La Comisión de Bolsa y Valores de EE.UU. (SEC) ha admitido que un ataque de intercambio de SIM comprometió su cuenta X, donde se publicó un anuncio falso sobre la aprobación de fondos cotizados en bolsa de bitcoin al contado (ETFs). “La parte no autorizada obtuvo control del número de teléfono celular de la SEC asociado con la cuenta en un aparente ataque de ‘intercambio de SIM’,” dijo el regulador.
La SEC fue víctima de un SIM Swap: Cómo un hacker se apoderó de la cuenta X de la SEC
Este artículo se publicó hace más de un año. Alguna información puede no estar actualizada.
ESCRITO POR
COMPARTIR
La SEC dice ser víctima de un ataque de intercambio de SIM
La Comisión de Bolsa y Valores de EE.UU. (SEC) proporcionó una actualización el lunes con respecto al acceso no autorizado de su cuenta @SECGov en la plataforma de medios sociales X. El ataque ocurrió el 9 de enero y la cuenta X de la SEC se utilizó para publicar un mensaje no autorizado que afirmaba que la agencia había aprobado fondos cotizados en bolsa de bitcoin al contado (ETFs). Cabe destacar que la agencia no había aprobado los ETFs de bitcoin al contado en ese momento.
El regulador de valores detalló:
Dos días después del incidente, en consulta con el operador de telecomunicaciones de la SEC, la SEC determinó que la parte no autorizada había obtenido control del número de teléfono celular de la SEC asociado con la cuenta en un aparente ataque de ‘intercambio de SIM’.
“Una vez en control del número de teléfono, la parte no autorizada restableció la contraseña para la cuenta @SECGov”, describió la SEC. El regulador destacó: “El acceso al número de teléfono se produjo a través del operador de telecomunicaciones, no a través de los sistemas de la SEC. El personal de la SEC no ha identificado ninguna evidencia de que la parte no autorizada haya accedido a sistemas, datos, dispositivos u otras cuentas de redes sociales de la SEC”.
La SEC también compartió: “Aunque la autenticación de múltiples factores (MFA) había sido habilitada previamente en la cuenta @SECGov X, fue desactivada por el soporte de X, a petición del personal de [SEC], en julio de 2023 debido a problemas para acceder a la cuenta.” El regulador añadió:
Una vez que se restableció el acceso, la MFA permaneció desactivada hasta que el personal la reactivó después de que la cuenta se viera comprometida el 9 de enero. Actualmente la MFA está habilitada para todas las cuentas de redes sociales de la SEC que la ofrecen.
El organismo de vigilancia de valores enfatizó que el personal de la SEC continúa coordinando con varias entidades de aplicación de la ley y supervisión federal, incluido el Buró Federal de Investigaciones (FBI), el Departamento de Seguridad Nacional (DHS), la Comisión de Comercio de Futuros de Materias Primas (CFTC), el Departamento de Justicia (DOJ) y la propia División de Cumplimiento de la SEC.
“Entre otras cosas, las fuerzas del orden están investigando actualmente cómo la parte no autorizada consiguió que el operador cambiara la SIM para la cuenta y cómo la parte sabía qué número de teléfono estaba asociado con la cuenta”, detalló la SEC.
Un número significativo de ataques de intercambio de SIM están dirigidos a inversores de criptomonedas. Además de la SEC, otras víctimas notables de ataques de intercambio de SIM incluyen al cofundador de Ethereum Vitalik Buterin. Nuestra guía explica cómo evitar un ataque de intercambio de SIM.
¿Qué opinas acerca de cómo la SEC fue víctima de un intercambio de SIM? Cuéntanos en la sección de comentarios a continuación.
