Claves de acceso de la FSA de Japón: impulso a la MFA resistente al phishing (2026)

1. Introducción: Por qué es importante la página de la FSA del 16 de abril de 2026#

La página de la FSA de Japón del 16 de abril de 2026 es importante porque cambia públicamente el objetivo de una MFA genérica a una autenticación resistente al phishing. La página nombra las claves de acceso y la PKI como ejemplos preferidos, rechaza el OTP por correo electrónico y SMS como protección suficiente contra el phishing moderno y convierte un debate sobre cumplimiento exclusivo de la industria en una señal de mercado dirigida al consumidor.

El anuncio de la FSA de Japón del 16 de abril de 2026 parece modesto a primera vista. No es una ley nueva. No es una acción de cumplimiento directo. No publica un nuevo plazo de cumplimiento. En su lugar, introduce una campaña pública con folletos y carteles descargables.

Lo que hizo aquí la Agencia de Servicios Financieros (FSA) fue trasladar la conversación de un canal industrial/regulatorio al dominio público. El regulador ya no solo dice a los bancos, corredores y asociaciones comerciales que fortalezcan la autenticación. Ahora le dice a los usuarios comunes que:

• la autenticación basada solo en contraseñas es débil,
• el OTP por correo electrónico y SMS ya no es suficiente,
• los usuarios deberían preferir la MFA resistente al phishing, y
• las claves de acceso y la autenticación PKI son la dirección correcta.

Ese es un cambio importante de tono. Y en industrias altamente reguladas como la bancaria, el tono a menudo se convierte en presión para la implementación mucho antes de que aparezca el próximo texto normativo formal.

Esta campaña pública tampoco surgió de la nada. En su propio documento informativo en inglés en PDF de junio de 2025, la FSA ya había advertido que la autenticación basada únicamente en ID/contraseña es vulnerable y que las contraseñas de un solo uso enviadas por correo electrónico o SMS no son lo suficientemente efectivas contra el phishing. Mientras tanto, la cobertura de la industria a fines de 2025 describió el mercado de Japón con 64 organizaciones en el Grupo de Trabajo FIDO de Japón y más de 50 proveedores de claves de acceso activos o planificados, lo que indica que el impulso de implementación ya era real antes de la campaña pública de abril de 2026 (cobertura de CNET Japón). Para tener una visión más amplia de cómo los bancos, plataformas y reguladores japoneses han avanzado hacia la eliminación de las contraseñas, consulte nuestro artículo general sobre las claves de acceso en Japón.

2. Lo que la FSA publicó realmente el 16 de abril de 2026#

La página del 16 de abril es un paquete coordinado de campaña pública, no una simple nota de prensa. Agrupa 9 activos reutilizables (5 folletos en PDF y 4 vídeos promocionales), alinea a los bancos, los grupos de valores y la policía en torno al mismo mensaje, y dice a los consumidores que la MFA resistente al phishing debería reemplazar la dependencia de las contraseñas más el OTP para las operaciones financieras de alto riesgo.

La página oficial incluye 5 folletos en PDF, organizados como un resumen general más versiones detalladas de dos temas (MFA resistente al phishing y concienciación sobre correos de phishing):

• Resumen general (概要版)
• MFA resistente al phishing, resumen general
• MFA resistente al phishing, detallado
• Concienciación sobre correos de phishing, resumen general
• Concienciación sobre correos de phishing, detallado

Junto a los PDF, la página promociona 4 vídeos promocionales sobre los mismos dos temas, producidos tanto en formato de drama como de manga, de modo que la campaña pueda llegar a diferentes grupos de edad y contextos de lectura, no solo a los lectores de políticas.

La campaña se presenta como un esfuerzo conjunto de la FSA con:

• asociaciones bancarias a nivel nacional,
• bancos shinkin,
• cooperativas de crédito,
• bancos laborales,
• grupos de la industria de valores, y
• la Agencia Nacional de Policía.

Esa amplitud es importante. No se trata de una advertencia limitada únicamente al sector de valores. Es un mensaje coordinado en todo el ecosistema financiero minorista de Japón.

2.1 El mensaje político central#

El término clave utilizado en la campaña es フィッシングに耐性のある多要素認証, que significa autenticación multifactor resistente al phishing.

