Definición de la gestión de tesorería criptográfica

La gestión de tesorería criptográfica es el conjunto de políticas, controles y procesos cotidianos que utiliza una organización para proteger, mover, contabilizar y reportar activos digitales. Para empresas, gestores de activos, fintechs, DAOs y organizaciones sin ánimo de lucro, los objetivos pueden ir desde pagar a proveedores hasta mantener reservas estratégicas o habilitar la funcionalidad de los productos. 

Independientemente del caso de uso, las disciplinas son las mismas: gobernanza clara, arquitectura de custodia adecuada al propósito, operaciones bien documentadas, gestión de riesgos sólida y registros listos para auditoría.

Puntos clave:

• Comience con una política de tesorería clara y aprobada por la junta directiva que defina los activos, los niveles de cartera, los límites, los aprobadores y cómo se registran los cambios.

• Cree una configuración de custodia resistente que asigne las carteras calientes, templadas y frías a las tareas adecuadas, seleccione custodia cualificada, La autocustodia, o un sistema híbrido, impone un control dual y comprueba la recuperación mediante simulacros periódicos.

• Cumpla con la normativa verificando las contrapartes, filtrando las sanciones, siguiendo la norma de viaje para las transferencias y conservando pruebas para las auditorías ([5], [6]).

Alcance y conceptos básicos de la gestión de tesorería criptográfica

Qué cubre:

Gestión de tesorería Abarca la custodia y la gestión de claves, la clasificación de carteras (caliente/tibia/fría), las aprobaciones y los límites, las operaciones de pago, el acceso a la liquidez, las rampas de entrada y salida, la contabilidad, los impuestos y el apoyo a la auditoría. También incluye la incorporación de contrapartes, controles de sanciones y respuesta a incidentes alineados con las normas de ciberseguridad y gestión de claves (por ejemplo, NIST SP 800-57 para ciclos de vida de claves y FIPS 140-3 para módulos criptográficos). [1][2]

Quién lo utiliza y por qué:

Las organizaciones mantienen criptomonedas para flujos operativos (pagos con monedas estables, liquidaciones con proveedores), exposición en el balance (reservas de BTC/ETH), características de productos (cuando está permitido) o participación en el ecosistema (gobernanza, liquidación en cadena). La idoneidad depende del mandato del consejo de administración, la propensión al riesgo y las normas jurisdiccionales; muchas instituciones se basan en sistemas de gestión de la seguridad de la información y en garantías de terceros (ISO/IEC 27001; exámenes SOC) para demostrar el diseño y el funcionamiento de los controles.

Términos clave que encontrarás:

• Custodia cualificada frente a autocustodia: la situación jurídica, la segregación y las certificaciones difieren según el régimen y el proveedor.

• Niveles de cartera: entornos calientes/templados/fríos asignados a umbrales de aprobación y tipos de transacción.

• Multifirma (multisig) y MPC: enfoques para distribuir el control y reducir el riesgo de una sola clave; la investigación sobre criptografía de umbral sustenta los esquemas MPC.
  [13]

• Monedas estables y redes de liquidación: el riesgo y el tratamiento regulatorio varían; los organismos internacionales han emitido recomendaciones de alto nivel para la gobernanza y la gestión de riesgos de los acuerdos sobre monedas estables.
  [14]

• Contabilidad auxiliar, valoración a valor razonable y pruebas de auditoría: evolución de las normas contables y las prácticas de confirmación para los activos digitales.

Gobernanza y diseño de políticas

Una política sólida es la base de la gestión de tesorería criptográfica. Alinea la intención ejecutiva con controles prácticos y crea un lenguaje común para el riesgo.

Política de tesorería y marco de aprobación:

• Redactar una política aprobada por la junta directiva que describa los activos permitidos, los casos de uso, los lugares y las actividades prohibidas.

• Establezca límites de gasto por cartera, función, activo, contraparte y ventana temporal. Exija un control doble para las acciones delicadas y aprobaciones escalonadas para las transacciones de alto riesgo, una aplicación directa de los principios clásicos de control interno (por ejemplo, la segregación de funciones según COSO).
  [16]

• Gestión de cambios en los documentos: quién puede modificar los límites, las listas de firmantes o el enrutamiento de carteras; cómo se revisan y registran los cambios.

Segregación de funciones y diseño de roles:

• Separe a la persona que solicita un pago de la persona que lo aprueba y de la persona que lo firma.

