El hackeo de las redes sociales de la SEC que hizo que Bitcoin se disparara impulsa la investigación
El pirateo de una cuenta de red social utilizada por la Comisión de Bolsa y Valores está impulsando investigaciones tanto internas como externas sobre cómo ocurrió la violación de seguridad y si alguien intentó sacar provecho de ella, dijeron la comisión y varios expertos legales.
La SEC dijo en un comunicado el miércoles que estaba coordinando una investigación sobre el hackeo que ocurrió un día antes «con las agencias policiales apropiadas, incluida la Oficina del Inspector General de la SEC y el FBI».
John Reed Stark, ex abogado de la SEC y asesor regulatorio en ciberseguridad, dijo que el inspector general de la comisión debería investigar cómo un hacker obtuvo acceso a la cuenta oficial de la SEC en X (anteriormente Twitter) para publicar un mensaje falso de que la comisión había aprobado varias inversiones en Bitcoin. productos.
«Desafortunadamente, esto es una clara falla de la higiene cibernética básica», dijo Stark.
También dijo que lo más probable es que los fiscales federales abran una investigación separada sobre si el ataque fue parte de un intento de sacar provecho de los cambios en el aumento del precio de Bitcoin. Stark añadió que no importaba si los piratas informáticos ganaron dinero con el comercio durante los aproximadamente 15 minutos que la publicación estuvo en línea, sino si tenían intenciones criminales de hacerlo.
Daniel Hawke, socio del bufete de abogados Arnold & Porter y exdirector de la unidad de abuso de mercado de la SEC, dijo que la publicación falsa tenía todas las características de un intento de «manipular los mercados de criptomonedas».
Un portavoz del Departamento de Justicia se negó a hacer comentarios. Un portavoz del Inspector General de la SEC dijo: «Actualmente estamos evaluando las circunstancias y revisando las presentaciones de la SEC».
En una publicación del martes por la noche, X dijo el hacker había utilizado un número de teléfono asociado con la cuenta de la SEC y que la agencia gubernamental no tenía la funcionalidad de seguridad de autenticación de dos factores para evitar el acceso no autorizado.
El año pasado, Elon Musk, propietario de X, anunció cambios en la forma en que los usuarios pueden implementar la autenticación de dos factores para proteger el acceso a sus cuentas. No está claro cómo respondió la SEC a esos cambios de seguridad.
Esta no es la primera vez que la SEC es pirateada.
En 2017, la SEC reveló que los piratas informáticos habían violado el sistema de archivo Edgar de la Comisión, la base de datos informática que las empresas públicas y los fondos de inversión utilizan para presentar presentaciones regulatorias y revelar a los inversores información que podría influir en el mercado.
La infracción provocó una importante investigación policial; En 2019, los fiscales federales acusaron a dos ciudadanos ucranianos de piratear la base de datos y robar información clasificada que podrían comercializar o vender a otros.
En septiembre, la Oficina del Inspector General de la SEC emitió una carta diciendo que la comisión había «avanzado hacia la implementación» de estándares de ciberseguridad en todo el gobierno, pero no había completado todos los pasos requeridos. El inspector general había preguntado a la SEC qué medidas había tomado para proteger «los sistemas públicos que admiten la autenticación multifactor».
Durante el Mes de la Concientización sobre la Ciberseguridad en octubre, el presidente de la SEC, Gary Gensler, publicó una publicación sobre la importancia de la seguridad digital. «Este es un recordatorio para proteger sus cuentas financieras y protegerlas del robo de identidad y el fraude». publicado en X el 23 de octubre. Enumeró varios pasos, incluido «configurar la autenticación multifactor».
En julio, la SEC adoptó una norma que exige que las empresas públicas informen con prontitud los incidentes de ciberseguridad y divulguen anualmente información sobre la gestión de riesgos de ciberseguridad. Al anunciar la norma, Gensler dijo que «si una empresa pierde una fábrica en un incendio -o millones de archivos en un incidente de ciberseguridad- podría ser importante para los inversores».
La publicación falsa de X afirmaba que la SEC había aprobado varios fondos de intercambio de Bitcoin que supuestamente provenían del Sr. Gensler e incluía su fotografía. Aproximadamente 15 minutos después de su publicación, Gensler dijo en su cuenta X que la publicación en la cuenta de la SEC era un «tuit no autorizado».
La estafa inicialmente provocó que el precio de Bitcoin subiera antes de caer en picado.
Bajo Gensler, la SEC utilizó su cuenta X para publicar mensajes y presentaciones en video para el público inversor.
David Yaffe Bellany contribuyó al reportaje.