Compliance PLD/FT en criptomonedas y criptonegocios en México: del “on-chain” al expediente listo para auditoría (Travel Rule, VASP, KYC y monitoreo)

11 feb 2026

Las criptomonedas nacieron para moverse rápido. El cumplimiento PLD/FT existe para que ese movimiento no se convierta en un “túnel” perfecto para el lavado de dinero, el financiamiento al terrorismo o el fraude. Y en 2026, el reto ya no es entender qué es Bitcoin: es demostrar trazabilidad, debida diligencia y controles operativos en un entorno donde el dinero puede saltar entre exchanges, stablecoins, puentes (bridges), DeFi y monederos no custodiados en minutos.

Este artículo aterriza lo que un cripto-negocio (exchange, broker, custodia, pasarela de pago cripto, OTC, rampas fiat-cripto, fintech cripto, etc.) debe tener para operar con un estándar serio de compliance PLD en México y a nivel internacional.

1) El contexto regulatorio: México y el estándar global (FATF)

Aunque el ecosistema cripto evoluciona más rápido que la ley, el estándar global de referencia para AML/CFT en activos virtuales es el GAFI/FATF (Recomendación 15 y su Nota Interpretativa). En su actualización de 2024, FATF subraya dos realidades incómodas: la implementación mundial sigue rezagada y, especialmente, la Travel Rule avanza lento en muchos países.

En México, si tu operación cae dentro del perímetro fintech regulado, la Ley para Regular las Instituciones de Tecnología Financiera (LRITF) define “activo virtual” y establece que las ITF solo pueden operar con los activos virtuales que determine Banxico y con autorización previa; además impone obligaciones de custodia/entrega y divulgación de riesgos.

Adicionalmente, Banxico emitió disposiciones (Circular 4/2019) para operaciones con activos virtuales por parte de instituciones (incluidas ITF), con reglas de autorización y restricciones operativas.

Traducción práctica: aunque haya zonas grises para ciertos modelos cripto “no financieros”, la realidad comercial es que bancos, socios, payment processors e inversionistas te pedirán controles PLD comparables a los del sistema financiero si quieres escalar.

2) ¿Qué es “Travel Rule” y por qué te pega aunque estés en México?

La Travel Rule (regla de viaje) exige que, en transferencias de activos virtuales, el proveedor de servicios (VASP) acompañe la transacción con información del originador y beneficiario (como sucede en transferencias bancarias). FATF la considera una medida clave; su adopción y supervisión siguen siendo un punto débil a nivel global.

¿Cuándo se vuelve crítica?

  • Cuando operas con contrapartes internacionales (otros VASP/exchanges).

  • Cuando manejas clientes corporativos (tesorerías, family offices, fintechs).

  • Cuando haces OTC o montos altos recurrentes.

  • Cuando tu negocio permite depósitos/retiros desde/hacia monederos no custodiados (unhosted wallets), donde el “quién está detrás” se vuelve el riesgo central.

3) Tipologías actuales en cripto: lo que hoy dispara alertas (y auditorías)

Si tu matriz de riesgo sigue pensando solo en “clientes anónimos”, te quedaste en 2021. En 2026, los focos rojos típicos incluyen:

  • Stablecoins como “rail” de salida/entrada: alta velocidad + alta liquidez.

  • Puentes (bridges) y swaps cross-chain: rompen continuidad simple del rastro.

  • Servicios DeFi usados como “capas” de ofuscación (no siempre, pero suficiente para elevar riesgo, como advierte FATF sobre monitoreo del fenómeno).

  • Retiros a wallets recién creadas, sin historial, y luego dispersión (“smurfing on-chain”).

  • Patrones de layering: muchas transacciones pequeñas que convergen y vuelven a salir.

4) El “core” de un programa PLD para criptonegocios (checklist operativo)

A) KYC + KYB realmente aplicables a cripto

  • Identidad (KYC) con validaciones consistentes y evidencia.

  • Perfil transaccional esperado (volumen, origen/destino, frecuencia, activos).

  • Para empresas (KYB): beneficiario controlador, estructura, giro, licencias, fuentes de fondos.

B) Evaluación de riesgo basada en factores cripto

Tu matriz de riesgo PLD debe incluir:

  • Tipo de servicio: exchange, custodia, OTC, pasarela, rampa, etc.

  • Exposición a unhosted wallets.

  • Jurisdicciones, geofencing, y contrapartes VASP.

  • Activos soportados (por ejemplo, tokens con mayor uso ilícito histórico vs. otros).

  • Canales: API, web, presencial, integraciones B2B.

C) Monitoreo transaccional “híbrido”: off-chain + on-chain

  • Reglas tradicionales (umbrales, velocidad, frecuencia, patrones).

  • Analítica on-chain: riesgo de direcciones, clusters, interacción con servicios de alto riesgo.

  • Gestión de alertas con bitácora: quién revisó, qué decidió, evidencia.

D) Listas y sanciones

  • Screening de clientes y contrapartes.

  • Bloqueos/alertas conforme aplique al marco del sujeto obligado y su régimen.

E) Reportabilidad y auditoría (la parte que siempre duele)

  • Expediente digital trazable.

  • Evidencia de decisiones (por qué se cerró o escaló una alerta).

  • Controles de cambios, logs y conservación documental.

5) El gran error: tener “datos”, pero no tener “evidencia”

En cripto es común escuchar: “Todo está en la blockchain”. Sí… pero la blockchain no guarda tu KYC, ni tu análisis de alertas, ni el sustento de por qué consideraste “razonable” un origen de fondos, ni tu trazabilidad interna.

Ahí es donde un software PLD deja de ser “nice to have” y se vuelve infraestructura: centraliza expediente, automatiza flujos, conserva evidencia y vuelve auditables tus decisiones.

Mención sutil: plataformas como Artu.ai pueden ayudarte a estructurar el cumplimiento PLD/FT con expedientes, bitácoras, alertas y reportes listos para auditoría, sin depender de carpetas, correos y hojas sueltas—algo especialmente valioso cuando tu operación mezcla datos off-chain (KYC/KYB) y señales on-chain.

6) Mini-guía: “Travel Rule ready” en 30 días (sin reinventar tu operación)

  1. Mapea tu flujo: depósitos, retiros, swaps, OTC, rampas.

  2. Clasifica contrapartes: VASP vs unhosted wallet vs bridge/DeFi.

  3. Define datos mínimos originador/beneficiario por tipo de operación.

  4. Integra captura y resguardo (no solo “pedirlo”, sino guardarlo como evidencia).

  5. Diseña alertas: velocidad, repetición, wallets nuevas, dispersión, cross-chain.

  6. Establece playbooks: qué pide el analista, cuándo se escala, cuándo se congela/cierra.

  7. Prueba de auditoría: simula 10 casos y valida que puedes reconstruir la historia completa.

Conclusión

El cumplimiento PLD en criptomonedas ya no se trata de “cumplir por cumplir”: se trata de ser auditable en un ecosistema donde el riesgo se mueve a la velocidad del bloque. Si tu criptonegocio puede demostrar identidad, perfil, monitoreo, decisiones y evidencia —y además conversar con estándares tipo Travel Rule— tendrás una ventaja competitiva real: acceso a banca, socios internacionales, clientes corporativos y escalabilidad.

Atrás