La Comisión de Valores y Futuros de Hong Kong ordenó a los corredores de internet y a las plataformas autorizadas de compraventa de activos virtuales que sustituyeran las contraseñas de un solo uso por métodos de autenticación resistentes al phishing en los requisitos publicados el 9 de julio. Las firmas deben aplicar controles más sólidos de acceso y “enlace de dispositivo” en un plazo de 12 meses, y se espera que los corredores más grandes comiencen a adoptarlo de inmediato. La directiva aborda ataques de phishing que representaron el 57% de todos los incidentes de ciberseguridad reportados a la Hong Kong Computer Emergency Response Team Coordination Centre durante 2025. La SFC afirmó que las contraseñas tradicionales de un solo uso ya no son suficientes frente a campañas de phishing cada vez más sofisticadas que atacan cuentas de operaciones en línea. La medida refuerza el enfoque de Hong Kong de exigir a las empresas de activos digitales estándares regulatorios similares a los impuestos a las instituciones financieras tradicionales.
La SFC indicó que los corredores de internet y los operadores de plataformas de compraventa de activos virtuales deben dejar de usar contraseñas de un solo uso tanto para el inicio de sesión del cliente como para el enlace de dispositivo, porque ahora hay tecnologías de autenticación más seguras ampliamente disponibles. El regulador citó como ejemplos las “passkeys” y el enlace de dispositivo como métodos de autenticación resistentes al phishing capaces de impedir que los atacantes accedan incluso cuando los clientes sean engañados para revelar sus credenciales.
El enlace de dispositivo vincula la cuenta de trading de un cliente a un ordenador o dispositivo móvil registrado de forma segura mediante características únicas del dispositivo, lo que dificulta significativamente que los delincuentes inicien sesión desde hardware no autorizado. La SFC advirtió por primera vez a las firmas sobre debilidades asociadas con la autenticación basada en OTP en febrero de 2025 tras una revisión de ciberseguridad. El último circular convierte esa orientación en un requisito regulatorio.
Los nuevos requisitos se aplican por igual a los corredores autorizados de valores y a los operadores de plataformas de compraventa de activos virtuales. Además de una autenticación más sólida, las firmas deben implantar sistemas eficaces de monitorización capaces de detectar intentos de inicio de sesión sospechosos, actividad de trading inusual y solicitudes de retirada anómalas. También se espera que notifiquen a los clientes con prontitud sobre eventos significativos de la cuenta, respondan rápidamente a incidentes de piratería y adviertan de forma regular a los clientes sobre campañas de phishing emergentes y otras amenazas cibernéticas.
La SFC dijo que la alta dirección seguirá siendo la responsable última de proteger los activos de los clientes y advirtió que las firmas podrían ser consideradas responsables de pérdidas derivadas de controles de ciberseguridad inadecuados. Dr. Eric Yip, Director Ejecutivo de Intermediarios de la SFC, dijo: “Proteger las cuentas de los clientes frente a ataques de phishing cada vez más sofisticados y difíciles de detectar exige medidas integrales que combinen prevención, detección, respuesta y educación. Las firmas autorizadas deben reforzar su primera línea de defensa con soluciones de autenticación robustas, mantenerse alerta ante actividades sospechosas y responder con rapidez antes de que se produzca algún daño”.
A diferencia de las credenciales tradicionales, las “passkeys” dependen de una autenticación criptográfica vinculada al dispositivo del usuario y no pueden interceptarse fácilmente ni reutilizarse mediante sitios web de phishing. Las empresas tecnológicas, incluidas Apple, Google y Microsoft, ya han incorporado soporte de “passkeys” en sus sistemas operativos, mientras que bancos y empresas de fintech han empezado a desplegar la tecnología para la autenticación de clientes. Para los corredores e intercambios cripto, una autenticación más sólida se ha vuelto cada vez más importante a medida que los ciberdelincuentes se dirigen a cuentas de trading que pueden proporcionar acceso inmediato a efectivo, valores y activos digitales.
Junto con los controles técnicos, la SFC instó a los inversores a seguir manteniendo prácticas básicas de ciberseguridad, incluyendo el uso de contraseñas fuertes y únicas, mantener los dispositivos actualizados, acceder a las cuentas solo a través de sitios web y aplicaciones oficiales, y revisar los estados de cuenta por actividad no autorizada. El regulador aconsejó a los inversores que sospechen que sus credenciales se han visto comprometidas que contacten inmediatamente con su corredor o plataforma de activos virtuales, aseguren sus cuentas y reporten el incidente a las autoridades pertinentes.
¿Qué métodos de autenticación ordenó la SFC de Hong Kong que los corredores y las plataformas cripto sustituyeran?
La SFC ordenó a los corredores de internet y a las plataformas autorizadas de compraventa de activos virtuales que sustituyeran las contraseñas de un solo uso por métodos de autenticación resistentes al phishing, como “passkeys” y el enlace de dispositivo, en los requisitos publicados el 9 de julio.
¿Por qué la SFC exigió una autenticación más sólida para las cuentas de trading?
La SFC citó ataques de phishing que representaron el 57% de todos los incidentes de ciberseguridad reportados a la Hong Kong Computer Emergency Response Team Coordination Centre durante 2025, afirmando que las contraseñas tradicionales de un solo uso ya no son suficientes frente a campañas de phishing cada vez más sofisticadas que atacan cuentas de trading en línea.
¿Cuál es el plazo de implementación para los nuevos requisitos de autenticación?
Las firmas deben implementar controles más sólidos de acceso y “enlace de dispositivo” dentro de los 12 meses posteriores a la fecha de publicación del 9 de julio, mientras que se espera que los corredores más grandes comiencen a adoptar las medidas de inmediato.
Noticias relacionadas
La FSC ordena a las firmas de valores que presenten planes de protección de los inversores antes del 13 de jul.
La SFC de Hong Kong ordena la eliminación progresiva del período de OTP de 12 meses para empresas de criptomonedas y corretaje
El Centro de Políticas de Hyperliquid y Phantom instan a la CFTC a actualizar las reglas de trading en la cadena
La SFC de Hong Kong prohíbe los OTP en plataformas de cripto ante el aumento de ataques de phishing