---
url: 'https://www.corbado.com/es/blog/malasia-banca-mfa-passkeys'
title: 'Actualización de MFA para la Gestión de Riesgos del Banco Central de Malasia'
description: 'Descubra qué cambió en la política actualizada RMiT de Malasia, por qué el BNM exige MFA resistente al phishing y cómo las claves de acceso ayudan.'
lang: 'es'
author: 'Alex'
date: '2026-05-22T13:49:18.914Z'
lastModified: '2026-05-22T13:57:49.011Z'
keywords: 'RMiT Malasia, BNM RMiT 2025, regulación MFA Malasia, autenticación Bank Negara Malaysia, passkeys RMiT, MFA resistente al phishing Malasia, vinculación de dispositivos banca Malasia, SMS OTP Malasia, cumplimiento RMiT, seguridad banca digital Malasia'
category: 'Authentication'
---

# Actualización de MFA para la Gestión de Riesgos del Banco Central de Malasia

## Key Facts

- El **RMiT** de noviembre de 2025 convierte la orientación de autenticación del BNM en una regulación vinculante, que abarca a todos los bancos autorizados, aseguradoras, emisores de dinero electrónico y operadores de sistemas de pago en Malasia.
- Los **SMS OTP** ahora se consideran explícitamente no conformes como un segundo factor independiente. La MFA debe ser resistente a la interceptación y estar vinculada a un beneficiario y a un importe específicos.
- La **vinculación de dispositivos** (device binding) establece por defecto un dispositivo móvil por cuenta. El acceso en múltiples dispositivos requiere la aceptación explícita del cliente y un proceso de excepción auditable.
- Las **claves de acceso** (passkeys, FIDO2/WebAuthn) satisfacen simultáneamente los requisitos de MFA resistente al phishing, autenticación sin contraseña y vinculación de dispositivos, lo que las convierte en la vía más directa para lograr el pleno cumplimiento.
- Los bancos malasios bloquearon más de 383 millones de ringgit (100 millones de dólares estadounidenses) en transacciones fraudulentas en 2024, impulsando el cambio hacia controles obligatorios resistentes al phishing.

## 1. Introducción

El Banco Central de Malasia (Bank Negara Malaysia, BNM) publicó una versión actualizada de su política de [Gestión de Riesgos Tecnológicos (RMiT)](https://www.bnm.gov.my/documents/20124/938039/pd-rmit-nov25.pdf) en noviembre de 2025, reemplazando la versión de junio de 2023. Si bien la actualización abarca una amplia gama de áreas de riesgo tecnológico, los cambios más significativos se encuentran en la autenticación, la vinculación de dispositivos, la autenticación multifactor (MFA) y la prevención del fraude. Esta regulación de [banca](https://www.corbado.com/passkeys-for-banking) de Malasia para instituciones financieras ya no es una simple orientación o una buena práctica, sino que se ha convertido en una norma obligatoria.

El BNM ha estado alejando lentamente a las instituciones del uso de SMS OTP desde 2023. La razón era simple: los estafadores han creado herramientas para interceptar los códigos de autenticación por SMS antes de que los clientes pudieran verlos, y los ataques de intercambio de SIM (SIM-swap) permitían a los criminales redirigir los códigos a dispositivos que ellos controlaban. Para el año 2024, los bancos malasios bloquearon colectivamente más de 383 millones de ringgit de Malasia (más de 100 millones de dólares estadounidenses) en transacciones fraudulentas (según su informe anual). La actualización de noviembre de 2025 toma ese progreso y lo codifica en una regulación vinculante.

Este artículo desglosa los cambios clave en la autenticación y la MFA de la política RMiT actualizada, explica el contexto normativo y muestra cómo encajan las claves de acceso (passkeys) y la autenticación resistente al phishing en el panorama del cumplimiento. Respondemos a las siguientes preguntas:

1. ¿Qué es la política RMiT y a quién se aplica?
2. ¿Cómo era el panorama de la autenticación antes de noviembre de 2025?
3. ¿Cuáles son los cambios más importantes en los requisitos de autenticación y MFA?
4. ¿Cómo ayudan las claves de acceso a las instituciones financieras a cumplir con la política RMiT actualizada?

