El hack de FTX: el misterio del intercambio de SIM sin resolver

Es probable que las nuevas reglas de la SEC y la FCC, y el propio incidente de intercambio de SIM de la primera, generen un escrutinio sobre las empresas de Cripto para tomar medidas drásticas contra el flagelo de los hackeos de identidad, dice Andrew Adams, socio de Steptoe.

AccessTimeIconFeb 12, 2024 at 5:55 p.m. UTC
Updated Feb 12, 2024 at 6:09 p.m. UTC

Recientemente, el Departamento de Justicia reveló silenciosamente una acusación que algunas plataformas de medios tradicionales y Cripto rápidamente recogieron y reportaron como cargos que "resolvieron" el misterio de un robo de $400 millones de dólares en Criptomonedas que anteriormente estaban en poder del colapsado intercambio de criptomonedas FTX.

La acusación no fue esa. Pero sí refleja una creciente preocupación regulatoria y económica que enfrentan las empresas de Criptomonedas tanto internas como externas. El fraude de “intercambio de SIM” que supuestamente tuvo como objetivo a FTX, en noviembre de 2022, es una herramienta de “piratería” casi rudimentaria, ONE en el robo de identidad y la suplantación falsa del titular de una cuenta financiera, que se dirige principalmente a empresas que ofrecen servicios de dos o múltiples tarjetas cada vez más anticuados. -protecciones de Privacidad de identificación de factores ("2FA" y "MFA", respectivamente) para sus clientes y titulares de cuentas.

Los reguladores federales de EE.UU. están cada vez más atentos a los peligros que plantean los sistemas que dependen de procedimientos de protección de la Privacidad que son vulnerables a los intercambios de SIM. La Comisión Federal de Comunicaciones está buscando nuevas reglas, mientras que las recientes regulaciones de ciberseguridad de la SEC probablemente requerirán que las empresas mejoren su juego de Privacidad frente a esta amenaza específica. De hecho, la SEC está aún más motivada ahora, quizás, dado su reciente fiasco en el intercambio de SIM.

Nuevos cargos y los hackers de FTX

El 24 de enero de 2024, la Fiscalía Federal para el Distrito de Columbia abrió una acusación formal, titulada Estados Unidos contra Powell y otros, tras el arresto de algunos de los acusados ​​nombrados en ese caso. Como se alega, Robert Powell, Carter Rohn y Emily Hernandez trabajaron juntos para obtener información de identificación personal ("PII") robada de más de 50 víctimas.

Posteriormente, el trío utilizó esa información robada para crear documentos de identificación falsos con el fin de engañar a los proveedores de telecomunicaciones para que intercambiaran la cuenta de teléfono celular de la víctima del robo de identidad por un nuevo dispositivo en poder de los acusados ​​o de "co-conspiradores" anónimos a quienes el trío de acusados vendió PII robada.

El esquema se basa en la reasignación del número de teléfono de las víctimas a un teléfono físico controlado por un actor criminal, lo que implica la transferencia o portabilidad del número de las víctimas (y, en esencia, la identidad) al Módulo de Identidad del Suscriptor, o "SIM". ”, tarjeta sostenida físicamente en el nuevo dispositivo del actor criminal. Esto se conoce como esquema de “intercambio de SIM”.

A través del esquema de intercambio de SIM alegado en Estados Unidos contra Powell, los acusados ​​y los co-conspiradores anónimos indujeron fraudulentamente a los proveedores de telecomunicaciones inalámbricas a reasignar números de teléfono celular de la tarjeta SIM del usuario legítimo a la controlada por los acusados ​​o esos co-conspiradores anónimos. El intercambio de SIM permitió luego que el trío Powell y otros accedieran a las cuentas electrónicas de las víctimas en varias instituciones financieras para robar fondos de esas cuentas.

El beneficio clave para los acusados ​​del intercambio de SIM fue la capacidad de interceptar en los nuevos dispositivos fraudulentos mensajes de aquellas cuentas financieras que buscaban autenticar que la persona que accedía a la cuenta era el titular legítimo de la cuenta. Normalmente, cuando no hay fraude, esa autenticación daría como resultado un texto SMS u otro mensaje enviado al usuario legítimo, quien luego autenticaría el intento de acceso a la cuenta proporcionando un código incluido en el texto o mensaje. En este caso, sin embargo, ese código Secret fue directamente a los estafadores, quienes utilizaron el código para hacerse pasar por el titular de la cuenta y retirar fondos.

Aunque la acusación de Powell no nombra a FTX como víctima, las acusaciones en torno al mayor incidente de fraude de intercambio de SIM descrito en la acusación se refieren claramente al "pirateo" de FTX que ocurrió en el momento del anuncio público de quiebra de esa empresa: las fechas, horas , y las cantidades se alinean con los informes públicos sobre ese ataque, y los informes de los medios han incluido la confirmación proporcionada por expertos de la investigación de que FTX es, de hecho, la "Compañía Víctima-1" como se describe en Powell. En el momento del hackeo de FTX, hubo mucha especulación sobre los perpetradores: ¿trabajo interno, reguladores gubernamentales en la sombra?

Muchos de los titulares de los artículos que recogen la acusación de Powell proclaman que el misterio está resuelto: los tres acusados ​​cometieron el hackeo de FTX. Pero la acusación en realidad sugiere lo contrario. Si bien la acusación describe a los tres acusados ​​específicamente y por su nombre en las acusaciones sobre el robo de PII, la transferencia de números de celular a una tarjeta SIM obtenida de manera fraudulenta y la venta de códigos de acceso FTX robados, la acusación omite notablemente cualquier referencia a los tres acusados. al describir el robo real de fondos FTX.

