-
La cuenta oficial del regulador no estaba debidamente protegida.
-
En su momento el incidente afectó al mercado de bitcoin.
La Comisión de Bolsa y Valores de EE. UU. (SEC) admite que el hackeo de su cuenta X estuvo relacionado con un ataque de SIM Swapping o intercambio de tarjeta SIM. De esa manera, una entidad o persona no autorizada obtuvo el control y logró publicar información falsa sobre la aprobación de los ETF de Bitcoin.
En un comunicado oficial, el regulador estadounidense reveló que el número telefónico vinculado a su cuenta de X (antes Twitter) fue transferido ilegalmente a otro dispositivo. Esto le permitió a un pirata informático interceptar mensajes de texto y llamadas y, finalmente, manejar a su antojo la cuenta de X y hasta restablecer la contraseña.
No hubo ninguna explicación en el comunicado de por qué y cómo sucedió eso. Solo se añade que actualmente «las autoridades están investigando cómo la parte no autorizada logró que el operador cambiara la tarjeta SIM de la cuenta y cómo supo qué número de teléfono estaba asociado con la cuenta».
El hecho de que el intercambio de una tarjeta SIM provocara el hackeo de la agencia estadounidense deja nuevas dudas, en virtud de que una tarjeta debe transferirse físicamente de un dispositivo a otro. Aunque, es de tomar en cuenta que los clientes pueden pedirle al personal de soporte de un operador (o al equipo de soporte de una empresa) en persona o por teléfono que cambie el dispositivo en el que está registrada una tarjeta SIM, bien sea porque han perdido su equipo telefónico o han olvidado su contraseña.
En todo caso, no queda claro cómo pudo ocurrirle un SIM swapping (o intercambio de SIM) a una importante agencia de Estados Unidos y ¿qué tanta responsabilidad tiene el personal que estaba a cargo? Más aún, ¿cómo evitarán que esto vuelva a suceder y ¿qué medidas de seguridad tomarán para protegerse?
De todos modos, el problema empeoró aún más (para la SEC) cuando se descubrió que no estaba configurada la autenticación de dos factores (2FA) para su propia cuenta en X. En detalle se destaca que en julio de 2023, el mismo personal había desactivado esta función. Por lo tanto, un hacker pudo infiltrarse en la cuenta simplemente obteniendo el control sobre un número de teléfono asociado a ella.
Entre los que investigan el incidente se encuentra la Oficina del Inspector General de la SEC, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional.
«Hoy, la SEC otorga aprobación para que los ETF de Bitcoin coticen en todas las bolsas de valores nacionales registradas», escribieron los piratas informáticos tal como lo informó CriptoNoticias el 9 de enero. «Los ETF de Bitcoin aprobados estarán sujetos a vigilancia continua y medidas de cumplimiento para garantizar la protección de los inversionistas», señalaba el tuit publicado en la cuenta del regulador.
Curiosamente el mensaje mantenía el mismo estilo usado por la agencia en sus publicaciones. Y cuando se reveló que se trataba de una publicación falsa, muchos especularon que en realidad se trataba de un tuit que se le había escapado a la SEC
Resultó que no se había dado ninguna aprobación. Sin embargo, la euforia inmediata seguida de la revelación de que el tuit era falso impactó en el precio de Bitcoin, lo que llevó a que, en ese momento, se liquidaran alrededor de 90 millones de dólares.