Back to Blog

Siguiendo lo Congelado: Un Análisis On-Chain de la Lista Negra de USDT y sus Vínculos con la Financiación del Terrorismo

Phalcon
July 11, 2025
10 min read

Introducción

Las stablecoins han experimentado un rápido crecimiento en los últimos años. Como resultado, los reguladores enfatizan cada vez más la necesidad de mecanismos que permitan congelar fondos ilícitos. Observamos que las principales stablecoins, como USDT y USDC, ya incorporan dichas capacidades. En la práctica, ha habido numerosos casos en los que fondos vinculados al lavado de dinero y otras actividades ilegales fueron congelados con éxito.

Además, nuestra investigación indica que las stablecoins no solo se utilizan en el lavado de dinero, sino que también se emplean con frecuencia en la financiación de organizaciones terroristas. Por lo tanto, este blog tiene como objetivo examinar el problema desde dos perspectivas. En primer lugar, analizamos sistemáticamente las transacciones de USDT que han sido congeladas. En segundo lugar, investigamos cómo los fondos congelados están relacionados con la financiación del terrorismo.

Descargo de responsabilidad: Este análisis se basa únicamente en datos de acceso público y puede contener inexactitudes. Si tiene algún comentario o corrección, contáctenos en [email protected].

Análisis de Direcciones Bloqueadas de USDT

Recopilación de Datos

Nuestra metodología para identificar y rastrear las direcciones de Tether en lista negra se basa en el monitoreo directo de eventos en la cadena. El proceso, confirmado mediante el código fuente del contrato inteligente de Tether, es el siguiente:

  • Identificación de eventos: Determinamos que el contrato inteligente de Tether gestiona su lista negra emitiendo dos eventos específicos: AddedBlackList cuando se agrega una dirección, y RemovedBlackList cuando se elimina una dirección.
  • Construcción del conjunto de datos: Los datos extraídos se utilizan para construir un conjunto de datos de series temporales completo. Para cada dirección en lista negra, registramos los siguientes campos: la dirección en sí, la marca de tiempo de inclusión en la lista negra (blacklisted_at) y, si corresponde, la marca de tiempo de exclusión de la lista negra (unblacklisted_at) para su eliminación.
function addBlackList (address _evilUser) public onlyOwner {
  isBlackListed[_evilUser] = true;
  AddedBlackList(_evilUser);
}

function removeBlackList (address _clearedUser) public onlyOwner {
  isBlackListed[_clearedUser] = false;
  RemovedBlackList(_clearedUser);
}

event AddedBlackList(address indexed _user);

event RemovedBlackList(address indexed _user);

Hallazgos

Nuestro análisis de los datos de Tether (USDT) en las blockchains de Ethereum y Tron revela una tendencia notable. Desde el 1 de enero de 2016, un total de 5.188 direcciones han sido incluidas en la lista negra, lo que resultó en la congelación de activos por un valor superior a $2.900 millones.

Solo entre el 13 y el 30 de junio de 2025, 151 direcciones fueron incluidas en la lista negra, de las cuales el 90,07% estaban en la red Tron (Lista de direcciones). El valor total congelado durante este corto período alcanzó la asombrosa cifra de $86,34 millones.

  • Distribución temporal de los eventos de inclusión en lista negra: Se observaron picos de actividad de inclusión en lista negra el 15, 20 y 25 de junio, siendo el 20 de junio el día con el mayor número: 63 direcciones incluidas en un solo día.
  • Distribución de activos congelados entre las direcciones: Las 10 principales direcciones con los mayores saldos congelados acumulan colectivamente $53,45 millones, lo que representa el 61,91% del total. El monto promedio congelado ($571,76K) es significativamente superior a la mediana ($40,01K), lo que indica una distribución sesgada donde unas pocas direcciones de alto valor dominan, mientras que la mayoría tiene saldos congelados relativamente pequeños.
  • Distribución del valor histórico: Los flujos históricos totales de entrada a estas direcciones ascienden a $807,76 millones, de los cuales $721,43 millones fueron enviados antes de la aplicación de medidas, y $86,34 millones fueron congelados. Esto sugiere que la mayoría de los fondos probablemente fueron movidos antes de que se produjera la inclusión en la lista negra. Cabe destacar que el 17% de las direcciones en lista negra no tenían transacciones de salida, lo que insinúa un posible uso como puntos de almacenamiento temporal o agregación, lo que justifica un mayor escrutinio en investigaciones futuras.
  • Las cuentas recién creadas son las más propensas a ser incluidas en la lista negra: Entre todas las direcciones en lista negra, el 41% eran recién creadas (con < 30 días de actividad), el 27% mostraba actividad a mediano plazo (91–365 días), y solo el 3% tenía historiales de uso a largo plazo (≥ 730 días). Esto indica que las cuentas recién establecidas son objeto de una aplicación desproporcionada.
  • La mayoría de las cuentas logran una "salida previa a la congelación": Alrededor del 54% de las direcciones en lista negra ya habían transferido la mayor parte de sus fondos (definido como flujos de salida históricos ≥ 90% del total de flujos de entrada) antes de ser incluidas en la lista negra. Además, el 10% tenía un saldo cero en el momento de ser congeladas. Estos patrones sugieren que las acciones coercitivas a menudo solo capturan el valor residual de los flujos ilícitos, con la mayoría de los activos ya lavados o movidos.
  • Alta eficiencia de lavado entre las cuentas nuevas: Un gráfico de dispersión de FlowRatio vs. DaysActive revela que las cuentas más nuevas no solo dominan en cantidad y frecuencia de inclusión en lista negra, sino que también demuestran la mayor eficiencia de lavado, transfiriendo fondos de manera efectiva antes de la detección y aplicación de medidas.

Siguiendo el Dinero

MetaSleuth potenció nuestra investigación al permitir el rastreo de las 151 direcciones incluidas en la lista negra de Tether, que fueron bloqueadas por USDT entre el 13 y el 30 de junio, a través de las cuales identificamos tanto los principales financiadores como los destinos finales asociados a estas direcciones.

De Dónde Provienen los Fondos

  • Contaminación Interna (91 direcciones): Una parte significativa de las direcciones recibió fondos de otras direcciones en lista negra, lo que indica una red de lavado de dinero altamente interconectada.
  • Etiquetas de Phishing Falsas (37 direcciones): Muchas fuentes aguas arriba fueron etiquetadas como "phishing falso" en MetaSleuth, lo que sugiere el uso de tácticas de etiquetado engañosas para ocultar actividades ilícitas y evadir la detección.

https://metasleuth.io/result/tron/THpNSa3BMNPPzVNTPZ6aTmRsVzGR6uRmma?source=26599be9-c3a9-42a6-a2ae-b6de72418003

  • Billeteras Calientes de Exchanges (34 direcciones): Las fuentes de fondos incluyeron billeteras calientes de exchanges conocidos: Binance (20), OKX (7) y MEXC (7), lo que implica que los flujos de entrada pueden haberse originado en cuentas comprometidas o billeteras de intermediarios en exchanges centralizados.
  • Distribuidor Dominante Único (35 direcciones): Una sola dirección en lista negra apareció repetidamente como fuente aguas arriba, funcionando probablemente como un agregador central de fondos o mezclador para distribuir activos ilícitos.
  • Puntos de Entrada entre Cadenas (2 direcciones): Algunos fondos se originaron en puentes entre cadenas, lo que sugiere que también se aprovecharon mecanismos de lavado entre cadenas en el flujo de fondos.

A Dónde Fueron los Fondos

  • A Otras Direcciones en Lista Negra (54): Este patrón refuerza la existencia de un bucle de lavado interno dentro de la red.
  • A Exchanges Centralizados (41): Los fondos salieron a través de direcciones de depósito en exchanges centralizados, incluyendo Binance (30), Bybit (7) y otros.
  • A Puentes entre Cadenas (12): Indica intentos de lavar activos más allá del ecosistema de TRON, aprovechando mecanismos de transferencia entre cadenas.

https://metasleuth.io/result/tron/TBqeWc1apWjp5hRUrQ9cy8vBtTZSSnqBoY?source=ddea74a3-fb52-4203-846a-c7be07fbb78d

En particular, exchanges como Binance y OKX aparecen en ambos extremos del flujo de transacciones —como fuentes de entrada (a través de billeteras calientes) y como destinos de salida (a través de direcciones de depósito)—, lo que subraya su papel central en el movimiento de fondos. La combinación de una aplicación ineficaz de las normativas AML/CFT y los retrasos en la congelación de activos puede haber permitido que se produjeran transferencias ilícitas antes de que las acciones regulatorias pudieran surtir efecto.

Recomendamos que los exchanges de criptomonedas, como principales puntos de entrada y salida, adopten mecanismos de monitoreo, detección y bloqueo más robustos para mitigar de manera proactiva tales riesgos.

https://metasleuth.io/result/tron/TFjqBgossxvtfrivgd6mFVhZ1tLqqyfZe9?source=7ba5d0da-d5b5-41ab-b54c-d784fb57f079

Análisis de Financiación del Terrorismo

Para obtener una visión más profunda de las actividades de USDT potencialmente vinculadas a la financiación del terrorismo, examinamos documentos oficiales —específicamente, las Órdenes de Confiscación Administrativa emitidas por la Oficina Nacional para la Lucha contra la Financiación del Terrorismo (NBCTF) de Israel. Si bien reconocemos que ninguna fuente de datos por sí sola proporciona un panorama completo, utilizamos este conjunto de datos como un estudio de caso representativo para comprender un límite inferior conservador del USDT potencialmente involucrado en la financiación del terrorismo.

Hallazgos

Nuestra revisión de las publicaciones de la NBCTF reveló varios hallazgos clave:

  • Momento de las Órdenes de Confiscación: Solo se ha emitido una nueva orden de confiscación desde la escalada de los conflictos israelí-iraníes el 13 de junio de 2025, con fecha del 26 de junio. Antes de eso, la orden más reciente se emitió el 8 de junio, lo que indica un retraso notable a pesar del aumento de las tensiones.
  • Frecuencia y Objetivos desde el 7 de octubre de 2024: Desde el estallido del conflicto israelí-palestino, se han publicado ocho órdenes de confiscación. Entre estas, cuatro identifican explícitamente a "Hamas" como objetivo, mientras que solo una —la más reciente— menciona a "Irán".
  • Alcance de los Activos Objetivo: Las órdenes combinadas apuntaron a una amplia gama de activos, que incluyen:
    • 76 direcciones USDT (Tron)
    • 16 direcciones BTC
    • 2 direcciones de Ethereum
    • 641 cuentas de Binance
    • 8 cuentas de OKX

Nuestra investigación en cadena de las 76 direcciones USDT en Tron reveló una perspectiva operativa crucial sobre la respuesta de Tether en relación con las órdenes de confiscación de la NBCTF. Surgieron dos patrones distintos:

  • Inclusión Proactiva en Lista Negra: Tether ya había incluido en la lista negra 17 direcciones vinculadas a Hamas antes de la publicación pública de las órdenes de confiscación correspondientes. Estas acciones preventivas se produjeron, en promedio, 28 días de antelación, con el caso más temprano ocurriendo 45 días antes de la publicación oficial.
  • Reacción Rápida: Para las direcciones restantes que no estaban ya en la lista negra en el momento de la divulgación pública, Tether respondió con prontitud. El tiempo promedio para la inclusión en la lista negra tras una orden de confiscación fue de 2,1 días, lo que demuestra una rápida respuesta operativa a los mandatos oficiales.

Estos hallazgos sugieren una colaboración estrecha y, en algunos casos, preventiva entre los emisores de stablecoins (Tether) y las agencias de aplicación de la ley, lo que desafía la percepción común de que las criptomonedas funcionan completamente fuera del ámbito de la supervisión regulatoria y de seguridad.

Conclusión y Desafíos AML/CFT

Nuestra investigación revela que las stablecoins como USDT ofrecen herramientas poderosas para la transparencia y el control de transacciones, pero también plantean desafíos emergentes para la aplicación de las normativas contra el lavado de dinero (AML) y la financiación del terrorismo (CFT). La presencia de bucles de lavado interconectados, ofuscación entre cadenas, retrasos en las acciones coercitivas y la explotación de exchanges centralizados pone de manifiesto las vulnerabilidades sistémicas en el ecosistema de cumplimiento actual.

