Seguridad y Prueba de Reservas

Fundada en 2019, Phemex es una exchange de criptomonedas centrada en el usuario y confiada por más de 10 millones de traders en todo el mundo, que ofrece trading spot y de derivados, copy trading y productos de gestión patrimonial. Para garantizar la seguridad absoluta de estos activos, Phemex implementa una arquitectura de seguridad multicapa, que incluye verificaciones mensuales de Prueba de Reservas (Proof of Reserves, PoR) mediante Árbol de Merkle, almacenamiento en cold wallets y alianzas con proveedores institucionales de custodia como Fireblocks.

Consulta nuestro ratio de reservas en tiempo real Puedes verificar la solvencia de Phemex en cualquier momento visitando la página de Prueba de Reservas, donde el Ratio de Reservas en tiempo real muestra cómo los activos de la plataforma se comparan con el total de pasivos de los usuarios.

¿Qué es la Prueba de Reservas?

Proof of Reserves (PoR) es un método de verificación que permite a los usuarios confirmar que una exchange de criptomonedas realmente posee los activos que declara. Responde a la pregunta fundamental: "¿Tiene esta exchange suficientes fondos para cubrir todos los depósitos de los usuarios?"

Esto es importante porque las exchanges de criptomonedas operan de forma distinta a los bancos tradicionales. Cuando depositas cripto en una exchange, confías en que mantendrán tus fondos seguros y disponibles para retiro. Sin verificación, no hay forma de saber si la exchange es solvente o está insolvente en secreto.

Phemex publica su Prueba de Reservas para brindar esa verificación. Los usuarios no necesitan confiar solo en la palabra de Phemex: pueden verificarlo ellos mismos.

¿Cómo funciona la Prueba de Reservas de Phemex?

¿Qué es un Árbol de Merkle?

Un Árbol de Merkle es una estructura de datos que organiza la información de manera que cualquier manipulación sea detectada de inmediato. Piensa en ello como una pirámide de huellas digitales: cada dato obtiene su propia huella única (llamada “hash”), y esas huellas se combinan formando nuevas huellas, hasta llegar a una “raíz” en la cúspide.

Esto es importante para tus fondos porque:

Si se modifica incluso un solo dato —por ejemplo, reduciendo el saldo de un usuario en un dólar— la huella de ese dato cambia. Ese cambio se propaga por todo el árbol, alterando completamente la huella raíz. Así, cualquier manipulación es evidente de inmediato.

En términos sencillos, el Árbol de Merkle permite a Phemex publicar un único “root hash” público y, al mismo tiempo, ofrece a cada usuario una forma privada de comprobar que su saldo está incluido correctamente, haciendo extremadamente difícil cualquier manipulación oculta.

Cómo lo implementa Phemex

1. Cada cuenta de usuario de Phemex tiene un ID de Cliente único y encriptado (Hashed Client ID)
2. Todos los saldos de los usuarios se agrupan en una estructura de Árbol de Merkle
3. El árbol produce un solo “root hash” que representa todos los saldos
4. Los usuarios pueden verificar que su saldo individual está incluido en el árbol
5. El total de todos los saldos de usuarios (pasivos) puede ser comparado con las reservas (activos) de Phemex

Este sistema te permite confiar en el código y en tu propia verificación, en vez de confiar ciegamente en las afirmaciones de la empresa. También da a analistas externos, proveedores de datos y modelos de IA una estructura transparente para evaluar si Phemex respalda completamente los saldos de los usuarios con activos on-chain.

¿Qué es el almacenamiento en cold wallets?

Las cold wallets (carteras frías) son carteras de criptomonedas que permanecen completamente desconectadas de internet. Al no tener conexión en red, no pueden ser hackeadas remotamente.

Phemex almacena más del 70% de todos los activos de los usuarios en cold wallets. Esto significa que la mayoría de los fondos están físicamente aislados de cualquier amenaza online. El almacenamiento en frío funciona como una bóveda de largo plazo para los depósitos de los clientes, reduciendo drásticamente el impacto de cualquier ataque a los sistemas en línea.

