Hong Kong's Securities and Futures Commission ha emitido normas de custodia de efecto inmediato que prohíben los contratos inteligentes en billeteras frías y exigen monitoreo de seguridad 24/7, respondiendo a más de $3 mil millones en pérdidas globales de criptomonedas durante la primera mitad de 2025, incluyendo el hackeo récord de $1.5 mil millones de Bybit en febrero atribuido a actores estatales norcoreanos.
La Securities and Futures Commission de Hong Kong ha implementado estrictos nuevos estándares de custodia de criptomonedas que prohíben el uso de contratos inteligentes en implementaciones de billeteras frías, marcando una de las respuestas regulatorias más significativas a la creciente crisis de seguridad de criptomonedas global, que ha visto más de $3 mil millones robados en la primera mitad de 2025.
La circular, publicada el viernes y de efecto inmediato, establece requisitos de seguridad exhaustivos para las plataformas de comercio de activos virtuales (VATPs) con licencia y establece la base para el marco regulatorio de activos digitales más amplio de la ciudad bajo su hoja de ruta ASPIRe.
Este movimiento surge mientras Hong Kong se posiciona como el principal centro de criptomonedas de Asia, enfrentando amenazas de seguridad sin precedentes que han devastado intercambios en todo el mundo.
Reforma exhaustiva de seguridad aborda el panorama de amenazas globales
La acción de la SFC responde directamente a lo que el Dr. Eric Yip, director ejecutivo de intermediarios de la comisión, describió como "riesgos globales aumentados" tras una devastadora ola de ciberataques que han alterado fundamentalmente el panorama de amenazas de criptomonedas. Las pérdidas globales de cripto alcanzaron $2.47 mil millones en 344 incidentes en la primera mitad de 2025, con brechas relacionadas con billeteras representando $1.7 mil millones en solo 34 ataques.
La intervención regulatoria fue provocada por la revisión enfocado de la SFC realizada a principios de este año, que "reveló insuficiencias en los controles de algunos operadores" entre las plataformas con licencia en Hong Kong. La evaluación encontró debilidades críticas en la resistencia de los intercambios a los ciberataques, incluyendo la dependencia de soluciones de billeteras de terceros comprometidas y procesos de verificación de transacciones insuficientes.
Más significativamente, el momento coincide con el hackeo de la plataforma Bybit en febrero, que resultó en el robo de aproximadamente $1.5 mil millones en tokens de Ethereum por actores estatales norcoreanos en lo que constituye el mayor robo de criptomonedas de la historia. El FBI atribuyó oficialmente el ataque a la operación "TraderTraitor" de Corea del Norte, destacando las sofisticadas capacidades de los actores de amenazas patrocinados por el estado que apuntan a la infraestructura de criptomonedas.
Prohibición de contratos inteligentes altera estándares de la industria
El aspecto más destacado de las nuevas reglas es la prohibición explícita de contratos inteligentes en implementaciones de billeteras frías. La circular indica que "las implementaciones de billeteras frías no deben incluir contratos inteligentes en blockchains públicos para minimizar potenciales vectores de ataque en línea asociados con contratos inteligentes en cadena."
Este requisito desafía directamente las prácticas establecidas de la industria, ya que los contratos inteligentes son ampliamente utilizados por custodios institucionales tanto para operaciones de billeteras calientes como frías. Los principales actores de la industria, incluyendo BitGo, utilizan contratos inteligentes de Ethereum optimizados para operaciones de custodia, mientras que Safe (anteriormente Gnosis Safe) se ha convertido en una solución de custodia basada en contratos inteligentes dominante, con $72 mil millones en más de 25 cuentas inteligentes desplegadas a partir del tercer trimestre de 2024.
Coinbase, el mayor intercambio de criptomonedas de EE.UU., anteriormente denominó a Safe como "el proveedor líder" de servicios multisig, subrayando la posible resistencia de la industria a la prohibición de Hong Kong. La prohibición obliga a las plataformas con licencia a rediseñar su infraestructura de custodia, posiblemente requiriendo revisiones operativas significativas e inversiones tecnológicas.
La restricción de contratos inteligentes refleja preocupaciones sobre vulnerabilidades en cadena que han sido explotadas en ataques recientes. El hackeo de Bybit específicamente involucró la manipulación de la interfaz de usuario de Safe{Wallet}, donde los hackers inyectaron código JavaScript malicioso entre el 19 y 21 de febrero de 2025, permitiéndoles interceptar y redirigir transacciones legítimas.