## 2. ¿Qué es la política de Gestión de Riesgos Tecnológicos (RMiT) del Bank Negara Malaysia (BNM)?

La política RMiT es el **marco normativo central** del BNM que regula la forma en que las instituciones financieras autorizadas gestionan el riesgo tecnológico. El cumplimiento del RMiT del BNM establece requisitos para la gobernanza de TI, la ciberseguridad, los servicios digitales, el uso de la nube y los controles de autenticación, con el objetivo de mantener los [servicios financieros](https://www.corbado.com/passkeys-for-banking) disponibles, resilientes y confiables a medida que evolucionan los canales digitales y los niveles de amenaza.

La política también trata el uso de la nube como una forma de externalización, exigiendo a las instituciones que conserven la propiedad y el control adecuados sobre los datos de los clientes y las claves criptográficas. En la práctica, el RMiT es la línea base de cumplimiento en torno a la cual toda institución financiera regulada en Malasia debe construir su postura de riesgo tecnológico.

## 3. ¿Quién debe cumplir con la política RMiT?

Los requisitos del RMiT se aplican a todas las instituciones financieras reguladas por el BNM. El alcance es amplio y abarca no solo a los bancos tradicionales, sino también a las aseguradoras, los emisores de dinero electrónico, los operadores de sistemas de [pago](https://www.corbado.com/passkeys-for-payment) y las instituciones de remesas. La siguiente tabla resume las categorías principales:

| **Categoría de institución** | **Ejemplos** |
| :--- | :--- |
| **Bancos autorizados** | CIMB Bank, Maybank, HSBC Malaysia, Hong Leong Bank, AmBank, Public Bank |
| **Bancos de inversión autorizados** | CIMB Investment Bank, Affin Hwang, AmInvestment Bank |
| **Bancos islámicos autorizados** | Bank Islam Malaysia, Bank Muamalat, CIMB Islamic Bank |
| **Aseguradoras y reaseguradoras autorizadas** | AIA Berhad, Allianz General, Etiqa General, AXA Affin |
| **Operadores de takaful y retakaful** | AIA PUBLIC Takaful, Etiqa Family Takaful, FWD Takaful |
| **Instituciones financieras de desarrollo** | Agrobank, Bank Rakyat, BSN, SME Bank, EXIM Bank |
| **Emisores de dinero electrónico aprobados** | Boost, GrabPay, BigPay, TNG Digital, Kiplepay |
| **Operadores de sistemas de pago** | Visa, Mastercard, PayNet, UnionPay, JCB, Alipay Connect |
| **Adquirentes de comercios registrados** | iPay88, Adyen Malaysia, GHL Cardpay, Revenue Monster |
| **Instituciones intermediarias de remesas** | MoneyGram, Western Union, Merchantrade Asia, Tranglo |

En términos prácticos: si su organización tiene una licencia, registro o aprobación del BNM para operar en el sector financiero de Malasia, el RMiT se aplica a usted.

## 4. ¿Cómo eran los requisitos de autenticación del BNM antes de noviembre de 2025?

Antes de la actualización de noviembre de 2025, el RMiT ya contenía requisitos de autenticación significativos, pero muchos se mantenían al nivel de orientación en lugar de estándares obligatorios. Comprender la línea base ayuda a aclarar cuánto ha cambiado.

### 4.1 Controles de MFA

- Se requería MFA para las transacciones de alto riesgo, en particular para las transferencias de fondos a terceros y las transacciones de [pago](https://www.corbado.com/passkeys-for-payment).
- Existía un enfoque específico en las transacciones superiores a 10.000 RM, aunque la versión de 2023 comenzó a impulsar la MFA para todas las transacciones digitales.
- La versión de 2023 alentaba explícitamente a avanzar hacia una autenticación "resistente a la interceptación o manipulación", lo que señalaba el principio del fin para las OTP basadas en SMS.
- La MFA pasó de ser una "Orientación" (buena práctica) a ser un "Estándar" (obligatorio) en 2023.

### 4.2 Controles de autenticación y gestión de acceso

- Las instituciones debían aplicar el principio de privilegio mínimo y revisar las matrices de acceso al menos anualmente.
- Las cuentas con privilegios requerían controles más estrictos, incluida la MFA obligatoria, independientemente de si el acceso era interno o externo.
- El acceso remoto a redes internas (por ejemplo, a través de VPN) requería MFA como un estándar no negociable.