Los folletos explican que la autenticación heredada se ha quedado atrás respecto al modelo de amenazas actual:

• las contraseñas pueden ser objeto de phishing o reutilizadas,
• el OTP por correo electrónico / SMS puede robarse en tiempo real,
• el malware puede observar o manipular la sesión del usuario, y
• los sitios falsos pueden imitar a la marca real con suficiente precisión como para que la inspección visual no sea una defensa confiable.

A continuación, la campaña presenta dos ejemplos principales de autenticación más sólida:

1. Claves de acceso
2. Autenticación basada en PKI

Esa segunda parte es importante. Japón no está enmarcando esto puramente como "todos deben usar claves de acceso". El regulador está enmarcando el resultado deseado como una autenticación resistente al phishing, y las claves de acceso son una de las vías más claras para el consumidor para llegar a ello.

Para concretar esa distinción, el enfoque de la FSA separa implícitamente los métodos de autenticación de esta manera:

2.2 La campaña también es conductual#

Los materiales no solo se centran en la tecnología de autenticación. También aconsejan a los usuarios:

• evitar iniciar sesión desde enlaces dentro de correos electrónicos o SMS,
• usar marcadores (favoritos) o aplicaciones oficiales,
• desconfiar de pantallas desconocidas y de solicitudes inusuales,
• preferir las tiendas de aplicaciones oficiales, y
• desconfiar de instrucciones extrañas en el navegador, como atajos de teclado inesperados.

En otras palabras, la FSA no pretende que la tecnología de autenticación por sí sola resuelva todo el problema. Está combinando contramedidas técnicas con higiene conductual.

3. Lo que es nuevo aquí, y lo que no#

La página del 16 de abril es nueva porque cambia el enfoque público, no porque cree una nueva ley independiente. La verdadera novedad es que el regulador de Japón ahora explica públicamente por qué las claves de acceso y la PKI son mejores que los flujos de contraseña más OTP, lo que brinda a las instituciones financieras un mayor respaldo para rediseñar la autenticación en torno a la resistencia al phishing.

3.1 Lo que es realmente nuevo#

La página del 16 de abril es nueva de al menos cuatro formas:

3.1.1 Las claves de acceso ahora forman parte del vocabulario público del regulador#

Muchos reguladores hablan de la MFA en términos abstractos. La FSA de Japón está haciendo algo más concreto: le está diciendo al público que las claves de acceso son una defensa más fuerte contra el phishing y la suplantación de identidad que los patrones de inicio de sesión más antiguos.

Eso importa porque el nombramiento público cambia las decisiones sobre los productos. Una vez que el regulador nombra públicamente a las claves de acceso, las instituciones financieras pueden justificar más fácilmente la inversión a nivel interno:

• los equipos de cumplimiento pueden citar al regulador,
• los equipos de riesgo pueden conectar directamente las claves de acceso a la reducción de pérdidas por phishing,
• los equipos de producto pueden posicionar las claves de acceso como alineadas con la orientación oficial, en lugar de como un proyecto de innovación opcional.

3.1.2 La FSA está degradando públicamente el OTP#

Esta no es una implicación sutil. Los materiales establecen que el OTP entregado por correo electrónico o SMS aún puede ser superado por:

• el phishing en tiempo real,
• la interceptación del intermediario (man-in-the-middle), y
• el robo asistido por malware.

Eso es más contundente que una nota genérica de mejores prácticas que diga que el OTP es "menos seguro". Es el regulador diciendo al público que la MFA basada en OTP no proporciona una resistencia significativa al phishing.

3.1.3 El mensaje es intersectorial#

Japón no está limitando esto a un sector vertical. Los bancos, los corredores y otros actores financieros forman todos parte de la misma señal pública. Eso aumenta las probabilidades de una normalización más amplia en el ecosistema:

• los bancos pueden capacitar a los usuarios para que esperen inicios de sesión más fuertes,
• los corredores pueden hacer que una autenticación más fuerte sea la opción por defecto para las acciones de alto riesgo,
• los usuarios encontrarán un lenguaje similar en todas las instituciones en lugar de explicaciones contradictorias.

3.1.4 La FSA está educando al consumidor directamente#

Este es el punto más importante.

Hay una gran diferencia entre:

• un regulador que dice a las instituciones financieras lo que deben implementar, y
• un regulador que le dice a los clientes cómo se ve ahora una autenticación segura.

