La Comisión de Bolsa y Valores ha proporcionado más detalles sobre cómo su cuenta oficial X se vio comprometida a principios de este mes. En el regulador confirmó que había sido víctima de un ataque de intercambio de SIM y que su cuenta X no estaba protegida con autenticación multifactor (MFA) en el momento en que se accedió.
«La SEC determinó que la parte no autorizada obtuvo el control del número de teléfono celular de la SEC asociado con la cuenta en un aparente ataque de ‘intercambio de SIM'», dijo, refiriéndose a una estafa común en la que los atacantes persuaden a los representantes de servicio al cliente para que transfieran números de teléfono a nuevos dispositivos «Una vez que tuvo el control del número de teléfono, la parte no autorizada restableció la contraseña de la cuenta @SECGov».
El hackeo de su cuenta X, que fue para afirmar falsamente que ETF de bitcoin había sido aprobado, ha planteado dudas sobre las prácticas de seguridad de la SEC. Por lo general, las cuentas de redes sociales administradas por el gobierno deben tener habilitada la MFA. El hecho de que alguien de tan alto perfil y con capacidades potencialmente influyentes en el mercado como @SECGiv no esté usando la capa adicional de seguridad ya ha generado preguntas por parte de .
En su declaración, la SEC dijo que pidió al personal de soporte de X que desactivara MFA en julio pasado debido a «problemas» con el acceso a su cuenta. «Una vez que se restableció el acceso, MFA permaneció deshabilitado hasta que el personal lo volvió a habilitar después de que la cuenta se vio comprometida el 9 de enero», dijo. «Actualmente, MFA está habilitado para todas las cuentas de redes sociales de la SEC que lo ofrecen».
Si bien la falta de MFA probablemente hizo que fuera mucho más fácil hacerse cargo de la cuenta de la SEC, todavía hay numerosas preguntas sobre el exploit, incluyendo cómo los responsables sabían qué teléfono estaba asociado con la cuenta X, cómo el operador de telecomunicaciones anónimo cayó en la estafa y , por supuesto, quién estaba detrás de esto. El regulador dijo que está investigando estas cuestiones, junto con el Departamento de Justicia, el FBI, la Seguridad Nacional y su propio Inspector General.