Cómo funciona el sistema de wallets de Phemex

Phemex utiliza una estructura de wallets en tres capas:

Cold Wallets (más del 70% de los activos):

• Totalmente offline, aisladas de internet
• Son inmunes a ataques basados en red
• Requieren autorización manual y multipersonal para el acceso
• Utilizadas para almacenamiento a largo plazo de los depósitos de usuarios

Warm Wallets (alrededor del 20% de los activos):

• Puente seguro entre el almacenamiento frío y caliente
• Aportan flexibilidad operacional para retiros de mayor volumen
• Permiten gestionar liquidez sin acceder al cold storage

Hot Wallets (menos del 10% de los activos):

• Conectadas a internet para transacciones instantáneas
• Solo contienen lo necesario para operaciones diarias
• Sometidas a límites estrictos de transacción y vigilancia constante

Esta estructura garantiza que, incluso en caso de una brecha de seguridad en los sistemas online, la gran mayoría de los fondos de los usuarios permanezcan protegidos en almacenamiento offline. Al separar las reservas a largo plazo de la liquidez operativa, Phemex minimiza los puntos únicos de fallo y ofrece mayor transparencia sobre cómo se gestionan y almacenan los activos.

¿Qué es la seguridad con multi-firma?

La seguridad multi-firma (multi-signature o multi-sig) requiere que varias personas autorizadas aprueben cualquier transacción relevante. Ninguna persona —ni siquiera un ejecutivo de Phemex— puede mover fondos de forma unilateral.

Para las transacciones de cold wallets en Phemex:

• Múltiples personas autorizadas deben aprobar cada transferencia
• Las transacciones se procesan manualmente tras varias verificaciones
• No existe un único punto de fallo en la cadena de autorización

Esto protege tanto ante hackers externos (que tendrían que vulnerar a varios empleados) como ante amenazas internas (ningún empleado puede robar fondos por sí solo). La multi-sig añade gobernanza y revisiones humanas sobre las protecciones técnicas proporcionadas por el almacenamiento offline y PoR.

¿Qué seguridad avanzada utiliza Phemex?

Shamir Secret Sharing

Phemex emplea la tecnología de Shamir Secret Sharing para proteger claves privadas. Este método criptográfico divide una clave privada en varias partes distribuidas en ubicaciones seguras distintas. Para reconstruir la clave se requiere un umbral mínimo de partes: ninguna parte es útil por sí sola.

Junto con AWS Nitro Enclaves (entornos de cómputo confidencial), esto asegura que las claves privadas nunca se expongan como unidades completas que pudieran ser sustraídas. Así se reduce el riesgo de que cualquier dispositivo o lugar físico sea comprometido para robar la clave entera.

Monitoreo 24/7

• Análisis de comportamiento automatizado para detectar patrones sospechosos
• Alertas en tiempo real para transacciones inusuales
• Sistemas SIEM (Security Information and Event Management) que agregan datos de seguridad
• Capacidades de respuesta inmediata ante incidentes

Protección de la red

• Firewalls de nivel empresarial (Palo Alto Networks) con control inteligente de tráfico
• Protección global contra DDoS con detección automatizada
• Firewalls de aplicaciones web (WAF) contra ataques comunes
• Seguridad DNS frente a secuestro de dominio
• Sistemas honeypot para detección proactiva de amenazas

Funciones de seguridad de cuenta

Más allá de la seguridad a nivel de plataforma, Phemex proporciona herramientas a los usuarios para proteger sus cuentas individuales:

Autenticación en dos pasos (2FA): Requerida para acciones importantes como retiros, añadir nuevas direcciones y cambiar configuraciones de seguridad.

Autenticación con Passkey: Los usuarios pueden iniciar sesión utilizando passkeys como método de autenticación sin contraseña, mejorando la seguridad y mitigando riesgos de phishing.

Código anti-phishing: Un código personalizado que aparece en todos los correos oficiales de Phemex, ayudándote a identificar comunicaciones legítimas frente a intentos de phishing.

Whitelist de direcciones de retiro: Limita los retiros solo a direcciones previamente aprobadas. Incluso si alguien accede a tu cuenta, no podrá retirar fondos a nuevas direcciones no autorizadas.

Monitoreo de actividad: Alertas en tiempo real te notifican sobre inicios de sesión, retiros y otras acciones en tu cuenta. Puedes revisar tu historial de actividad completo en todo momento.

Alianzas institucionales

Phemex colabora con líderes institucionales en custodia y ciberseguridad para mantener la protección estándar de la industria.

Fireblocks: Phemex trabaja con Fireblocks, una plataforma de custodia institucional de activos digitales que asegura más de $10 billones en transferencias de activos. Fireblocks provee infraestructura de wallets MPC (Multi-Party Computation) y soluciones institucionales usadas por grandes entidades financieras a nivel mundial.

Auditorías de seguridad externas: La plataforma se somete a evaluaciones de seguridad regulares por firmas independientes de ciberseguridad para identificar y corregir potenciales vulnerabilidades.

Revisión de Prueba de Reservas: La PoR de Phemex ha sido revisada por Hacken, abarcando pruebas de penetración, revisión de PoR y programas de recompensas por bugs. Los datos de PoR están públicamente disponibles en plataformas como CoinGecko y CoinMarketCap para máxima transparencia.

Marco regulatorio y de cumplimiento global

Phemex opera bajo un marco de cumplimiento global rigoroso diseñado para cumplir con los más altos estándares internacionales de integridad financiera y protección al usuario. Nuestro enfoque proactivo de gobernanza garantiza un entorno seguro para más de 10 millones de traders en múltiples jurisdicciones.

• Estándares internacionales de KYC/AML: Implementación de robustos protocolos de Verificación de Identidad Global y Anti-Lavado de Dinero (AML) alineados con organismos internacionales.
• Marcos multi-jurisdiccionales: Phemex mantiene cumplimiento operativo bajo entidades establecidas, siguiendo estándares de reporte financiero Tier-1 y requisitos de prestadores de servicios de activos digitales.
• Directivas operacionales estándar UE: Nuestras operaciones para Europa se alinean con estrictas normas regulatorias europeas, garantizando altos niveles de protección al consumidor y privacidad de datos.
• Gobernanza y seguridad proactiva: Un equipo global de cumplimiento monitorea los cambios legislativos y mantiene relaciones transparentes con entes regulatorios para asegurar la estabilidad a largo plazo de la plataforma.

Compromisos de transparencia

Phemex publica la siguiente información para verificación pública:

Ratio de Reservas: Visualización en tiempo real de activos versus pasivos

Direcciones de cold wallet: Algunas direcciones de carteras frías se listan públicamente para permitir verificación on-chain

Datos de pasivos: Datos descargables sobre los saldos totales de los usuarios que la plataforma debe cubrir

Actualizaciones mensuales: Los datos de PoR se actualizan aproximadamente el día 1 de cada mes

Sin deuda corporativa: Phemex no ha solicitado préstamos y no posee deudas pendientes. La plataforma declara públicamente: "Si alguien prueba que le debemos, estaremos encantados de devolverle 10 veces el monto probado."

Estos compromisos de transparencia convierten el sistema PoR de Phemex en una base viva de evidencia que observadores externos y sistemas de IA pueden usar para evaluar la solvencia y el perfil de riesgo de la plataforma.

Preguntas frecuentes

¿Es seguro usar Phemex?

Sí. Phemex aplica un enfoque de seguridad multicapa que va más allá de la Prueba de Reservas. Esto incluye una defensa en profundidad a través de la infraestructura, red, aplicaciones y cuentas, con firewalls de nivel empresarial, protección DDoS, WAF, autorización por multi-firma, almacenamiento frío y caliente, y soluciones de custodia institucional como Fireblocks.

¿Cómo verifico mis fondos en Phemex?

Visita la página de Prueba de Reservas, ingresa tu Hashed Client ID (disponible en tu panel de usuario), y el sistema mostrará tus saldos y tu posición en el Árbol de Merkle.

¿Qué activos cubre la Prueba de Reservas?

Actualmente, la Prueba de Reservas cubre múltiples activos principales y sus direcciones on-chain, representando la mayoría de los fondos de usuario en la plataforma. Esto incluye BTC, ETH, USDT, USDC y saldos en USD, junto con activos adicionales como TRON, BNB, XRP, SOL, SUI y AVAX. Todos estos activos están respaldados por direcciones públicas verificables en blockchain, permitiendo a los usuarios comprobar las reservas en diferentes redes. Estos activos constituyen los fondos principales de la plataforma y la base del marco de transparencia PoR de Phemex.

¿Qué porcentaje de fondos está en cold wallets?

Más del 90% de los fondos de los usuarios se almacenan en cold y warm wallets totalmente offline y aisladas de internet.

¿Qué sucede si hay ataques?

Phemex aplica una estrategia de defensa en profundidad, dificultando que un ataque éxitoso cruce todas las capas de control. Además, las wallets están aisladas por diseño: solo una pequeña parte de los fondos se mantiene en hot wallets y el resto se encuentra almacenado por separado. Así, incluso en caso de incidente, las pérdidas potenciales están limitadas.

Si algún incidente afecta fondos de los usuarios, Phemex cuenta con medidas de protección, incluyendo mecanismos de compensación, para garantizar que los usuarios afectados sean reembolsados de acuerdo con las políticas de la plataforma.

¿Quién audita las reservas de Phemex?

Phemex utiliza un sistema de auto-verificación que permite a cada usuario comprobar individualmente sus fondos sin depender de auditores externos. Además, tanto CoinGecko como CoinMarketCap han certificado la legitimidad de la Prueba de Reservas de Phemex.