El segundo paso reduce el riesgo político y de la experiencia del usuario (UX) del despliegue. Un banco o corredor ahora puede decir: "Esta no es solo nuestra idea; esta es la dirección que el propio regulador está promoviendo".

3.2 Lo que no es nuevo#

La página en sí misma no crea:

• un nuevo mandato independiente,
• una nueva fecha límite de implementación,
• una especificación técnica detallada para las claves de acceso,
• una declaración de que las claves de acceso son la única tecnología aceptable, o
• una lista de sanciones vinculadas directamente a esta campaña.

Esta distinción importa porque muchos lectores exagerarán el anuncio y dirán que "Japón acaba de hacer obligatorias las claves de acceso". Eso no es lo suficientemente preciso.

La mejor lectura es:

Eso es estratégicamente importante incluso si no es una nueva norma por sí misma.

4. Por qué la FSA tiene razón al centrarse en la MFA resistente al phishing en lugar de la MFA genérica#

La FSA tiene razón porque la MFA genérica aún deja intacta la ruta principal de fraude. La contraseña más el OTP añade un secreto reutilizable más, mientras que la MFA resistente al phishing cambia el protocolo de modo que el sitio falso no puede completar la autenticación ni siquiera cuando se engaña al usuario para que lo intente.

4.1 El OTP resuelve el problema del pasado#

El OTP por SMS y correo electrónico fue diseñado para dificultar la repetición de credenciales. Funciona contra algunos patrones de ataque más antiguos, pero los atacantes modernos no necesitan repetir un código horas después. Lo roban en tiempo real. Esto importa aún más en un mercado en el que la reutilización de contraseñas en Japón sigue siendo extremadamente alta, lo que significa que el primer factor suele verse comprometido antes de que comience el paso de OTP.

Ese es el problema central con el phishing en tiempo real:

1. Una víctima llega a un sitio falso.
2. La víctima introduce su nombre de usuario y contraseña.
3. El atacante reenvía esas credenciales al sitio real.
4. El sitio real solicita un OTP.
5. El sitio falso le pide el OTP a la víctima.
6. El atacante lo usa inmediatamente para completar el inicio de sesión real.

En ese flujo de trabajo, el OTP no detiene al atacante. Simplemente se convierte en otro secreto que se puede engañar a la víctima para que revele.

4.2 Las claves de acceso cambian el modelo de confianza#

Las claves de acceso funcionan de forma diferente porque están vinculadas al origen. La credencial solo puede usarse en el sitio legítimo asociado con la parte de confianza de la clave de acceso. La base técnica para este comportamiento se encuentra en la especificación WebAuthn de W3C y la documentación de claves de acceso de la Alianza FIDO, ambas describiendo el modelo de desafío-respuesta vinculado al sitio que evita que un dominio falso reutilice una credencial creada para el real.

Eso significa que un dominio falso no puede simplemente pedirle al usuario que "escriba la clave de acceso" del mismo modo que solicita una contraseña o un OTP. No hay nada reutilizable que escribir, y el navegador / sistema operativo comprueba el contexto del sitio antes de que pueda continuar la autenticación.

Por eso las claves de acceso son centrales en la autenticación resistente al phishing:

• no hay un secreto compartido que volver a introducir,
• no se le pide al usuario que transmita manualmente un código reutilizable,
• la clave privada nunca abandona el dispositivo del usuario, y
• el autenticador está vinculado al origen legítimo.

Esta es también la razón por la que la campaña del 16 de abril es importante. La FSA no solo dice "usar una mejor MFA". Está apuntando hacia métodos de autenticación donde el sitio de phishing falla a nivel de protocolo en lugar de pedirle al usuario que detecte el fraude manualmente.

4.3 La PKI también importa#

La campaña de Japón también destaca la PKI y menciona explícitamente que las credenciales de la tarjeta My Number pueden usarse en contextos de autenticación.

No es casualidad. Japón tiene una historia institucional más profunda con modelos de identidad orientados a certificados que muchos mercados de consumo occidentales. Por lo tanto, el probable estado final en Japón no es "solo claves de acceso". Se parece más a:

• claves de acceso para el inicio de sesión general del consumidor y los flujos de autenticación escalonada,
• PKI / autenticación basada en certificados para una mayor garantía o casos de identidad similares al sector público,
• y una preferencia regulatoria más amplia por los resultados resistentes al phishing.

