Bitcoinbtc55.943,00 €+2.08%Ethereumeth1564,81 €+3.11%Tetherusdt0,873684 €+0.00%BNBbnb502,53 €+0.90%USDCusdc0,874144 €-0.01%XRPxrp0,963185 €+1.32%Solanasol68,18 €+0.74%TRONtrx0,28905 €-0.26%Figure Helocfigr_heloc0,877095 €-3.00%Hyperliquidhype59,15 €+0.25%Dogecoindoge0,064795 €+2.30%USDSusds0,874062 €-0.02%Rainrain0,012657 €+0.23%LEO Tokenleo8,30 €-0.23%Zcashzec441,14 €+8.23%WhiteBIT Coinwbt48,98 €+1.08%Stellarxlm0,16467 €+3.99%Cardanoada0,145631 €+0.24%Moneroxmr284,22 €+2.66%Chainlinklink6,93 €+3.08%Bitcoinbtc55.943,00 €+2.08%Ethereumeth1564,81 €+3.11%Tetherusdt0,873684 €+0.00%BNBbnb502,53 €+0.90%USDCusdc0,874144 €-0.01%XRPxrp0,963185 €+1.32%Solanasol68,18 €+0.74%TRONtrx0,28905 €-0.26%Figure Helocfigr_heloc0,877095 €-3.00%Hyperliquidhype59,15 €+0.25%Dogecoindoge0,064795 €+2.30%USDSusds0,874062 €-0.02%Rainrain0,012657 €+0.23%LEO Tokenleo8,30 €-0.23%Zcashzec441,14 €+8.23%WhiteBIT Coinwbt48,98 €+1.08%Stellarxlm0,16467 €+3.99%Cardanoada0,145631 €+0.24%Moneroxmr284,22 €+2.66%Chainlinklink6,93 €+3.08%
Regulacion

Hong Kong obliga a los exchanges a jubilar los códigos OTP contra el phishing

El regulador da doce meses para migrar a llaves de acceso y hace personalmente responsable a la alta dirección si un cliente pierde fondos.

Por Elena Pérez· 10 de julio de 2026 · 5 min de lectura
Hong Kong obliga a los exchanges a jubilar los códigos OTP contra el phishing
Hong Kong obliga a los exchanges a jubilar los códigos OTP contra el phishing · Fuente: Generada con IA Generativa
Lo que debes saber
  • La SFC de Hong Kong exige a los exchanges abandonar las contraseñas de un solo uso (OTP) y migrar a llaves de acceso vinculadas al dispositivo.
  • La directiva, el Circular 26EC35, se publicó el 9 de julio de 2026 y fija un plazo de 12 meses para la mayoría de las plataformas.
  • La alta dirección responderá de forma personal si los clientes pierden fondos por fallos en los controles de ciberseguridad.
  • Es el segundo aviso del regulador en cinco semanas sobre amenazas digitales.

La Comisión de Valores y Futuros de Hong Kong (SFC) ordenó a los exchanges de criptomonedas abandonar las contraseñas de un solo uso y adoptar métodos de autenticación resistentes al phishing, según el Circular 26EC35 publicado el 9 de julio de 2026. La medida afecta a las plataformas licenciadas que operan con activos digitales en el territorio.

El regulador considera que los códigos temporales enviados por SMS o aplicación, conocidos como OTP, se han convertido en un eslabón débil que los atacantes aprenden a interceptar o a retransmitir en tiempo real. Por eso pide sustituirlos por sistemas que no dependan de un código reutilizable.

La SFC ordena jubilar los códigos OTP

El documento sostiene que la migración debe apuntar a las llaves de acceso, basadas en criptografía vinculada al dispositivo, y a la vinculación de aparatos específicos. La lógica, según el Circular, es que «no existe un código reutilizable que un atacante pueda robar o retransmitir».

Vale aclarar que el phishing no ataca la tecnología, sino a la persona: engaña al usuario para que entregue voluntariamente sus credenciales o valide una operación fraudulenta. Un segundo factor basado en un código temporal puede ser capturado en una web falsa y reintroducido por el ciberdelincuente en segundos. La definición ampliada del término figura en nuestro glosario de criptomonedas.