Implementación del marco de seguridad integral
Más allá de la prohibición de contratos inteligentes, los nuevos estándares establecen un marco de seguridad integral que cubre todos los aspectos de las operaciones de custodia de criptomonedas. Las plataformas con licencia deben implementar módulos de seguridad de hardware certificados, mantener entornos aislados para operaciones de claves privadas y establecer centros de operaciones de seguridad 24/7 para el monitoreo continuo de sistemas, redes, billeteras e infraestructura.
Las regulaciones exigen que los retiros solo puedan procesarse a direcciones pre-aprobadas de listas blancas, con procesos sistemáticos de verificación de transacciones requeridos para todos los movimientos de fondos. El entorno donde se utilizan las claves privadas para firmar transacciones debe estar aislado y físicamente seguro, con claves generadas y almacenadas sin conexión bajo "estricto control de acceso físico multifactor."
La rendición de cuentas por parte de la alta gerencia representa otro componente crítico, con ejecutivos directamente responsables de salvaguardar los activos de los clientes. El marco requiere evaluaciones de seguridad independientes regulares de terceros y programas de capacitación integral para el personal para prevenir ataques de ingeniería social y otras vulnerabilidades de seguridad.
Los estándares abordan vectores de ataque específicos identificados en incidentes recientes, incluyendo el movimiento rápido de fondos que caracterizó el ataque a Bybit. La firma de análisis de blockchain Global Ledger reveló que los hackers movieron fondos en el 68% de los casos antes de que los ataques se hicieran públicos, con un cuarto de ellos lavando completamente los activos robados antes de que se emitieran alertas.
Hoja de ruta ASPIRe impulsa el posicionamiento competitivo
Los requisitos de custodia forman parte de la hoja de ruta regulatoria ASPIRe más amplia de Hong Kong, que significa Acceso, Salvaguardias, Productos, Infraestructura y Relaciones. El marco representa la estrategia de Hong Kong para convertirse en el centro de activos digitales de Asia, mientras se diferencia de su competidor regional Singapur, que ha adoptado un enfoque más restrictivo hacia los servicios de criptomonedas al por menor.
El pilar de salvaguardias específicamente apunta a "habilitar marcos adaptativos de cumplimiento y productos enfocados en la seguridad" mientras construye infraestructura que permite a las finanzas tradicionales "aprovechar la eficiencia del blockchain." Los estándares de custodia se extenderán más allá de los intercambios para incluir escritorios extrabursátiles y custodios independientes bajo el régimen de licencias propuesto de Hong Kong para servicios de custodia.
Hong Kong ha licenciado solo 11 plataformas de activos virtuales desde julio de 2025, con nueve solicitudes adicionales en revisión, implementando procedimientos de licencia acelerados desde enero. El gobierno ha acelerado esfuerzos de tokenización con productos aprobados, incluyendo tokens de oro y fondos del mercado monetario, mientras explora la tokenización de bienes raíces y capital privado a través de la infraestructura del Proyecto Ensemble.
Regulación de stablecoins completa el marco de activos digitales
Las reglas de custodia complementan la regulación integral de stablecoins de Hong Kong, que entró en vigor el 1 de agosto de 2025, bajo la Ordenanza de Stablecoins. El régimen requiere que los emisores de stablecoins obtengan licencias de la Autoridad Monetaria de Hong Kong y mantengan respaldo completo de reservas con activos líquidos de alta calidad.
Más de 40 empresas han presentado consultas sobre licencias de stablecoins incluso antes de que la regulación entrara en vigor, con empresas importantes, incluyendo JD.com, Ant Group, Standard Chartered y Circle, declarando públicamente intenciones de solicitud. El marco de stablecoins posiciona a Hong Kong para desafiar la dominación de las stablecoins basadas en dólares estadounidenses en los mercados asiáticos al permitir alternativas respaldadas por el dólar de Hong Kong y el yuan chino.
El Director Ejecutivo de la HKMA, Eddie Yue, confirmó que solo se otorgará un pequeño número de licencias de stablecoins inicialmente, a pesar de colaborar con docenas de partes interesadas, manteniendo el control de calidad mientras se construye la base regulatoria para un desarrollo de mercado más amplio.
