Definition
"Está en blockchain, así que no hay que auditarlo". Esa frase, dicha por un CFO en una reunión de planificación con tono de quien acaba de zanjar el tema, debería poner a cualquier socio en alerta. Vaya por delante que quien dice esto suele ser el mismo que tres meses antes pedía un sistema de control interno reforzado para su contabilidad analítica. La inmutabilidad criptográfica seduce porque parece resolver el problema de la fiabilidad de un plumazo, y muchos clientes han comprado el discurso entero, sin matices.
Cómo funciona
En una auditoría convencional de sistemas de información, el auditor evalúa los controles sobre la generación, almacenamiento y recuperación de datos. En blockchain, la naturaleza distribuida y criptográficamente verificable del libro mayor cambia la naturaleza de la prueba. No la elimina.
Según la NIA-ES (Norma Internacional de Auditoría adoptada en España) 330.25, el auditor debe obtener evidencia suficiente y apropiada sobre si los registros de transacciones se han procesado completamente y con precisión. En un entorno blockchain, esto incluye cuatro frentes que conviene separar mentalmente desde el principio.
- Validación de la integridad del protocolo: verificar que el mecanismo de consenso (proof-of-work, proof-of-stake) está implementado correctamente y que los bloques no han sido alterados tras su creación. La NIA-ES 500.5 pide que la evidencia sea relevante y fiable. La verificación criptográfica de hashes de bloque proporciona evidencia de relevancia alta, pero solo si el auditor entiende técnicamente cómo funciona el protocolo. Si no, está usted firmando un papel que no comprende, y a la hora de la verdad eso es un brindis al sol. - Evaluación de controles de acceso: quién puede firmar transacciones, quién controla las claves privadas, y si esos controles se documentan y son auditables. La NIA-ES 330.25(a) exige que el auditor obtenga evidencia sobre si se han implementado controles específicos de la entidad. Aquí es donde los papeles suelen estar flojos. - Análisis de datos de entrada: blockchain no previene basura entra, basura sale. Si los datos introducidos en la cadena son incorrectos o no autorizados, ningún hash criptográfico lo va a detectar. La NIA-ES 540.13 se aplica particularmente cuando la entidad usa blockchain para registrar estimaciones contables (por ejemplo, valoración de activos digitales). El auditor debe evaluar si el método para la estimación es apropiado. - Documentación de la pista de auditoría: aunque blockchain crea un registro inmutable de transacciones, ese registro solo es útil para auditoría si el auditor entiende qué transacciones debería haber en la cadena, cuándo y de quién.
El malentendido de fondo: lo que creen los clientes y lo que pide la NIA-ES
Mi tesis, después de varios encargos en este terreno, es sencilla: blockchain no reduce el riesgo de auditoría, lo relocaliza. Y la mayoría de los problemas vienen de no haber digerido esa diferencia.
Lo que creen muchos clientes: que la inmutabilidad técnica equivale a control interno. Que si el dato está en cadena, está auditado. Que el hash criptográfico sustituye a la segregación de funciones. No sé por qué la gente está tan preocupada con la "innovación tecnológica" del registro distribuido y tan poca con quién tiene la llave que firma. presumir de caja fuerte mientras se deja la combinación pegada con un pósit en la puerta.
Lo que pide la NIA-ES: que el auditor obtenga evidencia sobre la generación, autorización y registro de las transacciones. La cadena no autoriza nada. Autoriza el titular de la privada. Y sobre eso hay que tener controles, documentación y pruebas. La zona gris empieza con los smart contracts ejecutados sin intervención humana, sigue con las custodias de claves repartidas entre custodios y termina con los oráculos que inyectan datos off-chain en decisiones contables. Ahí es donde los encargos se complican y donde, en mi caso, he visto a más de un equipo asumir cosas que no debería haber asumido.
Ejemplo práctico: Inversiones Digitales Ibéricas S.L.
