El FBI arrestó a un hombre de Alabama (EEUU) por su presunta implicación en el hackeo de la cuenta oficial del regulador estadounidense, la SEC (Comisión de Bolsa y Valores), en la red social X, anteriormente conocida como Twitter.
La cuenta de la SEC fue un objetivo estratégico debido al impacto que una falsa comunicación de este tipo podría tener en los mercados financieros. Publicar información falsa desde una cuenta oficial de un regulador tan importante como la SEC genera desinformación y manipulación del mercado, lo cual puede provocar movimientos bruscos en los precios de activos financieros, como ocurrió en este caso con el Bitcoin. Esta acción tenía el potencial de crear caos y beneficios ilícitos para los atacantes, aprovechando la confianza pública en las comunicaciones de la SEC.
El acusado, Eric Council, de 25 años, supuestamente realizó un ataque de intercambio de SIM (SIM-swap) para tomar el control de la cuenta de X y publicar un falso anuncio que afirmaba que la SEC había aprobado ETFs (fondos cotizados en bolsa) de Bitcoin, que son instrumentos financieros que permiten a los inversores comprar una cesta de activos, en este caso Bitcoin, de manera similar a cómo compran acciones. La noticia causó un aumento repentino en el precio del Bitcoin antes de desplomarse tras la confirmación de la suplantación. Según las investigaciones, este incremento y posterior caída en el precio de Bitcoin provocó una fuerte inestabilidad en el mercado que afectó a numerosos inversores, causando pérdidas significativas para aquellos que compraron durante el alza repentina.
El ataque de intercambio de SIM es una técnica mediante la cual los atacantes inducen de forma fraudulenta a una compañía telefónica a transferir el número de teléfono de la víctima a una tarjeta SIM controlada por los atacantes. Esto se logra generalmente mediante la ingeniería social, engañando al operador para que realice el cambio de SIM, a través de la colaboración interna de empleados deshonestos, ataques a la red SS7 y otras eventualidades o técnicas. Al tomar control del número de teléfono, los atacantes pueden recibir mensajes y llamadas destinados a la víctima, incluidos los códigos de autenticación de múltiples factores (MFA), lo cual les permite acceder a cuentas personales, como en este caso, la cuenta de X de la SEC.
Según el Departamento de Justicia, Council y sus co-conspiradores realizaron un ataque de intercambio de SIM para obtener el control de la cuenta de X de la SEC. La falsa publicación afirmaba: “Hoy la SEC concede la aprobación de ETFs de Bitcoin para su listado en bolsas de valores registradas”. Este mensaje incluyó una imagen del presidente de la SEC, Gary Gensler, con una cita que apoyaba la decisión.
Tras la publicación falsa, el precio del Bitcoin subió rápidamente en mil dólares, pero luego cayó dos mil dólares cuando la SEC confirmó que su cuenta había sido hackeada. Aunque el ataque generó inestabilidad en el mercado, no comprometió los sistemas internos de la SEC, afectando únicamente la cuenta de la red social. Eric Council enfrenta cargos por conspiración para cometer robo de identidad agravado y fraude con dispositivos de acceso, delitos que podrían llevar a una pena máxima de cinco años de prisión.
El hackeo de la cuenta de la SEC ha generado preocupación sobre la seguridad de las redes sociales, en especial en lo que respecta a cuentas de entidades gubernamentales. Senadores estadounidenses han exigido respuestas al presidente de la SEC, Gary Gensler, criticando la vulnerabilidad de la agencia y enfatizando la importancia de mejorar la seguridad en estas plataformas. Este incidente subraya la necesidad de reforzar los mecanismos de protección, como las restricciones para transferir números de teléfono y asegurar que los sistemas de autenticación multifactor no sean vulnerables a ataques de intercambio de SIM.
La SEC junto con el FBI y otras autoridades continúan investigando el incidente, con el objetivo de evitar que hechos similares se repitan en el futuro. Mientras tanto, la entidad insta a los usuarios y a las instituciones a implementar medidas de protección adicionales para prevenir ataques de este tipo.
Más información:
- FBI arrests man over SEC hack, alleging bitcoin manipulation https://www.reuters.com/technology/cybersecurity/fbi-arrests-suspect-hacking-us-sec-x-account-2024-10-17/
- FBI Arrests Alabama Man for Alleged Role in Fake SEC Bitcoin Post https://www.wsj.com/livecoverage/stock-market-today-dow-sp500-nasdaq-live-10-17-2024/card/fbi-arrests-alabama-man-for-alleged-role-in-fake-sec-bitcoin-post-KSmZXvdRhGj8ldB2bgZv
Deja una respuesta