Para los equipos de producto, eso significa que la comparación estratégica correcta no es "claves de acceso vs. contraseñas". Se parece más a:

• claves de acceso vs. OTP por correo/SMS para el inicio de sesión del consumidor,
• claves de acceso vs. tokens de software en la aplicación para la experiencia de usuario bancaria,
• claves de acceso vs. PKI para la garantía y las capas de verificación de identidad.

5. Por qué el 16 de abril es aún más importante en el contexto de la dirección regulatoria anterior de Japón#

El 16 de abril es importante porque convierte una tendencia de supervisión en una norma pública. Después de que la FSA pasara el año 2025 advirtiendo que la autenticación solo con contraseñas y la que dependía en gran medida del OTP eran demasiado débiles, la campaña de abril de 2026 dice a los consumidores directamente cómo debería ser el reemplazo: MFA resistente al phishing mediante claves de acceso, PKI o ambas.

Hacia 2025 y principios de 2026, el sector financiero de Japón ya se estaba moviendo hacia controles más fuertes después de incidentes de vulneración de cuentas relacionados con el phishing en valores y otros servicios financieros en línea. El contexto es una serie de vulneraciones de datos de alto perfil en Japón que han mantenido la toma de control de cuentas y el robo de credenciales en la agenda regulatoria. En materiales relacionados de la FSA y en comentarios posteriores sobre cambios en las pautas, el regulador hizo una distinción más nítida entre:

• "alguna MFA", y
• MFA resistente al phishing.

Esa diferencia lo es todo.

La MFA genérica aún puede dejar a los usuarios vulnerables a:

• robo de OTP,
• reenvío a sitios falsos,
• fatiga de notificaciones automáticas / abuso de aprobación,
• puntos finales comprometidos,
• flujos de recuperación débiles.

Por el contrario, la MFA resistente al phishing intenta bloquear explícitamente la ruta de fraude central en lugar de simplemente añadir un obstáculo más. La campaña del 16 de abril se ve mejor, por lo tanto, como una operativización pública de una dirección más grande que ya se está formando en Japón:

• los servicios financieros no deberían limitarse a añadir más fricción,
• deberían pasar a métodos de autenticación que rompan la economía del phishing.

A primera vista, la progresión abarca cuatro hitos en menos de un año:

Con fuentes, la misma progresión se lee así:

• Junio de 2025: el resumen de temas en inglés de la FSA afirma que la autenticación que usa solo contraseñas es débil y que el OTP por correo electrónico / SMS no es lo suficientemente efectivo contra el phishing.
• 15 de julio de 2025: el borrador de la directriz de la JSDA impulsa la MFA resistente al phishing para acciones de valores sensibles como el inicio de sesión, los retiros y los cambios en la cuenta bancaria.
• Fines de 2025: los informes del mercado describen más de 50 proveedores de claves de acceso y 64 organizaciones del Grupo de Trabajo FIDO de Japón en Japón (CNET Japón).
• 16 de abril de 2026: la campaña pública de la FSA lleva el mismo mensaje resistente al phishing directamente a los consumidores.

En ese sentido, la página es menos "marketing de concienciación" de lo que parece. Es la cara pública de un cambio regulatorio y de ecosistema más profundo.

6. Lo que esto significa para los bancos, corredores y fintechs japoneses#

Las instituciones financieras japonesas deberían tratar la campaña del 16 de abril como una elevación de las expectativas mínimas para el inicio de sesión, la recuperación y las acciones en cuentas de alto riesgo. Una vez que el regulador afirma públicamente que el OTP por correo electrónico y SMS no es lo suficientemente efectivo, la MFA débil basada en alternativas menos seguras se vuelve más difícil de defender desde una perspectiva de fraude, de producto y de supervisión.

6.1 "MFA disponible" ya no es suficiente#

Ofrecer SMS OTP como alternativa mientras se comercializa la experiencia como "MFA segura" se está volviendo más difícil de defender. El mensaje público del regulador hace ahora una distinción más exigente: la MFA resistente al phishing debe ser el destino. El trabajo más amplio de la industria sobre la exigencia de la MFA con claves de acceso apunta en la misma dirección.

Eso significa que las organizaciones deben evaluar:

• dónde todavía existen los OTP por SMS/correo electrónico,
• qué flujos son de alto riesgo,
• si las claves de acceso son opcionales o verdaderamente fomentadas,
• cuánta dependencia queda de los métodos alternativos susceptibles a phishing.

