Cargando precios...

Hong Kong exige medidas antiphishing a plataformas crypto: nuevas reglas de la SFC para 2027

Arturo Trenard Arturo Trenard · · 6 min de lectura

Hong Kong exige medidas antiphishing a plataformas crypto: nuevas reglas de la SFC para 2027

La Comisión de Valores y Futuros de Hong Kong (SFC) ha emitido nuevas exigencias para que las plataformas de trading de activos virtuales (VATP) y los brokers online implementen métodos de autenticación resistentes al phishing en un plazo máximo de 12 meses. La medida prohíbe el uso de contraseñas de un solo uso (OTP) enviadas por SMS, correo electrónico o aplicaciones, y exige alternativas como passkeys, dispositivos registrados con verificación criptográfica y claves de seguridad físicas. Esta acción regulatoria se produce en un contexto global donde las estafas de phishing y de ingeniería social representaron $306 millones de los $482 millones en pérdidas totales reportadas por la industria crypto en el primer trimestre de 2026.

El aumento global de las estafas de phishing en crypto

Datos de pérdidas globales

En el primer trimestre de 2026, las estafas de phishing y de ingeniería social representaron el 63,5% de las pérdidas totales de la industria crypto, equivalentes a $306 millones de un total de $482 millones. Durante la primera mitad de 2026, las pérdidas totales por phishing alcanzaron los $366 millones, según datos reportados por la industria.

Entre los incidentes más notables registrados en los últimos meses, un inversor perdió casi $1 millón al firmar una transacción maliciosa de aprobación de tokens en Ethereum. Poco antes, otro usuario perdió $1,65 millones tras conectar su wallet a un exchange falso.

Técnicas de ataque reportadas

Los ataques han evolucionado en sofisticación. El 25 de mayo, el analista onchain «b-block» advirtió que estafadores estaban suplantando a Uniswap mediante anuncios falsos en Google, logrando robar más de $400,000 a víctimas que hacían clic en los enlaces patrocinados.

El envenenamiento de direcciones (address poisoning) también ha causado pérdidas millonarias. En diciembre de 2025, un inversor perdió $50 millones en un ataque de este tipo, lo que llevó a Changpeng Zhao, fundador de Binance, a solicitar públicamente mejores medidas de seguridad en wallets para evitar este tipo de fraudes.

Un caso histórico documentado ocurrió en mayo de 2024, cuando una víctima perdió $71 millones por el mismo método. En aquella ocasión, el atacante devolvió el dinero tras ser presionado por investigadores que lograron rastrear su dirección IP, un desenlace excepcional que subraya la vulnerabilidad del ecosistema.

La nueva regulación de la SFC de Hong Kong

¿Qué exige la SFC?

La Circular de la SFC establece una prohibición expresa del uso de contraseñas de un solo uso (OTP) para inicio de sesión, independientemente del canal de envío, ya sea SMS, correo electrónico o aplicaciones.

Las plataformas deberán adoptar métodos de autenticación resistentes al phishing que incluyen:

  • Passkeys: Claves de acceso basadas en criptografía de clave pública, compatibles con los estándares FIDO2 y WebAuthn.
  • Dispositivos registrados con verificación criptográfica: El dispositivo del usuario debe estar vinculado y autenticado mediante verificación criptográfica.
  • Claves de seguridad físicas (hardware security keys): Dispositivos como YubiKey que requieren presencia física para la autenticación.

Además, se exige la vinculación de dispositivos (device binding), lo que implica que las plataformas deberán asegurar que solo dispositivos previamente registrados y verificados puedan acceder a las cuentas de los clientes.

Plazos y ámbito de aplicación

Las plataformas de trading de activos virtuales (VATP) y los brokers online regulados por la SFC deben cumplir con los nuevos estándares de seguridad en un plazo máximo de 12 meses, lo que sitúa la fecha límite alrededor de mediados de 2027.

La medida fue emitida por la Securities and Futures Commission de Hong Kong y afecta a todas las entidades bajo su supervisión que operan con activos virtuales.

Justificación oficial del regulador

El Dr. Ye Zhiheng, Director Ejecutivo del Departamento de Intermediarios de la Comisión Reguladora de Valores de China (SFC), declaró:

«Para proteger las cuentas de los clientes de ataques de falsificación y fraude cada vez más complejos y cambiantes, deben implementarse medidas integrales junto con prevención, detección, respuesta y educación.»

La decisión regulatoria se sustenta en datos locales: en 2025, los ataques de falsificación y fraude representaron el 57% de los incidentes de seguridad reportados al Centro de Coordinación de Accidentes de Seguridad Cibernética de Hong Kong.

Reacciones y contexto de la industria

Llamados previos a mejorar la seguridad

La industria venía demandando medidas más estrictas desde hace meses. Tras el robo de $50 millones en diciembre de 2025 mediante envenenamiento de direcciones, Changpeng Zhao (CZ) pidió públicamente medidas de seguridad más robustas en wallets para evitar estafas de phishing y otras técnicas de ingeniería social.

El caso de restitución atípica de mayo de 2024, cuando un atacante devolvió $71 millones robados tras ser identificado por investigadores, evidencia la vulnerabilidad persistente del ecosistema y la necesidad de medidas de protección más efectivas.

Operativos internacionales

En el plano de la persecución de estos delitos, la policía belga arrestó al presunto líder de una banda de phishing vinculada al robo de $572,000, según reportes de la industria.

Impacto y conclusiones

La medida de Hong Kong eleva los estándares de ciberseguridad en uno de los principales hubs crypto de Asia y podría servir como modelo para otros reguladores internacionales. Países como Taiwán, que ya ha aprobado leyes crypto, o Dubái, que lidera hubs asiáticos, podrían seguir un enfoque similar.

En la práctica, las plataformas que operan en Hong Kong deberán realizar inversiones técnicas significativas en sistemas de autenticación, incluyendo la implementación de passkeys y claves de hardware, así como el posible rediseño de sus flujos de inicio de sesión.

Con pérdidas globales de $306 millones solo en el primer trimestre de 2026 atribuibles a phishing, la presión sobre exchanges y reguladores para adoptar sistemas de autenticación resistentes al phishing, como los basados en el estándar FIDO2, continúa en aumento en todo el sector.

Click to rate this post!
[Total: 0 Average: 0]