• Aplique el acceso con privilegios mínimos, la elevación temporal para excepciones y el registro inmutable que vincula las acciones con las identidades humanas (común en entornos auditados por SOC 1/SOC 2).

Incorporación de contrapartes y centros de negociación:

• Establecer criterios de diligencia debida para custodios, bolsas, Mostradores OTC, mercados de liquidez y bancos. Recopile acuerdos legales, acuerdos de nivel de servicio (SLA), historial de tiempo de actividad/incidencias y garantías de recuperación ante desastres.

• Mantener un inventario actualizado de direcciones, carteras y lugares aprobados; revisar el acceso a una cadencia definida.

Barreras de cumplimiento:

• Implementar procesos KYB/KYC, de verificación de sanciones y de la norma de viaje para las transferencias de activos virtuales cuando sea necesario (información del originador/beneficiario y transmisión segura entre VASP).
  [5]

• Siga las directrices sobre sanciones relacionadas con las monedas virtuales, incluidas las expectativas en materia de selección, controles de geolocalización y mantenimiento de registros.

• Registrar las interpretaciones normativas por jurisdicción y la base jurídica de cada actividad (licencias, exenciones o prohibiciones).

• Conservar las pruebas de la selección de sanciones y el intercambio de datos de la norma de viaje, e implementar controles/geovallas para evitar jurisdicciones o personas prohibidas.

Arquitectura de custodia: custodia, carteras y claves

El diseño de su arquitectura de custodia determina la resiliencia de su tesorería frente a fallos cibernéticos y operativos.

Custodia cualificada frente a autocustodia:

• La custodia cualificada centraliza la custodia en una entidad regulada que proporciona segregación, gobernanza y artefactos de auditoría comúnmente solicitados (por ejemplo, informes SOC). Esto puede facilitar la recopilación de pruebas y las aprobaciones basadas en políticas; usted conserva la supervisión y las responsabilidades de riesgo de terceros.

• La autocustodia le da a tu organización control directo sobre las claves, pero transfiere la responsabilidad de la generación, el almacenamiento, la rotación, la recuperación y la independencia del firmante a tus controles internos alineados con estándares reconocidos (por ejemplo, la guía de gestión de claves del NIST y la norma ISO 27001).

Muchas instituciones combinan ambas opciones: un custodio cualificado para los activos de nivel de bóveda y un nivel cálido estrictamente controlado para los flujos rutinarios.

Clasificación de carteras y controles de acceso:

• «Caliente», «tibio» y «frío» son términos comúnmente utilizados en la industria; los conjuntos de controles específicos varían según el proveedor y el diseño del programa.

• Bóvedas frías: fuera de línea, con restricciones muy estrictas. Se utilizan para reservas a largo plazo y liquidaciones poco frecuentes. El acceso requiere ceremonias con varias personas y procedimientos documentados; los módulos y procesos criptográficos deben cumplir con las normas aceptadas (por ejemplo, FIPS 140-3).

• Monederos calientes: accesibles desde la red con controles adicionales (aprobaciones por quórum, listas de permitidos, bloqueos temporales). Se utilizan para liquidaciones periódicas dentro de los límites establecidos por la política.

• Carteras calientes: fricción mínima para flujos automatizados y saldos de bajo valor; imponer límites estrictos y supervisión continua. Vincular cada nivel a requisitos de aprobación explícitos, límites de velocidad y normas de supervisión. Separar los entornos para los firmantes y los operadores; evitar los dispositivos compartidos. La planificación de la continuidad del negocio debe describir cómo se llevarían a cabo las operaciones si determinados dispositivos, ubicaciones o proveedores dejaran de estar disponibles.

MPC y multifirma:

• La multifirma (política en cadena) elimina un único punto de fallo y es transparente en cadena, pero depende del soporte de la cadena y de las herramientas del monedero.

• El MPC distribuye el material clave entre los participantes y genera firmas de forma colaborativa sin reconstruir una clave privada completa. La idoneidad depende de la calidad de la implementación, el diseño de la recuperación y las expectativas de los auditores; el trabajo del NIST sobre los esquemas de umbral ofrece una base conceptual útil para los controles de tipo MPC. Ninguno de los dos enfoques es universalmente superior; la idoneidad depende del modelo de amenaza, el diseño de la recuperación, las expectativas de los auditores y la cobertura de los activos/lugares.

Copias de seguridad, recuperación ante desastres y continuidad del negocio:

• Cree copias de seguridad cifradas y distribuidas geográficamente para semillas o claves compartidas. Almacénelas en dominios administrativos separados y pruebe las restauraciones con una cadencia definida (por ejemplo, según un programa de planificación de contingencias documentado).