Cliente: empresa española de gestión de activos digitales, con ingresos de 4,2 millones de euros en 2024, reportando bajo NIIF 9 (Instrumentos Financieros). La entidad mantiene una cartera de criptomonedas y tokens en una plataforma blockchain privada, y registra las transacciones de entrada y salida en su sistema de contabilidad general a través de feeds de datos automatizados.
Paso 1: Entender el flujo de datos blockchain El auditor obtiene documentación de la arquitectura técnica: qué nodos controla la entidad, cómo se generan las transacciones, quién posee las claves privadas para firmar, y cómo se concilian los registros de blockchain con los asientos contables en el libro mayor de Inversiones Digitales. Nota de documentación: PT 5.3.1: Diagrama de arquitectura blockchain obtenido y revisado. Identificadas tres nodos de validación bajo control de la entidad, dos de terceros. Claves privadas custodiadas por tercero independiente (Vault Solutions Europe GmbH, Suiza). Feed de datos configurado para extraer transacciones cada 4 horas.
Paso 2: Verificar la integridad técnica de un saldo de prueba de blockchain El auditor selecciona una muestra de 25 transacciones de tenencia de Bitcoin de la cartera de Inversiones Digitales durante el período. Para cada transacción, verifica: - Que el hash de la transacción coincida con el hash registrado en el libro mayor de blockchain público (Bitcoin mainnet). - Que la pública que firmó la transacción corresponde a una dirección controlada por Inversiones Digitales según la documentación del paso 1. - Que la fecha y cantidad de la transacción coincidan entre el registro de blockchain y el asiento contable en el libro mayor de la entidad.
Para las 25 transacciones probadas, 24 coincidieron completamente. Una transacción (6 de noviembre de 2024, entrada de 0,5 BTC) se registró en blockchain el 6 de noviembre pero no se contabilizó en el libro mayor de Inversiones Digitales hasta el 7 de noviembre. El auditor verifica el motivo: demora en la reconciliación automática debido a un reinicio del servidor. La transacción se contabilizó el 7 de noviembre sin error de importe. La NIA-ES 330.25(c) requiere que el auditor evalúe la consistencia de la contabilización con las políticas contables de la entidad. Las políticas de Inversiones Digitales prevén que las transacciones se registren en la fecha de ejecución on-chain, por lo que existe un error de un día.
Complicación que añadí a este encargo: durante el periodo se produjo una reorganización (reorg) breve de tres bloques en una de las cadenas secundarias usadas por la entidad para liquidaciones internas. En la práctica eso significa que, durante unas horas, dos de las transacciones que el feed había considerado confirmadas dejaron de estarlo. El equipo del cliente las volvió a procesar manualmente. Si nadie hubiera mirado, la cifra contable habría reflejado movimientos que la cadena finalmente no aceptó. Aquí es donde uno empieza a entender que la "inmutabilidad" tiene letra pequeña: depende del nivel de profundidad de confirmación que la entidad exija antes de contabilizar. Probamos las dos transacciones reprocesadas, ambas terminaron correctamente reconciliadas, pero la deficiencia de control quedó documentada. Nota de documentación: PT 5.3.2: Prueba de muestra de 25 transacciones de tenencia de Bitcoin. 24 de 25 coincidieron completamente entre blockchain y libro mayor. 1 de 25 mostró diferencia de fecha de 1 día (error de contabilización identificado, valor inmaterial: 0,5 BTC ≈ €21.500 frente a materialidad de rendimiento de €105.000). Reorg breve detectado en cadena secundaria; dos transacciones reprocesadas, reconciliación correcta tras revisión manual. Recomendación de control: definir umbral mínimo de confirmaciones antes de contabilizar.
Paso 3: Evaluar controles sobre quién puede crear transacciones El auditor obtiene la documentación de control de acceso de Inversiones Digitales: qué empleados tienen permiso para firmar transacciones on-chain, quién aprueba las transacciones, y qué ocurre si alguien intenta crear una transacción sin autorización.
