Tecnología

KYC de conocimiento cero: verificar sin revelar

El ZK-KYC permite verificar el cumplimiento sin almacenar datos personales. Cómo las pruebas de conocimiento cero resuelven la paradoja RGPD-compliance en 2026.

Emily Carter
Por Emily CarterConsultora de Estrategia de IA en Joinble
·12 min de lectura
Compartir
KYC de conocimiento cero: verificar sin revelar
imageUsa esta imagendownloadDescargar

En el corazón del KYC moderno existe una contradicción. La ley de protección de datos exige recoger solo lo necesario y eliminar los datos cuando ya no son precisos. La ley de cumplimiento normativo exige recopilar información personal extensa y conservarla entre cinco y diez años. Ambas obligaciones son reales. La mayoría de los equipos de compliance resuelven esta tensión ignorando una de ellas — y generalmente es el principio de minimización de datos el que sale perdiendo.

Las pruebas de conocimiento cero (ZK proofs) no eliminan ese dilema, pero cambian su geometría. Una prueba ZK permite que una parte convenza a otra de que una afirmación es verdadera sin revelar la información subyacente que la hace verdadera. Aplicado a la verificación de identidad, significa: "Esta persona es mayor de 18 años, no figura en ninguna lista de sanciones y posee un documento de identidad europeo válido" — demostrado criptográficamente, sin entregar la fecha de nacimiento, el nombre ni el número de documento.

Esta no es una promesa teórica. Es tecnología en producción que están desplegando grandes instituciones financieras y protocolos cripto ahora mismo, y el marco regulatorio europeo de 2026 y 2027 está evolucionando activamente en esta dirección.

La contradicción RGPD–KYC, en términos concretos

El artículo 5 del RGPD establece que los datos personales deben ser "adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados" — el principio de minimización de datos. El artículo 25 exige la "protección de datos desde el diseño y por defecto."

El KYC tradicional hace exactamente lo contrario. Un proceso de incorporación estándar recoge:

  • Nombre legal completo
  • Fecha de nacimiento
  • Domicilio
  • Número de documento y fecha de caducidad
  • Biometría facial completa (selfie o vídeo)
  • Justificante de domicilio (factura, extracto bancario)

Todos estos datos se almacenan, típicamente durante cinco a diez años en virtud de las obligaciones de conservación de registros de la 6AMLD. Los datos se guardan en bases de datos que son objetivos prioritarios para los atacantes. Cada brecha importante en proveedores de KYC — incluido el incidente Mercor que expuso datos biométricos — sigue el mismo patrón: un repositorio centralizado de datos de identidad sensibles, comprometido a escala.

Las autoridades de control de protección de datos lo han notado. Las autoridades alemana, francesa y holandesa han publicado orientaciones en los últimos 18 meses indicando que la recogida y almacenamiento de datos biométricos brutos para fines de KYC requiere justificación explícita bajo el artículo 9, y que deben evaluarse medidas técnicas alternativas cuando alcancen el mismo resultado de cumplimiento con menor exposición de datos.

El ZK-KYC es una de esas medidas técnicas alternativas.

Lee también

Cómo funcionan las pruebas ZK para la verificación de identidad

La mecánica criptográfica no es trivial, pero el modelo práctico es sencillo.

En un sistema ZK-KYC, la verificación de identidad sigue ocurriendo — un usuario sigue demostrando quién es ante un emisor de confianza (una autoridad gubernamental, un proveedor de identidad con licencia o el Monedero EUDI). La diferencia está en lo que ocurre después.

En lugar de que la parte dependiente (tu banco, tu exchange cripto) reciba los datos brutos, recibe una credencial verificable — una atestación firmada criptográficamente — junto con una prueba ZK que demuestra que la credencial satisface condiciones específicas sin revelar el contenido de la credencial.