• Mantenga manuales de procedimientos para dispositivos perdidos, firmantes comprometidos y rotación de emergencia. Realice simulacros y registre las lecciones aprendidas.

• Mantenga un plan de comunicación fuera de banda y autorice a los responsables de incidentes con antelación. Los sistemas de gestión de la seguridad de la información (ISO 27001) y los catálogos de control (NIST SP 800-53) proporcionan la estructura para estos programas.

Dónde encaja un custodio cualificado como BitGo:

Cuando esté disponible y sujeto a elegibilidad, un custodio calificado puede proporcionar aprobaciones basadas en políticas, segregación, firma segura y API de informes que se integran con los sistemas de tesorería. Utilice estas capacidades para implementar los controles codificados en su política; evite los procedimientos ad hoc y mantenga activa la gestión de riesgos de terceros (informes de garantía, SLA, notificaciones de incidentes). La disponibilidad, la situación normativa y las características del producto varían según la jurisdicción, el tipo de cliente y los activos; nada de lo aquí expuesto constituye un compromiso de prestar servicio a ninguna persona ni de custodiar ningún activo.

Liquidez, pagos y operaciones de liquidación

Las operaciones traducen las políticas en flujos repetibles y auditables.

Capital circulante, monedas estables y flujos de pago:

• Defina los saldos operativos por monedero y divisa. Para los pagos con monedas estables, cuando estén permitidos, establezca horas límite, políticas de comisiones y notas o memorandos estándar para la conciliación. Los organismos internacionales de normalización han publicado unas expectativas de alto nivel para la gobernanza y la gestión de riesgos de los acuerdos con monedas estables; incorpore esos temas en sus controles (reservas, marcos de reembolso, divulgaciones). El tratamiento regulatorio, los mecanismos de reembolso, las divulgaciones de reservas y los riesgos de contraparte difieren según el emisor; realice una diligencia debida independiente y una revisión legal antes de su uso. Las directrices están en constante evolución; confirme la fecha de vigencia al diseñar los controles.

• Para el uso transfronterizo, compruebe el tratamiento normativo del activo, los socios de entrada y salida, y cualquier obligación de licencia antes de transferir fondos (pueden aplicarse las normas del GAFI y las normas locales contra el blanqueo de capitales).

Ejecución y enrutamiento de la sede:

• Cree un flujo de trabajo de solicitud a liquidación: comprobaciones previas a la negociación (límites de exposición, resultados de sanciones, saldo disponible), selección del lugar y conciliación posterior a la negociación.

• Supervise la calidad de la ejecución con medidas tales como el diferencial efectivo y el déficit de implementación sin implicar resultados garantizados; la fragmentación y las tensiones del mercado pueden cambiar las condiciones rápidamente (documente los supuestos y las fuentes de datos). Las métricas son descriptivas, no predictivas; las condiciones pueden cambiar sin previo aviso y los resultados no están garantizados.

Gestión de rampas de entrada/salida e interfaces bancarias:

• Mantenga relaciones con múltiples socios de liquidación siempre que sea posible. Documente las vías de financiación y retirada, las tarifas y los plazos previstos.

• Automatizar los traspasos de vuelta a la custodia desde las cuentas operativas. Conciliar los extractos bancarios, los extractos de custodia y los registros en cadena según un calendario definido en la política; conservar los artefactos para la auditoría (asignaciones de direcciones, TXID, aprobaciones).

Contabilidad y conciliación:

• Utilice un sublibro mayor criptográfico que realice un seguimiento de las direcciones, las transacciones, la base de costes a nivel de lote y las pérdidas y ganancias realizadas/no realizadas. Asigne cada transacción a una solicitud interna, una aprobación y un destino.

• Reconciliar de tres maneras: datos en cadena, estados de cuenta del custodio/intercambio y libros internos. Registrar y resolver las discrepancias con notas sobre las causas fundamentales; los auditores pueden solicitar confirmaciones independientes y pruebas sólidas de la integridad y exactitud de los saldos de los activos digitales.

Gestión de riesgos, cumplimiento normativo y controles

La gestión de riesgos es la disciplina que consiste en exponer claramente tus exposiciones y decidir de antemano lo que estás dispuesto a aceptar y lo que no.

Riesgo de mercado, liquidez y concentración:

• Establezca límites de exposición por activo, contraparte y lugar. Añada umbrales de concentración en una sola cartera, cadena o socio de liquidación.

