Todas las entradas

11 min de lectura

Registros de cumplimiento que los auditores pueden comprobar sin confiar en el proveedor

Ancla en Cardano una raíz de Merkle de tus pruebas de cumplimiento y, más adelante, un auditor podrá confirmar que un informe o un registro concreto quedó comprometido por una fecha pública, sin confiar en el sistema que lo produjo.

Las pruebas de cumplimiento convencen más cuando están ancladas fuera del sistema que las creó. El patrón es sencillo: cada cierto tiempo calculas el hash de tus informes, registros de auditoría e instantáneas de controles, agrupas esos hashes en una única raíz de Merkle y publicas esa raíz como una prueba de existencia Label 309 en Cardano. Más adelante, un auditor que solo tenga las hojas y la referencia de la transacción podrá confirmar que un elemento concreto formaba parte del lote comprometido y que el lote existía antes de un tiempo público de bloque, sin confiar en tu base de datos, tu panel ni tu palabra.

Esto no demuestra que cada evento registrado sea cierto. Lo que hace es que reescribir algo en silencio sea mucho más difícil de ocultar.

¿Por qué «está en nuestro sistema» es una respuesta débil ante un auditor?

La mayoría de las pruebas de cumplimiento viven dentro de los sistemas del proveedor, lo cual es cómodo pero genera un problema de confianza. Si la prueba se guarda solo en la misma plataforma que produjo el informe, quien la revise después se queda con preguntas que el sistema no puede responder sobre sí mismo:

  • ¿Pudo editarse el registro a posteriori?
  • ¿Se generó el informe antes o después del plazo?
  • ¿Existió realmente esta instantánea de control en ese momento?
  • ¿Se rellenó la prueba con datos retroactivos tras un incidente?
  • ¿El PDF exportado es el mismo que se revisó?
  • ¿Pudo el proveedor o un administrador reescribir el registro?

Un sistema interno puede estar bien controlado y seguir siendo, aun así, un sistema interno. Los sellos de tiempo, el historial de cambios y el estado «a fecha de» proceden todos de la misma parte cuya conducta se está examinando. La prueba de existencia añade un testigo externo a la cronología: un registro independiente de que un digest determinado existía antes de un tiempo público determinado.

¿Qué pruebas conviene anclar?

Ancla las pruebas que podrían importar más adelante: cualquier cosa que un regulador, un cliente, un consejo o un tribunal pudiera pedirte algún día que reprodujeras tal como estaba en una fecha concreta. Candidatos habituales:

  • informes de cumplimiento y de transparencia;
  • evaluaciones de riesgos;
  • instantáneas de controles;
  • registros de auditoría;
  • revisiones de accesos;
  • aprobaciones de políticas;
  • registros de gobernanza de la IA y de evaluación de modelos;
  • informes de moderación de contenidos;
  • cronologías de incidentes;
  • registros de respuesta a vulnerabilidades;
  • entregables de seguridad para clientes;
  • presentaciones dirigidas a reguladores;
  • registros de tratamiento de datos.

Las pruebas en sí pueden permanecer privadas. El registro público se compromete únicamente con un hash, o con una raíz de Merkle sobre muchos hashes, nunca con el contenido subyacente.

¿Por qué agrupar las pruebas en una raíz de Merkle en lugar de anclar cada archivo?

Las pruebas de cumplimiento suelen ser un flujo, no un único archivo. Un solo día puede producir cientos o miles de registros; un solo periodo de auditoría puede abarcar muchos sistemas; una sola plataforma puede generar a la vez registros de moderación de contenidos, atención al cliente, seguridad, evaluación de modelos y respuesta a incidentes. Anclar cada elemento en su propia transacción sería lento y caro.

Un árbol de Merkle resuelve esto. Calculas el hash de cada elemento en una hoja, pliegas las hojas en una única raíz de 32 bytes y publicas esa raíz única. La lista ordenada de hojas se queda fuera de la cadena. Más adelante, cualquiera que tenga las hojas puede demostrar que un informe o una entrada de registro concretos estaban incluidos con una pequeña prueba de inclusión que crece solo con el logaritmo del tamaño del lote, sin necesidad de poner ningún registro privado en la cadena.

La raíz es pública; las pruebas subyacentes permanecen bajo tus propios controles. Si estás sopesando esto frente a un enfoque por archivo, un registro para miles de archivos recorre las ventajas y los inconvenientes.

¿Qué verifica realmente un auditor?