6.2 Los flujos de alto riesgo necesitan un tratamiento especial#

Las interacciones más sensibles no son solo el inicio de sesión. En la práctica, las instituciones deberían evaluar cada superficie vulnerable al phishing:

• inicio de sesión,
• pago / retiro,
• cambio de cuenta de destino,
• recuperación y revinculación del dispositivo,
• cambios de perfil y de datos de contacto,
• acceso a la API o agregación.

Muchas instituciones aún protegen la página de inicio de sesión de manera más estricta que la vía de recuperación de la cuenta. Eso es hacerlo al revés. Los atacantes utilizarán la ruta más débil disponible.

6.3 La recuperación se convierte en un problema estratégico de producto#

Una vez que la autenticación resistente al phishing se convierte en el estándar, la recuperación pasa a ser la parte más difícil del diseño.

Un despliegue de claves de acceso puede fallar operativamente si la recuperación recurre a flujos de correo electrónico débiles, ingeniería social o procedimientos de soporte que reintroducen pasos vulnerables al phishing. La campaña de la FSA de Japón no resuelve ese desafío de diseño, pero hace que sea imposible ignorarlo.

6.4 La experiencia de usuario del "acceso oficial" debería formar parte del diseño del producto#

Un detalle subestimado de los folletos es el impulso hacia los marcadores y las aplicaciones oficiales. Eso sugiere una lección de producto más amplia:

• la marca por sí sola no es suficiente,
• los puntos de entrada de inicio de sesión importan,
• el enrutamiento seguro importa,
• la experiencia del usuario (UX) contra el phishing forma parte de la pila de autenticación.

Para las instituciones financieras, eso significa:

• dar prominencia a las vías de inicio de sesión basadas en aplicaciones,
• reducir la dependencia de los enlaces por correo electrónico,
• explicar claramente dónde comienza el inicio de sesión oficial,
• tratar la higiene de los enlaces entrantes como parte de la prevención del fraude.

6.5 Los tokens por software no son lo mismo que las claves de acceso#

Algunas instituciones responderán fortaleciendo la aprobación basada en aplicaciones y darán el problema por resuelto. Eso puede mejorar la seguridad, pero no es equivalente a las claves de acceso.

¿Por qué?

• Muchos flujos de tokens de software propietarios aún dependen de que el usuario distinga un sitio real de uno falso.
• Algunos flujos aún pueden ser objeto de abuso mediante la retransmisión en tiempo real o la manipulación de la aprobación.
• El cambio de aplicación y el manejo de códigos añaden fricción y confusión.

Las claves de acceso son importantes porque reducen tanto la exposición al phishing como el esfuerzo del usuario.

6.6 El estándar para los competidores acaba de subir#

Una vez que la FSA comienza a educar directamente a los consumidores, los rezagados se vuelven más visibles. Una empresa que todavía dependa de una contraseña más un OTP puede parecer pronto anticuada en comparación con competidores que ofrecen:

• claves de acceso,
• una autenticación más sólida vinculada al dispositivo,
• o experiencias de inicio de sesión claramente identificadas por la marca y resistentes al phishing.

Esto no solo cambia el panorama del cumplimiento normativo, sino que cambia el panorama competitivo.

La mayor parte de este terreno no es nuevo. La guía sobre claves de acceso para empresas describe paso a paso la evaluación, la alineación de las partes interesadas, la integración y las pruebas para implementaciones de consumo a gran escala; y el artículo sobre los 10 errores que cometen los bancos al implementar claves de acceso recopila los modos de fallo recurrentes que los despliegues bancarios apresurados repiten una y otra vez. Lo que añade la campaña de la FSA es urgencia y respaldo público, no un manual nuevo.

7. Lo que esto significa para las claves de acceso específicamente#

La campaña del 16 de abril en Japón ayuda a las claves de acceso en tres formas concretas: enmarca a las claves de acceso como controles de fraude en lugar de características de conveniencia, amplía los argumentos internos para el despliegue entre las partes interesadas y enseña a los consumidores que las claves de acceso forman parte del modelo de inicio de sesión financiero seguro que el regulador prefiere ahora.

7.1 Reencuadra las claves de acceso como control de fraude, no como conveniencia#

Muchos despliegues de claves de acceso para consumidores se comercializan como:

• inicio de sesión más fácil,
• sin contraseñas que recordar,
• inicio de sesión más rápido.

