Hong Kong prohíbe los inicios de sesión por SMS y correo electrónico en plataformas de criptoactivos
La SFC quiere frenar el phishing y las tomas de cuentas tras un año récord de incidentes cibernéticos. Las plataformas deberán migrar a passkeys y a otros métodos de inicio de sesión resistentes al phishing.

Puntos clave
- El regulador de Hong Kong, la SFC, prohíbe los inicios de sesión con OTP por SMS, correo electrónico y aplicaciones para plataformas de criptoactivos e intermediarios en línea.
- Las plataformas deberán migrar a passkeys y a otros métodos resistentes al phishing; los grandes intermediarios deberán hacerlo de inmediato.
- La medida llega tras 15.877 incidentes de ciberseguridad en Hong Kong en 2025, de los cuales el phishing representó el 57%.
La SFC, el regulador de Hong Kong, ha prohibido el uso de contraseñas de un solo uso enviadas por SMS, correo electrónico y aplicaciones para iniciar sesión en plataformas de criptoactivos e intermediarios en línea. La decisión responde al repunte del phishing en la región, en un año marcado por un número récord de incidentes cibernéticos. A partir de ahora, las plataformas deberán adoptar passkeys y otros métodos de acceso resistentes al phishing, mientras que los grandes intermediarios tendrán que aplicar el cambio de forma inmediata.
Reglas de inicio de sesión más estrictas
Para formalizar esta exigencia, la Securities and Futures Commission ha emitido una circular. El documento obliga a los proveedores a vincular los inicios de sesión de los clientes al device binding y a detectar de manera activa los accesos sospechosos, así como las operaciones y los retiros. Además, los clientes deberán recibir antes la información sobre cualquier evento relevante en sus cuentas.
De acuerdo con el regulador, las empresas dispondrán de 12 meses para adaptarse a los nuevos requisitos. En el caso de los grandes intermediarios, el cumplimiento será inmediato. La SFC ya había advertido en febrero de 2025 sobre los riesgos asociados a los inicios de sesión con OTP, pero ahora convierte esa advertencia en una obligación regulatoria.
El phishing impulsa la medida
La intervención llega después de 15.877 incidentes de ciberseguridad en Hong Kong en 2025, lo que supone un aumento del 27% frente al año anterior. El phishing concentró el 57% de los casos, seguido por los botnets, con un 18%, y el malware, con un 15%. En 2023, la cifra total todavía se situaba en 7.752 incidentes.
La SFC relaciona esta evolución con una presión más amplia sobre el sector cripto. A escala global, las pérdidas vinculadas al phishing en carteras de criptoactivos alcanzaron en el primer trimestre de 2026 unos 306$ millones (268€ millones). Según el regulador, los atacantes recurren cada vez más a credenciales robadas en lugar de explotar fallos técnicos.
Qué significa esto para las criptomonedas
Para los lectores europeos de criptoactivos, lo más relevante es que Hong Kong coloca ahora de forma explícita la responsabilidad en el proveedor. La SFC advierte de que la alta dirección puede ser considerada directamente responsable de las pérdidas de los clientes si la seguridad resulta insuficiente. Esta postura encaja con una tendencia internacional más amplia, en la que los reguladores buscan reforzar las medidas contra el phishing y las tomas de cuentas.
Además, el regulador de Hong Kong ya había incluido en listas negras sitios web fraudulentos que se hacían pasar por exchanges de criptoactivos con licencia. Esto muestra que el enfoque no se limita al inicio de sesión, sino que abarca una defensa más amplia frente a las estafas y otras formas de abuso en torno a las plataformas de negociación.