La SFC de Hong Kong ordena la eliminación progresiva del período de OTP de 12 meses para empresas de criptomonedas y corretaje

La Comisión de Valores y Futuros de Hong Kong ha ordenado a las plataformas de comercio de activos virtuales licenciadas y a las firmas de corretaje por internet eliminar las contraseñas de un solo uso para el inicio de sesión de clientes y el registro de dispositivos en un plazo de 12 meses. La directiva sigue a un aumento en los ataques de suplantación, que representaron el 57% de todos los incidentes de seguridad reportados en 2025, según datos del Centro de Coordinación de Incidentes de Ciberseguridad de Hong Kong. El regulador afirmó que la autenticación basada en OTP ya no es suficiente contra operaciones de phishing, suplantación y fraude que engañan a los usuarios para que entreguen códigos de acceso, permitiendo a los atacantes acceder a cuentas, registrar nuevos dispositivos, realizar operaciones o intentar retiros antes de que las empresas detecten la brecha.

La SFC exige claves de acceso y vinculación de dispositivos para la autenticación

La circular requiere que las empresas dejen de usar OTP para el inicio de sesión de clientes y la vinculación de dispositivos, y pasen a métodos de autenticación más fuertes como claves de acceso y vinculación de dispositivos. El regulador indicó que la implementación debe realizarse "tan pronto como sea posible", con un plazo final de 12 meses desde la fecha de emisión de la circular. Se ordenó a las grandes firmas de corretaje por internet adoptar inmediatamente los nuevos métodos de autenticación. Las claves de acceso reducen la dependencia de códigos que pueden ser robados mediante páginas de phishing, mientras que la vinculación de dispositivos conecta el acceso a la cuenta con dispositivos confiables y dificulta que intentos de ingreso no autorizados se completen.

Las firmas licenciadas deben fortalecer la vigilancia y las alertas a los clientes

Las firmas licenciadas deben reforzar sus sistemas de vigilancia para detectar actividades sospechosas de inicio de sesión, operaciones y retiros. Esto implica monitorear patrones de acceso inusuales, actividad en nuevos dispositivos, comportamientos anormales en órdenes y solicitudes de retiro que puedan indicar que una cuenta ha sido comprometida. El regulador también exige que las firmas notifiquen rápidamente a los clientes sobre actividades significativas en sus cuentas y respondan de manera oportuna a incidentes de hacking. La educación del cliente forma parte de la directiva, y se espera que las firmas adviertan regularmente a los usuarios sobre estafas de suplantación, intentos de phishing y riesgos emergentes en ciberseguridad.

El Dr. Yip Chi-hang, Director Ejecutivo de la División de Intermediarios de la SFC, afirmó: "Para proteger las cuentas de los clientes frente a ataques de phishing cada vez más sofisticados y variados, es necesaria una estrategia integral que combine prevención, detección, respuesta y educación. Las instituciones licenciadas deben fortalecer su primera línea de defensa mediante soluciones de autenticación robustas, mantenerse vigilantes ante actividades sospechosas y responder rápidamente antes de que ocurra un daño."

La alta dirección asume la responsabilidad última por la protección de las cuentas

La SFC recordó a la alta dirección de las firmas licenciadas que son responsables de implementar controles adecuados para proteger las cuentas y activos de los clientes. El regulador afirmó que las empresas pueden ser responsables por pérdidas de clientes derivadas de deficiencias en los controles internos. La política aplica tanto a las plataformas de corretaje por internet como a las plataformas de comercio de activos virtuales, estableciendo una base común para el acceso financiero en línea en los mercados tradicionales de valores y criptomonedas.

Preguntas frecuentes

¿Qué métodos de autenticación deben adoptar las plataformas de criptomonedas y corredores de Hong Kong para reemplazar los OTP?

Las empresas deben adoptar métodos de autenticación más fuertes, como claves de acceso y vinculación de dispositivos. Las claves de acceso reducen la dependencia de códigos que pueden ser robados mediante páginas de phishing, mientras que la vinculación de dispositivos conecta el acceso a la cuenta con dispositivos confiables.

¿Por qué la SFC ordenó eliminar los inicios de sesión con OTP?

La directiva sigue a un aumento en los ataques de suplantación, que representaron el 57% de todos los incidentes de seguridad reportados en 2025, según el Centro de Coordinación de Incidentes de Ciberseguridad de Hong Kong. El regulador afirmó que la autenticación basada en OTP ya no es suficiente contra operaciones de phishing, suplantación y fraude.

¿Cuál es el plazo para que las empresas cumplan con los nuevos requisitos de autenticación de la SFC?

Las empresas tienen 12 meses desde la fecha de emisión de la circular para eliminar los OTP en el inicio de sesión de clientes y el registro de dispositivos. Se ordenó a las grandes firmas de corretaje por internet adoptar inmediatamente los nuevos métodos de autenticación.

Aviso legal: La información en esta página puede provenir de fuentes de terceros y es solo para referencia. No representa las opiniones ni puntos de vista de Gate y no constituye asesoramiento financiero, de inversión ni legal. El comercio de activos virtuales implica un alto riesgo. No te bases únicamente en la información presentada en esta página para tomar decisiones. Para más detalles, consulta el Aviso legal.
Comentar
0/400
Sin comentarios