El enfoque de la FSA es mucho más nítido:

• las claves de acceso son una defensa contra la suplantación de identidad,
• las claves de acceso ayudan a bloquear el phishing,
• las claves de acceso reducen la dependencia de secretos reutilizables.

Ese es exactamente el enfoque que los bancos y corredores necesitan a nivel interno. Los presupuestos de seguridad se aprueban más fácilmente para la reducción del fraude que solo por comodidad.

7.2 Amplía el público de las claves de acceso dentro de las instituciones financieras#

Un proyecto de autenticación generalmente tiene que ganarse el apoyo de:

• producto,
• fraude,
• seguridad,
• cumplimiento,
• legal,
• operaciones,
• y soporte.

La página de la FSA le da a cada uno de esos grupos un motivo para prestar atención:

• fraude ve reducción del phishing,
• seguridad ve criptografía vinculada al origen,
• cumplimiento ve alineación con el regulador,
• operaciones ve menos fricción con el OTP,
• producto ve una historia de consumo más sólida.

7.3 Ayuda a normalizar las claves de acceso para los usuarios comunes#

Este puede ser el efecto más duradero.

Cuando un regulador nacional, asociaciones financieras y la policía presentan las claves de acceso como una defensa recomendada, la percepción del usuario cambia. El equipo de producto ya no tiene que presentar las claves de acceso como una nueva función extraña. Pueden presentarlas como el método de seguridad en el que el ecosistema está convergiendo.

Eso es importante porque el éxito del despliegue a menudo depende menos de la criptografía que de si los usuarios confían lo suficiente en el nuevo flujo para adoptarlo.

7.4 Extiende la audiencia de las claves de acceso más allá de los segmentos con conocimientos tecnológicos#

La campaña de la FSA no solo llega a las aplicaciones bancarias utilizadas por consumidores expertos en tecnología. Cubre cuentas de valores, bancos laborales, bancos shinkin y cooperativas de crédito, las partes del sistema financiero de Japón de las que dependen en el día a día los clientes de mayor edad y menos afines a la tecnología. Eso es estratégicamente importante para las claves de acceso. Una vez que esos clientes se encuentran con las claves de acceso a través de su corredor, su banco laboral o su cooperativa local, la familiaridad con las claves de acceso se extiende mucho más allá del segmento de los primeros adoptantes y comienza a normalizarse en toda la base de clientes. Para la adopción de claves de acceso por parte de los consumidores en Japón, este es un viento a favor que ningún presupuesto de marketing puro puede comprar.

Pero esto tiene dos caras. Una base demográfica más amplia también significa una variedad mucho mayor de dispositivos, versiones de sistemas operativos, navegadores de la aplicación (in-app browsers) y comportamientos de los administradores de credenciales que los que tocaría un despliegue puramente tecnológico. Ahí es exactamente donde los errores de las claves de acceso en aplicaciones nativas se convierten en un problema a nivel de producción, no en un caso extremo. Los bancos y corredores que respondan a la señal de la FSA deben planificar la diversidad de dispositivos y entornos de aplicaciones desde el primer día, en lugar de descubrirla durante las oleadas de soporte posmandato.

8. Lo que el enfoque de Japón enseña a otros países#

Japón se está convirtiendo en un caso de estudio útil porque combina la supervisión, la educación pública y el despliegue en el ecosistema de forma secuencial. A menudo, otros mercados revisan las pautas sin explicar el nuevo modelo de seguridad a los usuarios, lo que frena la adopción y hace que la autenticación más sólida parezca un punto de fricción aislado del producto en lugar de una mejora en todo el sistema.

8.1 Las campañas públicas pueden acelerar la migración técnica#

Muchos reguladores revisan sus orientaciones, pero se quedan cortos en la educación pública. Japón está mostrando un patrón diferente:

1. la presión del fraude aumenta,
2. la dirección de supervisión se endurece,
3. el regulador empieza a nombrar públicamente métodos resistentes al phishing,
4. los actores del ecosistema ganan respaldo para implementarlos más rápidamente.

Esa secuencia puede reducir la fricción en el despliegue de una manera que un simple texto político a menudo no puede lograr.

