Modelos de transacción y reglas de firma de carteras multisig

Puntos clave

• Las carteras multisig sustituyen los puntos únicos de fallo por modelos de control estructurados con múltiples aprobadores, diseñados para uso institucional.

• Los modelos de transacción y las normas de firma definen cómo se aplican en la práctica la autoridad, la gobernanza y la gestión de riesgos.

• Las distintas arquitecturas multisig ofrecen diferentes niveles de velocidad, resistencia y flexibilidad en función de las necesidades operativas.

• Las capas de aplicación de políticas son tan importantes como las firmas criptográficas para los flujos de trabajo institucionales.

• Los marcos de firma múltiple bien diseñados favorecen la auditabilidad, la gestión de riesgos y la continuidad operativa a largo plazo.

La firma múltiple como infraestructura institucional, no como un concepto teórico

Carteras multifirma A menudo se presentan como una simple mejora de seguridad con respecto a los monederos de clave única. Para los operadores institucionales, esa visión es incompleta. Un monedero multisig no es una simple configuración criptográfica, sino un modelo operativo que determina cómo se mueven los activos, quién tiene la autoridad y cómo se gestiona el riesgo en el marco de las limitaciones del mundo real.

Las instituciones se preocupan por la seguridad, el control, la gestión de riesgos y la continuidad operativa. Las decisiones de diseño relacionadas con la firma múltiple afectan directamente a estos cuatro aspectos. Comprender cómo encajan estos componentes es esencial para que las instituciones puedan diseñar operaciones de custodia y tesorería resilientes.

¿Qué es un monedero multisig? Una breve introducción

Una cartera multisig es una cartera de activos digitales que requiere más de una firma criptográfica para autorizar una transacción. En lugar de que una sola clave privada controle los fondos, intervienen varias claves independientes, y un umbral predefinido determina cuántas deben aprobar una acción.

La estructura más habitual es el modelo "M de N". Esto abarca desde el requisito de todas las claves (N de N) hasta un umbral específico. En un monedero "2 de 3", existen tres claves distintas, y deben firmar dos de ellas para que una transacción sea válida. Esta estructura reduce la dependencia de una sola persona, dispositivo o sistema. Además, permite compartir el control entre equipos o entidades.

Desde el punto de vista estructural, las carteras multisig se diferencian de las carteras de clave única en la forma en que se distribuye la autoridad. Las carteras de clave única centralizan tanto el acceso como el riesgo. Las carteras multisig los separan de forma intencionada. Esta separación permite aplicar controles internos como la doble aprobación, la separación de funciones y la planificación de la recuperación ante desastres.

Para las instituciones, la tecnología multisig constituye una infraestructura fundamental. Crea un marco en el que la gobernanza, las políticas y la criptografía funcionan de forma conjunta. Esa base permite incorporar modelos de transacción y flujos de trabajo de aprobación más avanzados.

¿Cómo funciona la firma múltiple en la práctica?

En la práctica, los monederos multisig funcionan siguiendo un ciclo de vida de transacción definido. En primer lugar, se propone una transacción, normalmente por parte de un operador o sistema autorizado. A continuación, dicha propuesta es revisada y aprobada por el número requerido de firmantes. Una vez alcanzado el umbral, la transacción se transmite a la red y se formaliza en la cadena.

Las implementaciones de multisig varían según la cadena de bloques y la arquitectura. En Bitcoin, la multisig se aplica de forma nativa a nivel de protocolo mediante condiciones de script, a menudo denominadas Multifirma nativa de Bitcoin. En Ethereum y otras plataformas de contratos inteligentes, la lógica multisig se suele implementar mediante contratos inteligentes que gestionan los conjuntos de firmantes y los umbrales. Algunos sistemas institucionales incorporan motores de políticas off-chain que coordinan las aprobaciones antes de que se genere cualquier firma.

Es tan importante quién tiene las claves como cuántas hay. Las claves pueden distribuirse entre equipos internos, custodios externos o entornos geográficamente separados. A menudo se diferencian las funciones, de modo que proponer una transacción no es lo mismo que aprobarla o ejecutarla.

Cada modelo conlleva sus pros y sus contras. La firma múltiple on-chain ofrece transparencia y simplicidad. La firma múltiple basada en contratos inteligentes proporciona flexibilidad y programabilidad. Las capas de políticas off-chain añaden control y auditabilidad, pero introducen una mayor complejidad en el sistema. Las instituciones eligen los modelos en función de su tolerancia al riesgo, su escala operativa y sus obligaciones en materia de gestión de riesgos.

