Los piratas informáticos publicaron noticias falsas sobre un anuncio muy esperado que se esperaba que hiciera la SEC sobre el bitcoin, lo que provocó una subida del precio de la criptodivisa y alarmó a los observadores. El falso post en @SECGov decía que el regulador de valores había aprobado fondos cotizados en bolsa para mantener bitcoin. La SEC borró el post unos 30 minutos después de su aparición.
No quedó claro de inmediato cómo un pirata informático había conseguido acceder a la cuenta oficial de la SEC, pero los analistas de seguridad calificaron el incidente de inquietante.
"Algo así, donde se puede tomar el control de la cuenta de la SEC y potencialmente afectar el valor del bitcoin en el mercado - hay una oportunidad masiva para la desinformación", dijo Austin Berglas, un ex funcionario de ciberseguridad en la oficina del FBI en Nueva York y un alto ejecutivo de la firma de seguridad BlueVoyant.
Las cuentas en X, antes conocida como Twitter, pueden ser secuestradas robando contraseñas o engañando a los objetivos para que faciliten sus credenciales de acceso, al igual que en cualquier otra plataforma de medios sociales. También es posible hacerse con el control de las cuentas vulnerando la seguridad de X, como ocurrió en 2020, cuando un adolescente ideó una intrusión en la red informática interna de Twitter y se hizo con el control de docenas de cuentas de alto perfil, incluidas las del ex presidente Barack Obama y Musk, mucho antes de comprar Twitter.
Un portavoz de la SEC dijo el martes que el "acceso no autorizado" de su cuenta por una "parte desconocida" había sido revocado y que la agencia estaba trabajando con las fuerzas del orden y otras instancias del gobierno para investigar el asunto.
X no respondió a una serie de preguntas para esta historia, pero en un comunicado emitido a primera hora del martes, la compañía dijo que la cuenta de la SEC era segura y que la empresa estaba investigando la "causa raíz" del compromiso de la cuenta.
Sin embargo, incluso antes de que fuera adquirida por Musk y cambiara su nombre por el de X, Twitter fue objeto de persistentes problemas de seguridad.
La detención en 2019 de un agente saudí que había peinado en secreto el backend del sitio
en busca de información personal sobre los disidentes del reino
suscitó inquietudes sobre las salvaguardias internas de Twitter. El secuestro masivo de las principales cuentas al año siguiente por el adolescente de Florida aumentó las preocupaciones, con el Departamento de Servicios Financieros del estado de Nueva York
regañó a la empresa por caer presa
de un "simple" hackeo. En 2022, el antiguo jefe de seguridad de Twitter, Peiter Zatko, se volvió públicamente contra la empresa, antes de que fuera adquirida por Musk, acusándola de
una letanía de fallos de seguridad
que, según él, ponían en peligro la seguridad nacional.
Musk ha pregonado la seguridad de la empresa desde que compró Twitter en octubre de 2022, pero antiguos empleados afirman que ha empeorado desde entonces. Musk ordenó un recorte del 50% en el presupuesto de seguridad física de X tras comprar la plataforma de medios sociales y quiso desechar programas destinados a ayudarla a encontrar y solucionar vulnerabilidades digitales, según una demanda presentada el mes pasado por Alan Rosa, ex jefe de seguridad informática de X. Rosa alega que fue despedido cuando se opuso a las medidas.
Un antiguo ejecutivo de Twitter, que declinó ser nombrado, dijo que la protección de cuentas destacadas, como las de funcionarios del gobierno, era uno de los principales objetivos allí antes de la adquisición de Musk, e incluía alertas de presuntos hackeos con medidas de respuesta rápida, pero el personal que trabajaba en ese esfuerzo formaba parte de un equipo de "integridad electoral" que sufrió despidos el año pasado.
A principios del año pasado, X limitó la capacidad de los usuarios que no pagaban para aplicar la autenticación de dos factores, una medida de seguridad clave. El sitio web de X dice que la empresa protege y asegura "proactivamente" las cuentas de funcionarios del gobierno y candidatos políticos que "pueden ser particularmente vulnerables durante ciertos procesos cívicos."
No está claro si el sitio de la SEC contaba con esa seguridad. De no ser así, los piratas informáticos podrían haberse apoderado de la cuenta utilizando una antigua contraseña filtrada, dijo Berglas.
"Cada vez que se reduce una función de seguridad en una plataforma que hace lo que hace X, es increíblemente preocupante", añadió. (Reportaje adicional de Sheila Dang; Edición de Leslie Adler)
