
La Comisión de Valores y Futuros de Hong Kong ha ordenado a las plataformas de comercio de criptoactivos y a los corredores en línea con licencia que reemplacen la autenticación basada en SMS por métodos de inicio de sesión resistentes al phishing en los próximos 12 meses.
Según la Comisión de Valores y Futuros de Hong Kong (SFC), las plataformas de trading de activos virtuales (VATPs) y los corredores en línea deben dejar de depender de las contraseñas de un solo uso entregadas a través de SMS, correo electrónico o códigos generados por aplicaciones, y en su lugar, adoptar sistemas de autenticación más robustos que sean más difíciles de comprometer para los atacantes.
El regulador anunció los nuevos requisitos de ciberseguridad el jueves como parte de las normas actualizadas para la protección de las cuentas de los clientes.
Bajo el nuevo marco, las empresas deberán introducir métodos de autenticación resistentes al phishing junto con la vinculación de dispositivos. La SFC identificó las claves de acceso, los dispositivos registrados asegurados mediante verificación criptográfica y las llaves de seguridad de hardware como alternativas aceptables. Todas las plataformas con licencia deben completar la transición en un plazo de un año.
Las últimas reglas llegan mientras Hong Kong continúa expandiendo su mercado regulado de activos digitales y elevando los estándares operativos para las empresas con licencia. A principios de esta semana, la SFC también anunció cambios en el programa de Profesional Certificado en Plataformas de Activos Virtuales después de discusiones con representantes de la industria.
El regulador se comprometió a separar el examen de certificación de su curso obligatorio, reducir las tarifas de evaluación y mejorar los materiales de estudio.
Administrado por el Instituto de Valores e Inversiones de Hong Kong (HKSI) bajo los estándares de la SFC, el Programa de Certificación para Profesionales de Activos Virtuales sirve como la calificación profesional de Hong Kong para el sector de activos digitales. El programa cubre los fundamentos de blockchain, productos de activos digitales y el cumplimiento de las normas contra el lavado de dinero.
La actividad regulatoria reciente se ha extendido más allá de las licencias y los estándares profesionales. El mes pasado, Hong Kong confirmó que se espera que sus primeras stablecoins reguladas entren en circulación entre mediados y la segunda mitad de 2026, después de que la Autoridad Monetaria de Hong Kong concediera licencias de emisor a dos instituciones respaldadas por bancos en abril.
Según la HKMA, el cronograma de implementación sigue los planes de negocios existentes de las instituciones, mientras que el marco de licencias tiene como objetivo apoyar la innovación financiera, proteger a los usuarios y preservar la estabilidad monetaria y financiera.
Volviendo a las medidas de ciberseguridad, la SFC dijo que los requisitos de autenticación más estrictos responden a los crecientes riesgos de phishing y fraude que afectan a las plataformas financieras. Los datos citados por el regulador mostraron que la falsificación y el fraude representaron el 57% de los incidentes de seguridad reportados al Centro de Coordinación de Accidentes de Ciberseguridad de Hong Kong durante 2025.
El Dr. Ye Zhiheng, director ejecutivo del Departamento de Intermediarios de la Comisión Reguladora de Valores de China, dijo que las instituciones financieras necesitan medidas coordinadas de prevención, detección, respuesta y educación para proteger las cuentas de los clientes de ataques de fraude cada vez más sofisticados.
La decisión de la SFC se produce tras otro período de grandes pérdidas relacionadas con ataques de phishing y ingeniería social en la industria de las criptomonedas.
Los datos de la industria mostraron que los ataques de phishing y las estafas de ingeniería social representaron $306 millones de los $482 millones en pérdidas totales de seguridad del sector cripto durante el primer trimestre de 2026.
Más recientemente, un inversor en criptomonedas supuestamente perdió casi $1 millón después de aprobar una transacción maliciosa de token de phishing en Ethereum, lo que contribuyó a pérdidas relacionadas con el phishing que alcanzaron los $366 millones durante la primera mitad de 2026.
Incidentes separados han continuado a lo largo del año. El investigador Ryan Coleman informó que un poseedor de billetera perdió alrededor de $1.65 millones después de conectarse a un exchange de criptomonedas falso y firmar un contrato malicioso que otorgaba a los atacantes acceso ilimitado a la billetera.
Anteriormente, el 25 de mayo, el analista on-chain b-block advirtió que los estafadores habían utilizado anuncios de Google para suplantar al exchange descentralizado Uniswap, y la campaña supuestamente robó más de $400,000 a las víctimas.
Las llamadas a una mayor seguridad de las billeteras también han provenido de dentro de la industria. El cofundador de Binance, Changpeng Zhao, instó previamente a los usuarios a adoptar mejores prácticas de seguridad después de que un inversor perdiera $50 millones en una estafa de envenenamiento de direcciones en diciembre de 2025.