Reglas de firma: definición de autoridad y control

Las reglas de firma definen quién puede aprobar las transacciones, en qué condiciones y en qué combinaciones. Los umbrales, como "2 de 3" o "3 de 5", son una expresión de la política de gobernanza y gestión de riesgos.

Por lo general, unos umbrales más bajos permiten operaciones más rápidas, pero reducen la tolerancia a fallos. Unos umbrales más altos aumentan la resiliencia y el control, pero pueden ralentizar la ejecución. Las instituciones deben encontrar un equilibrio entre la eficiencia operativa, la seguridad y la continuidad.

Las normas de firma también establecen quién tiene la facultad de tomar decisiones. Una institución puede exigir una firma del departamento de operaciones y otra del departamento de cumplimiento. Otra puede involucrar a los equipos de seguridad o a administradores externos. Estas normas garantizan la separación de funciones y reducen el riesgo de que se tomen medidas de forma unilateral.

Es importante destacar que las normas de firma deben adaptarse a las necesidades de la organización. A medida que los equipos crecen, las jurisdicciones cambian o los requisitos normativos se amplían, los umbrales y los grupos de firmantes deben poder adaptarse. Considerar la configuración de las firmas como un ajuste estático en lugar de una política dinámica es un error habitual en las instituciones.

Modelos comunes de transacciones multisig

Varios modelos de transacciones multisig se utilizan ampliamente en entornos institucionales.

El modelo de custodia "2 de 3" es uno de los más habituales. Por lo general, una de las claves la conserva el cliente, otra la custodia un agente de custodia y la tercera la mantiene una entidad de respaldo o de depósito en garantía. Este modelo combina el control del cliente con las garantías institucionales y las opciones de recuperación, que a menudo se implementan a través de entidades reguladas monederos de custodia.

El modelo de gobernanza "3 de 5" se utiliza a menudo para operaciones internas de tesorería o de protocolo. Las claves pueden distribuirse entre los responsables de operaciones, seguridad, cumplimiento normativo y la dirección. Esta estructura permite la aprobación por parte de varios departamentos y reduce la dependencia de una sola función.

Los modelos de contratos inteligentes basados en umbrales son habituales en las cadenas de bloques programables. Estos permiten conjuntos dinámicos de firmantes, permisos basados en roles e integración con la lógica on-chain. Son muy potentes, pero requieren un diseño minucioso y una supervisión continua.

Cada modelo implica un equilibrio entre velocidad, tolerancia a fallos, flexibilidad normativa y resiliencia. Las instituciones también deben tener en cuenta los escenarios de recuperación ante desastres, como la indisponibilidad de los firmantes o la filtración de claves, a la hora de seleccionar un modelo de transacción.

Aplicación de políticas y flujo de trabajo de las transacciones

Las firmas criptográficas por sí solas no son suficientes para la gobernanza institucional. Las capas de aplicación de políticas definen cómo y cuándo se pueden utilizar las firmas.

Los motores de políticas se sitúan entre la intención de la transacción y el uso de las claves. Se encargan de aplicar normas como los límites de gasto, los plazos de aprobación, el control de acceso basado en roles y las listas de destinos permitidos. Estas capacidades suelen implementarse mediante programación a través de monedero como servicio soluciones que integran la aplicación de políticas directamente en los flujos de trabajo de las transacciones.

Una transacción puede cumplir los umbrales de firma y, aun así, quedar bloqueada si incumple la política. Esta distinción entre firmas de clave y aprobaciones de política es fundamental. Las firmas autorizan las transacciones a nivel de protocolo. Las políticas determinan si, en primer lugar, se permite aplicar las firmas.

Para las instituciones, la aplicación de políticas fuera de la cadena garantiza la coherencia entre equipos y jurisdicciones. Además, genera registros de auditoría que demuestran el cumplimiento de los controles internos y las exigencias normativas. Sin niveles de políticas, las carteras multisig corren el riesgo de convertirse en cuellos de botella operativos o en puntos ciegos de la gobernanza.

Limitaciones y casos extremos en las firmas múltiples

Aunque la firma múltiple mejora la seguridad, también plantea sus propios retos operativos. La pérdida o el compromiso de las claves puede reducir el número de firmantes disponibles por debajo del umbral requerido. Pueden producirse fallos de coordinación cuando los firmantes no están disponibles debido a viajes, rotación de personal o incidentes.

Algunas implementaciones de firma múltiple son difíciles de actualizar. Modificar los conjuntos de firmantes o los umbrales puede requerir migraciones complejas o transacciones on-chain que entrañan riesgos. Los cambios en la gobernanza deben planificarse cuidadosamente para evitar bloqueos accidentales.

