Principal regulador de EEUU culpa al "intercambio de SIM" del hackeo en su cuenta de X

Por Douglas Gillison

22 ene (Reuters) - El principal regulador de Wall Street fue víctima del fraude "SIM swapping" (intercambio de SIM), una técnica que utilizan los estafadores de internet para tomar el control de las líneas telefónicas, cuando su cuenta en la plataforma de medios sociales X, fue hackeada a principios de este mes, dijo el lunes la Comisión de Bolsa y Valores de Estados Unidos (SEC).

La SEC también dijo que, seis meses antes del ataque, el personal había eliminado una capa añadida de protección, conocida como autenticación multifactor (MFA), y no la restableció hasta después del episodio del 9 de enero.

A medida que aumentaba la expectación ante la aprobación por parte de la comisión de los productos cotizados en bolsa que rastrean el bitcóin, una o varias personas no identificadas accedieron a la cuenta y publicaron el falso anuncio de que ya se había concedido la aprobación, lo que provocó un repunte momentáneo de la cotización de la criptomoneda.

En una votación dividida, la concedió la aprobación al día siguiente.

El 'intercambio de SIM' es una técnica en la que los atacantes obtienen el control de un número de teléfono reasignándolo a un nuevo dispositivo.

"Una vez en control del número de teléfono, la parte no autorizada restableció la contraseña de la cuenta @SECGov", dijo un portavoz de la SEC en un comunicado.

Los organismos encargados de la aplicación de la ley están trabajando para saber cómo los piratas informáticos se hicieron con el operador de telefonía móvil de la SEC para realizar el cambio, dijo el regulador, sin identificar al operador.

Los legisladores han pedido explicaciones sobre cómo la SEC pudo quedar expuesta a un ataque de este tipo, cuando impone estrictos requisitos de ciberseguridad a las empresas que cotizan en bolsa.

El comunicado del lunes también decía que, debido a las dificultades para acceder a la cuenta, el personal de la SEC había pedido a X Support en junio de 2023 que desactivara MFA, que puede ofrecer protección adicional frente el acceso no autorizado.

Un representante de la red social X no respondió inmediatamente a una solicitud de comentarios.

El incidente está bajo investigación de agencias como la Oficina del Inspector General de la SEC y su División de Cumplimiento; la Comisión de Comercio de Futuros de Materias Primas, que regula los futuros de bitcóin; la Oficina Federal de Investigación; el Departamento de Justicia; y la Agencia de Ciberseguridad y Seguridad de Infraestructuras, según el comunicado.

(Reporte de Douglas Gillison; Editado en español por Sofía Díaz Pineda)