• Ejecute escenarios de estrés (diferencias de precios, deslizamientos, retrasos en los retiros, interrupciones en las plataformas) y documente cómo reduciría el riesgo dentro de la política; los análisis del sector público destacan la fragmentación y la posibilidad de que el estrés amplíe las diferencias entre plataformas.

Riesgo operativo y de seguridad:

• Aplique el acceso con privilegios mínimos, el control dual para acciones sensibles y la independencia de los firmantes en todas las zonas geográficas y entidades jurídicas siempre que sea posible (COSO, ISO 27001).

• Endurezca los dispositivos utilizados en ceremonias y elimine radios y software innecesarios; utilice listas de permisos, bloqueos temporales, límites de velocidad y alertas.

• Registre cada evento de aprobación y firma con registros inmutables; alinee las pruebas con las expectativas de los informes SOC (diseño y eficacia operativa de los controles).

Gestión de riesgos de terceros:

• Evalúe a los proveedores de servicios en cuanto a certificaciones de seguridad independientes, historial de tiempo de actividad y transparencia de incidentes. Revise los términos de notificación de infracciones, la retención de datos y los estándares de cifrado (informes SOC, certificaciones ISO).

• Mantenga un ciclo de vida: diligencia debida de incorporación, actualización periódica y manuales de terminación (incluida la exportación y destrucción/rotación de datos para cualquier material clave bajo su control). Las referencias de los proveedores son ilustrativas y no constituyen recomendaciones ni ofertas.

Respuesta ante incidentes y continuidad del negocio:

• Predefinir manuales de procedimientos para casos de sospecha de compromiso de claves, pérdida de firmantes, retirada fallida, sanciones y cortes en las instalaciones; asignar responsables de la toma de decisiones y vías de escalamiento.

• Mantenga listas de contactos fuera de banda; realice simulacros y documente los resultados. Las directrices de planificación de contingencias del NIST ofrecen una estructura práctica para realizar pruebas y mejoras.

Contabilidad, auditoría y presentación de informes

Las normas y las interpretaciones evolucionan; las referencias aquí incluidas son a fecha del 26 de agosto de 2025 y pueden cambiar. Coordina las determinaciones con tus auditores.

Los equipos financieros necesitan pruebas que sean coherentes, completas y fáciles de verificar.

Tratamiento contable y valoración del valor razonable:

• Para los informantes según los PCGA de EE. UU., la FASB ASU 2023-08 exige que determinados activos criptográficos se valoren a su valor razonable, reconociendo los cambios en los ingresos netos, e incluye nuevas divulgaciones (las fechas de entrada en vigor varían; se permite la adopción anticipada). Coordine con los auditores y divulgue las fechas de referencia para las fuentes de precios.
  [10]

• Según las NIIF, las tenencias de criptomonedas se tratan comúnmente como activos intangibles, a menos que se mantengan para su venta en el curso normal de la actividad empresarial; véase la decisión del Comité de Interpretaciones de las NIIF de 2019 para conocer las consideraciones sobre clasificación y valoración. [11]

Libro auxiliar, base de costes y documentación fiscal:

• Mantenga registros a nivel de lote que incluyan la fecha de adquisición, la base de coste, las comisiones y el método de enajenación. Capture la asociación entre las solicitudes internas, las aprobaciones y las transacciones resultantes.

• Almacene direcciones, carteras y números de identificación de transacciones en un registro vinculado al objetivo comercial y a la contraparte. Conserve la documentación para la declaración de impuestos de conformidad con la legislación local y las expectativas de los auditores (las ayudas prácticas de AICPA/CIMA proporcionan una orientación útil sobre las pruebas).

Preparación para la auditoría y recopilación de pruebas:

• Prepare los vínculos entre los extractos de los custodios, los datos en cadena y el libro mayor. Utilice confirmaciones independientes de custodios cualificados durante la auditoría y conserve los informes SOC y las cartas puente, cuando estén disponibles.

• Mantenga disponibles los documentos de procedimientos, los registros de gestión de cambios, las listas de firmantes y las revisiones de acceso. Demuestre que los controles están diseñados y funcionan según lo previsto (ISO/IEC 27001 para el contexto del SGSI; informes SOC para los controles sobre la información financiera o la seguridad, la disponibilidad y la confidencialidad). Las prácticas de auditoría difieren según la empresa y la jurisdicción; las conclusiones de su auditor pueden variar.