Hallazgo: tres tesoreros de Inversiones Digitales tienen acceso de "creación" (pueden redactar y firmar transacciones), pero la firma privada está bajo custodia de tercero (Vault Solutions). Por lo tanto, aunque un tesorero no autorizado redactara una transacción, la custodia de la privada previene su ejecución. La NIA-ES 330.25(a) requiere que el auditor obtenga evidencia sobre si se han implementado controles específicos para prevenir o detectar incorrecciones materiales en transacciones. La combinación de segregación de funciones (redacción / custodia de firma) y custodia de tercero es un control efectivo, en mi opinión, porque reparte la capacidad de actuar entre dos entidades con intereses no alineados, y eso es lo que hace que el control sirva en la práctica y no sólo sobre el papel. Nota de documentación: PT 5.3.3: Evaluación de control de acceso a creación de transacciones. Matriz RACI obtenida. Tres tesoreros en rol de "creación", custodia de privada en tercero independiente. Prueba de control: seleccionar 10 transacciones de mayor importe ejecutadas durante el período, verificar que cada una fue aprobada según política (correo de autorización previo a ejecución). 10 de 10 evidenciaban aprobación documentada.
Paso 4: Analizar la fiabilidad de los datos de entrada El auditor traza una transacción de entrada de criptomonedas: el cliente transfiere 2,5 ETH a la dirección blockchain de Inversiones Digitales el 15 de octubre. La transacción aparece en blockchain. El feed de datos de Inversiones Digitales la extrae y la contabiliza como aumento de efectivo equivalente (conversión a EUR al tipo de cambio de la fecha).
Riesgo bajo NIA-ES 540.13: la conversión de ETH a EUR depende de una estimación del tipo de cambio de mercado en el momento de la transacción. Inversiones Digitales usa una API de datos de tercero (CoinGecko) para obtener precios históricos. El auditor verifica: - Que CoinGecko es una fuente de datos fiable (análisis de historial de uso, comparación con otras fuentes de datos de criptomonedas). - Que la API devuelve un precio único no ambiguo para la fecha y hora exacta de la transacción (no un promedio diario, que sería menos preciso). - Que la política contable de Inversiones Digitales documenta qué fuente de tipo de cambio se usa para qué activos, con qué frecuencia se actualiza, y quién aprueba ajustes.
Hallazgo: la política contable no especificaba la fuente de datos de tercero. La NIA-ES 540.13(b) requiere que el auditor evalúe si la documentación de la entidad es suficiente para entender cómo se realiza la estimación. Solicitud de mejora: Inversiones Digitales debe documentar en su política contable que (i) usa CoinGecko como proveedor de tipos de cambio de criptomonedas, (ii) obtiene el precio a la hora de la transacción (no promedio diario), y (iii) qué ocurre en caso de discrepancia entre CoinGecko y otras fuentes. Esto no es un capricho documental: las estimaciones que dependen de un oráculo externo son bombas de relojería si nadie ha pensado qué pasa cuando el oráculo falla, y aquí la política guardaba silencio. Nota de documentación: PT 5.3.4: Prueba de cálculo de estimación de tipo de cambio. Seleccionar 10 transacciones de entrada de criptomonedas. Verificar que el tipo de cambio utilizado en la contabilización coincide con CoinGecko al cierre de la hora de la transacción en UTC. 10 de 10 coincidieron dentro de una tolerancia de 0,05% (inmaterial). Nota de deficiencia: política contable no documenta fuente de datos de tercero. Conversación con CFO; mejora planificada para Q1 2025.
Conclusión Inversiones Digitales Ibéricas ha implementado controles técnicos y organizacionales sobre sus registros de blockchain que producen evidencia de auditoría de calidad media-alta. La integridad criptográfica de las transacciones es demostrable, los controles de acceso son segregados y documentados, y los datos de entrada están sujetos a procedimientos de validación. El error identificado (demora de 1 día en la contabilización) fue inmaterial. Los hallazgos se limitan a una recomendación de mejora en la documentación de política contable y a una recomendación sobre umbral de confirmaciones tras el reorg detectado.
Lo que revisores y profesionales entienden mal
- La inmutabilidad técnica no es prueba de control: un hallazgo frecuente en entornos blockchain es la suposición de que, porque un registro está en cadena, no necesita auditoría convencional de controles. La NIA-ES 330.25 sigue requiriendo que el auditor obtenga evidencia de que los registros se han procesado "completamente y con precisión". La inmutabilidad previene alteraciones a posteriori, pero no previene que datos incorrectos o no autorizados se creen en primer lugar. Revisor: "¿Se verificó que la privada de la cartera se guardó de forma segura?" Respuesta incorrecta: "Está en blockchain, así que es seguro". Respuesta correcta: "Sí, la se guarda con Vault Solutions bajo encriptación de umbral; se probó que ningún empleado individual puede acceder". - Custodia de activos digitales confundida con registro de transacciones: el auditor debe evaluar tanto si el cliente posee el activo digital (¿dónde están las claves privadas? ¿quién tiene control? NIA-ES 500.5) como si las transacciones de tenencia se registraron correctamente. Son dos controles distintos. Un cliente podría registrar transacciones on-chain con precisión pero no poseer los activos si las claves privadas están bajo control de tercero sin documentación clara de propiedad beneficiaria. - Falta de documentación de los controles criptográficos: muchas entidades que usan blockchain no documentan explícitamente en su procedimiento de control interno cómo se verifican los registros on-chain. La NIA-ES 330.1 requiere que el auditor evalúe la efectividad del diseño de los controles. Un control que no está documentado no puede ser evaluado. Hallazgo frecuente: "Se probaron transacciones de blockchain de forma manual al final del período, pero no existía un procedimiento de control periódico documentado para monitorizar la integridad de los registros". Cuando el cliente pide opinión limpia y los papeles están flojos en este punto, no hombre, no, eso no se puede sacar adelante con lo que hay.
Posiciones legítimamente enfrentadas: ¿es la cadena suficiente como evidencia?
Aquí no hay consenso entre auditores que llevamos encargos cripto, y conviene reconocerlo en lugar de fingir que la profesión habla con una sola voz.
Posición A (confiar en la cadena): una blockchain pública con suficiente potencia de hash o stake detrás constituye evidencia de auditoría externa, en el sentido de la NIA-ES 500. El hash criptográfico es verificable de forma independiente, no depende de declaraciones del cliente, y la red de validadores actúa como tercero independiente. Por tanto, una vez confirmada una transacción a profundidad suficiente, el auditor puede tratarla como evidencia robusta sobre ocurrencia y registro, y centrar sus pruebas en los controles de acceso y entrada.
Posición B (exigir corroboración off-chain): la cadena solo demuestra que un determinado conjunto de bytes fue firmado por una privada y aceptado por un protocolo. No demuestra propiedad económica, ni intención, ni cumplimiento contractual. La auditoría exige evidencia sobre las aserciones de existencia, derechos y obligaciones, y valoración. Eso requiere documentos legales, conciliaciones con custodios y confirmaciones externas tradicionales. La cadena es un input más, no la evidencia final.
En mi caso, me sitúo más cerca de la posición B, sobre todo en clientes con custodia repartida o smart contracts complejos. La razón es que la NIA-ES 500 distingue entre fuente de la evidencia y suficiencia para sustentar una aserción concreta, y la cadena, por sólida que sea técnicamente, no responde a aserciones de derechos y obligaciones por sí sola. Lo que he visto es que los equipos que se apoyan demasiado en la posición A tienden a documentar poco la parte off-chain, y cuando llega la inspección del ICAC (Instituto de Contabilidad y Auditoría de Cuentas) o un EQR (Engagement Quality Review) interno serio, ahí falta chicha en los papeles.