8.2 El objetivo debe ser la resistencia al phishing, no solo el reemplazo de OTP#

Algunos países se centran de forma muy estrecha en "reemplazar el SMS OTP". Eso ayuda, pero es incompleto.

La campaña de Japón está mejor estructurada porque hace una pregunta más fundamental:

Esa es la prueba correcta.

8.3 La autenticación del consumidor podría acabar siendo híbrida#

El énfasis simultáneo de Japón en las claves de acceso y la PKI sugiere una verdad más amplia que muchos mercados redescubrirán:

• las claves de acceso son excelentes para su adopción masiva por parte de los consumidores,
• la PKI sigue siendo importante para las identidades digitales de alta garantía,
• los ecosistemas más fuertes combinarán ambas en lugar de obligar a una sola tecnología a hacerlo todo.

Eso es especialmente relevante en sectores regulados que cuentan con programas nacionales de identidad digital.

9. La hoja de ruta práctica para los equipos que responden a esta señal#

La respuesta adecuada a la señal del 16 de abril es una migración por fases, no un programa de reemplazo apresurado. Los equipos deberían primero identificar los flujos de interacción susceptibles al phishing, para luego decidir dónde encajan las claves de acceso de manera inmediata, en qué casos todavía es necesaria la PKI u otra vinculación de identidad más fuerte, y cómo se puede rediseñar el proceso de recuperación sin crear nuevas excepciones débiles y vulnerables al phishing.

9.1 Paso 1: Mapear todas las superficies de autenticación susceptibles al phishing#

Comience con:

• inicio de sesión,
• recuperación,
• cambios de cuenta,
• confirmación de transacciones,
• cambios en cuentas vinculadas,
• puntos de entrada de enlaces por correo electrónico,
• procesos de anulación por parte de los centros de llamadas.

9.2 Paso 2: Identificar dónde encajan las claves de acceso inmediatamente#

Las claves de acceso suelen ser el éxito más claro para:

• el inicio de sesión minorista,
• la reautenticación frecuente,
• los flujos de interacción web/app de primera parte,
• las sesiones del navegador del consumidor.

9.3 Paso 3: Decidir dónde aún se necesita PKI o una vinculación de identidad más fuerte#

Algunos flujos pueden necesitar:

• una prueba de identidad respaldada por certificados,
• una vinculación a un documento de identidad nacional,
• una mayor garantía en torno a los cambios sensibles,
• controles organizacionales o de hardware que superen las claves de acceso del consumidor.

9.4 Paso 4: Rediseñar la recuperación antes de forzar la adopción#

No ponga en marcha una autenticación sólida sin diseñar una recuperación sólida. De lo contrario, la organización simplemente volverá a crear soluciones alternativas que pueden ser objeto de phishing a través del equipo de soporte y las excepciones.

9.5 Paso 5: Enseñar a los usuarios cómo funciona el acceso oficial#

El mensaje de la FSA de "usar marcadores / usar aplicaciones oficiales" debe formar parte de la incorporación y el soporte:

• muestre la ruta segura,
• explique por qué los enlaces de inicio de sesión son riesgosos,
• haga que la ruta de acceso oficial sea fácil de recordar,
• reduzca la dependencia de los atajos de comodidad inseguros.

10. Conclusión#

El 16 de abril de 2026 no fue el día en que Japón hizo legalmente obligatorias las claves de acceso. Fue el día en que la FSA convirtió a la autenticación resistente al phishing en una expectativa pública, degradó públicamente la seguridad basada en OTP, y dio a los bancos, corredores y fintechs una señal mucho más clara de que el destino a largo plazo son las claves de acceso, la PKI y otros modelos de inicio de sesión no vulnerables al phishing.

La página de la FSA de Japón del 16 de abril de 2026 no debe interpretarse erróneamente como "Japón obligó hoy por ley el uso de las claves de acceso". Eso no es lo que ocurrió.

Pero sería igualmente un error descartarla como una simple página de concienciación.

Lo que sucedió es estratégicamente más importante:

• el regulador le dijo públicamente a los consumidores que los flujos basados solo en contraseñas o en OTP ya no son suficientes,
• nombró a las claves de acceso y a la PKI como ejemplos de una autenticación más sólida,
• alineó ese mensaje con las asociaciones financieras y la policía,
• e impulsó la conversación en el mercado desde una MFA genérica hacia una autenticación resistente al phishing.

