InicioSenza categoriaRegolamentazioneRegulación contra el phishing cripto en Hong Kong prohíbe los OTP tras...

Regulación contra el phishing cripto en Hong Kong prohíbe los OTP tras pérdidas de 306 millones de dólares

Los inversores en criptomonedas en Hong Kong están a punto de ver cómo cambia drásticamente la forma en que inician sesión en las plataformas de trading. La Comisión de Valores y Futuros de Hong Kong ha emitido nuevos y amplios requisitos de regulación contra el phishing cripto en Hong Kong, ordenando a todas las plataformas de negociación de activos virtuales y a los corredores en línea de la ciudad que eliminen las contraseñas de un solo uso y las sustituyan por métodos de inicio de sesión más sólidos y resistentes al phishing, todo ello en un plazo de 12 meses.

Puntos clave

  • La SFC ha prohibido los inicios de sesión basados en OTP mediante SMS, correo electrónico y métodos basados en aplicaciones para las plataformas cripto y los corredores en línea, con un plazo de implementación de 12 meses.
  • Las alternativas aprobadas incluyen passkeys, dispositivos registrados con verificación criptográfica y llaves de seguridad de hardware.
  • Los ataques de phishing y las estafas de ingeniería social causaron 306 millones de dólares en pérdidas en toda la industria cripto solo en el primer trimestre de 2026, de un total de pérdidas de 482 millones de dólares.
  • Los ataques de falsificación y fraude representaron el 57% de todos los incidentes de ciberseguridad reportados al Centro de Coordinación de Accidentes de Ciberseguridad de Hong Kong en 2025.
  • La SFC hará que la alta dirección de las empresas con licencia sea directamente responsable de las pérdidas de los clientes derivadas de controles internos inadecuados.

Hong Kong exige inicios de sesión resistentes al phishing para las plataformas cripto

La acción regulatoria marca un giro decidido respecto a la forma de autenticación de cuentas más utilizada en los servicios financieros. Las contraseñas de un solo uso —los códigos de seis dígitos enviados por mensaje de texto, correo electrónico o aplicación de autenticación— han sido durante mucho tiempo el estándar del sector para el inicio de sesión de dos factores. La SFC ahora las considera inadecuadas frente a las técnicas modernas de phishing y está indicando a las empresas que traten la transición como urgente, no opcional.

En particular, se ha indicado a las grandes firmas de corretaje en internet que actúen de inmediato en lugar de esperar a que se cierre la ventana de 12 meses.

Eliminación gradual de las contraseñas de un solo uso en 12 meses

La nueva circular prohíbe los inicios de sesión basados en OTP en todas las plataformas con licencia. La posición de la SFC es clara: las contraseñas tradicionales de un solo uso son demasiado fáciles de interceptar o replicar mediante ingeniería social, campañas de suplantación y sitios web de phishing que engañan a los usuarios para que introduzcan sus credenciales en interfaces falsas.

El regulador también exige que las empresas implementen sistemas de detección y vigilancia para señalar actividades sospechosas de inicio de sesión, trading y retiros. Las plataformas deben notificar puntualmente a los clientes sobre acciones significativas en sus cuentas y responder sin demora a los incidentes de hacking. Las advertencias periódicas a los clientes sobre nuevas estafas de suplantación de identidad también forman ahora parte del marco de cumplimiento.

De forma crucial, la SFC dejó claro que la alta dirección asume la responsabilidad última de la adecuación de estos controles. Las empresas cuyos sistemas internos resulten insuficientes podrían ser consideradas responsables de las pérdidas de los clientes que se deriven de ello, un enfoque de responsabilidad que otorga a esta circular un peso real.

Métodos de autenticación aprobados y vinculación de dispositivos

La SFC ha especificado tres categorías de soluciones aceptables resistentes al phishing: passkeys, dispositivos registrados que utilizan verificación criptográfica y llaves de seguridad de hardware. Las tres comparten un rasgo común: vinculan la autenticación a un dispositivo físico o a una prueba criptográfica que no puede ser interceptada o replicada fácilmente de forma remota, incluso si un usuario es engañado para visitar un sitio falso.

Este enfoque refleja cómo han evolucionado a nivel global los estándares de autenticación resistente al phishing. A diferencia de las OTP, que pueden ser capturadas en tiempo real por atacantes que ejecutan ataques de intermediario (man-in-the-middle), las passkeys y las llaves de hardware requieren la posesión del dispositivo registrado real. No hay ningún código que robar.

El aumento de las pérdidas por phishing y fraude amenaza a los inversores cripto

La SFC no emitió esta orden en el vacío. Las cifras que la respaldan presentan un panorama incómodo.

