La SEC cortó la seguridad adicional en X durante aproximadamente 6 meses, permitiendo que los piratas informáticos entraran
El regulador estadounidense confirmó que no siguió sus propios consejos de seguridad durante gran parte de 2023, lo que lo dejó expuesto a un costoso hackeo de redes sociales que aún está bajo investigación.
:format(webp)/cloudfront-us-east-1.images.arcpublishing.com/coindesk/Q732EEHEMZEW3JFZZ3YUBMVQB4.jpg)
- La Comisión de Bolsa y Valores de EE. UU. reconoció que un pirata informático logró apoderarse de ONE de los teléfonos celulares de la agencia para descifrar su cuenta X y publicar sobre el ETF de Bitcoin al contado.
- El regulador había desactivado su autenticación multifactor ya en julio de 2023.
La Comisión de Bolsa y Valores de Estados Unidos (SEC) confirmó que un hacker se apoderó de su cuenta X mediante un ataque de "intercambio de SIM" que tomó el control de un teléfono celular asociado a la cuenta. Eso permitió al forastero tuitear falsamente el 9 de enero que la agencia había aprobado fondos cotizados en bolsa (ETF) de Bitcoin al contado, un día antes de que la agencia realmente lo hiciera.
"El acceso al número de teléfono se produjo a través del operador de telecomunicaciones, no a través de los sistemas de la SEC", dijo el lunes un portavoz de la agencia en un comunicado. "El personal de la SEC no ha identificado ninguna evidencia de que la parte no autorizada haya obtenido acceso a los sistemas, datos, dispositivos u otras cuentas de redes sociales de la SEC". La SEC no identificó quién era el operador de telecomunicaciones.
La agencia también desactivó su autenticación multifactor en la cuenta en julio de 2023 "debido a problemas de acceso a la cuenta", dijo el portavoz. Desde entonces, esa protección se ha vuelto a activar.
La vergonzosa falla de seguridad, de una agencia conocida por asesorar a los inversores para garantizar la seguridad adecuada y mantener la autenticación multifactor en sus cuentas financieras, permitió una publicación en X en la cuenta @SECGov que llevó a muchos a creer que la agencia había aprobado su la tan esperada aprobación de los ETF. La noticia falsa conmovió a los Mercados antes de que rápidamente se determinara que se trataba de un hackeo.
"Una vez que tuvo el control del número de teléfono, la parte no autorizada restableció la contraseña de la cuenta @SECGov", dijo el portavoz. "Entre otras cosas, las autoridades están investigando actualmente cómo la parte no autorizada consiguió que el operador cambiara la tarjeta SIM de la cuenta y cómo supo qué número de teléfono estaba asociado con la cuenta".
Poco después del hack, la SEC tomó medidas serias para aprobar los ETF de Bitcoin .
X, anteriormente conocido como Twitter, compartió una visión similar sobre el hackeo de la SEC en una declaración hace dos semanas , diciendo que "el compromiso no se debió a ninguna violación de los sistemas de X, sino más bien a que un individuo no identificado obtuvo control sobre un número de teléfono asociado con la cuenta @SECGov a través de un tercero."
La SEC todavía está investigando junto con agencias de aplicación de la ley y supervisión, incluida la Oficina Federal de Investigaciones, el Departamento de Seguridad Nacional, la Comisión de Comercio de Futuros de Productos Básicos y el Departamento de Justicia.
Los ataques de intercambio de SIM han sido comunes en el Cripto durante años, y los atacantes obtienen acceso a los números de teléfono de las víctimas, generalmente con el fin de robar sus tenencias. Los usuarios de Friend.Tech fueron atacados el año pasado , por ejemplo, y los atacantes se apoderaron de las tenencias de ether de los usuarios.
:format(webp)/www.coindesk.com/resizer/x37dWM_1ORxU2nCUG8EyVsmvF4Y=/arc-photo-coindesk/arc2-prod/public/3CZRUU6QWVDQ5PSXCNWHUB6CY4.png)
Jesse Hamilton is CoinDesk's deputy managing editor for global policy and regulation. He doesn't hold any crypto.