La Comisión de Valores y Futuros de Hong Kong emitió un circular que exige a las plataformas de comercio de activos virtuales y corredores en línea reemplazar la autenticación mediante contraseña de un solo uso por métodos de seguridad más robustos. La autoridad citó ataques de phishing y suplantación que representaron el 57% de todos los incidentes de seguridad reportados al Centro de Respuesta a Incidentes de Ciberseguridad de Hong Kong en 2025 como motivo del mandato. Las empresas deben adoptar alternativas más fuertes, como claves de acceso y autenticación vinculada a dispositivos, en un plazo de 12 meses, con las grandes corredurías en línea obligadas a implementar las medidas de inmediato. El circular representa una escalada en la supervisión regulatoria del sector de activos digitales en Hong Kong, donde los métodos de autenticación tradicionales ya se consideran insuficientes frente a amenazas cibernéticas sofisticadas.
La SFC exige que las plataformas eliminen las OTP tanto para el inicio de sesión de clientes como para el proceso de vinculación de dispositivos. Las entidades cubiertas deben cumplir en 12 meses desde la emisión del circular, mientras que las grandes corredurías en línea deben aplicar las nuevas medidas de inmediato. La autoridad describe las claves de acceso y la autenticación vinculada a dispositivos como opciones más resistentes y seguras frente a fraudes en comparación con las OTP.
La SFC exige mayor seguridad y responsabilidad en la gestión
El circular detalla obligaciones relacionadas con la detección, respuesta y educación de clientes. Las plataformas de comercio de activos virtuales y corredores deben implementar sistemas de vigilancia capaces de identificar actividades sospechosas de inicio de sesión, comercio y retiro. Las empresas deben notificar rápidamente a los clientes sobre eventos importantes en sus cuentas y responder con rapidez ante incidentes de hacking. Se espera también advertencias continuas a los clientes sobre amenazas cibernéticas emergentes y estafas de suplantación.
La SFC afirmó que la alta dirección de estas empresas tiene la responsabilidad última de garantizar la protección adecuada de las cuentas. Las instituciones que tengan controles internos insuficientes serán responsables de cualquier pérdida que sufran los clientes.
Cronograma regulatorio: de monitoreo a mandato
La SFC había estado monitoreando los riesgos relacionados con las OTP desde finales de 2024. En un circular de febrero de 2025, la autoridad instó enérgicamente a las empresas licenciadas a abandonar las OTP. El circular actual convierte esa recomendación en un plazo regulatorio firme, haciendo que el mandato de hoy sea una obligación vinculante en lugar de una recomendación voluntaria.
Preguntas frecuentes
¿Qué exigió la SFC de Hong Kong a las plataformas de criptomonedas?
La Comisión de Valores y Futuros de Hong Kong emitió un circular que requiere a las plataformas de comercio de activos virtuales y corredores en línea reemplazar la autenticación mediante contraseña de un solo uso por métodos de seguridad más robustos, como claves de acceso y autenticación vinculada a dispositivos.
¿Por qué la SFC prohibió las OTP para plataformas de criptomonedas?
La autoridad citó ataques de phishing y suplantación que representaron el 57% de todos los incidentes de seguridad reportados en 2025, señalando que la autenticación mediante OTP se ha vuelto insuficiente frente a ataques sofisticados modernos.
¿Cuál es la fecha límite para que las plataformas de criptomonedas cumplan con los nuevos requisitos de autenticación?
Las entidades cubiertas deben cumplir en 12 meses desde la emisión del circular, mientras que las grandes corredurías en línea deben implementar las nuevas medidas de inmediato.