El 9 de enero, la cuenta X (anteriormente Twitter) de la Comisión de Bolsa y Valores de EE. UU. hizo un anuncio muy esperado: Que había aprobado un fondo negociado en bolsa (ETF ) de bitcoin al contado, que abrir las compuertas a las inversiones institucionales. Bitcoin se disparó. El único problema fue que la noticia era falsa. La cuenta de la SEC estaba “comprometida y se publicó un tweet no autorizado”. silla Gary Gensler aclaró en minutos, añadiendo que la lista y negociación de productos negociados en intercambio de bitcoin no ha recibido luz verde. Bitcoin se hundió.
Los anuncios fraudulentos, como el del perfil X de la SEC, crean volatilidad en los mercados. Llamadas de legisladores y senadores descendió a la agencia federal para investigar cómo su cuenta X fue comprometida. La SEC se puso a trabajar, cooperando con las autoridades para llegar al fondo de la debacle.
La verdad aparente, compartida por X hoy (10 de enero), muestra que el incidente no fue ningún tipo de truco sofisticado. era un simple intercambio de SIM una especie de fraude, donde los estafadores obtienen acceso a información personal para acceder y manipular un número de teléfono.
“Basándonos en nuestra investigación, el compromiso no se debió a ninguna violación de los sistemas de X, sino más bien a que un individuo no identificado obtuvo el control. a través de un número de teléfono asociado con la cuenta SEC a través de un tercero”, El equipo de seguridad de X publicado. “También podemos confirmar que la cuenta no tenía la autenticación de dos factores habilitada en el momento en que la cuenta se vio comprometida”.
El error es especialmente irónico dado que, hace apenas unos meses, Gensler estaba recordándole a la gente para protegerse contra el robo de identidad y el fraude mediante la “autenticación multifactorial”, entre otras cosas.
El caso de la autenticación de dos factores, o 2FA
Usar 2FA significa que incluso con un nombre de usuario y una contraseña, un hacker no puede simplemente iniciar sesión en su cuenta. El segundo paso: código de acceso SMS de un solo uso, un código generado aleatoriamente en una aplicación de autenticación, una huella digital o algo similar es una barrera de seguridad para proteger a los usuarios de phishing, ingeniería social y ataques de fuerza bruta con contraseñas.
La SEC no es la única que se salta este paso crucial. A partir de 2022, La mitad de las empresas encuestadas en el Informe anual de defensa contra amenazas cibernéticas de CyberEdge no se habían activado. esta capa de seguridad adicional. A pesar de todas sus ventajas, se percibe como costoso, confuso y engorroso.
Citable: La ciberseguridad de la SEC bajo escrutinio
“Estos acontecimientos plantean serias preocupaciones con respecto a los procedimientos internos de ciberseguridad de la Comisión y son contrarios a la misión tripartita de la Comisión de proteger a los inversores, mantener una mercados ordenados, eficientes y que faciliten la formación de capital... Es inaceptable que el organismo encargado de regular el epicentro del capital mundial Los mercados cometerían un error tan colosal”.
—Los senadores JD Vance y Thom Tillis en una carta del 9 de enero a la SEC. Le han dado a Gensler hasta el 23 de enero para emitir una respuesta detallando quién hizo el puesto (un empleado de la SEC o alguien externo) y cómo La agencia planea rectificar las pérdidas financieras soportadas por los inversionistas como resultado del anuncio erróneo, entre otras cosas.
Este contenido ha sido traducido automáticamente del material original. Debido a los matices de la traducción automática, pueden existir ligeras diferencias. Para la versión original, haga clic aquí.