La SEC cortó la seguridad adicional en X durante aproximadamente 6 meses, permitiendo que los piratas informáticos entraran

El regulador estadounidense confirmó que no siguió sus propios consejos de seguridad durante gran parte de 2023, lo que lo dejó expuesto a un costoso hackeo de redes sociales que aún está bajo investigación.

AccessTimeIconJan 22, 2024 at 9:00 p.m. UTC
Updated Mar 8, 2024 at 8:29 p.m. UTC
  • La Comisión de Bolsa y Valores de EE. UU. reconoció que un pirata informático logró apoderarse de ONE de los teléfonos celulares de la agencia para descifrar su cuenta X y publicar sobre el ETF de Bitcoin al contado.
  • El regulador había desactivado su autenticación multifactor ya en julio de 2023.

La Comisión de Bolsa y Valores de Estados Unidos (SEC) confirmó que un hacker se apoderó de su cuenta X mediante un ataque de "intercambio de SIM" que tomó el control de un teléfono celular asociado a la cuenta. Eso permitió al forastero tuitear falsamente el 9 de enero que la agencia había aprobado fondos cotizados en bolsa (ETF) de Bitcoin al contado, un día antes de que la agencia realmente lo hiciera.

  • Running With Crypto: 5 Questions With TRM Labs' Ari Redbord
    00:59
    Running With Crypto: 5 Questions With TRM Labs' Ari Redbord
  • Hacks Involving North Korea Are 'Even Greater Problem': Legal Experts
    09:43
    Hacks Involving North Korea Are 'Even Greater Problem': Legal Experts
  • Breaking Down the State of Hacking in 2024
    02:01
    Breaking Down the State of Hacking in 2024
  • Crypto Hack Volumes Fell by More Than 50% in 2023: TRM Labs
    00:59
    Crypto Hack Volumes Fell by More Than 50% in 2023: TRM Labs
  • "El acceso al número de teléfono se produjo a través del operador de telecomunicaciones, no a través de los sistemas de la SEC", dijo el lunes un portavoz de la agencia en un comunicado. "El personal de la SEC no ha identificado ninguna evidencia de que la parte no autorizada haya obtenido acceso a los sistemas, datos, dispositivos u otras cuentas de redes sociales de la SEC". La SEC no identificó quién era el operador de telecomunicaciones.

    La agencia también desactivó su autenticación multifactor en la cuenta en julio de 2023 "debido a problemas de acceso a la cuenta", dijo el portavoz. Desde entonces, esa protección se ha vuelto a activar.

    La vergonzosa falla de seguridad, de una agencia conocida por asesorar a los inversores para garantizar la seguridad adecuada y mantener la autenticación multifactor en sus cuentas financieras, permitió una publicación en X en la cuenta @SECGov que llevó a muchos a creer que la agencia había aprobado su la tan esperada aprobación de los ETF. La noticia falsa conmovió a los Mercados antes de que rápidamente se determinara que se trataba de un hackeo.

    "Una vez que tuvo el control del número de teléfono, la parte no autorizada restableció la contraseña de la cuenta @SECGov", dijo el portavoz. "Entre otras cosas, las autoridades están investigando actualmente cómo la parte no autorizada consiguió que el operador cambiara la tarjeta SIM de la cuenta y cómo supo qué número de teléfono estaba asociado con la cuenta".

    Poco después del hack, la SEC tomó medidas serias para aprobar los ETF de Bitcoin .

    X, anteriormente conocido como Twitter, compartió una visión similar sobre el hackeo de la SEC en una declaración hace dos semanas , diciendo que "el compromiso no se debió a ninguna violación de los sistemas de X, sino más bien a que un individuo no identificado obtuvo control sobre un número de teléfono asociado con la cuenta @SECGov a través de un tercero."

    La SEC todavía está investigando junto con agencias de aplicación de la ley y supervisión, incluida la Oficina Federal de Investigaciones, el Departamento de Seguridad Nacional, la Comisión de Comercio de Futuros de Productos Básicos y el Departamento de Justicia.

    Los ataques de intercambio de SIM han sido comunes en el Cripto durante años, y los atacantes obtienen acceso a los números de teléfono de las víctimas, generalmente con el fin de robar sus tenencias. Los usuarios de Friend.Tech fueron atacados el año pasado , por ejemplo, y los atacantes se apoderaron de las tenencias de ether de los usuarios.

    Editado por Nikhilesh De.

    Disclosure

    Tenga en cuenta que nuestra política de privacidad, condiciones de uso, cookies, y no vender mis datos personales ha sido actualizada.

    CoinDesk es un galardonado medio de comunicación que cubre la industria de la criptomoneda. Sus periodistas siguen un conjunto estricto de políticas editoriales. En noviembre de 2023, CoinDesk fue adquirido por el grupo Bullish, propietario de Bullish, un intercambio de activos digitales regulado. El grupo Bullish es mayoritariamente propiedad de Block.one; ambas empresas tienen intereses en una variedad de negocios de blockchain y activos digitales y tenencias significativas de activos digitales, incluido bitcoin. CoinDesk opera como una subsidiaria independiente con un comité editorial para proteger la independencia periodística. Los empleados de CoinDesk, incluidos los periodistas, pueden recibir opciones en el grupo Bullish como parte de su compensación.


    Learn more about Consensus 2024, CoinDesk's longest-running and most influential event that brings together all sides of crypto, blockchain and Web3. Head to consensus.coindesk.com to register and buy your pass now.