Cargando precios…
🩸BEARISH

Hong Kong SFC ordena eliminar el acceso OTP en plataformas cripto

El plazo de 12 meses llega mientras los ataques de suplantación crecen en las plataformas con licencia de Hong Kong; la medida redefine la base de autenticación que debe cumplir cualquier plataforma minorista.

La Comisión de Valores y Futuros de Hong Kong ha ordenado a las plataformas cripto con licencia y a los brókers en línea eliminar progresivamente las contraseñas de un solo uso para el acceso de clientes en un plazo de 12 meses, citando un aumento de los ataques de suplantación.

Por qué importa

La directiva marca un giro regulatorio hacia estándares de autenticación más sólidos en el sector financiero minorista de Hong Kong. Las empresas deben adoptar métodos más seguros, incluidas claves de acceso y vinculación de dispositivos, al tiempo que refuerzan la monitorización de actividad sospechosa de inicio de sesión, operativa y de retirada de fondos. La autenticación basada en OTP lleva tiempo siendo un vector de vulnerabilidad conocido: los atacantes usan kits de phishing y tácticas de SIM-swap para interceptar los códigos de un solo uso enviados por SMS o apps autenticadoras.

Impacto en el mercado

El plazo de 12 meses obliga a las plataformas a renovar su infraestructura de onboarding y acceso, lo que supone un esfuerzo de ingeniería considerable y puede acelerar la consolidación entre operadores pequeños incapaces de asumir los costes de cumplimiento. Para los usuarios, la transición implica que las credenciales vinculadas al dispositivo y las claves de acceso sustituyen un flujo familiar y de baja fricción por uno más difícil de atacar mediante phishing, aunque algo más pesado de configurar. Esté atento a la próxima ronda de指引 de la SFC sobre qué cuenta como clave de acceso conforme, ya que los estándares de implementación siguen sin definirse en la directiva actual.

Preguntas frecuentes

  1. ¿Qué ha ordenado la SFC de Hong Kong sobre los accesos con OTP?

    La SFC ha ordenado a las plataformas cripto con licencia y a los brókers en línea eliminar progresivamente la autenticación con contraseña de un solo uso para el acceso de clientes en un plazo de 12 meses, citando un aumento de ataques de suplantación dirigidos a sistemas basados en OTP.

  2. ¿Qué métodos de autenticación deben adoptar las empresas?

    Las empresas deben adoptar métodos de autenticación más sólidos, como claves de acceso y vinculación de dispositivos, y reforzar la monitorización de actividad sospechosa de inicio de sesión, operativa y de retirada de fondos.

  3. ¿Por qué las OTP se consideran vulnerables?

    Los códigos OTP enviados por SMS o apps autenticadoras pueden ser interceptados mediante kits de phishing y ataques de SIM-swap, lo que permite a los atacantes saltarse las protecciones de acceso sin necesidad de la contraseña real del usuario.

  4. ¿Cómo afecta esto a los usuarios de cripto en Hong Kong?

    Los usuarios pasarán de los flujos OTP familiares y de baja fricción a credenciales vinculadas al dispositivo y claves de acceso, que son más difíciles de phishear, aunque pueden requerir un proceso de configuración inicial algo más laborioso.

  5. ¿Cuál es el plazo de cumplimiento para las plataformas?

    Las plataformas cripto con licencia y los brókers en línea deben eliminar los accesos con OTP en los 12 meses posteriores a la directiva de la SFC, lo que significa que los operadores afectados deberán implementar una autenticación conforme antes de mediados de 2027.

Atribución de fuente
Agregado de TheBlock · Verificado · Última actualización hace 50m
Abrir original →