cuando lo hace) es un indicador parcial, no una garantía: ver el caso WazirX 2024 donde el objetivo fue la infraestructura de firma multisig, no la frontera de la wallet.
Modo 3 — Congelación regulatoria
Un tribunal, regulador o agencia gubernamental ordena a la exchange detener retiros o congelar cuentas específicas. La exchange opera normalmente — solvente, no hackeada — pero legalmente no puede devolver fondos hasta que la orden se resuelva.
Aparece en dos sabores. Dirigida: se congela una cuenta concreta por una orden judicial, alerta AML o investigación (frecuente, suele resolverse en semanas o meses). Genérica: se congela toda la exchange o las cuentas de un país por una acción regulatoria.
Ejemplos del sabor genérico: BitMEX (2020, acción de la CFTC restringió a usuarios de EE. UU.), Bittrex (2023, enforcement de la SEC, los usuarios de EE. UU. tenían un plazo de retiro), Binance.US (2023-2024, presión regulatoria restringió funciones y retiros), congelaciones varias a usuarios rusos en exchanges europeos tras las sanciones de 2022. El sabor dirigido es ruido de fondo constante; los usuarios suelen enterarse cuando intentan retirar y se activa una re-verificación KYC previamente desconocida.
Qué puedes hacer durante una congelación: normalmente esperar. A veces puedes transferir a otra plataforma, a veces no. La congelación no anula tu reclamación, pero sí significa que el activo es ilíquido por un período indefinido, suficiente como para que el precio que finalmente recibas sea irreconocible.
Modo 4 — Exit scams
El operador se fuga. Distinto a un hackeo en que la propia exchange es el atacante; distinto a la insolvencia en que los fondos existían pero fueron desviados intencionalmente, no perdidos por malas apuestas.
Dos patrones históricos. El rug directo: una exchange pequeña o mediana se desconecta de la noche a la mañana con los fondos de los clientes desaparecidos — ejemplos: WEX (Rusia, 2018, ~$450M tras relanzar como BTC-e), Africrypt (Sudáfrica, 2021, ~$3.6B reclamados) y una larga cola de venues menores. La salida lenta: el operador muere, desaparece o se vuelve incontactable mientras posee el único juego de claves de cold wallet — el caso QuadrigaCX (Canadá, 2019, ~$190M CAD bloqueados al morir el CEO Gerald Cotten con la custodia única) es el arquetipo, y la investigación posterior concluyó que la "muerte" fue secundaria; la operación había sido un fraude mucho antes.
La señal: propiedad opaca, relaciones bancarias no documentadas, sin auditoría, sin prueba de reservas publicada, límites de retiro inusuales para el tamaño que la venue declara. Ninguna es por sí sola descalificante, pero la combinación sí. Sé especialmente cauteloso con exchanges donde una sola persona es públicamente toda la empresa.
Modo 5 — Sanciones
Tu cuenta está bien. Tu jurisdicción no. Un régimen de sanciones — OFAC en EE. UU., equivalentes en la UE, Reino Unido, ONU — añade tu país o a una persona vinculada a ti a una lista designada. La exchange está ahora legalmente obligada a bloquear tu acceso, frecuentemente sin aviso previo.
Esto se ha repetido desde 2022. Usuarios iraníes, rusos, bielorrusos y venezolanos han enfrentado bloqueos súbitos en exchanges importantes al llegar nuevos paquetes de sanciones. La incautación de Bitzlato (enero 2023, designación de FinCEN, cuentas congeladas, infraestructura incautada en coordinación con autoridades francesas) es un ejemplo particularmente claro: la propia exchange era la entidad designada y cada cuenta quedó instantáneamente inalcanzable.
Las sanciones no apuntan solo a Estados-nación. Las direcciones de Tornado Cash fueron designadas por OFAC en 2022; las exchanges que tocaron direcciones marcadas trasladaron las consecuencias a sus usuarios. Si vives en una jurisdicción sancionada, o transaccionas con direcciones sancionadas (incluso sin saberlo, al recibir un UTXO contaminado), el custodio carga con ese riesgo y lo resolverá cerrándote el acceso.