Informes de la dirección y del consejo de administración:

• Proporcione paneles de control con saldos, exposiciones, límites y excepciones. Realice un seguimiento de las certificaciones de políticas, los resultados de las pruebas de control, las discrepancias en la conciliación y los resúmenes de incidentes.

• Informe sobre el estado del proveedor de servicios: tiempo de actividad, rendimiento del SLA, informes de auditoría recibidos y cualquier desviación de control (programa de riesgos de terceros).

Una hoja de ruta pragmática para la gestión de tesorería criptográfica

Fase 1: La política primero.

Redactar o actualizar la política de tesorería con asesoramiento legal. Definir objetivos, activos, lugares, niveles de cartera, aprobaciones, límites y gestión de cambios. Establecer criterios de incorporación de contrapartes y un flujo de trabajo de sanciones/reglas de viaje.

Fase 2: Selección de arquitectura. 

Elija entre custodia cualificada, autocustodia o una combinación de ambas en función del riesgo y la jurisdicción. Decida sobre la firma múltiple y/o MPC, la independencia del firmante y la estrategia de respaldo alineada con la gestión de claves y los estándares criptográficos.

Fase 3: Flujos piloto de bajo riesgo. 

Comience con saldos operativos pequeños y procesos estables. Demuestre que puede aprobar, firmar, liquidar, conciliar y presentar informes. Mida la calidad de la ejecución y los plazos de liquidación; documente las hipótesis y los proveedores de datos.

Fase 4: Báscula con controles. 

Añada automatización cuando esta complemente, y no sustituya, los controles. Aumente los límites solo después de que las pruebas de control, la precisión de la conciliación y las pruebas de auditoría sean consistentemente sólidas (los marcos SOC/ISO pueden servir de base para la descripción de los controles).

Fase 5: Prueba y mejora. 

Realizar simulacros de recuperación, ejercicios de simulación de incidentes y pruebas de conmutación por error de proveedores. Revisar las métricas y los resultados de las auditorías; actualizar las políticas y los procedimientos en consecuencia (conceptos de planificación de contingencias del NIST).

Preguntas frecuentes

¿Un custodio cualificado elimina el riesgo operativo?

No. Un custodio cualificado puede proporcionar segregación, gobernanza y presentación de informes que pueden respaldar los procedimientos de auditoría y reducir ciertos riesgos, pero su organización sigue siendo responsable del diseño de políticas, las aprobaciones y la supervisión de los proveedores. El riesgo no se puede eliminar; siga las prácticas de riesgo de terceros y solicite informes de garantía (SOC) cuando sea aplicable.

¿Es MPC más seguro que multi-sig? Ambos resuelven problemas diferentes y cada uno tiene sus ventajas e inconvenientes. Multi-sig aplica la política en cadena y es transparente; MPC distribuye el material clave y puede proporcionar cobertura de activos en todas las cadenas. Elija en función del modelo de amenazas, las expectativas de los auditores y el diseño de recuperación; la bibliografía sobre criptografía de umbral explica el modelo de seguridad que hay detrás de los esquemas MPC/umbral.

¿Podemos confiar en un único centro de liquidez?

Depender de un único mercado concentra el riesgo. Considere la posibilidad de diversificar el acceso, documentar las vías de retirada y predefinir alternativas para casos de interrupciones o retrasos; la fragmentación y el estrés pueden ampliar las diferencias entre mercados.

¿Pueden las stablecoins sustituir a los medios de pago tradicionales?

Las monedas estables pueden permitir una liquidación más rápida en algunos contextos, pero antes de su uso en producción deben establecerse el tratamiento regulatorio, la incorporación de contrapartes y los procesos de conciliación. Consulte las directrices internacionales sobre gobernanza y gestión de riesgos para los acuerdos de monedas estables.

¿Cómo demostramos el control sin revelar secretos?

Utilice certificados, confirmaciones de custodios, pruebas de propiedad de direcciones y registros de aprobación inmutables. Comparta resúmenes de procedimientos e informes de auditoría en lugar de detalles operativos que podrían aumentar el riesgo de ser objeto de ataques (contexto ISO/IEC 27001 e informes SOC para garantía independiente).

