La sede de la Comisión de Bolsa y Valores de EE. UU. en Washington, DC
Andrés Kelly | Reuters
La Comisión de Bolsa y Valores de Estados Unidos dijo el lunes que un ataque de intercambio de SIM fue el culpable de la violación de su cuenta oficial en X, anteriormente conocida como Twitter, a principios de este mes.
El 9 de enero, una persona no autorizada obtuvo acceso a la cuenta @SECGov y mostró una publicación falsa afirmando que la agencia había aprobado el primer anuncio. bitcoin los fondos negociados en bolsa. El mercado de las criptomonedas se movió tras la publicación no autorizada, y los precios del bitcoin se dispararon inicialmente hasta casi 48.000 dólares. Luego, después de que la SEC aclarara que aún no había aprobado el ETF de bitcoin, los precios cayeron por debajo de los 46.000 dólares.
“Dos días después del incidente, en consulta con el operador de telecomunicaciones de la SEC, la SEC determinó que la parte no autorizada obtuvo el control del número de teléfono celular de la SEC asociado con la cuenta en un aparente ataque de ‘intercambio de SIM'”, dijo un portavoz de la SEC en un declaración.
Un intercambio de SIM es cuando un número de teléfono se transfiere a otro dispositivo sin el permiso del propietario, lo que permite al malhechor recibir mensajes SMS y llamadas de voz destinadas a la víctima.
Con acceso al número de teléfono, el individuo no identificado restableció la contraseña de la cuenta. Debido a que la SEC no tenía habilitada la autenticación de dos factores, el intercambio de SIM y el posterior cambio de contraseña fueron los dos únicos pasos necesarios para obtener acceso completo a la cuenta de la agencia.
“Si bien la autenticación multifactor (MFA) se había habilitado previamente en la cuenta @SECGov X, X Support la deshabilitó, a solicitud del personal, en julio de 2023 debido a problemas para acceder a la cuenta”, dijo la SEC en el comunicado.
“Una vez que se restableció el acceso, MFA permaneció deshabilitado hasta que el personal lo volvió a habilitar después de que la cuenta se vio comprometida el 9 de enero”, continúa el comunicado. “Actualmente, MFA está habilitado para todas las cuentas de redes sociales de la SEC que lo ofrecen”.
La agencia tenía la capacidad de volver a activar la autenticación de dos factores para su cuenta X y no dependía de X para hacerlo.
Propietario y director de tecnología de X, Elon Musk burlado la SEC, una agencia con la que ha chocado durante años, después de que se violara la cuenta de la agencia en X. Almizcle también retuiteó una publicación de Twitter Safety después del incidente, que dijo que el compromiso “no se debió a ninguna violación de los sistemas de X”.
X no respondió de inmediato a las preguntas de CNBC sobre si la plataforma ha seguido cooperando con los investigadores o si la compañía planea cambiar su diseño o cualquier característica asociada con las cuentas de agencias gubernamentales en respuesta a la violación de la cuenta de la SEC.
La SEC dijo que no había evidencia de que la parte no autorizada haya obtenido acceso a los sistemas, datos, dispositivos u otras cuentas de redes sociales de la SEC. En cambio, la agencia dijo que “el acceso al número de teléfono se produjo a través del operador de telecomunicaciones” y que las autoridades todavía están investigando cómo este individuo “consiguió que el operador cambiara la tarjeta SIM de la cuenta y cómo la parte sabía qué número de teléfono estaba asociado”. con la cuenta.”
La SEC dijo que continúa trabajando con múltiples entidades policiales y de supervisión federal, incluida la Oficina del Inspector General de la SEC, la Oficina Federal de Investigaciones, la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional, la Comisión de Comercio de Futuros de Productos Básicos, el Departamento de Justicia y la propia División de Cumplimiento de la SEC.
— Lora Kolodny de CNBC contribuyó a este informe.
No te pierdas estas historias de CNBC PRO:
