Surgen nuevos detalles sobre el hackeo de la cuenta X de la SEC, incluido el intercambio de SIM

La Comisión de Bolsa y Valores de Estados Unidos dijo el lunes que un ataque de intercambio de SIM fue el culpable de la violación de su cuenta oficial en X, anteriormente conocida como Twitter, a principios de este mes.

El 9 de enero, una fiesta no autorizada obtuvo acceso a la cuenta @SECGov y mostró una publicación falsa afirmando la agencia había aprobado el primer anuncio bitcóin los fondos negociados en bolsa. El mercado de las criptomonedas se movió tras la publicación no autorizada, y los precios del bitcoin se dispararon inicialmente hasta casi 48.000 dólares desde un mínimo ese día de poco más de 45.000 dólares. Luego, después de la La SEC aclaró que aún no había aprobado el ETF de bitcoin, precios cayó por debajo de $46,000.

«Dos días después del incidente, en consulta con el operador de telecomunicaciones de la SEC, la SEC determinó que la parte no autorizada obtuvo el control del número de teléfono celular de la SEC asociado con la cuenta en un aparente ataque de ‘intercambio de SIM'», dijo un portavoz de la SEC en un declaración.

Un intercambio de SIM es cuando un número de teléfono se transfiere a otro dispositivo sin el permiso del propietario, lo que permite al malhechor recibir mensajes SMS y llamadas de voz destinadas a la víctima.

Con acceso al número de teléfono, el individuo no identificado restableció la contraseña de la cuenta. Dado que la SEC no tenía habilitada la autenticación de dos factores, el intercambio de SIM y el posterior cambio de contraseña fueron los dos únicos pasos necesarios para obtener acceso completo a la cuenta de la agencia.

«Si bien la autenticación multifactor (MFA) se había habilitado previamente en la cuenta @SECGov X, X Support la deshabilitó, a solicitud del personal, en julio de 2023 debido a problemas para acceder a la cuenta», dijo la SEC en el comunicado.

«Una vez que se restableció el acceso, MFA permaneció deshabilitado hasta que el personal lo volvió a habilitar después de que la cuenta se vio comprometida el 9 de enero», continúa el comunicado. «Actualmente, MFA está habilitado para todas las cuentas de redes sociales de la SEC que lo ofrecen».

La agencia tenía la capacidad de volver a activar la autenticación de dos factores para su cuenta X y no dependía de X para hacerlo.

Propietario de X y director de tecnología, Elon Musk burlado la SEC, una agencia con la que ha chocado durante años, después de que su cuenta en X fuera violada. Almizcle también retuiteó una publicación de Twitter Safety después del incidente, que dijo que el compromiso «no se debió a ninguna violación de los sistemas de X».

X no respondió de inmediato a las preguntas de CNBC sobre si la plataforma ha seguido cooperando con los investigadores o si la compañía planea cambiar su diseño o cualquier característica asociada con las cuentas de agencias gubernamentales en respuesta a la violación de la cuenta de la SEC.

El experto en ciberseguridad Chris Pierson le dice a CNBC que los ataques de intercambio de SIM se han convertido en una amenaza de seguridad mucho mayor para las agencias gubernamentales y las corporaciones.

«Originalmente, estos ataques florecieron como un medio para que los delincuentes secuestraran la billetera o cuenta de criptomonedas de un individuo, pero ahora otros actores criminales y estados-nación los están utilizando como arma para una gama mucho más amplia de usos», dijo Pierson, un ex miembro. del Subcomité de Ciberseguridad y del Comité de Privacidad del Departamento de Seguridad Nacional.

También ha habido un número creciente de adquisiciones selectivas de cuentas influyentes de redes sociales para esquemas de bombeo y descarga de acciones, para infligir daño a la reputación y difundir desinformación, agregó Pierson, quien ahora es director ejecutivo de la empresa de ciberseguridad y protección de la privacidad digital BlackCloak.

«Si bien esto se está convirtiendo en un problema más serio, con actores más organizados y sofisticados, todavía vemos que muchas agencias y empresas continúan cometiendo errores básicos con la seguridad de estas cuentas», dijo.

La SEC dijo que no había evidencia de que la parte no autorizada haya obtenido acceso a los sistemas, datos, dispositivos u otras cuentas de redes sociales de la agencia. En cambio, la SEC dijo que «el acceso al número de teléfono se produjo a través del operador de telecomunicaciones» y que las autoridades todavía están investigando cómo este individuo «consiguió que el operador cambiara la tarjeta SIM de la cuenta y cómo la parte sabía qué número de teléfono estaba asociado». con la cuenta.»

La SEC dijo que continúa trabajando con múltiples entidades policiales y de supervisión federal, incluida la Oficina del Inspector General de la SEC, el FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional, la Comisión de Comercio de Futuros de Productos Básicos, el Departamento de Justicia y la La propia División de Cumplimiento de la SEC.

Lora Kolodny de CNBC contribuyó a este informe.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *