El cajero de Bitcoin de Samarashop: probé el hueco de KYC y así funciona

La primera vez que vi el cajero estaba en Samarashop. La segunda, semanas después, lo encontré a un costado de la embajada de Venezuela —la misma marca, la misma interfaz—. Dos ubicaciones en CDMX operadas por el mismo proveedor, BTM, y dos oportunidades para hacer exactamente lo mismo: convertir efectivo en bitcoin sin identificarte.

La máquina, el botón, y el hueco

El cajero permite compra y venta de BTC contra efectivo. En cuanto inicias una operación, la pantalla hace una pregunta que, en teoría, es la llave de todo el control antilavado: "¿Vas a transaccionar más de 8,000 pesos?"

Si respondes que sí, te pide escanear tu pasaporte antes de continuar. Si respondes que no, te deja avanzar sin KYC, sin identificación, sin un registro asociado a una persona física.

Ahí radica el problema. No es que el umbral exista —los umbrales existen en todas partes—, es que el umbral está autodeclarado y no hay nada que te impida volver a formarte cinco minutos después a hacer otra operación de 7,999 pesos. Ni diez. Ni veinte.

Lo probé: no hay contador

Alguien podría argumentar que el operador lleva un conteo interno: "si tu cara, tu celular o alguna otra señal se repite, el sistema te marca". Yo lo probé y no. Hice varias operaciones seguidas bajo el umbral y la máquina nunca me detuvo, nunca pidió identificación, nunca marcó patrón sospechoso. La única "huella" que deja la operación es la dirección destino de bitcoin —y ahí está el segundo problema, más técnico.

Por qué "seguir la wallet" no funciona

La defensa obvia del operador sería: "usamos la dirección destino como identificador del cliente". Suena razonable hasta que entiendes cómo funcionan los exchanges modernos.

Si yo deposito a Bitso, Bitso no me da una dirección fija: me genera una dirección distinta para cada depósito. Es una práctica estándar por privacidad y por operación interna. El resultado es que puedo hacer 10 depósitos desde el cajero y cada uno va a una dirección diferente.

Desde el lado del cajero, esos son 10 "clientes distintos" porque cada dirección es única y aparentemente no tiene historial. Desde el lado de Bitso, esos 10 depósitos llegan a 10 direcciones internas que terminan en una misma cuenta, pero Bitso no sabe que el origen fueron operaciones en efectivo. Solo ve transferencias de bitcoin entrando on-chain, indistinguibles de cualquier otra.

Ninguna de las dos contrapartes tiene la foto completa. El cajero ve montos bajo umbral con destinos "distintos"; el exchange ve depósitos cripto sin trazabilidad al fiat de origen. El hueco está justo en la costura.

¿Qué dice la ley?

En México, las plataformas de intercambio de activos virtuales que operan fuera del régimen de la Ley Fintech (Ley para Regular las Instituciones de Tecnología Financiera) caen dentro de la LFPIORPI (Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita), en la categoría de actividades vulnerables del Artículo 17. Eso implica dos obligaciones centrales:

1. Identificación del cliente cuando la operación supera cierto umbral.

2. Aviso a la UIF cuando supera otro umbral, más alto.

Los umbrales están expresados en UMA y van dirigidos a operaciones por cliente. Ahí está el truco: el cajero define "cliente" en función de quien esté parado enfrente declarando cuánto va a transaccionar. No hay biometría obligatoria, no hay teléfono, no hay identificación en operaciones pequeñas. En la práctica, no existe un "cliente" al cual imputarle operaciones acumuladas.

El umbral de 8,000 pesos, por cierto, no parece venir de la ley mexicana —los cálculos en UMA dan cifras bastante más altas—. Se parece más a una adaptación de la recomendación FATF de USD 1,000 para proveedores de servicios de activos virtuales (VASPs) en operaciones ocasionales. Eso convierte el número en una decisión del operador, no en un límite legal blindado.

Por qué esto no es un detalle menor

Alguien podría decir: "bueno, son 8,000 pesos, ¿qué tanto daño?". La respuesta depende de la frecuencia y del spread.

El margen de compra en este tipo de cajeros suele estar entre 8% y 15% arriba del precio spot. Nadie que esté optimizando por precio usa un cajero de BTC: cualquier persona bancarizada puede abrir una cuenta en Bitso, Volabit o Binance y pagar una fracción de eso. Entonces, ¿quién paga ese premium voluntariamente?

Hay casos legítimos —extranjeros sin cuenta local, personas sin acceso a banca, turistas de paso—, pero el caso de uso obvio, el que explica por qué un operador instala máquinas con ese spread y las deja sin KYC bajo umbral, es otro: tokenizar efectivo de procedencia dudosa en operaciones pequeñas, repetitivas, por debajo del umbral autodeclarado, hacia wallets que desaparecen en exchanges que no ven el origen. Estructuralmente, es el mejor cliente del producto.

Qué debería cambiar

No hace falta cerrar los cajeros. Hace falta cerrar el hueco:

• Umbral por día y por máquina, no por transacción autodeclarada. Si en 24 horas una secuencia de sesiones acumula más de X, se exige KYC retroactivo antes de la siguiente operación.

• Identificación biométrica ligera (selfie + liveness) desde la primera operación, aunque sea sin pasaporte. Es barato, es estándar en fintech y rompe el "anónimo repetido".

• Teléfono validado con OTP como mínimo, incluso bajo umbral. No resuelve todo, pero introduce fricción y un identificador persistente.

• Reporte de operaciones acumuladas por máquina a la UIF, no solo las que cruzan el umbral de forma individual.

Nada de esto es imposible. Es lo que ya hacen las plataformas reguladas. La diferencia es que el modelo de negocio del cajero depende, hasta cierto punto, de no hacerlo: la fricción cero es el producto.

Cierre

El hueco que describo no es un descubrimiento; cualquier oficial de cumplimiento que haya trabajado con VASPs lo conoce. Lo interesante es lo trivial que es verificarlo en campo, parado frente a la máquina, con un billete en la mano. Dos cajeros, dos ubicaciones en CDMX, misma operadora, misma lógica de umbral autodeclarado.

Si la UIF, la CNBV o cualquier autoridad quisiera mapear vectores de lavado con activos virtuales en México, este tipo de dispositivo es donde empezaría. Basta con pararse enfrente y probarlo.