Llaves de acceso frente a un código robado

La diferencia técnica es sustancial. Una llave de acceso guarda una clave privada dentro del dispositivo y solo firma el acceso ante el dominio legítimo, de modo que una página clonada no puede reclamar esa firma. Frente a ello, un OTP es un número que el usuario puede teclear en cualquier sitio, incluido uno fraudulento.

Cabe recordar que esta jerarquía de defensas ya la explicamos en RigMineria: no todos los segundos factores ofrecen la misma protección. Quien quiera entender por qué una llave física supera al SMS y a la app de autenticación encuentra ahí el detalle. La SFC, en la práctica, eleva a norma lo que el sector ya recomendaba como buena praxis.

Doce meses de plazo y responsabilidad personal

El regulador escalonó la exigencia. La mayoría de las entidades licenciadas dispone de 12 meses para cumplir, mientras que los grandes intermediarios de internet deben aplicar las medidas de forma inmediata, sin período de gracia, según recogió el medio Crypto Briefing.

La parte más contundente afecta a la cúpula. La SFC estableció que la alta dirección de las empresas será considerada personalmente responsable si los clientes sufren pérdidas a causa de fallos en los controles de ciberseguridad. Es un giro relevante: la seguridad deja de ser un asunto delegado en el departamento técnico y pasa a comprometer la responsabilidad de los ejecutivos.

Un segundo aviso en cinco semanas

El Circular 26EC35 no llega aislado. Se emitió apenas cinco semanas después del Circular 26EC32, del 2 de junio de 2026, centrado en las amenazas cibernéticas habilitadas por inteligencia artificial. La cadencia sugiere que el organismo percibe una escalada sostenida de los ataques dirigidos a usuarios de plataformas reguladas.

En este contexto, Hong Kong intenta sostener su ambición de plaza cripto regulada sin que los incidentes de seguridad erosionen la confianza. Un flujo constante de fondos hacia los exchanges autorizados exige que esas plataformas ofrezcan garantías equiparables a las de la banca tradicional.

¿Cómo protegen los exchanges en España y la Unión Europea?

El movimiento de Hong Kong conecta con una tendencia que también avanza en Europa, aunque por otra vía. En la Unión Europea, el Reglamento de Resiliencia Operativa Digital (DORA), en vigor desde enero de 2025, obliga a las entidades financieras y a los proveedores de servicios de criptoactivos a reforzar sus defensas frente a incidentes tecnológicos, con auditorías y planes de respuesta.

A ello se suma el marco MiCA, que somete a licencia a los exchanges que operan con clientes europeos. Por ahora, la normativa comunitaria no impone una tecnología concreta de autenticación, pero sí exige demostrar controles robustos. Quien elige plataforma puede contrastar esas garantías en nuestra comparativa de exchanges, donde la seguridad pesa junto a las comisiones y la reputación.

Sin embargo, la responsabilidad última sigue compartida con el usuario. Activar el segundo factor más fuerte disponible, desconfiar de correos y enlaces no solicitados y verificar siempre el dominio antes de introducir credenciales continúa siendo la primera barrera, sea cual sea la jurisdicción del exchange.

Si otras plazas reguladas —Singapur, Dubái o la propia Unión Europea— adoptan un enfoque similar al de Hong Kong, la autenticación resistente al phishing podría dejar de ser una recomendación para convertirse en un estándar mínimo del sector. Dependerá de si los reguladores optan por prescribir la tecnología, como acaba de hacer la SFC, o de si prefieren exigir resultados y dejar la solución en manos de cada plataforma en los próximos meses.

¿Tienes información para nuestro equipo?

Si conoces una noticia o tienes una filtración, escríbenos de forma confidencial.

Contáctanos

Artículos relacionados

El laborismo británico quiere prohibir de forma permanente las donaciones políticas en cripto
regulacion

El laborismo británico quiere prohibir de forma permanente las donaciones políticas en cripto

Por Elena Pérez · 10 de julio de 2026 · 4 min

Ver más de Regulacion

Lo último

Ver todas las noticias