En lugar de eso, relata que "los co-conspiradores obtuvieron acceso no autorizado a cuentas [FTX]" y "los co-conspiradores transfirieron más de $400 millones en moneda virtual desde las billeteras de moneda virtual [de FTX] a billeteras de moneda virtual controladas por los co-conspiradores". La convención en la redacción de acusaciones es nombrar a los imputados en las acciones cometidas por los imputados. En este caso, son los “co-conspiradores” anónimos quienes dieron los pasos finales y más significativos. El misterio de quiénes pueden ser esos “co-conspiradores” sigue vivo y puede continuar a menos y hasta que se retiren nuevos cargos o un juicio revele más hechos.

Intercambios de SIM, reguladores y riesgo empresarial

El caso FTX pone de relieve una creciente conciencia entre fiscales y reguladores sobre la facilidad y prevalencia de los esquemas de intercambio de SIM. Leer la acusación de Powell no es diferente a leer una de los cientos de acusaciones de robo de tarjetas de crédito que los fiscales federales y estatales persiguen cada año. En lo que respecta a los fraudes, el intercambio de SIM es barato, poco sofisticado y rutinario. Pero si eres un criminal, funciona.

El intercambio de SIM funciona en gran medida como resultado de vulnerabilidades en los protocolos de identificación y antifraude de las telecomunicaciones, y como resultado de procedimientos de verificación de identificación y antifraude relativamente débiles utilizados por defecto por demasiados proveedores de servicios en línea, incluidas empresas de servicios financieros. Recientemente, en diciembre de 2023, la Comisión Federal de Comunicaciones emitió un Informe y una Orden adoptando medidas diseñadas para abordar las vulnerabilidades de intercambio de SIM de los proveedores de servicios inalámbricos. El Informe y la Orden incluyen el requisito de que los proveedores de servicios inalámbricos utilicen métodos seguros para autenticar a los clientes antes de realizar cambios en la tarjeta SIM del tipo descrito en la acusación de Powell, al tiempo que buscan mantener la relativa facilidad que disfrutan los clientes al transferir legítimamente un número de teléfono a un nuevo dispositivo. . Ante una creciente conciencia de la facilidad con la que los perpetradores del intercambio de SIM explotan MFA básico y 2FA menos seguro, particularmente a través de rieles de mensajería SMS inseguros , ese acto de equilibrio seguirá planteando desafíos tanto para las telecomunicaciones como para los proveedores de servicios, incluidas las empresas de Cripto. – que dependen de ellos.

Seguridad Cripto

Los proveedores de servicios inalámbricos no son los únicos que enfrentan un escrutinio cada vez mayor relacionado con las acusaciones de Powell. El caso también contiene lecciones y advertencias para la industria de la Cripto .

Incluso si los acusados ​​en Powell no fueran las personas que realmente accedieron y vaciaron las billeteras FTX, supuestamente proporcionaron los códigos de autenticación para hacerlo, que obtuvieron a través de un esquema de intercambio de SIM bastante básico (como se alega). En el contexto del incipiente régimen de ciberseguridad de la SEC, el caso destaca la necesidad de que las bolsas que operan en EE. UU. desarrollen procesos para evaluar y gestionar los riesgos de ciberseguridad, incluidos los "hackeos" como los perpetrados en el caso FTX. Dada la propia experiencia de la SEC como víctima de un reciente ataque de intercambio de SIM , podemos esperar que la División de Cumplimiento preste mayor atención a los ataques de intercambio de SIM contra los intercambios.

Eso podría poner en desventaja a las bolsas extraterritoriales que evitan la supervisión de la SEC u otra supervisión regulatoria. Los requisitos de la SEC con respecto a la Aviso legal periódica de información sobre la gestión, estrategia y gobernanza de riesgos de ciberseguridad, junto con la auditoría externa de los mismos, garantizan que los clientes y las contrapartes puedan comprender los pasos que dichas empresas toman para mitigar los riesgos de un evento similar a FTX. . Las empresas extraterritoriales pueden adoptar enfoques igualmente transparentes respecto de las divulgaciones de ciberseguridad, pero esto supondría una inclinación a la transparencia por parte de empresas que pueden ser algo alérgicas a esa noción, como lo fue FTX. Las empresas y proyectos de Cripto pueden anticipar una mayor presión (por parte de los reguladores y del mercado) para adoptar, divulgar, demostrar y mantener prácticas de ciberseguridad a un nivel muy superior a aquellos que permiten que estafadores rudimentarios, como se describe a los acusados ​​en Powell, se fuguen. millones.

Edited by Benjamin Schiller.

Disclosure

Tenga en cuenta que nuestra política de privacidad, condiciones de uso, cookies, y no vender mis datos personales ha sido actualizada.

CoinDesk es un galardonado medio de comunicación que cubre la industria de la criptomoneda. Sus periodistas siguen un conjunto estricto de políticas editoriales. In November 2023, CoinDesk fue adquirido por el grupo Bullish, propietario de Bullish, un intercambio de activos digitales regulado. El grupo Bullish es mayoritariamente propiedad de Block.one; ambas empresas tienen intereses en una variedad de negocios de blockchain y activos digitales y tenencias significativas de activos digitales, incluido bitcoin. CoinDesk opera como subsidiaria independiente con un comité editorial para proteger la independencia periodística. CoinDesk ofrece a todos los empleados por encima de cierto umbral salarial, incluidos los periodistas, opciones sobre acciones en el Bullish group como parte de su compensación.


Learn more about Consensus 2024, CoinDesk's longest-running and most influential event that brings together all sides of crypto, blockchain and Web3. Head to consensus.coindesk.com to register and buy your pass now.



Read more about