El ataque en cuestión fue perpetrado por personal del operador telefónico, por lo que las investigaciones continúan. También revelaron que la protección de autenticación de dos factores llevaba deshabilitada desde julio de 2023 tras un incidente.
***
- SEC revela nuevos datos sobre el hackeo a su cuenta de X
- Indicó que todo se debió a un ataque de intercambio de SIM
- El ataque provino del operador telefónico, por lo que las investigaciones continúan
- También revelaron que no tenían activa la protección de autenticación de dos factores
Ataque contra las redes sociales de la SEC La información vino a lugar en un comunicado publicado por la SEC a través de su página oficial el día de hoy, donde ofreció más detalles tras el hackeo perpetrado a su cuenta de X, la cual publicó información falsa sobre la presunta aprobación de los ETF Bitcoin al contado el pasado 9 de enero.
En relación al ataque, en una actualización de los eventos bajo investigación, la SEC reveló:
Dos días después del incidente, en consulta con el operador de telecomunicaciones de la SEC, la SEC determinó que la parte no autorizada obtuvo el control del número de teléfono celular de la SEC asociado con la cuenta en un aparente ataque de “intercambio de SIM”.Un ataque de intercambio de SIM básicamente implica que un atacante logra transferir la línea telefónica de una persona u organización a una nueva tarjeta SIM, haciéndose con los canales pertenecientes a la víctima, pudiéndolos utilizar para acceder a mensajes y claves privadas.
De acuerdo con la SEC, “el acceso al número de teléfono se produjo a través del operador de telecomunicaciones, no a través de los sistemas de la agencia”. También indican que no hay evidencia de que los atacantes hayan obtenido acceso a información privada y/o datos sensibles manejados por el regulador más allá de su cuenta de X.
En el informe, la SEC explica:
Una vez que tuvo el control del número de teléfono, la parte no autorizada restableció la contraseña de la cuenta @SECGov. Entre otras cosas, las autoridades están investigando actualmente cómo la parte no autorizada consiguió que el operador cambiara la tarjeta SIM de la cuenta y cómo supo qué número de teléfono estaba asociado con la cuenta.¿Descuido de la SEC? Si bien las nuevas declaraciones de la SEC dan más luces tras lo ocurrido, días atrás la agencia aseguró que parte de la responsabilidad tras lo ocurrido provenía de la misma X, la cual no estaba garantizando las medidas de seguridad para mantener a resguardo la cuenta del organismo en la red social.
En cuanto a esto, la SEC informó que la cuenta comprometida estaba sin la protección de un sistema de autenticación de dos factores (2FA), justamente porque en julio de 2023 solicitaron su desactivación a razón de inconvenientes operativos para acceder a la misma. La agencia indicó que esta medida permaneció inactiva hasta el pasado 9 de enero, y que ya todas las redes sociales del organismo gozan de esta protección para evitar incidentes.
La revelación confirma la tesis compartida por el equipo de X, quienes revelaron que la cuenta no tenía habilitada dicha medida de protección. Ante esto, los senadores Ron Wyden y Cynthia Lummis solicitaron una investigación exhaustiva en su momento para determinar si la agencia estaba cumpliendo apropiadamente con los protocolos de ciberseguridad requeridos.
“La agencia no sólo debería haber habilitado mecanismos de doble autenticación, sino que debería haber asegurado sus cuentas con elementos de hardware resistentes al phishing, comúnmente conocidos como claves de seguridad, que son el estándar de oro para la ciberseguridad de las cuentas”, dijeron los senadores, y agregaron:
Además, un ataque que resulte en la publicación de información importante para los inversores podría tener impactos significativos en la estabilidad del sistema financiero y la confianza en los mercados públicos, incluida una posible manipulación del mercado.En cuanto al ETF Bitcoin, la SEC aprobó el pasado 10 de enero el lanzamiento de este producto en la bolsa estadounidense, indicando que acuerdan aceptar su lanzamiento porque las bolsas y corredores cumplieron los criterios aplicables para este caso.
Artículo de Angel Di Matteo / DiarioBitcoin
Imagen de Unsplash