El flujo funciona así:

Paso KYC Tradicional ZK-KYC
El usuario verifica su identidad Con el proveedor KYC Con el emisor de confianza (p.ej. Monedero EUDI)
Lo que recibe la parte dependiente Nombre, DNI, copia de documento, selfie Prueba criptográfica: "Usuario mayor de 18, no sancionado, residente UE"
Lo que se almacena Conjunto completo de datos personales Hash de la prueba; sin datos personales brutos
Coste de re-verificación Comprobación documental completa por plataforma Cero: credencial reutilizable entre plataformas
Exposición en caso de brecha Datos personales completos en riesgo Sin datos personales que robar

La reutilización es el argumento económico. En el KYC tradicional, un usuario verifica su identidad por separado en cada institución financiera, cada exchange, cada plataforma regulada. Con ZK-KYC y una credencial portátil (como el Monedero EUDI), la verificación ocurre una sola vez y la credencial resultante se reutiliza en todo el ecosistema mediante pruebas ZK específicas por plataforma derivadas de ella.

La conexión con eIDAS 2.0

El Monedero EUDI, que los estados miembros de la UE deben poner a disposición de los ciudadanos antes de diciembre de 2026, está diseñado arquitectónicamente para la divulgación selectiva. Los ciudadanos almacenan credenciales — DNI nacional, carnet de conducir, titulaciones — en el monedero y eligen exactamente qué atributos compartir con cada parte dependiente.

El estándar técnico que sustenta esto son las Credenciales Verificables W3C combinadas con mecanismos de divulgación selectiva (formatos SD-JWT y mdoc). Aunque no son estrictamente pruebas ZK en el sentido académico criptográfico, encarnan el mismo principio: el usuario demuestra que posee una credencial válida y divulga solo los atributos específicos requeridos.

Para los fines de KYC bajo eIDAS 2.0, una parte dependiente puede solicitar:

  • Confirmación de edad (mayor de 18, mayor de 21) sin fecha de nacimiento
  • Nacionalidad sin número de pasaporte
  • Confirmación de domicilio sin la dirección completa

Analizamos en detalle lo que implica la implementación del Monedero EUDI para los flujos de KYC en nuestra guía de cumplimiento eIDAS 2.0. El ZK-KYC añade una capa: la divulgación selectiva es el mecanismo de privacidad; las pruebas ZK son el sustrato criptográfico que lo hace verificable sin requerir que la parte dependiente confíe ciegamente en el proveedor del monedero.

MiCA y el problema de privacidad en cripto

MiCA exige KYC completo para todos los proveedores de servicios de criptoactivos de la UE, sin exenciones de minimis para operaciones pequeñas e implementación obligatoria de la Travel Rule antes del 1 de julio de 2026. El estado del KYC en cripto en 2026 mapea lo que eso significa en la práctica.

La tensión en el contexto cripto es aguda. Muchos protocolos DeFi y usuarios cripto se oponen a la verificación de identidad por razones filosóficas, pero más pragmáticamente, el riesgo de un repositorio centralizado de datos es severo: los exchanges y protocolos DeFi son objetivos de alto valor para atacantes sofisticados.

Los despliegues de ZK-KYC en el espacio cripto — Polygon ID, zkLogin (Sui Foundation) y varios exchanges con licencia MiCA que experimentan con incorporación basada en ZK — intentan resolver esta contradicción. El usuario puede demostrar que no figura en una lista de sanciones y que posee un documento de identidad gubernamental válido sin que el exchange retenga los datos de su pasaporte.

Los reguladores aún no han emitido orientaciones definitivas sobre si el ZK-KYC satisface los requisitos de conservación de registros de la 6AMLD y el AMLR en todos los casos. El paquete de RTS de DDC de AMLA — que examinamos en detalle en lo que los estándares de DDC de AMLA exigen a los sistemas de identidad — abre espacio para "tecnología avanzada" pero no nombra las pruebas ZK específicamente.

Tres modelos de despliegue reales

El mercado ha convergido en tres arquitecturas prácticas para el ZK-KYC.

Credenciales ZK ancladas al emisor. Un proveedor de KYC con licencia realiza la comprobación completa de documentos y biometría una sola vez. Emite una credencial firmada que atestigua el resultado. El usuario guarda esta credencial en un monedero. Las partes dependientes verifican contra la credencial sin contactar de nuevo al proveedor KYC — solo comprueban la firma criptográfica. Esto resuelve el coste de re-verificación pero mantiene un emisor de confianza en la cadena.

Credenciales eIDAS emitidas por el gobierno con derivación ZK. La credencial del Monedero EUDI se convierte en la raíz de confianza. Se derivan pruebas ZK de ella para demostrar atributos específicos. No se necesita ningún proveedor de KYC para el paso de incorporación — la identidad digital emitida por el gobierno ES la verificación. Esta es la dirección a largo plazo para la UE, y el plazo del monedero de diciembre de 2026 lo hace una realidad a corto plazo.

Protocolos de identidad ZK en cadena. Protocolos como Polygon ID e iden3 emiten credenciales en cadena con pruebas ZK incrustadas en la lógica de verificación de la blockchain. Los contratos inteligentes pueden verificar afirmaciones de identidad sin acceder a datos personales. Este es el enfoque nativo DeFi, aunque plantea preguntas regulatorias adicionales sobre quién es la "entidad obligada" bajo el AMLR cuando la lógica de verificación es código autónomo.

Lo que esto cambia para los equipos de compliance

El ZK-KYC no elimina las obligaciones de cumplimiento. Cambia dónde recaen esas obligaciones.

La carga se desplaza desde el almacenamiento y control de acceso (hoy: gestión de enormes conjuntos de datos personales, respuesta a solicitudes de acceso de titulares de datos, mantenimiento de sistemas de conservación de registros, protección contra brechas) hacia la gobernanza de credenciales (mañana: gestión de qué emisores confiar, qué tipos de credenciales satisfacen qué requisitos regulatorios, y mantenimiento de registros de pruebas para inspección regulatoria).

La complejidad operativa se desplaza a la capa de orquestación de verificación — asegurando que se acepten los tipos correctos de credenciales, que las comprobaciones de revocación se ejecuten en tiempo real, y que los registros de auditoría permanezcan coherentes en el sistema distribuido.

Aquí es exactamente donde la arquitectura KYC agéntica añade valor: los agentes de IA que manejan las decisiones de verificación pueden entrenarse para evaluar tipos de credenciales, comprobar el estado de revocación y mantener registros de pruebas sin que ningún humano toque datos personales brutos.

El riesgo de fraude que nadie menciona

El ZK-KYC tiene una vulnerabilidad significativa que el sector no ha abordado plenamente: el robo de credenciales en el emisor.

Si el emisor de confianza se ve comprometido — si los tokens firmados para un conjunto de identidades reales son robados — los atacantes poseen tokens criptográficos válidos que producen pruebas ZK válidas. La prueba dice "esta es una ciudadana europea real con una identidad válida" porque, criptográficamente, lo es. Detectarlo requiere infraestructura de revocación que funcione más rápido de lo que los atacantes pueden desplegar credenciales robadas, o señales conductuales y de dispositivo suplementarias que no dependan de la propia credencial.

Este no es un argumento contra el ZK-KYC. Es un argumento para combinarlo con la inteligencia de identidad predictiva y continua que detecta anomalías conductuales incluso cuando la credencial es correcta.

Qué observar en el segundo semestre de 2026

  • Las primeras orientaciones supervisoras de AMLA sobre ZK-KYC, esperadas en el tercer trimestre de 2026, aclararán si los registros de pruebas criptográficas satisfacen los requisitos de conservación del artículo 20 del AMLR.
  • Las implementaciones del Monedero EUDI que entren en funcionamiento en estados miembros de la UE desde el tercer trimestre de 2026 producirán los primeros datos reales a escala sobre la adopción de la divulgación selectiva.
  • La revisión del GAFI sobre activos virtuales tiene prevista una consulta que debería hacer referencia a métodos de verificación que preserven la privacidad.
  • Las obligaciones del artículo 10 de la Ley de IA de la UE que entran en vigor en agosto de 2026 exigirán documentación de los sistemas de verificación basados en IA — incluidos los basados en ZK.