---

Referencias (con enlaces)

NIST SP 800-57 Parte 1 Rev. 5, Recomendación para la gestión de claves — Parte 1 (General). Página: https://csrc.nist.gov/pubs/sp/800/57/pt1/r5/final PDF: https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-57pt1r5.pdf

NIST FIPS 140-3, Requisitos de seguridad para módulos criptográficos.
Página: https://csrc.nist.gov/pubs/fips/140/3/final
PDF: https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.140-3.pdf

ISO/IEC 27001:2022, Sistemas de gestión de la seguridad de la información — Requisitos. Página: https://www.iso.org/standard/27001

AICPA, Controles de sistemas y organizaciones (SOC): descripción general.
Página: https://www.aicpa-cima.com/resources/landing/system-and-organization-controls-soc-suite-of-services

GAFI, Guía actualizada para un enfoque basado en el riesgo de los activos virtuales y los proveedores de servicios de activos virtuales (octubre de 2021).
Página: https://www.fatf-gafi.org/en/publications/Fatfrecommendations/Guidance-rba-virtual-assets-2021.html
PDF: https://www.fatf-gafi.org/content/dam/fatf-gafi/guidance/Updated-Guidance-VA-VASP.pdf

Departamento del Tesoro de EE. UU. (OFAC), Guía de cumplimiento de sanciones para el sector de las monedas virtuales (octubre de 2021). PDF: https://ofac.treasury.gov/media/913571/download?inline= Notice: https://ofac.treasury.gov/recent-actions/20211015 [6]

BIS, Escalabilidad de la cadena de bloques y fragmentación de las criptomonedas, Boletín del BIS n.º 56 (junio de 2022). PDF: https://www.bis.org/publ/bisbull56.pdf

IOSCO, Recomendaciones políticas para las finanzas descentralizadas (DeFi) (diciembre de 2023). PDF: https://www.iosco.org/library/pubdocs/pdf/IOSCOPD754.pdf

NIST SP 800-34 Rev. 1, Guía de planificación de contingencias para sistemas de información federales (mayo de 2010). Página: hhttps://csrc.nist.gov/pubs/sp/800/34/r1/upd1/final
PDF: https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-34r1.pdf

FASB ASU 2023-08, Contabilización y divulgación de criptoactivos.
Página: https://www.fasb.org/page/PageContentpageId=%2Fprojects%2Frecentlycompleted%2Faccounting-for-and-disclosure-of-crypto-assets.html
PDF: https://storage.fasb.org/ASU%202023-08.pdf

Comité de Interpretaciones de las NIIF, Tenencia de criptomonedas — Decisión del orden del día (junio de 2019). PDF: https://www.ifrs.org/content/dam/ifrs/supporting-implementation/agenda-decisions/2019/holdings-of-cryptocurrencies-june-2019.pdf

AICPA y CIMA, Ayuda práctica: Contabilidad y auditoría de activos digitales (página de recursos).
Página: https://www.aicpa-cima.com/resources/download/accounting-for-and-auditing-of-digital-assets-practice-aid-pdf

NISTIR 8214A, Esquemas de umbral para primitivas criptográficas: Introducción a los esquemas de umbral (2020).
PDF: https://nvlpubs.nist.gov/nistpubs/ir/2020/NIST.IR.8214A.pdf

FSB, Recomendaciones de alto nivel para la regulación, supervisión y vigilancia de los acuerdos globales sobre monedas estables (julio de 2023).
Página: https://www.fsb.org/2023/07/high-level-recommendations-for-the-regulation-supervision-and-oversight-of-global-stablecoin-arrangements-final-report/
PDF: https://www.fsb.org/uploads/P170723-3.pdf

CPMI-IOSCO, Aplicación de las PFMI a los acuerdos sobre monedas estables (octubre de 2020).
PDF: https://www.bis.org/cpmi/publ/d198.pdf

COSO, Marco integrado de control interno (2013) (resumen).
Página: https://www.coso.org/guidance-on-ic

FinCEN, Aplicación de las regulaciones de FinCEN a determinados modelos de negocio relacionados con monedas virtuales convertibles (FIN-2019-G001).
Página: https://www.fincen.gov/resources/statutes-regulations/guidance/application-fincens-regulations-certain-business-models
PDF: https://www.fincen.gov/sites/default/files/201905/FinCEN%20Guidance%20CVC%20FINAL%20508.pdf

NIST SP 800-53 Rev. 5, Controles de seguridad y privacidad para sistemas de información y organizaciones. Página: https://csrc.nist.gov/pubs/sp/800/53/r5/upd1/final
PDF: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r5.pdf

IOSCO, Recomendaciones políticas para los mercados de criptoactivos y activos digitales — Informe final (noviembre de 2023). PDF: https://www.iosco.org/library/pubdocs/pdf/IOSCOPD747.pdf