Los casos extremos, como la revocación de claves, el acceso de emergencia o la reestructuración organizativa, deben abordarse desde el principio. Las instituciones que no tienen en cuenta estos escenarios suelen descubrir puntos débiles en momentos de crisis.

Por estas razones, algunas instituciones evalúan enfoques alternativos o complementarios, entre los que se incluyen cálculo multipartito, para casos de uso específicos. La existencia de alternativas refleja la madurez del ecosistema, más que un fallo de la propia firma múltiple.

Multifirma y gestión de riesgos

Las arquitecturas multisig se ajustan estrechamente a las expectativas normativas en materia de controles internos y responsabilidad fiduciaria. La participación de varios responsables de la aprobación favorece la separación de funciones y reduce el riesgo de movimientos no autorizados de activos.

La auditabilidad es otra ventaja clave. Las transacciones multisig generan registros claros de quién aprobó qué y cuándo. Al combinarse con los registros de políticas, estos datos sirven de apoyo para las auditorías internas y los exámenes externos.

Muchos marcos de gestión de riesgos prevén procesos con múltiples aprobadores. Normas como SOC 2 y la Norma de seguridad para criptomonedas hacen hincapié en los controles de acceso, los flujos de trabajo de aprobación y la supervisión. Multisig proporciona una base técnica para cumplir estos requisitos.

En el caso de las entidades reguladas, la firma multifirma ayuda a convertir las obligaciones reglamentarias en normas operativas de obligado cumplimiento.

Cómo BitGo permite una arquitectura multisig segura y basada en políticas

BitGo ofrece una infraestructura multisig de nivel institucional diseñada para hacer frente a la complejidad operativa del mundo real. La empresa ofrece soluciones multisig a través de entidades reguladas, servicios de custodia acreditados y controles de políticas configurables.

La arquitectura de BitGo separa la gestión de claves de la aplicación de políticas, lo que permite flujos de trabajo de aprobación granulares sin introducir puntos únicos de fallo. El almacenamiento seguro de claves, los permisos basados en roles y los registros de auditoría transparentes favorecen tanto la eficiencia operativa como el cumplimiento de los requisitos normativos.

En lugar de considerar la firma múltiple como una característica, BitGo la posiciona como parte de un marco más amplio de custodia y transacciones. Este enfoque permite a las instituciones diseñar modelos de gobernanza que se adapten, escalen y mantengan su resiliencia a medida que evolucionan los requisitos.

¿Por qué BitGo?

Las instituciones necesitan una infraestructura que concilie la seguridad, la gobernanza y los requisitos normativos sin sacrificar la claridad operativa. BitGo ofrece las herramientas necesarias para implementar modelos de transacciones con firmas múltiples y reglas de firma que reflejen el funcionamiento real de las instituciones.

Con más de una década de experiencia en el apoyo a los flujos de trabajo relacionados con activos digitales regulados, BitGo ofrece un control basado en políticas, auditabilidad y resiliencia a lo largo de todo el ciclo de vida de la custodia y las transacciones.

Preguntas frecuentes

¿Qué es un monedero criptográfico multisig?

Una cartera criptográfica multisig requiere varias firmas criptográficas para autorizar una transacción. Distribuye el control entre varias claves en lugar de depender de una sola clave privada.

¿Cómo funcionan los modelos habituales de transacciones multisig, como el M-de-N?

Los modelos M de N definen cuántas firmas se requieren de un conjunto total. En una cartera de 2 de 3, dos de las tres claves autorizadas deben aprobar una transacción.

¿Cómo pueden las instituciones diseñar normas y políticas eficaces en materia de firmas multisig?

Las instituciones deben adaptar los umbrales a las estructuras de gobernanza, garantizar la separación de funciones y utilizar niveles de políticas para controlar cómo se aplican las firmas.

¿Cuáles son las ventajas y desventajas de las carteras multisig y las carteras MPC?

La firma multisig se basa en claves y umbrales distintos, mientras que la computación múltiple segura (MPC) distribuye el material de clave entre los participantes. Cada enfoque tiene implicaciones diferentes en cuanto a flexibilidad, recuperación y complejidad operativa.

¿Cómo contribuye la firma múltiple a la gobernanza y a los controles operativos?

La firma múltiple garantiza los procesos de aprobación por varias personas, genera registros de auditoría y reduce los puntos únicos de fallo, lo que favorece tanto la gobernanza interna como el cumplimiento normativo.