### 4.3 Controles de servicios digitales

El Apéndice 11 del RMiT de 2023 era la referencia clave para la seguridad en la [banca](https://www.corbado.com/passkeys-for-banking) digital. Exigía la firma de transacciones (vinculando la MFA a los detalles de la transacción, como el destinatario y el importe), la vinculación de dispositivos (vinculando la identidad digital de un usuario a un dispositivo de confianza) y contramedidas generales contra el fraude.

## 5. ¿Cuáles son los cambios más importantes en la política RMiT del BNM?

La actualización de noviembre de 2025 consolida y fortalece varias circulares y especificaciones anteriores, incluidas las especificaciones sobre contramedidas de fraude de 2022 y 2024. El resultado es una política única y exhaustiva con requisitos más estrictos y obligatorios sobre cómo las instituciones autentican a los usuarios y protegen los servicios digitales. Hay cinco áreas que son de suma importancia.

### 5.1 Un dispositivo por usuario, de forma predeterminada

_"asegurar procesos seguros de vinculación y desvinculación para restringir la autenticación de transacciones de servicios digitales de forma predeterminada a un dispositivo móvil o dispositivo seguro por titular de cuenta"_

— RMiT Apéndice 3, párrafo 3(a)

Esta es una respuesta directa al fraude por intercambio de SIM y a los ataques de apropiación de cuentas, donde los estafadores registran un nuevo dispositivo en una cuenta existente y la vacían mientras el dispositivo legítimo permanece activo. El enfoque "predeterminado" es importante: los clientes pueden optar por utilizar múltiples dispositivos, pero deben solicitarlo explícitamente y aceptar los riesgos asociados. La institución no puede hacer que el uso de múltiples dispositivos sea la opción predeterminada.

En la práctica, esto significa que los flujos de incorporación y autenticación deben rastrear el registro de dispositivos, aplicar una vinculación única de manera predeterminada y mantener un proceso claro y auditable para las excepciones solicitadas por el cliente.

### 5.2 Verificación sólida para cambios de número de teléfono

_"el registro de un nuevo número de teléfono móvil o el reemplazo de un número de teléfono móvil existente solo se procesa después de aplicar métodos de verificación sólidos para confirmar la autenticidad del cliente"_

— RMiT Apéndice 3, párrafo 3(c)

Muchas instituciones todavía procesan los cambios de número de teléfono con nada más que una OTP enviada al número actual. Ese enfoque falla si el número ya se ha visto comprometido o la SIM ha sido intercambiada. Una "verificación sólida" en el marco del BNM significa métodos que van más allá del canal que se está cambiando: reverificación de identidad, autenticación reforzada mediante biometría o confirmación en la sucursal para los cambios de alto riesgo.

### 5.3 Períodos de reflexión y límites de transacción para nuevos dispositivos

_"aplicar la verificación y el período de reflexión adecuados para la primera inscripción de servicios digitales o dispositivos seguros y transacciones sucesivas múltiples de gran volumen u otros patrones de transacciones anormales"_

— RMiT Apéndice 3, párrafo 3(e)

Un dispositivo recién inscrito no debe tener capacidades de transacción completas de inmediato. Las instituciones deben implementar restricciones basadas en tiempo y controles de velocidad que se desbloqueen gradualmente a medida que el dispositivo y el comportamiento del usuario establezcan un historial de confianza. Si un pirata informático obtiene acceso, por lo general intentará aumentar el límite de transferencia diario y mover el dinero inmediatamente. Un período de reflexión le da al propietario legítimo y al equipo de fraude del banco un margen para detectar y detener la sesión.

En combinación con los estándares de detección de fraude, que requieren la elaboración de perfiles de comportamiento en tiempo real y la puntuación de riesgo, esto crea una expectativa clara: la capa de autenticación debe conocer el contexto, no solo las credenciales.

