La cuenta 'X' de la SEC estadounidense fue pirateada con 'SIM swapping', según la agencia

El máximo organismo regulador de Wall Street fue víctima del "SIM swapping", una técnica que los estafadores de Internet utilizan para hacerse con el control de las líneas telefónicas, cuando su cuenta en la plataforma de medios sociales X, antes conocida como Twitter, fue pirateada a principios de este mes, según informó el lunes la Comisión del Mercado de Valores de Estados Unidos.

La SEC también dijo que, seis meses antes del ataque, el personal había eliminado una capa añadida de protección, conocida como autenticación multifactor, y no la restableció hasta después del ataque del 9 de enero.

A medida que aumentaba la expectación ante la aprobación por parte de la agencia de los productos cotizados en bolsa que rastrean el bitcoin, una persona o personas no identificadas accedieron a la cuenta y publicaron el falso anuncio de que ya se había concedido la aprobación, lo que provocó un salto momentáneo en la cotización de la criptodivisa.

En una votación dividida, la comisión concedió la aprobación al día siguiente.

El intercambio de SIM es una técnica en la que los atacantes obtienen el control de un número de teléfono haciéndolo reasignar a un nuevo dispositivo.

"Una vez en control del número de teléfono, la parte no autorizada restableció la contraseña de la cuenta @SECGov", dijo un portavoz de la SEC en un comunicado.

Las fuerzas del orden están trabajando para averiguar cómo los piratas informáticos se impusieron al operador de telefonía móvil de la SEC para realizar el cambio, dijo la SEC, sin identificar al operador.

Los legisladores han exigido explicaciones sobre cómo la SEC podría haberse dejado expuesta a un ataque de este tipo, cuando exige a las empresas que cotizan en bolsa unos estrictos requisitos de ciberseguridad.

El comunicado del lunes también decía que, debido a las dificultades para acceder a la cuenta, el personal de la SEC había pedido a X Support en junio de 2023 que desactivara la autenticación multifactor, que puede ofrecer una protección adicional contra el acceso no autorizado.

"Actualmente, el MFA está habilitado para todas las cuentas de medios sociales de la SEC que lo ofrecen", decía el comunicado.

Un representante de X no respondió inmediatamente a una solicitud de comentarios.

El incidente está siendo investigado por agencias como la Oficina del Inspector General de la SEC y su División de Cumplimiento; la Comisión de Comercio de Futuros de Materias Primas, que regula los futuros de bitcoin; la Oficina Federal de Investigación; el Departamento de Justicia; y la Agencia de Ciberseguridad y Seguridad de Infraestructuras, según el comunicado.