Destacan varios desafíos clave:

  • Aplicación Reactiva vs. Proactiva: Si bien Tether demostró un comportamiento tanto proactivo como reactivo en la inclusión en listas negras, la mayoría de las acciones AML/CFT todavía dependen de medidas ex-post, lo que permite a los actores ilícitos mover fondos significativos antes de la intervención.
  • Puntos Ciegos en los Exchanges: Los exchanges centralizados siguen siendo una parte crítica del proceso de lavado, apareciendo a menudo como puntos de entrada y salida. El monitoreo insuficiente o los tiempos de respuesta lentos en estas puertas de enlace permiten que los flujos sospechosos continúen en gran medida sin obstáculos.
  • Complejidad del Lavado entre Cadenas: El uso de puentes e infraestructura multi-cadena complica la trazabilidad, ya que los actores ilícitos explotan cada vez más ecosistemas menos regulados y la ofuscación basada en puentes para eludir los controles de cumplimiento.

Para abordar estos problemas, recomendamos que los participantes del ecosistema —en particular los emisores de stablecoins, los exchanges y los reguladores— mejoren el intercambio colaborativo de inteligencia, inviertan en análisis de comportamiento en tiempo real e implementen marcos de cumplimiento entre cadenas. Solo a través de esfuerzos AML/CFT oportunos, coordinados y técnicamente sofisticados podremos salvaguardar eficazmente la legitimidad y la seguridad del ecosistema de stablecoins.

Los Esfuerzos de BlockSec

En BlockSec, estamos comprometidos a avanzar en la seguridad y la resiliencia regulatoria del ecosistema cripto. Nuestros esfuerzos en Anti-Lavado de Dinero (AML) y Lucha contra la Financiación del Terrorismo (CFT) se centran en habilitar inteligencia accionable, detección proactiva y mecanismos de aplicación trazables.

En primer lugar, nuestra plataforma Phalcon Compliance está diseñada para ayudar a exchanges, reguladores, instituciones financieras y proyectos cripto (incluidos pagos cripto y DEX) a detectar actividades sospechosas en tiempo real. Proporciona puntuación de riesgo en cadena, monitoreo de transacciones y verificación de direcciones en múltiples cadenas, ayudando a las entidades a cumplir con los requisitos regulatorios.

En paralelo, MetaSleuth, nuestra herramienta de investigación en línea, permite tanto a analistas como al público rastrear flujos de fondos ilícitos con visualizaciones intuitivas y seguimiento entre cadenas. MetaSleuth ya ha sido adoptada por más de 100 agencias de aplicación de la ley y cumplimiento en todo el mundo, incluyendo reguladores financieros, fuerzas del orden y firmas consultoras globales.

Juntas, estas herramientas reflejan nuestra misión: cerrar la brecha entre la transparencia de la blockchain y la aplicación regulatoria, mientras se salvaguarda la integridad del sistema financiero descentralizado.

Sign up for the latest updates
Sanciones de la OFAC al Cártel de Sinaloa: Rastreo de Fondos en la Cadena de Bloques

Sanciones de la OFAC al Cártel de Sinaloa: Rastreo de Fondos en la Cadena de Bloques

La OFAC sancionó una red del Cártel de Sinaloa por lavar ganancias de fentanilo. Rastreamos las seis direcciones sancionadas con MetaSleuth y el dinero fluye casi en su totalidad a través de exchanges centralizados.

Software de Cumplimiento Cripto: Flujos de Trabajo Diarios para Analistas de AML

Software de Cumplimiento Cripto: Flujos de Trabajo Diarios para Analistas de AML

Guía operativa para analistas AML con software de cumplimiento cripto. Cubre triaje de alertas, rastreo de fondos KYT, detección de mixers, documentación SAR, screening automatizado de entidades y errores comunes en investigaciones.

Guía VASP: Cómo construir desde cero un stack de software de cumplimiento normativo para criptomonedas

Guía VASP: Cómo construir desde cero un stack de software de cumplimiento normativo para criptomonedas

Guía técnica para VASPs que construyen un stack de cumplimiento cripto. Cubre pipelines KYT, reportes STR/SAR multijurisdicción, scoring de riesgo automatizado, sincronización API y presentación regulatoria automatizada.