### 5.4 Una MFA más segura que los SMS no encriptados

Este es el requisito de autenticación más significativo en la actualización. Se basa en años de orientación del BNM y la convierte en un estándar vinculante:

_"implementación de tecnología de MFA y canales que sean más seguros que los SMS no encriptados… la solución de MFA es resistente a la interceptación o manipulación por parte de cualquier tercero durante todo el proceso de autenticación"_

— RMiT Apéndice 3, párrafos 5 y 6

La política va más allá al introducir la **vinculación de transacciones**:

_"el código de autenticación debe ser iniciado y generado localmente por el pagador/remitente utilizando MFA... el código de autenticación generado por el pagador/remitente debe ser específico para el beneficiario identificado y confirmado y para el importe"_

— RMiT Apéndice 3, párrafos 6(c) y 6(d)

La vinculación de transacciones significa que el código de autenticación debe estar vinculado a los detalles específicos de la transacción (destinatario e importe), no solo a una sesión o inicio de sesión. Esto aborda directamente los ataques de "redireccionamiento de OTP", en los que los estafadores manipulan la transacción después de que el usuario ya se ha autenticado. Una OTP que se generó para un [pago](https://www.corbado.com/passkeys-for-payment) de 500 RM a la Cuenta A no se puede reutilizar para un pago de 50.000 RM a la Cuenta B.

Para las instituciones que aún dependen de la OTP por SMS como su segundo factor principal, esta es la señal más clara de que la vía de migración no es opcional. La siguiente tabla resume qué métodos de MFA se alinean con los nuevos requisitos:

| **Método de MFA** | **¿Resistente al phishing?** | **¿Cumple con el RMiT?** |
| :--- | :--- | :--- |
| **SMS OTP** | No | No |
| **TOTP (por ejemplo, Google Authenticator)** | No | Parcial (solo transicional) |
| **Notificación push** | No | Parcial (solo transicional) |
| **OTP en la aplicación con detalles de la transacción** | Parcial | Sí (si es resistente a la interceptación) |
| **Claves de acceso (FIDO2 / WebAuthn)** | Sí | Sí |
| **Llaves de seguridad de hardware (FIDO2)** | Sí | Sí |

### 5.5 Claves de acceso y autenticación criptográfica basada en claves para el RMiT del BNM

El BNM también exige explícitamente a las instituciones que ofrezcan alternativas sin contraseña:

_"ofrecer a su cliente una sólida autenticación criptográfica basada en claves, como un certificado digital o la opción de no usar contraseña como alternativa al método de autenticación existente basado en contraseña"_

— RMiT Apéndice 3, párrafo 9

Esta es una directiva clara para avanzar hacia las claves de acceso, la autenticación respaldada por hardware o los métodos basados en certificados. A diferencia de la actualización de la MFA, que se centra en reemplazar las OTP por SMS, este requisito se dirige a la contraseña en sí. Ambos requisitos funcionan en conjunto: las instituciones deben dejar de usar SMS para el segundo factor **y** ofrecer una alternativa a la contraseña para el primer factor.

Las claves de acceso son la opción más natural en este caso. Una sola credencial de clave de acceso satisface ambos requisitos simultáneamente. Es un método de autenticación criptográfica basado en claves (párrafo 9), es más seguro que los SMS no encriptados (párrafos 5-6), y debido a que las claves de acceso vinculan la autenticación al origen específico (sitio web o aplicación), también respaldan la intención detrás de la vinculación de transacciones.

## 6. Resumen: antes y después de la actualización de noviembre de 2025

| **Área** | **Antes de noviembre de 2025** | **Después de noviembre de 2025** |
| :--- | :--- | :--- |
| **Vinculación de dispositivos** | Requerida, pero el uso de múltiples dispositivos era común y estaba poco regulado | Un dispositivo por usuario por defecto; múltiples dispositivos solo mediante solicitud explícita del cliente con registro de auditoría |
| **Cambios de número de teléfono** | A menudo se procesaban con SMS OTP al número actual | Se requiere verificación sólida (biometría, visita a sucursal o canal independiente) |
| **Inscripción de nuevos dispositivos** | El acceso completo e inmediato después de la inscripción era habitual | Período de reflexión obligatorio; límites de transacción durante la fase de creación de confianza |
| **SMS OTP** | Desaconsejado, pero tolerado como segundo factor principal | Explícitamente no conforme como única MFA; debe ser reemplazado por métodos resistentes a la interceptación |
| **Vinculación de transacciones** | Requerida para transacciones de alto riesgo (general) | El código de autenticación debe ser específico para el beneficiario y el importe; generado localmente |

## 7. Contexto regional: Malasia no está sola

El RMiT actualizado de Malasia se inscribe en una tendencia regional más amplia. En toda la región de Asia-Pacífico, los reguladores financieros están convergiendo en el mismo conjunto de requisitos: credenciales vinculadas al dispositivo, MFA resistente al phishing y un alejamiento de las contraseñas y los SMS OTP.