Modo 6 — Bloqueo KYC / cuenta
Estás sujeto individualmente a una retención KYC o AML. No estás sancionado, la exchange no está congelada, pero una transacción concreta o el perfil de la cuenta disparó una revisión. Tu cuenta queda bloqueada a la espera de presentar documentos, lo que tarda entre 48 horas y nunca.
Disparadores comunes: un depósito desde una dirección de "alto riesgo" (una exchange que el equipo de compliance no aprecia, un mixer, una privacy pool), un patrón de retiros que coincide con una plantilla de estructuración, un cambio de país en la IP, un login desde un dispositivo nuevo, un cambio de nombre en el documento oficial. El proveedor de compliance te marca, la cola de revisión va lenta, y esperas.
La señal: un banner en la app, a veces un email pidiendo foto fresca del documento y un selfie. La fricción es el punto: muchos usuarios abandonan un KYC parcial y pierden el acceso por completo. En cuentas de mayor valor, la revisión puede exigir documentación de origen de fondos, extractos bancarios y explicaciones de transacciones específicas de años atrás.
El riesgo no es la inconveniencia temporal. Es que el bloqueo puede ser indefinido, y durante él tus activos son ilíquidos. La exchange no está haciendo nada mal a nivel regulatorio: está haciendo lo que se le exige. La asimetría es que tú asumes el coste.
Modo 7 — Suspensión de retiros
La exchange pausa los retiros "temporalmente, por mantenimiento". A veces es literalmente cierto — rotación de claves de hot wallet, upgrade de cadena, mitigación de congestión — y los retiros se reanudan en horas. A veces es el primer síntoma visible del Modo 1.
No te dejan saber cuál es de antemano. El mismo banner aparece en ambos casos. Mt. Gox suspendió retiros citando problemas de "transaction malleability" en febrero de 2014 y quebró tres semanas después. FTX suspendió retiros en noviembre de 2022 alegando "volumen extremadamente alto" y presentó Capítulo 11 a los pocos días. Celsius suspendió retiros en junio de 2022 alegando "condiciones extremas de mercado" y presentó Capítulo 11 un mes después.
Este es el modo que convierte los demás de riesgo de fondo en pérdida inmediata. Puedes tener una reclamación contra una exchange insolvente y recuperar parcialmente. Puedes perder el acceso por un bloqueo de sanciones y recuperarlo. Pero durante la suspensión — los días o semanas antes de saber en qué modo estás realmente — tus activos son inalcanzables. El patrón Mt. Gox/FTX/Celsius muestra que el tiempo entre una suspensión y entender completamente la situación puede ir de 12 horas a 11 años.
Qué significa esto para ti
Estos siete modos no son casos límite. Son los modos de operación normales del negocio de exchange custodial. Todo usuario cripto veterano ha estado del lado equivocado de al menos uno; muchos han tocado varios.
La cobertura para los siete es la misma: ten llaves que controles, en dispositivos que controles, con una recuperación que entiendas. No hay forma astuta de usar una exchange que evite estos modos — los modos son inherentes al modelo. El enfoque correcto es operacional: usa las exchanges para lo que son buenas (rampas fiat, trading regulado, profundidad), y no mantengas saldos significativos allí más tiempo del necesario.
El multisig 2-de-2 de SSP aborda los modos de fallo equivalentes en el lado de la auto-custodia — perder un dispositivo, compromiso de clave, o perder acceso durante un viaje — dividiendo el requisito de firma entre dos dispositivos en lugar de concentrarlo en uno. Buenas prácticas de seed phrase cubre la capa de recuperación debajo.
El siguiente artículo de la serie, what self-custody actually requires of you, es la contraparte honesta de este: una exchange puede fallar de siete formas, y la auto-custodia puede fallar de varias propias. El punto no es que una sea libre de riesgo. Es que tú eliges qué conjunto de riesgos asumes.