Un auditor verifica la cadena que va desde una sola prueba hasta la blockchain. Para un elemento, los pasos son:

  1. el propio archivo, informe o entrada de registro;
  2. su hash;
  3. la prueba de inclusión de Merkle que enlaza ese hash con la raíz;
  4. la raíz registrada en el registro Label 309;
  5. el tiempo de la transacción de Cardano;
  6. cualquier firma sobre el registro;
  7. tu política, que describe la cadencia de registro.

Construir el árbol y comprobar una prueba de inclusión son pura computación: sin servidor, sin cuenta, sin red. Cualquiera que tenga las hojas y la raíz en la cadena puede volver a derivar cualquier prueba de forma independiente, y eso es justo el objetivo: la verificación no depende de tu cooperación.

Esto responde a una pregunta concreta pero útil: ¿formaba parte esta prueba exacta de un lote comprometido en ese momento? No es una opinión de auditoría completa, pero le da al auditor un ancla externa para la cronología de las pruebas que ningún sistema interno puede aportar.

¿Cómo encaja esto con la creciente presión regulatoria?

Muchos regímenes regulatorios avanzan hacia más documentación, más informes y más transparencia legible por máquina. La Ley de Servicios Digitales de la UE es un ejemplo claro. Exige que los servicios intermediarios publiquen informes de transparencia y que los servicios de alojamiento emitan declaraciones de motivos para las decisiones de moderación, y añade obligaciones más exigentes a las plataformas en línea y los motores de búsqueda de muy gran tamaño: informes más frecuentes, acceso a datos para investigadores acreditados, un canal anónimo para denunciantes y evaluaciones de riesgos anuales junto con informes de auditoría independientes. La Comisión también ha estandarizado los informes de transparencia en un formato comparable y legible por máquina.

Anclar los hashes de las pruebas no satisface por sí solo una regulación, y este artículo no es asesoramiento jurídico: la prueba adecuada depende de la ley, la jurisdicción, la empresa y el flujo de trabajo. Pero la necesidad de fondo es constante: cada vez más, los equipos tienen que producir pruebas repetibles capaces de resistir el escrutinio. Un compromiso con sello de tiempo puede ayudar a demostrar que una prueba existía antes de la revisión, el plazo, el incidente o el litigio, en lugar de haberse montado como respuesta a ellos.

¿Qué significa aquí exactamente «sin confiar en el proveedor»?

Confiar en el proveedor es apoyar toda la historia probatoria en la base de datos de una sola plataforma. Tres situaciones conocidas muestran dónde falla eso:

  • Si tu panel de cumplimiento dice que un control estaba en verde el mes pasado, ¿puedes demostrar que el panel lo decía el mes pasado, y no que se editó ayer?
  • Si tu herramienta de gobernanza de la IA dice que un informe de moderación existía antes de un incidente público, ¿puedes demostrar que el informe no se regeneró a posteriori?
  • Si tu plataforma de GRC exporta un PDF, ¿puedes demostrar que ese PDF exacto fue el que se revisó?

Un registro Label 309 no elimina al proveedor de tu flujo de trabajo. El proveedor puede seguir generando informes y almacenando pruebas. Lo que cambia es que la prueba crea un compromiso externo que el proveedor no puede reescribir en silencio después sin romper el rastro del hash. («GRC» significa aquí gobernanza, riesgo y cumplimiento, la categoría de herramientas que incluye plataformas como Vanta, Drata y similares.)

¿Qué debería contener el manifiesto?

Un manifiesto hace que la prueba sea comprensible para quien la verifique más adelante. Un manifiesto de cumplimiento podría registrar:

  • el periodo de las pruebas;
  • el nombre del sistema;
  • los identificadores de control y de informe;
  • el nombre del archivo y el hash del archivo;
  • el tipo de registro;
  • el responsable;
  • el sello de tiempo de la exportación;
  • la versión de la política;
  • el estado de la firma;
  • la ubicación de almacenamiento;
  • una referencia a la prueba de inclusión.

El manifiesto puede mantenerse privado, publicarse abiertamente o sellarse para destinatarios concretos. Lo que importa es que sea lo bastante estable y esté lo bastante documentado como para poder verificarlo después. Un manifiesto mal documentado puede dejar una prueba criptográficamente válida pero operativamente confusa: los bytes cuadran, pero nadie sabe decir con qué se estaban comprometiendo.

¿Con qué frecuencia conviene anclar?

Ajusta la cadencia al riesgo. Algunos equipos anclan a diario; otros lo hacen cada hora, por incidente, por publicación, por ciclo de auditoría o por informe regulatorio.

