Los límites reales de las reglas de contraseña de dispositivos en Hong Kong: ¿Un aviso de la embajada de EE. UU. en Hong Kong provoca una «pánico por las billeteras hardware»?

Escrito: Shao Jia Diao

（Las capturas de pantalla anteriores provienen del sitio web del Consulado General de EE. UU. en Hong Kong y Macao）

Recientemente, en el mundo cripto circula una información que se ha difundido ampliamente. En esencia, dice: Hong Kong ya puede exigir que se entreguen las contraseñas de los dispositivos electrónicos; si no se coopera, constituiría un delito; e incluso puede que una wallet de hardware también llegue a ser vulnerada o sobreescrita. La fuente directa de este tipo de afirmaciones es una alerta de seguridad publicada por el Consulado General de EE. UU. en Hong Kong y Macao en marzo de 2026. El texto original es, de hecho, bastante directo:

«El 23 de marzo de 2026, el gobierno de Hong Kong modificó las normas de aplicación relacionadas con la Ley de Seguridad Nacional. Ahora es un delito penal negarse a entregar a la policía de Hong Kong las contraseñas o la asistencia de descifrado para acceder a todos los dispositivos electrónicos personales, incluidos teléfonos móviles y portátiles. Este cambio legal se aplica a todos, incluidos ciudadanos de EE. UU., en Hong Kong, al llegar o simplemente al transitar por el Aeropuerto Internacional de Hong Kong. Además, el gobierno de Hong Kong también tiene más autoridad para tomar y retener cualquier dispositivo personal, como evidencia, que afirmen que está vinculado a delitos de seguridad nacional.»

Si solo se mira este fragmento, es fácil sacar una impresión intuitiva: al entrar en Hong Kong, podrían pedirle que entregue la contraseña del dispositivo. Después de que la información se viraliza en redes sociales, se convierte en una versión con mayor carga emocional — «No lleves una wallet de hardware a Hong Kong». Pero si se sigue esta información hacia adelante, es fácil que el riesgo se vea demasiado grande, o incluso que se interprete como una regla general aplicable a todo el mundo. El problema es que este tipo de alertas a menudo solo enfatizan el resultado, pero no explican claramente los supuestos y los escenarios de aplicación. Para entender bien lo ocurrido, todavía hay que volver a las propias reglas legales que lo sustentan.

Qué cambió esta vez con las reglas de Hong Kong

Lo que ha provocado el debate no es una ley totalmente nueva, sino una intensificación, dentro del marco de la Ley de Seguridad Nacional de Hong Kong, de la sección de «obtención de evidencia electrónica» en las «Implementation Rules» (Reglas de Implementación). El cambio clave, en realidad, se concentra en una sola cosa: las autoridades encargadas de hacer cumplir la ley no solo pueden acceder a su dispositivo, sino que también pueden exigirle que «coopere para abrir los datos». En las disposiciones pertinentes hay una frase clave:

«A person must comply with the requirement to provide such assistance as is reasonably necessary to enable an officer to access the information.»

Viendo solo esta frase, puede resultar un poco abstracto; lo que realmente quiere expresar es que las autoridades encargadas de hacer cumplir la ley pueden pedirle que coopere con el fin de «entender el contenido dentro del dispositivo». Este «assistance» (asistencia) no se plantea de manera genérica; el articulado posterior delimita el alcance de forma muy concreta:

«The assistance may include providing access to an electronic device, providing any password, decryption key or other information necessary for gaining access to the information.»

Si se juntan estas dos frases, en realidad se trata de un escenario muy realista: las autoridades encargadas de hacer cumplir la ley no solo pueden incautar su dispositivo, sino que también pueden pedirle que proporcione, junto con las contraseñas, los métodos de desbloqueo e incluso los datos tipo «frase mnemotécnica» como «vías de acceso».

Lo más importante es que esta «asistencia» ya no es una cuestión de si usted quiere o no hacerlo, sino una obligación legal con carácter coercitivo. La disposición lo indica justo a continuación:

«A person who fails to comply with the requirement without reasonable excuse commits an offence.»

Es decir, en la medida en que se cumplan las condiciones de aplicación, si se niega a proporcionar la contraseña o a cooperar para desbloquear, por sí solo puede constituir un delito; y si lo que se proporciona es información incorrecta o engañosa, también se enfrentará a responsabilidades más severas.

Si se observa desde la lógica de aplicación de la ley, este cambio en realidad es muy directo:

Antes, aunque las autoridades obtuvieran el dispositivo, quizá no podían obtener los datos; ahora, la ley les permite exigirle directamente que entregue el «punto de entrada» de los datos.

Muchos sienten una incomodidad intuitiva al leer hasta aquí. La razón es sencilla: la regla no toca el dispositivo, sino el control mismo. Para los activos cifrados, esto es especialmente sensible, porque el dispositivo es solo la carcasa; lo que realmente determina la titularidad del activo es esa información que usted puede estar dispuesto (o no) a revelar.