Esa es exactamente la clase de señal que cambia las prioridades de la hoja de ruta en los servicios financieros.

Para Japón, esto fortalece el caso a favor de una implementación más amplia de claves de acceso en bancos, corredores y fintechs. Para el resto del mundo, es un claro ejemplo de cómo un regulador puede hacer más que simplemente establecer reglas: puede reconfigurar la narrativa misma de la autenticación.

Si hay una conclusión principal, es esta:

El estado futuro no es "más MFA". El estado futuro es la autenticación resistente al phishing. La FSA de Japón lo dice ahora en voz alta.

Acerca de Corbado#

La FSA de Japón ha degradado públicamente el modelo de contraseña más OTP, pero que los reguladores nombren las claves de acceso es solo la mitad del trabajo. Los bancos y los corredores aún tienen que retirar las alternativas vulnerables al phishing de flotas de dispositivos fragmentadas sin dejar a los usuarios fuera.

Corbado es la plataforma de análisis de claves de acceso para los equipos de CIAM corporativos. Agrega análisis de claves de acceso y controles de despliegue sobre su IDP existente, de modo que las instituciones que cumplan con el estándar de MFA resistente al phishing de la FSA puedan ir eliminando gradualmente el OTP por SMS y correo electrónico con una visibilidad con grado de auditoría y controles de apagado a nivel de dispositivo (kill switches), no a través de mandatos ciegos.

Descubra cómo las instituciones financieras japonesas pueden implementar MFA resistente al phishing sin bloqueos definitivos. → Hable con un experto en claves de acceso

Acerca de Corbado

Corbado es la Passkey Intelligence Platform para equipos de CIAM que gestionan autenticación de consumidores a gran escala. Te ayudamos a ver lo que los logs de tu IDP y las herramientas de analytics genéricas no muestran: qué dispositivos, versiones de SO, navegadores y gestores de credenciales soportan passkeys, por qué los registros no se convierten en inicios de sesión, dónde falla el flujo de WebAuthn y cuándo una actualización de SO o navegador rompe el login en silencio — todo sin reemplazar Okta, Auth0, Ping, Cognito o tu IDP propio. Dos productos: Corbado Observe aporta observabilidad para passkeys y cualquier otro método de login. Corbado Connect añade passkeys gestionados con analytics integrado (junto a tu IDP). VicRoads ejecuta passkeys para más de 5M de usuarios con Corbado (+80 % de activación de passkey). Habla con un experto en Passkeys →

Preguntas frecuentes#

¿La FSA de Japón hizo obligatorias las claves de acceso el 16 de abril de 2026?#

No. La página del 16 de abril de 2026 es una campaña de concienciación pública, no un texto normativo independiente. Lo que la hace importante es que la Agencia de Servicios Financieros promovió pública y explícitamente la autenticación multifactor resistente al phishing, destacó las claves de acceso y la PKI como ejemplos, y alineó ese mensaje con los bancos, las empresas de valores y la Agencia Nacional de Policía.

¿Por qué dice la FSA que los OTP por correo electrónico y SMS ya no son suficientes?#

Los materiales de la campaña explican que los OTP enviados por correo electrónico o SMS aún pueden eludirse mediante phishing en tiempo real, ataques de intermediario (man-in-the-middle) y malware. En otras palabras, añadir un código no es suficiente si el atacante puede engañar al usuario para que lo introduzca en un sitio falso o robarlo del punto final.

¿Son las claves de acceso la única opción resistente al phishing aceptada en el sector financiero de Japón?#

No. Los materiales de la campaña de la FSA presentan las claves de acceso y la autenticación basada en PKI como los dos principales ejemplos de MFA resistente al phishing. Eso significa que las claves de acceso son muy favorecidas, pero la dirección regulatoria más amplia apunta hacia resultados de autenticación resistentes al phishing, no hacia una única tecnología obligatoria para el consumidor.

¿Por qué es importante el 16 de abril de 2026 si la dirección supervisora de Japón ya había avanzado antes?#

Porque marca un cambio de la señalización del regulador a la industria hacia la señalización del regulador al público. Una vez que la FSA comienza a decirles directamente a los consumidores que las claves de acceso y la PKI los protegen mejor que una contraseña más OTP, los bancos y corredores japoneses obtienen un mayor respaldo para rediseñar la autenticación de los clientes en torno a métodos resistentes al phishing.