Comparación: Blockchain frente a bases de datos centralizadas
| Dimensión | Blockchain | Base de datos centralizada |
|---|---|---|
| Fuente de la evidencia de integridad | Hash criptográfico verificable de forma independiente — el auditor puede rehash datos y confirmar coincidencia con blockchain público | Controles de acceso a base de datos, logs del sistema, respaldos — el auditor depende de controles técnicos internos del cliente |
| Riesgo de alteración a posteriori | Bajo (técnicamente inmutable en blockchains públicas; en privadas depende de permisos) | Moderado-alto (los administradores pueden alterar datos históricos sin huella en algunos sistemas) |
| Riesgo de entrada errónea o no autorizada | Alto (igual que cualquier entrada de datos; blockchain no valida lógicamente los datos, solo su integridad criptográfica) | Alto (igual) |
| Documentación de procedimientos de control | A menudo falta — el cliente confía en la inmutabilidad técnica en lugar de documentar procedimientos explícitos | Normalmente presente — el cliente documenta políticas de acceso y auditoría |
| Esfuerzo de auditoría para probar integridad | Medio (el auditor debe entender criptografía y tener acceso a nodos para verificar; la verificación es técnicamente objetiva) | Medio-alto (el auditor depende de controles de la entidad; la verificación requiere confianza en procedimientos internos) |
Por qué blockchain relocaliza el riesgo en lugar de reducirlo
Una observación de segundo orden que rara vez se hace explícita: cuando una entidad migra parte de su contabilidad a blockchain, el riesgo agregado no baja, cambia de sitio. El riesgo de alteración a posteriori cae casi a cero. Pero el riesgo de entrada errónea o no autorizada sube, porque los oráculos, los puentes (bridges) entre cadenas y los smart contracts ejecutan reglas que muchas veces nadie en el departamento financiero entiende del todo. El riesgo de custodia de claves se vuelve sistémico: perder una privada equivale a perder el activo, sin posibilidad de recuperación administrativa. Y el riesgo de comprensión técnica recae sobre el auditor, que ahora necesita entender criptografía, mecanismos de consenso y arquitectura de smart contracts para emitir una opinión razonada.
Esto explica una perversión incentivo-coste poco discutida: para el cliente, blockchain reduce coste operativo (menos reconciliación manual, liquidación más rápida) pero traslada coste a la auditoría, donde la firma necesita perfiles técnicos más caros y procedimientos más largos. El socio necesita el cliente, pero también necesita imagen fiel, y a la hora de la verdad esos dos objetivos no siempre conviven bien cuando los honorarios se han cerrado bajo el supuesto de que blockchain "simplificaba" la auditoría. Imagen fiel, esa palabra que ya nadie usa en las propuestas comerciales pero que sigue mandando cuando se firma el informe.
Términos relacionados
- Criptografía de pública: tecnología subyacente que asegura que solo el titular de la privada puede autorizar transacciones on-chain. Particularmente relevante para evaluar controles sobre quién puede firmar. - Segregación de funciones de tesorería: principio de control interno que en contextos blockchain requiere que la creación de transacciones se separe de la custodia de claves privadas. - Integridad de datos en auditoría: concepto general de la NIA-ES 330 que blockchain ayuda a lograr técnicamente pero no reemplaza. - Estimaciones contables en activos digitales: NIA-ES 540.13 aplicada a la valoración de criptomonedas y tokens. - Controles sobre sistemas de información: marco general de ITGC (IT General Controls) en el que blockchain es un caso especial de tecnología de registro de datos. - Pruebas de procedimientos analíticos en blockchain: cómo el auditor puede usar análisis de datos de cadena de bloques (análisis de transacciones, patrones de flujo) para obtener evidencia de la integridad de las operaciones.
Calculadora de riesgo de auditoría en blockchain
Si su cliente usa blockchain para registrar transacciones de activos digitales, use nuestra calculadora de evaluación de riesgos NIA-ES 315 para cuantificar el riesgo inherente por tipo de blockchain (pública, privada, híbrida) y por tipo de activo (criptomoneda, token, activo virtual), así como para documentar los procedimientos de auditoría que planea ejecutar.
---