La FSA de Japón propone estándares obligatorios de ciberseguridad para los intercambios de criptomonedas

La Agencia de Servicios Financieros de Japón publicó recientemente un nuevo borrador de política marco que establecerá nuevos estándares obligatorios de ciberseguridad para las plataformas de intercambio de criptomonedas. Esto marca un punto de inflexión: desde la seguridad individualizada y centrada en los activos hasta protocolos de defensa para todo el ecosistema (por plataforma), a medida que los ciberataques continúan aumentando en el sector de los activos digitales.

Las pautas de política se anunciaron el 10 de febrero de 2026, introduciendo autoevaluaciones de ciberseguridad obligatorias (CSSA) para todos los intercambios de criptomonedas registrados que operan en Japón. 

La FSA aceptará comentarios públicos hasta el 11 de marzo, lo que les da a los actores clave como las bolsas y los expertos en seguridad tres semanas para brindar comentarios antes de que las regulaciones se finalicen para su implementación en el año fiscal 2026 de Japón (que comienza el 1 de abril).

Las billeteras frías ya no son suficientes a medida que aumentan los ataques indirectos

La FSA ha observado un aumento de ataques indirectos sofisticados recientemente. A medida que la situación empeora, el uso de monederos fríos por sí solo podría no garantizar la gestión segura de activos, lo que indica un cambio en la filosofía regulatoria de Japón.

Si bien las billeteras frías fuera de línea protegen los activos del hackeo remoto directo, la agencia reconoció que los actores de amenazas modernos se han adaptado a esto al apuntar a la infraestructura humana y operativa que respalda la gestión de activos digitales.

Otros analistas señalaron que el marco CSSA requerirá que los intercambios evalúenmaticdiferentes aspectos de sus dominios de seguridad, ya sea infraestructura técnica (como seguridad de billetera y arquitectura de red), riesgos humanos y operativos (incluidos la capacitación de empleados y protocolos de phishing), gestión de proveedores externos y protecciones de integridad de datos, que deben cumplir con la Ley de Protección de Información Personal de Japón.

Este cambio se debe a varias brechas de seguridad de alto perfil ocurridas en 2024 que expusieron estas vulnerabilidades. Las directrices se centran en particular en los ataques que eluden las defensas tecnológicas, comprometiendo a los empleados mediante campañas de phishing o infiltrándose en proveedores de servicios ytracque mantienen acceso a los sistemas de intercambio.

El marco de tres pilares exige la participación de toda la industria

La implementación exitosa de esta nueva política se basa en tres pilares que se combinan para crear un sistema de defensa multicapa. Estos pilares incluyen la autoayuda, la ayuda mutua y la ayuda pública, y abordarán diferentes aspectos a la vez que trabajan juntos para fortalecer el sistema de seguridad de la industria.

El pilar de "autoayuda" asigna a cada plataforma la responsabilidad principal de asegurar sus propias operaciones. Comenzará en el año fiscal 2026 (1 de abril) y exigirá a todas las plataformas de intercambio de criptomonedas registradas que realicen las evaluaciones obligatorias mencionadas anteriormente.

El pilar de "asistencia mutua" utiliza inteligencia colectiva respaldada por la colaboración del sector . La FSA contribuirá a fortalecer las funciones del comité de seguridad de la Asociación Japonesa de Intercambio de Activos Virtuales y Criptomonetarios (JVCEA), a la vez que incentivará a las plataformas de intercambio a participar activamente en el intercambio de información para que las amenazas, los patrones de ataque y las estrategias de defensa se comuniquen mejor en todo el sector.

De esta manera, si un exchangedentuna nueva estrategia de ingeniería social u otra vulnerabilidad, esa información estará disponible para proteger a otros operadores antes de que experimenten algo similar.

Finalmente, el pilar de “ayuda pública” verá a la FSA continuar la investigación conjunta internacional sobre blockchain sobre amenazas emergentes que comenzó en el año fiscal 2025, así como involucrar a todo el sector de intercambio de criptomonedas en el “Delta Wall”, un ejercicio conjunto de ciberseguridad para organizaciones financieras, dentro de los tres años posteriores a la adopción de la política. 

¿Qué sigue para los exchanges que operan en Japón?

Durante el año fiscal 2026, la FSA planea realizar pruebas de penetración reales en operadores específicos y podría contratar piratas informáticos éticos para intentar intrusiones en sistemas de intercambio en vivo. 

Estos ataques autorizadosdentvulnerabilidades antes de que hackers maliciosos puedan explotarlas. Los hallazgos se compartirán de formadentpara ayudar a las plataformas de intercambio afectadas a corregir cualquier debilidad. Esto ayudará a proporcionar una medida objetiva de monitoreo que podría haberse pasado por alto durante las autoevaluaciones.

La estructura de tres pilares crea responsabilidad en todos los niveles: las bolsas son las principales responsables de su propia seguridad (autoayuda), la industria comparte inteligencia colectiva y eleva los estándares (ayuda mutua) y la supervisión, las pruebas y el apoyo gubernamentales (ayuda pública). 

La FSA cree que esto presagiará un ecosistematrony más adaptable, capaz de defenderse contra las amenazas actuales y futuras.

Si estás leyendo esto, ya estás al tanto. Sigue leyendo nuestro boletín .