
Hong Kong prohíbe inicios de sesión OTP para cripto en 12…
El regulador está promoviendo las claves de acceso, las verificaciones criptográficas vinculadas a dispositivos y las claves de hardware como alternativas resistentes al phishing.
La Comisión de Valores y Futuros de Hong Kong ha ordenado a las plataformas de comercio de activos virtuales y a los corredores en línea que adopten autenticación resistente a phishing y vinculación de dispositivos en un plazo de 12 meses.
El nuevo estándar prohíbe explícitamente las contraseñas de un solo uso entregadas a través de SMS, correo electrónico o flujos de inicio de sesión basados en aplicaciones, obligando a los lugares a reestructurar los patrones de acceso comunes para los traders minoristas.
Conclusiones Clave
- La SFC de Hong Kong estableció un plazo de implementación de 12 meses para los nuevos requisitos de inicio de sesión resistentes a phishing que cubren lo virtual.activoplataformas de trading y corredores en línea.
- Las contraseñas de un solo uso entregadas a través de SMS, correo electrónico o flujos de inicio de sesión basados en aplicaciones están prohibidas bajo el nuevo estándar.
- Las claves de acceso, los dispositivos registrados verificados criptográficamente y las claves de seguridad hardware se enumeraron como caminos aceptables resistentes al phishing.
- El phishing y la ingeniería social representaron $306 millones de $482 millones en pérdidas totales de la industria cripto en el primer trimestre de 2026.
La SFC inicia una cuenta regresiva de 12 meses para inicios de sesión resistentes al phishing.
La Comisión de Valores de Hong Kong yFuturosLa Comisión de Valores y Futuros (SFC) emitió nuevos requisitos el jueves 9 de julio de 2026, dirigiendo a las plataformas de comercio de activos virtuales (VATPs) y a los corredores en línea de la ciudad a adoptar controles de autenticación resistentes al phishing y de vinculación de dispositivos en los próximos 12 meses.
Para los participantes del mercado, el titular se trata menos de una nueva función y más de una base obligatoria para el acceso a cuentas. La SFC está tratando la seguridad de inicio de sesión como una superficie de control central para los lugares regulados, no como una preferencia del usuario.
El extracto del paquete no incluye el documento completo de la SFC, dejando preguntas abiertas sobre qué plataformas específicas están cubiertas y cómo se aplicará la aplicación.
OTP a través de SMS/Correo Electrónico/App Está Fuera: Lo Que Requiere el Nuevo Estándar
El estándar prohíbe las contraseñas de un solo uso (OTPs) entregadas a través de SMS, correo electrónico o inicios de sesión basados en aplicaciones. Eso es un golpe directo a los patrones de autenticación de dos factores más comunes utilizados en las aplicaciones de comercio minorista, y efectivamente obliga a una migración lejos de la verificación basada en códigos que puede ser interceptada o manipulada socialmente.
El requisito de la SFC empareja la "autenticación resistente al phishing" con la "vinculación de dispositivos". En la práctica, eso significa que se espera que el acceso esté vinculado a un dispositivo registrado específico utilizando verificaciones criptográficas, en lugar de depender de un código que puede ser escrito en un sitio falso o entregado a un atacante.
La implicación operativa es sencilla. Durante el período de 12 meses, los comerciantes deben esperar cambios escalonados como nuevos avisos de inscripción de dispositivos, pasos modificados para la recuperación de cuentas y una fricción más estricta en los inicios de sesión por primera vez y cambios de dispositivos a medida que los lugares desmantelan los flujos basados en OTP.
Claves de acceso, Verificación Criptográfica de Dispositivos y Claves de Hardware: Los Caminos Aprobados
La SFC citó las claves de acceso, dispositivos registrados con verificación criptográfica y claves de seguridad de hardware como alternativas resistentes al phishing.
Las claves de acceso típicamente trasladan la autenticación a claves criptográficas almacenadas en un dispositivo y desbloqueadas por biometría o un PIN del dispositivo, reduciendo el valor de las contraseñas robadas y eliminando el momento de "escribir el código" que explotan los kits de phishing.
La verificación criptográfica de dispositivos registrados apunta a un modelo donde el lugar verifica el dispositivo en sí, no solo el conocimiento del usuario sobre una contraseña. Las claves de seguridad de hardware extienden ese concepto con un factor físico que prueba la posesión.
Tomados en conjunto, el menú señala una preferencia por métodos de autenticación que son materialmente más difíciles de phishing que los OTP, incluso cuando los atacantes pueden impersonar de manera convincente la página de inicio de sesión de un lugar.
El impacto comercial es operativo: observe los despliegues, bloqueos y fricciones en los lugares.
La SFC enmarcó el movimiento contra un telón de fondo de amenaza medible. Los ataques de phishing y las estafas de ingeniería social representaron $306 millones de las pérdidas totales de $482 millones de la industria cripto en el primer trimestre de 2026. El paquete también cita pérdidas relacionadas con estafas de phishing que totalizan $366 millones en la primera mitad de 2026.
A nivel local, los ataques de falsificación y fraude representaron el 57% de los incidentes de seguridad reportados al Centro de Coordinación de Accidentes de Ciberseguridad de Hong Kong en 2025. El Dr.
Ye Zhiheng dijo: “Para proteger las cuentas de los clientes de ataques de falsificación y fraude cada vez más complejos y cambiantes, se deben implementar medidas integrales junto con la prevención, detección, respuesta y educación”, posicionando el cambio de inicio de sesión como una capa en un control más amplio.
Para los comerciantes, el riesgo a corto plazo no es el descubrimiento de precios. Es el acceso. Los despliegues plataforma por plataforma pueden crear bloqueos, recuperaciones retrasadas y fricción al moverse entre lugares, especialmente si el soporte de clave de hardware o la inscripción de dispositivos es desigual.
Cómo estoy leyendo los mandatos de la SFC de Hong Kong sobre inicios de sesión resistentes al phishing.
Lo interpreto como un cambio en la estructura del mercado en la infraestructura, no como un catalizador narrativo. Al prohibir los OTP a través de SMS, correo electrónico o flujos de inicio de sesión basados en aplicaciones, la SFC está obligando a los lugares de Hong Kong a tratar la autenticación resistente al phishing vinculada al dispositivo como un requisito básico, y eso tiende a manifestarse primero como un desgaste operativo en lugar de un impacto comercial inmediato.
El umbral que importa es si los lugares pueden migrar usuarios sin crear fricción de acceso persistente. Si el soporte de clave de acceso, la inscripción vinculada al dispositivo y los flujos de recuperación de cuentas se implementan de manera limpia en todas las plataformas dentro de la ventana de 12 meses, la configuración comienza a parecer estructural en lugar de impulsada por la narrativa, y el beneficio práctico es menos eventos de toma de control de cuentas sin degradar la continuidad de ejecución.