El dispositivo no solo puede ser registrado, sino también retenido de forma continua

En la alerta del Consulado General de EE. UU. en Hong Kong también hay otra frase:

«the Hong Kong government also has more authority to take and keep any personal devices, as evidence, that they claim are linked to national security offenses.»

Si esa frase se traduce a una interpretación más directa, sería: no solo pueden registrar sus dispositivos, sino también llevárselos, y además retenerlos durante un tiempo como evidencia. Lo que hay detrás es la ampliación de la autoridad sobre «seizure and detention» (incautación y detención) en las Reglas de Implementación. Las reglas correspondientes permiten a las autoridades encargadas de hacer cumplir la ley, siempre que consideren que un dispositivo está relacionado con un caso de seguridad nacional, incautar dicho dispositivo y conservarlo como evidencia.

Vista aisladamente, «incautar el dispositivo» no es algo especial en casos penales; en todas las jurisdicciones existen arreglos similares. Pero si se combina con la «obligación de ayudar a descifrar» mencionada en el apartado anterior, se observa que el foco de este ajuste no está en una sola regla, sino en la combinación entre ellas.

El camino de ejecución en la vida real, en términos generales, acabaría convirtiéndose en algo así: el dispositivo puede llevarse directamente; los datos pueden exigirse que se desbloqueen; y negarse a desbloquear genera riesgos legales adicionales. Estos tres pasos, al encadenarse, cubren básicamente los elementos más críticos de la adquisición de evidencia digital. Antes, la situación de que «el dispositivo está en manos de las autoridades, pero no se pueden obtener los datos» se comprimió de manera importante a nivel institucional.

Desde la perspectiva práctica, el impacto de este cambio no está en las inspecciones ordinarias, sino en que, una vez que el dispositivo se incorpora a un caso concreto, ya no es solo un objeto revisado de manera temporal, sino que podría pasar a un estado de control y análisis continuos. Por eso, a muchas personas intuitivamente les resulta incómodo este tipo de reglas: porque no tocan el dispositivo en sí, sino su derecho al control continuo sobre el dispositivo.

En qué circunstancias se usarán estas facultades

Si se observan individualmente las reglas anteriores, es fácil que surja una interpretación errónea: ¿acaso basta con entrar en Hong Kong para que las autoridades puedan exigirle en cualquier momento que desbloquee el dispositivo? Pero si se devuelven las disposiciones a la estructura legal original, esta conclusión no se sostiene.

Las medidas en las Reglas de Implementación no existen de manera independiente; todas dependen de un supuesto previo ——

«for the purpose of the investigation of an offence endangering national security»

Es decir, todo este conjunto de facultades para «exigir asistencia para descifrar» sirve para la investigación de casos de seguridad nacional, y no es una herramienta de aplicación de la ley de carácter general.

Aquí es necesario prestar especial atención a dos niveles de limitación.

Primero, al tipo de caso en sí. La Ley de Seguridad Nacional de Hong Kong solo cubre categorías específicas de conducta; por ejemplo, secesión del país, subversión del régimen, actividades terroristas y colaboración con fuerzas extranjeras, etc. Todo ello pertenece al ámbito de los delitos penales, no a las infracciones administrativas en el sentido general.

Segundo, el umbral para iniciar. En la aplicación real de la ley, normalmente se requiere llegar a «reasonable grounds to suspect», es decir, que exista una sospecha razonable suficiente para sustentar la investigación, para poder entrar en esta etapa.

Al mirar conjuntamente estas dos condiciones, se obtiene un juicio más cercano a la realidad: estas reglas no son un mecanismo habitual de inspección para todos, sino que están dirigidas a los sujetos que ya han sido incorporados al marco de investigación. Por eso, la frase «applies to everyone» en las indicaciones del consulado de EE. UU. se presta fácilmente a una lectura errónea. Lo que se enfatiza es el alcance de aplicación de la ley, no la probabilidad de que ocurra una actuación de aplicación de la ley.

Por qué se menciona una wallet de hardware, pero no es el foco de la regla

Muchas discusiones centran el foco en «wallet de hardware». Sin embargo, durante la difusión, este es un punto típico de amplificación. Desde el punto de vista del texto legal, no hay ninguna regla que apunte de forma específica a las wallets de cifrado. Las disposiciones correspondientes utilizan formulaciones más abstractas, como: «electronic device», «information», «information system». Esta forma de escribir ya muestra que el interés del legislador al momento de redactar no era una herramienta concreta, sino todos los tipos posibles de soportes que puedan contener datos o derechos de control.

A nivel de interpretación, por supuesto que una wallet de hardware puede estar incluida dentro del alcance de «electronic device»; en esto no hay controversia. Pero si se mira un nivel más abajo, se descubre que la lógica de aplicación de la ley no se despliega alrededor del «tipo de dispositivo», sino alrededor de si está relacionado con el caso.

