La Comisión de Bolsa y Valores de Estados Unidos dijo el lunes que su cuenta oficial en X (anteriormente Twitter) se vio comprometida a principios de este mes y que el culpable fue un ataque de intercambio de SIM, informó CNBC.
El 9 de enero, una parte no autorizada obtuvo acceso a la cuenta @SECGov y mostró una publicación falsa afirmando que la agencia había aprobado el primer fondo cotizado en bolsa de Bitcoin al contado. Los mercados de criptomonedas cambiaron después de la publicación no autorizada, y los precios de Bitcoin inicialmente subieron a casi $48,000. Posteriormente, el precio de Bitcoin cayó por debajo de los 46.000 dólares después de que la SEC aclarara que no había aprobado un ETF de Bitcoin.
"Dos días después del incidente, y en consulta con los operadores de telecomunicaciones de la SEC, la SEC determinó que durante un aparente ataque de 'intercambio de SIM', una parte no autorizada obtuvo el control del número de teléfono móvil de la SEC asociado con la cuenta", dijo un portavoz de la SEC en un comunicado.
El intercambio de SIM se produce cuando un número de teléfono se transfiere a otro dispositivo sin el permiso del propietario, lo que permite a los delincuentes recibir mensajes de texto y llamadas de voz dirigidas a la víctima.
Después de que el desconocido obtuvo el número de teléfono, restableció la contraseña de la cuenta. Dado que la SEC no ha habilitado la autenticación de dos factores, el intercambio de la tarjeta SIM y el posterior cambio de contraseña son los dos únicos pasos necesarios para acceder completamente a la cuenta de la agencia.
"Si bien la cuenta @SECGovX anteriormente tenía habilitada la autenticación multifactor (MFA), X Support deshabilitó la función a solicitud del personal en julio de 2023 debido a problemas para acceder a la cuenta", dijo la SEC en un comunicado. "Una vez que se restableció el acceso, MFA permaneció deshabilitado hasta que el personal lo volvió a habilitar el 9 de enero después de que la cuenta se vio comprometida".
Actualmente, todas las cuentas de redes sociales de la SEC que ofrecen la funcionalidad MFA la tienen habilitada. La institución tiene la capacidad de volver a activar la autenticación de dos factores para su cuenta X y no depende de X para hacerlo.
Elon Musk, propietario y director de tecnología de X, se burló de la Comisión de Bolsa y Valores de Estados Unidos (SEC) después de que su cuenta en X se viera comprometida. Musk también retuiteó una publicación del departamento de seguridad de Twitter después del incidente, diciendo que la filtración "no se debió a que el Sistema X estuviera comprometido".
X no respondió de inmediato a las preguntas de CNBC sobre si la plataforma continúa cooperando con los investigadores o si la compañía planea cambiar el diseño o cualquier funcionalidad relacionada con las cuentas de las agencias gubernamentales en respuesta a la violación de la cuenta de la SEC.
La SEC dijo que no hay evidencia de que una parte no autorizada haya accedido a los sistemas, datos, equipos u otras cuentas de redes sociales de la SEC. En cambio, dijo la agencia, "se accedió al número de teléfono a través de un proveedor de telecomunicaciones" y las autoridades aún están investigando cómo la persona "consiguió que el proveedor cambiara la tarjeta SIM de la cuenta y cómo la persona sabía qué número de teléfono estaba asociado con la cuenta".
La SEC dijo que continúa cooperando con múltiples entidades encargadas de hacer cumplir la ley y de supervisión federal, incluida la Oficina del Inspector General de la SEC, el FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional, la Comisión de Comercio de Futuros de Productos Básicos, el Departamento de Justicia y la propia división de aplicación de la ley de la SEC.