- **Singapur (MAS):** La Autoridad Monetaria de Singapur ha exigido durante mucho tiempo la vinculación de dispositivos y la firma de transacciones para la [banca](https://www.corbado.com/passkeys-for-banking) digital, y ha estado endureciendo progresivamente sus Directrices de Gestión de Riesgos Tecnológicos (TRM) en una dirección que refleja fielmente el enfoque del BNM.
- **India (RBI):** El Banco de la Reserva de la India ha impulsado factores adicionales de autenticación y autorización específica para cada transacción, en particular para las transacciones en las que la tarjeta no está presente y las transacciones UPI.
- **Hong Kong (HKMA):** Las directrices de banca electrónica de la Autoridad Monetaria de Hong Kong exigen una autenticación sólida del cliente y controles de registro de dispositivos para operaciones de alto riesgo.
- **Vietnam (Banco Estatal de Vietnam):** La Circular 45/2025 requiere que los bancos verifiquen la biometría de los clientes con el Documento de Identidad Ciudadana con chip o la base de datos nacional para ciertas transacciones de alto valor, introduciendo un paso de verificación centralizado.

La arquitectura necesaria para el cumplimiento del RMiT, incluida la vinculación criptográfica de dispositivos, las claves de acceso (passkeys) y la autenticación a nivel de transacción, es hacia donde se dirige toda la región. Las instituciones que inviertan en esta arquitectura ahora están preparándose para la convergencia regulatoria, no solo para una política nacional única.

## 8. Cómo ayuda Corbado a las instituciones financieras a cumplir con el RMiT actualizado

La plataforma de Corbado está diseñada para los retos de autenticación que la actualización del RMiT busca resolver. A continuación se muestra cómo se asignan los requisitos clave a las capacidades de Corbado:

- **[MFA resistente al phishing](https://www.corbado.com/blog/passkeys-phishing-resistant) y autenticación sin contraseña:** La implementación de claves de acceso de Corbado ofrece un camino directo hacia el cumplimiento de los requisitos del BNM para una MFA que es más segura que los SMS no encriptados (párrafos 5 y 6) y para la autenticación criptográfica basada en claves como alternativa a las contraseñas (párrafo 9). Una sola credencial de clave de acceso aborda ambos requisitos de manera simultánea.
- **Vinculación de dispositivos:** Corbado admite claves de acceso vinculadas a dispositivos y credenciales criptográficas que están unidas a un dispositivo específico. Los flujos de inscripción pueden hacer cumplir la opción predeterminada de un dispositivo por usuario, con mecanismos claros para las excepciones solicitadas por el cliente, todo con un completo registro de auditoría.
- **Auditoría y preparación para el cumplimiento:** Las capacidades de telemetría, registro de eventos y elaboración de informes de Corbado facilitan la demostración de que los controles de autenticación no solo están diseñados, sino que operan de manera efectiva. Corbado opera bajo un SGSI con certificación ISO 27001 y cuenta con atestación SOC 2 Tipo II, lo que alinea su propia postura de seguridad con las expectativas impuestas a las instituciones financieras de Malasia.

## 9. Conclusión

La actualización del RMiT de noviembre de 2025 convierte años de orientación del BNM sobre la seguridad en la autenticación en una regulación vinculante. Los SMS OTP ya no cumplen con los requisitos como un segundo factor independiente. La vinculación de dispositivos es obligatoria de forma predeterminada. La autenticación de transacciones debe estar unida a detalles de pago específicos. Y las instituciones deben ofrecer alternativas criptográficas basadas en claves en lugar de contraseñas.

Para las instituciones que ya han comenzado a migrar lejos de los SMS hacia métodos resistentes al phishing, la actualización codifica lo que ya estaban haciendo. Para aquellas que no lo han hecho, la brecha entre la práctica actual y el nuevo estándar es significativa, y el plazo para el cumplimiento ahora es fijo.