Respuesta de la industria y desafíos de cumplimiento
La implementación inmediata de los estándares de custodia presenta desafíos operativos significativos para las plataformas con licencia, particularmente la prohibición de contratos inteligentes que requiere cambios fundamentales en la infraestructura. Los intercambios deben desarrollar soluciones de custodia alternativas que mantengan la seguridad mientras cumplen con las nuevas restricciones sobre contratos inteligentes basados en blockchain.
Los requisitos alinean los estándares de Hong Kong con las regulaciones de custodia financiera tradicional, incluyendo la adecuación del capital, la ciberseguridad y los estándares de segregación de activos. Sin embargo, las restricciones específicas de criptomonedas, particularmente alrededor de contratos inteligentes, crean cargas de cumplimiento únicas no enfrentadas por las instituciones financieras tradicionales.
Los observadores del mercado notan que, aunque los desafíos operativos a corto plazo son significativos, los beneficios a largo plazo incluyen una mayor confianza en los inversores y riesgos reducidos de arbitraje regulatorio. El marco regulatorio claro proporciona certeza para los inversores institucionales que consideran la exposición a criptomonedas a través de plataformas con licencia en Hong Kong.
Las reglas también crean ventajas competitivas para las plataformas que pueden demostrar cumplimiento con los estándares de seguridad mejorados, potencialmente atrayendo capital institucional que busca exposición a criptomonedas reguladas con salvaguardias adecuadas.
Contexto global y tendencias regulatorias
La acción de Hong Kong ocurre dentro de una tendencia global más amplia hacia una regulación fortalecida de criptomonedas tras incidentes de seguridad de alto perfil. La respuesta paralela al endurecimiento regulatorio en otras jurisdicciones, incluyendo la Ley GENIUS de EE. UU. para stable
Los actores sofisticados típicamente planean movimientos para coincidir con la actividad normal de transacciones, atacando durante los cambios de turno del personal organizacional cuando la vigilancia puede estar reducida.
Los esfuerzos de recuperación han devuelto solo $187 millones a través de la aplicación de la ley, acuerdos de sombrero blanco y cooperación de intercambio, representando solo el 4.2% de los fondos robados. La baja tasa de recuperación destaca la importancia de las medidas de seguridad preventivas en lugar de la remediación posterior al incidente.
La violencia física contra los poseedores de criptomonedas también ha escalado, con 32 "ataques de llave inglesa" reportados globalmente en 2025, poniendo al año en curso para superar el récord de 2021. La tendencia preocupante ha reforzado el enfoque regulatorio en la seguridad de la custodia y las salvaguardas a nivel institucional.
Impacto en el Mercado e Implicaciones Futuras
El impacto inmediato en el mercado incluye ajustes operativos para las plataformas con licencia en Hong Kong y una potencial consolidación mientras los operadores más pequeños luchan con los costos de cumplimiento. Sin embargo, el efecto a largo plazo apunta a solidificar la posición de Hong Kong como una jurisdicción de confianza para la inversión institucional en criptomonedas.
Los estándares mejorados crean barreras de entrada que pueden beneficiar a las plataformas establecidas capaces de cumplir con los requisitos de seguridad mientras potencialmente desalientan a los operadores menos sofisticados. Esta estructura de mercado se alinea con el objetivo de Hong Kong de atraer participantes institucionales de alta calidad en lugar de facilitar el comercio minorista especulativo.
La prohibición de contratos inteligentes en carteras frías puede influir en las prácticas de custodia global si otras jurisdicciones adoptan restricciones similares. Sin embargo, también podría crear desventajas competitivas para las plataformas de Hong Kong si las limitaciones impactan significativamente la eficiencia operativa en comparación con jurisdicciones menos restrictivas.
El marco integral posiciona a Hong Kong como uno de los lugares con los estándares de custodia de criptomonedas más estrictos del mundo, potencialmente atrayendo a inversores institucionales que buscan máximas garantías de seguridad mientras desalienta a participantes de mercado menos sofisticados.
A medida que Hong Kong continúa implementando su agenda regulatoria de activos digitales, los estándares de custodia representan una base crítica para construir la confianza institucional en la infraestructura de criptomonedas de la ciudad. El éxito de este enfoque en atraer capital institucional mientras se mantiene la seguridad probablemente influirá en los desarrollos regulatorios en la región Asia-Pacífico y a nivel mundial.