Preguntas frecuentes

¿El ZK-KYC satisface plenamente los requisitos de conservación de registros AML de la UE? Todavía no de forma definitiva. El artículo 20 del AMLR exige registros de las medidas adoptadas para verificar la identidad. Si un registro de pruebas criptográficas satisface ese requisito sin datos personales almacenados es la pregunta regulatoria abierta. Se espera que la orientación de AMLA en el tercer trimestre de 2026 lo aclare.

¿Puede usarse ZK-KYC para todas las obligaciones de cumplimiento de MiCA? Para la diligencia debida estándar del cliente, sí en principio — si la credencial ZK atestigua los atributos requeridos (identidad, estado de sanciones, jurisdicción). Para la diligencia debida reforzada (EDD) activada por factores de alto riesgo, puede seguir siendo necesaria la recogida adicional de documentos.

¿Cómo interactúa el ZK-KYC con la Travel Rule? La Travel Rule exige que los datos del originante y el beneficiario acompañen a las transferencias. El ZK-KYC puede reducir los datos que almacena el CASP originante, pero la Travel Rule crea una obligación de divulgación entre pares que las pruebas ZK por sí solas no satisfacen. Las arquitecturas híbridas — ZK para la incorporación, transferencia de datos personales cifrados para la Travel Rule — son la solución operativa.

¿Qué ocurre si se roba o falsifica una credencial ZK? Las credenciales emitidas por un emisor de confianza llevan una firma criptográfica. Falsificar una credencial requiere comprometer la clave del emisor — computacionalmente inviable con la criptografía actual. El robo de una credencial legítimamente emitida es el riesgo real. Las listas de revocación mantenidas por el emisor permiten invalidar credenciales comprometidas.

¿Está disponible el ZK-KYC para despliegue empresarial hoy? Existen varios sistemas en producción: Polygon ID, monederos piloto eIDAS 2.0 (Bundeswallet alemán, AppID francés) e integraciones empresariales construidas sobre Credenciales Verificables W3C con SD-JWT. Las herramientas empresariales están madurando rápidamente; la claridad regulatoria está rezagada aproximadamente 12-18 meses.

¿Admite Joinble la verificación de identidad basada en ZK? La plataforma de Agentes IA de Joinble está diseñada para orquestar cualquier señal de identidad, incluidas las comprobaciones de credenciales verificables y la validación de pruebas ZK. A medida que avanza el despliegue del Monedero EUDI y la orientación de AMLA aclara la posición sobre conservación de registros, la capa de agentes gestiona la lógica de integración — enrutando el método de verificación correcto a cada caso sin reconstruir la infraestructura subyacente.

Emily CarterEmily Carter
Compartir

Artículos relacionados

KYC Agéntico: Cómo los Agentes de IA Autónomos Están Sustituyendo las Revisiones Manuales de Compliance
Tecnología31 Mar, 2026

KYC Agéntico: Cómo los Agentes de IA Autónomos Están Sustituyendo las Revisiones Manuales de Compliance

El KYC tradicional depende de revisores humanos. El KYC agéntico usa agentes de IA autónomos que detectan deepfakes, evalúan riesgo y toman decisiones de compliance. Descubre cómo la arquitectura multi-agente reduce el 80% de revisiones manuales cumpliendo MiCA y AMLD6.

Tokenización de activos: por qué el KYC es clave
Tecnología16 Mar, 2026

Tokenización de activos: por qué el KYC es clave

La tokenización de activos está transformando las finanzas, el inmobiliario y el mercado del arte. Pero sin una verificación de identidad robusta, la economía token no puede escalar. Descubre cómo el KYC potenciado por IA permite una tokenización segura y conforme.

KYC 3.0: del check reactivo a la inteligencia predictiva
Tecnología23 Feb, 2026

KYC 3.0: del check reactivo a la inteligencia predictiva

El KYC 2.0 — la verificación documental única en el alta — está muerto. El KYC 3.0 convierte el onboarding en inteligencia de identidad continua.

grid_view
Siguiente artículoAMLR 2027: KYC obligatorio para inmobiliaria y lujo
arrow_forward