Para las obligaciones de supervisión continua, una cadencia regular es justo lo importante. Un informe generado el día antes de una auditoría resulta mucho menos convincente que una cadena de compromisos periódicos que demuestre que las pruebas se fueron capturando con el tiempo. La cadencia puede convertirse en parte del propio control: si tu política dice que se publica una raíz cada día, un día que falte es visible para todos. La misma lógica convierte la prueba de existencia en algo natural para pruebas legales y e-discovery, donde el cuándo se registró algo es precisamente la cuestión en disputa.

¿Deberían sellarse los registros de cumplimiento?

A menudo, sí. Las pruebas de cumplimiento pueden contener datos operativos sensibles, datos personales, detalles de seguridad o registros comerciales confidenciales. Publicar el texto plano sería un error. Label 309 admite tres patrones, y puedes combinarlos:

  • Solo hash: publicas únicamente el compromiso y mantienes las pruebas internas.
  • Raíz de Merkle: publicas una raíz sobre muchos elementos de prueba privados.
  • Sellado: almacenas pruebas cifradas o un manifiesto en una URI direccionada por contenido y envuelves la clave de descifrado para destinatarios concretos, de modo que la prueba y el texto cifrado puedan viajar juntos mientras que solo quienes poseen las claves autorizadas pueden leer el contenido.

El sellado es útil cuando quieres a la vez un sello de tiempo verificable y confidencialidad; por ejemplo, pruebas que quizá tengas que entregar a un regulador o auditor más adelante pero que hoy no puedes publicar. Ten presentes sus límites: un registro sellado demuestra el momento y la integridad, no el secreto para siempre. Un destinatario que descifre el contenido todavía puede filtrar el texto plano después.

¿Qué es lo que esto no demuestra?

Una prueba de existencia demuestra que unos bytes exactos existían antes de un tiempo público. Es precisa sobre eso y guarda silencio sobre todo lo demás:

  • No demuestra que el evento subyacente fuera cierto. Si se genera y se compromete un informe falso, la prueba demuestra que el informe falso existió; no puede hacerlo exacto.
  • No demuestra que el programa de cumplimiento sea eficaz.
  • No sustituye los controles de acceso, la gestión de cambios, la integridad del registro, la separación de funciones, la revisión jurídica ni los procedimientos de auditoría.
  • No demuestra que las pruebas estén completas a menos que tu proceso y tus controles respalden esa afirmación de forma independiente.

La prueba de existencia es una capa de integridad probatoria, no un programa de cumplimiento. Para el conjunto completo de límites, consulta lo que una prueba no demuestra.

¿Cuál es una buena primera implementación?

Empieza por los informes que ya generas, y por un único flujo de pruebas en lugar de todos los sistemas a la vez:

  1. Elige un informe de cumplimiento o una instantánea de control.
  2. Expórtalo en un formato estable y reproducible.
  3. Calcula el hash del archivo.
  4. Añade el hash a un manifiesto diario o semanal.
  5. Construye una raíz de Merkle para el periodo.
  6. Publica un registro Label 309, firmado si quieres.
  7. Guarda el manifiesto, la lista de hojas, las pruebas de inclusión y la referencia de la transacción.
  8. Documenta el proceso para que los auditores sepan qué significa la prueba.

Luego amplía al siguiente flujo de pruebas. La misma forma encaja sin fricciones en la automatización: los pasos de construir y publicar se acoplan a una canalización de CI/CD que ancla una raíz al final de cada ejecución.

¿Por qué le importa esto a un CEO, y no solo al equipo de cumplimiento?

Cambia la conversación de «confía en nuestro panel» a «verifica la cronología de nuestras pruebas», y esa distinción importa por igual a clientes, auditores, consejos, inversores, reguladores y revisiones internas de incidentes.

También reduce la dependencia de un único proveedor. Si el sistema del proveedor cambia, las exportaciones desaparecen o se cierra una cuenta, sigues teniendo compromisos con sello de tiempo sobre las pruebas que conservaste. Las pruebas se verifican contra una blockchain pública y un explorador público, sin ningún servidor del emisor de por medio. Planteado así, esto no es en realidad una función de cripto. Es resiliencia probatoria.

La versión corta

Las pruebas de cumplimiento deberían ser difíciles de reescribir a escondidas. Calcula el hash de los informes y registros que importan, agrúpalos en raíces de Merkle, publica registros Label 309 con una cadencia clara y conserva el manifiesto y las pruebas de inclusión. Sella las pruebas sensibles cuando el contenido no pueda ser público.

La prueba no te dirá si la empresa cumplía. Sí puede ayudar a demostrar qué pruebas existían, cuándo existían y si un archivo posterior sigue coincidiendo con el registro comprometido, y le permite a un auditor confirmar todo eso sin tener que creerse tus sistemas a ciegas.

Para seguir leyendo

complianceauditmerkle