Veámoslo de una manera más cercana a la práctica: las autoridades encargadas de hacer cumplir la ley no se interesarán por ti porque lleves una wallet de hardware; lo que realmente activa el interés es si esta wallet tiene alguna relación con una cuenta, con cierto dinero, o con algún asunto de investigación. Si existe esa relación, entonces el dispositivo y el teléfono o el ordenador no tienen ninguna diferencia esencial: ambos pueden exigirse que se desbloqueen; si no existe esa relación, entonces solo es un dispositivo electrónico ordinario. Muchas personas entienden el problema como si «Hong Kong empezara a atacar las cold wallets», pero se desviarán. La regla realmente toca es «quién controla los datos», no «dónde se guardan los datos».

Comparación con EE. UU.: la lógica subyacente del tema de las contraseñas es completamente distinta

Si se coloca el mismo problema en el contexto de EE. UU., se obtiene una respuesta muy diferente. Por supuesto, en EE. UU. también pueden registrar dispositivos, incautarlos e incluso obtener datos mediante medios técnicos. Pero en cuanto se trata de «hacer que usted mismo diga la contraseña», la ley se vuelve inmediatamente más cautelosa. El núcleo de esto es una frase de la Quinta Enmienda de la Constitución de EE. UU.:

«No person… shall be compelled in any criminal case to be a witness against himself.»

Alrededor de este principio, las cortes estadounidenses han manejado durante mucho tiempo una cuestión: al introducir una contraseña, ¿se está «testificando»?

Actualmente, el enfoque judicial principal ha desarrollado, en líneas generales, una separación relativamente clara:

Las «informaciones en la memoria» como contraseñas y frases mnemotécnicas tienden a considerarse más fácilmente que poseen el atributo de «testimonial» y, en principio, no pueden obligarse a revelarse

Las «características físicas» como huellas dactilares y reconocimiento facial se parecen más a proporcionar una «llave», y bajo ciertas condiciones pueden utilizarse de forma obligatoria

Sobre esta base, EE. UU. también desarrolló la «foregone conclusion doctrine» (excepción de hechos ya establecidos). Si las autoridades encargadas de hacer cumplir la ley ya pueden probar la existencia de ciertos datos y la relación de esos datos con el sujeto, pueden pedir que la persona coopere para acceder; pero el estándar en sí tiene un umbral alto, el alcance de aplicación es limitado y, con frecuencia, también es un foco de controversia.

Al juntar estas reglas, se ve que en EE. UU. las autoridades pueden idear maneras de obtener su dispositivo o acercarse a sus datos mediante diversas rutas, pero obligarlo a entregar la contraseña por sí mismo está sujeto a restricciones constitucionales y no se puede lograr fácilmente.

En cambio, la vía de ajuste de reglas en Hong Kong no introdujo la lógica de limitación de «autoincriminación». Más bien, incorporó la «obligación de asistir con el descifrado» al sistema de obligaciones legales. Una vez que se entra en el marco de investigación de seguridad nacional, negarse a cooperar trae consigo riesgos legales.

Al colocar ambos sistemas uno al lado del otro, la comparación es muy intuitiva: en EE. UU., las contraseñas se acercan más a «información protegida»; en Hong Kong, en casos específicos, se tratan como una «asistencia que debe proporcionarse». Por eso, para el mismo dispositivo cifrado, la evaluación de riesgos en dos jurisdicciones diferentes puede mostrar diferencias claras.

Qué significa esto para un titular común de activos cifrados

Después de explicar las reglas con claridad, en realidad se puede reducir el problema a algo más simple: ¿qué impacto tiene este cambio para una persona normal que posee y utiliza activos cifrados?

Si su conducta es en sí «limpia» — simplemente poseer monedas, operar, hacer inversiones o participar en actividades comunes en la cadena — entonces el cambio de reglas de Hong Kong básicamente no alterará su riesgo cotidiano. No es un mecanismo de inspección generalizado para personas comunes, ni tampoco activará una atención adicional de aplicación de la ley solo porque lleve una wallet de hardware.

Pero si se eleva la mirada un nivel, este ajuste sí libera una señal más clara: en casos específicos, la capacidad de las autoridades de Hong Kong para obtener el control on-chain se está fortaleciendo, y ya no depende totalmente de medios técnicos; pueden hacerlo directamente mediante obligaciones legales. Esto tiene un impacto sustancial en quienes realizan conductas que involucran estructuras de fondos complejas, transferencias transfronterizas o zonas grises.

Desde la perspectiva práctica, lo que vale más la pena observar no es la «seguridad del dispositivo», sino la «seguridad de la estructura». Preguntas como si sus activos están concentrados bajo una única clave privada, si sus direcciones podrían asociarse con etiquetas de alto riesgo, y si la ruta de sus fondos puede sostenerse con una explicación — estas preguntas se parecen mucho más al riesgo real que «si debe llevar una wallet al ingresar».

Si esta noticia tiene que dejar un significado práctico, probablemente no esté en los hábitos de viaje, sino en un cambio más real: en ciertos escenarios que ya han entrado en la mira de la aplicación de la ley, el control de los activos en la cadena ya no depende completamente de un solo lado técnico.