Las claves de acceso son el camino más directo para cumplir con los requisitos actualizados. Una sola credencial de clave de acceso satisface la actualización de la MFA, la alternativa sin contraseña y los requisitos de vinculación de dispositivos en una sola implementación. Combinado con una autenticación reforzada para operaciones sensibles y una lógica de período de reflexión para las nuevas inscripciones, esto brinda a las instituciones una arquitectura coherente en lugar de un mosaico de soluciones puntuales.

También podríamos responder a las preguntas más importantes sobre este tema:

- **¿Qué es la política RMiT y a quién se aplica?** El RMiT es el marco central de riesgo tecnológico del BNM, aplicable a todas las instituciones financieras reguladas en Malasia, incluidos bancos, aseguradoras, emisores de dinero electrónico, operadores de sistemas de pago y proveedores de remesas.
- **¿Cómo era el panorama de la autenticación antes de noviembre de 2025?** La MFA ya era obligatoria para transacciones de alto riesgo y acceso con privilegios, pero los SMS OTP todavía se toleraban, las configuraciones multidispositivo estaban poco reguladas y la alternativa sin contraseña aún no era necesaria.
- **¿Cuáles son los cambios más importantes en la autenticación y la MFA?** Destacan cinco cambios: un dispositivo por usuario de forma predeterminada, verificación sólida para cambios de número de teléfono, períodos de reflexión obligatorios para nuevos dispositivos, MFA más segura que los SMS con vinculación de transacciones y el requisito de ofrecer claves de acceso o autenticación criptográfica basada en claves.
- **¿Cómo ayudan las claves de acceso a las instituciones financieras a cumplir con estos requisitos?** Las claves de acceso satisfacen la actualización de MFA, la alternativa sin contraseña y los requisitos de vinculación de dispositivos en una sola implementación, al tiempo que son resistentes a los ataques de phishing, intercambio de SIM e interceptación de OTP.

## Preguntas frecuentes

### ¿Qué significa 'vinculación de transacciones' en el contexto del cumplimiento de RMiT del BNM?

La vinculación de transacciones exige que cada código de autenticación sea generado localmente por el pagador y esté matemáticamente vinculado a la cuenta del beneficiario específico y al importe del pago que se autoriza. Esto evita los ataques de redireccionamiento de OTP, donde un estafador manipula los detalles de la transacción después de que el usuario ya se ha autenticado. Un código generado para un pago a una cuenta no puede reutilizarse para autorizar un pago o importe diferente.

### ¿Por qué la actualización de RMiT 2025 requiere un período de reflexión después de que un cliente registra un nuevo dispositivo?

El período de reflexión evita que los estafadores que obtienen acceso a una cuenta transfieran fondos inmediatamente a través de un dispositivo recién registrado. El BNM exige a las instituciones que apliquen límites de transacción y restricciones de tiempo durante una fase inicial de creación de confianza para los dispositivos recién inscritos. Esto proporciona tanto al titular legítimo de la cuenta como al equipo de fraude de la institución una ventana de detección antes de que se desbloqueen las capacidades de transacción completas.

### ¿Cómo se compara la política RMiT actualizada de Malasia con las regulaciones de autenticación en otros países asiáticos?

El RMiT 2025 de Malasia se alinea con una tendencia regional de Asia-Pacífico donde el MAS de Singapur, el RBI de India, la HKMA de Hong Kong y el Banco Estatal de Vietnam están convergiendo hacia credenciales vinculadas a dispositivos, MFA resistente al phishing y la eliminación de SMS OTP. La Circular 45/2025 de Vietnam requiere específicamente la verificación biométrica contra documentos de identidad nacionales basados en chips para transacciones de alto valor. Por lo tanto, las instituciones que invierten en una arquitectura que cumple con RMiT se están posicionando para la convergencia regulatoria regional, no solo para un requisito nacional único.

### ¿Qué verificación exige ahora el RMiT del BNM cuando un cliente cambia su número de teléfono móvil registrado?

El RMiT actualizado exige una verificación sólida antes de procesar cualquier cambio de número de teléfono, yendo más allá de simplemente enviar una OTP al número actual. Los enfoques aceptables incluyen la reverificación de identidad, la autenticación biométrica reforzada o la confirmación en sucursal, asegurando que el canal de verificación sea independiente del que se está reemplazando. Esto aborda directamente los ataques de intercambio de SIM (SIM-swap), donde un estafador que ya controla un número de teléfono podría de otra manera autoautorizar el cambio.