Pérdidas globales por phishing cripto y estafas recientes

Los ataques de phishing y las estafas de ingeniería social generaron 306 millones de dólares en pérdidas dentro de la industria cripto durante el primer trimestre de 2026, lo que representa la mayoría de los 482 millones de dólares en pérdidas totales del sector durante ese período. Para la primera mitad de 2026, las pérdidas relacionadas con phishing habían aumentado a 366 millones de dólares, lo que subraya una tendencia acelerada más que un pico aislado.

Los incidentes individuales dibujan un panorama igualmente preocupante. Pocos días antes de la circular de la SFC, un inversor en criptomonedas perdió casi 1 millón de dólares tras firmar una transacción maliciosa de aprobación de token de phishing en Ethereum. A principios del mismo mes, el titular de una wallet perdió 1,65 millones de dólares después de conectarse a un exchange falso y firmar un contrato malicioso, una transacción que otorgó a los atacantes acceso ilimitado a los fondos, según el investigador Ryan Coleman. El 25 de mayo, el analista onchain «b-block» informó de que los estafadores habían desplegado anuncios maliciosos de Google que suplantaban al exchange descentralizado Uniswap, robando más de 400.000 dólares a víctimas que creían estar visitando la plataforma real.

Estadísticas de incidentes de ciberseguridad en Hong Kong

A nivel local, el perfil de la amenaza es igualmente grave. Los datos del Centro de Coordinación de Accidentes de Ciberseguridad de Hong Kong muestran que los ataques de falsificación y fraude representaron el 57% de todos los incidentes de seguridad reportados en 2025. Esa concentración de riesgo en una sola categoría de amenaza —suplantación e impersonación— se corresponde directamente con aquello que los nuevos requisitos de la SFC están diseñados para contrarrestar.

La convergencia de los datos de incidentes locales con las pérdidas globales por phishing hace que el momento de esta regulación sea fácil de entender. El mercado cripto de Hong Kong se ha estado expandiendo y, con más usuarios en plataformas con licencia, aumenta la superficie de ataque. La SFC parece estar actuando antes de que un incidente local importante la obligue a hacerlo.

Reacciones de la industria y llamados a una mayor seguridad de las wallets

El cofundador de Binance aboga por mejores protecciones para las wallets

La presión para elevar los estándares de seguridad no ha venido solo de los reguladores. Changpeng Zhao, cofundador de Binance, pidió públicamente mejores medidas de seguridad para las wallets después de que un inversor perdiera 50 millones de dólares en una estafa de envenenamiento de direcciones en diciembre de 2025. El envenenamiento de direcciones es un vector de ataque diferente del phishing: funciona insertando una dirección de wallet fraudulenta casi idéntica en el historial de transacciones de la víctima, pero refleja el mismo patrón más amplio: atacantes que explotan pequeños momentos de falta de atención con consecuencias financieras devastadoras.

La magnitud de ese incidente y el perfil público de la persona que lo denunció ayudaron a mantener la seguridad cripto en la conversación de la industria de cara a 2026.

Estafas destacadas de envenenamiento de direcciones que generan alarma

El envenenamiento de direcciones ha generado algunas de las cifras de pérdidas individuales más llamativas de los últimos tiempos. En mayo de 2024, una víctima perdió 71 millones de dólares en un ataque de envenenamiento de direcciones, un caso inusual que finalmente terminó con el atacante devolviendo la cantidad total después de que los investigadores afirmaran haber rastreado una posible dirección IP. Ese resultado fue excepcional. La mayoría de las víctimas en estos esquemas no recuperan nada.

Perspectivas de expertos sobre la lucha contra el phishing cripto

«Para proteger las cuentas de los clientes de ataques de falsificación y fraude cada vez más complejos y cambiantes, deben implementarse medidas integrales en conjunto con la prevención, la detección, la respuesta y la educación», dijo Ye Zhiheng, Director Ejecutivo del Departamento de Intermediarios de la Comisión Reguladora de Valores de China.

El enfoque es importante. La prevención mediante una mejor autenticación es solo una capa. Los sistemas de detección, la respuesta rápida a incidentes y la educación continua de los usuarios conforman el resto del enfoque que los reguladores ahora consideran necesario. La circular de la SFC refleja este pensamiento por capas: no se limita a exigir una mejor tecnología de inicio de sesión y detenerse ahí. Pide a las empresas que construyan una postura de seguridad integrada, desde la pantalla de inicio de sesión hasta la comunicación con el cliente.

Lo que la regulación aún no responde es cómo las plataformas más pequeñas de negociación de activos virtuales absorberán el coste y la complejidad técnica de implementar llaves de seguridad de hardware y vinculación criptográfica de dispositivos a escala. La ventana de 12 meses da a las empresas margen para planificar, pero la brecha entre un gran corredor con licencia y una VATP más pequeña en términos de capacidad de ingeniería de seguridad es real. La forma en que la SFC gestione esa disparidad —y si las sanciones por incumplimiento serán proporcionales— puede definir cuán eficaz resulte realmente este mandato.

