Twitter ha rebatido las afirmaciones de que la plataforma fue la culpable de un tuit fraudulento enviado por la cuenta de la Comisión de Bolsa y Valores de EE.UU. que anunciaba falsamente la aprobación de 13 ETFs de Bitcoin el martes.
Tras una investigación preliminar sobre la cuenta comprometida, el equipo de Seguridad de Twitter afirmó que «el compromiso no se debió a ninguna violación de los sistemas de X, sino a que un individuo no identificado obtuvo el control de un número de teléfono asociado a la cuenta @SECGov a través de un tercero».
Twitter Safety también destacó en su tuit que la cuenta de la SEC no tenía activada la autenticación de dos factores en el momento del hackeo, una medida de seguridad que el presidente de la SEC, Gary Gensler, había recomendado anteriormente como protección contra el robo de identidad y el fraude. El equipo de seguridad añadió: «Animamos a todos los usuarios a habilitar esta capa extra de seguridad».
Mientras el mundo esperaba a ver si finalmente se aprobaba un ETF de Bitcoin al contado el martes por la tarde, la cuenta de Twitter «comprometida» de la SEC dijo que todas las aprobaciones habían salido adelante. El precio de Bitcoin cayó desde un máximo de dos años de 47.680 dólares a casi 45.500 dólares.
Podemos confirmar que la cuenta @SECGov fue comprometida y hemos completado una investigación preliminar. Según nuestra investigación, el ataque no se debió a una violación de los sistemas de X, sino a que una persona no identificada obtuvo el control de un número de teléfono…
– Safety (@Safety) 10 de enero de 2024
Después de que el tuit fraudulento fuera retirado, Gensler dijo que la SEC no había aprobado ningún ETF de Bitcoin pendiente.
«La cuenta de Twitter [de la SEC] se vio comprometida y se publicó un tuit no autorizado», tuiteó el presidente de la SEC. «La SEC no ha aprobado la cotización y negociación de productos cotizados de bitcoin al contado».
A última hora del martes, la SEC confirmó «el acceso no autorizado y la actividad» en la cuenta de Twitter de la SEC, diciendo a TCN que la persona o personas responsables del acceso no autorizado fueron despedidas.
«La SEC trabajará con las fuerzas del orden y con nuestros socios en el gobierno para investigar el asunto y determinar los pasos a seguir en relación con el acceso no autorizado y cualquier mala conducta relacionada», continúa un comunicado del regulador.
La cuenta de twitter @SECGov fue comprometida, y se publicó un tweet no autorizado. La SEC no ha aprobado la cotización y negociación de productos al contado de bitcoin negociados en bolsa
– Gary Gensler (@GaryGensler) 9 de enero de 2024
Aunque Twitter no dio más detalles sobre sus hallazgos, algunos en el sitio sugirieron que el atacante podría haber participado en SIM jacking, también conocido como SIM swapping. En este ataque malicioso, un hacker engaña a un proveedor de telefonía móvil para que transfiera el número de teléfono de una víctima a una tarjeta SIM controlada por el hacker, lo que permite acceder a las llamadas telefónicas, los mensajes y, potencialmente, las cuentas en línea de la víctima.
El pasado enero, la cuenta de Twitter de la plataforma de negociación Robinhood se vio comprometida por un ataque de SIM jacking y se utilizó para promocionar una estafa de fichas falsas y NFT.
Otros sugirieron que un empleado de la SEC podría haber sido víctima de ingeniería social, un ataque psicológico cuyo objetivo es engañar a las personas para que revelen información confidencial.