Preguntas frecuentes

¿Qué nuevos requisitos de inicio de sesión ha impuesto la Comisión de Valores y Futuros de Hong Kong a las plataformas cripto?

La SFC exige que las plataformas cripto y los corredores en línea adopten métodos de autenticación resistentes al phishing —específicamente passkeys, dispositivos registrados con verificación criptográfica y llaves de seguridad de hardware—, al tiempo que prohíbe las contraseñas de un solo uso enviadas por SMS, correo electrónico o inicios de sesión basados en aplicaciones. Las empresas tienen 12 meses para implementar los cambios, aunque se ha indicado a los grandes corredores de internet que actúen de inmediato.

¿Por qué se exigen ahora estos nuevos métodos de inicio de sesión resistentes al phishing?

El mandato sigue a un fuerte aumento de los ataques de phishing y las estafas de ingeniería social que causaron 306 millones de dólares en pérdidas en toda la industria cripto en el primer trimestre de 2026, junto con datos que muestran que los ataques de falsificación y fraude representaron el 57% de los incidentes de ciberseguridad reportados en Hong Kong en 2025. La SFC considera que las OTP son inadecuadas frente a la sofisticación de las técnicas de ataque actuales.

¿Qué alternativas a las contraseñas de un solo uso acepta el regulador de Hong Kong?

La SFC ha aprobado tres categorías de soluciones resistentes al phishing: passkeys, dispositivos registrados con verificación criptográfica y llaves de seguridad de hardware. Estos métodos vinculan la autenticación a un dispositivo físico o a una prueba criptográfica, lo que los hace significativamente más difíciles de interceptar incluso a través de sitios web falsificados o ingeniería social.

¿Cuál ha sido la reacción de la industria cripto ante estas amenazas de phishing?

Líderes de la industria, incluido el cofundador de Binance, Changpeng Zhao, han pedido una mayor seguridad para las wallets tras incidentes de alto perfil, incluida una estafa de envenenamiento de direcciones de 50 millones de dólares en diciembre de 2025. La acción de la SFC formaliza lo que figuras prominentes del sector han estado defendiendo de manera informal durante meses.

{«@context»:»https://schema.org»,»@type»:»FAQPage»,»mainEntity»:[{«@type»:»Question»,»name»:»¿Qué nuevos requisitos de inicio de sesión ha impuesto la Comisión de Valores y Futuros de Hong Kong a las plataformas cripto?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»La SFC exige que las plataformas cripto y los corredores en línea adopten métodos de autenticación resistentes al phishing —específicamente passkeys, dispositivos registrados con verificación criptográfica y llaves de seguridad de hardware—, al tiempo que prohíbe las contraseñas de un solo uso enviadas por SMS, correo electrónico o inicios de sesión basados en aplicaciones. Las empresas tienen 12 meses para implementar los cambios, aunque se ha indicado a los grandes corredores de internet que actúen de inmediato.»}},{«@type»:»Question»,»name»:»¿Por qué se exigen ahora estos nuevos métodos de inicio de sesión resistentes al phishing?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»El mandato sigue a un fuerte aumento de los ataques de phishing y las estafas de ingeniería social que causaron 306 millones de dólares en pérdidas en toda la industria cripto en el primer trimestre de 2026, junto con datos que muestran que los ataques de falsificación y fraude representaron el 57% de los incidentes de ciberseguridad reportados en Hong Kong en 2025. La SFC considera que las OTP son inadecuadas frente a la sofisticación de las técnicas de ataque actuales.»}},{«@type»:»Question»,»name»:»¿Qué alternativas a las contraseñas de un solo uso acepta el regulador de Hong Kong?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»La SFC ha aprobado tres categorías de soluciones resistentes al phishing: passkeys, dispositivos registrados con verificación criptográfica y llaves de seguridad de hardware. Estos métodos vinculan la autenticación a un dispositivo físico o a una prueba criptográfica, lo que los hace significativamente más difíciles de interceptar incluso a través de sitios web falsificados o ingeniería social.»}},{«@type»:»Question»,»name»:»¿Cuál ha sido la reacción de la industria cripto ante estas amenazas de phishing?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Líderes de la industria, incluido el cofundador de Binance, Changpeng Zhao, han pedido una mayor seguridad para las wallets tras incidentes de alto perfil, incluida una estafa de envenenamiento de direcciones de 50 millones de dólares en diciembre de 2025. La acción de la SFC formaliza lo que figuras prominentes del sector han estado defendiendo de manera informal durante meses.»}}]}

Artículo producido con la ayuda de inteligencia artificial y revisado por el equipo editorial.

RELATED ARTICLES

Stay updated on all the news about cryptocurrencies and the entire world of blockchain.

Featured video

LATEST