Recientemente, la Comisión de Bolsa y Valores (SEC) de Estados Unidos se encontró en el centro de un incidente de seguridad digital que sacudió no solo a la institución, sino también al volátil mercado de las criptomonedas. Este incidente, que involucra un ataque de intercambio de SIM, ha puesto en evidencia las fragilidades de los sistemas de seguridad digital, especialmente cuando están vinculados a información financiera crítica.
Un actor no autorizado logró controlar el número de teléfono asociado a una cuenta de la SEC, lo que le permitió publicar una falsa aprobación de ETFs de Bitcoin. Este tipo de ataque, conocido como intercambio de SIM, ocurre cuando un delincuente consigue transferir el número de teléfono de una víctima a una tarjeta SIM que controla. En el caso de la SEC, esto resultó en una falsa publicación que causó un pico en el precio del Bitcoin, demostrando cómo la desinformación o las comunicaciones no autorizadas de organismos reguladores pueden tener un impacto significativo en los mercados. El tweet de SECGov indica más detalles.
Vulnerabilidades en la Seguridad Digital
Lo que hace este incidente particularmente preocupante es el hecho de que la SEC había desactivado la autenticación de múltiples factores (MFA) en la cuenta comprometida, a petición del personal debido a problemas de acceso. Este es un claro ejemplo de cómo las medidas de seguridad robustas pueden quedar comprometidas por decisiones internas. La reactivación de la MFA solo se produjo después de que la cuenta fue comprometida, lo que sugiere una respuesta reactiva más que proactiva a la seguridad digital.
Investigación y consecuencias
Las autoridades están investigando cómo el atacante descubrió el número de teléfono asociado a la cuenta de la SEC y cómo convenció al operador móvil para realizar el cambio de SIM. Este aspecto de la investigación es crucial para entender la profundidad de la brecha y prevenir incidentes similares en el futuro. Por otro lado, este evento subraya la importancia de prácticas de seguridad digital robustas, especialmente para los organismos reguladores que manejan información financiera sensible.
Está claro que ninguna organización, ni siquiera una tan poderosa como la SEC, es inmune a los ciberataques. También destaca la necesidad de una vigilancia constante y de una educación continua sobre los riesgos de seguridad digital, tanto para el personal interno como para los colaboradores externos. Parece imposible que puedan realizarse ataques de SIM en 2024, pero así ha sido, y no será la última vez.
Cómo funciona un ataque de intercambio de SIM
Os comento ahora con detalle cómo funciona el ataque de intercambio de SIM, también conocido como SIM swapping. Es una técnica de fraude cibernético que se ha vuelto cada vez más común y preocupante:
- Objetivo del Ataque: El principal objetivo del atacante es tomar control del número de teléfono de la víctima. Esto puede dar al delincuente acceso a mensajes de texto, llamadas, y crucialmente, a códigos de seguridad enviados vía SMS, que son utilizados en procesos de autenticación de dos factores (2FA).
- El proceso de engaño: El atacante generalmente inicia el proceso contactando al proveedor de servicios móviles de la víctima. Se hace pasar por el titular legítimo de la línea, utilizando técnicas de ingeniería social para convencer al personal de la compañía de transferir el número de teléfono de la víctima a una nueva tarjeta SIM que el delincuente controla.
- Obtención de información personal: Para que este engaño sea exitoso, el atacante a menudo necesita tener cierta información personal de la víctima, como el número de teléfono, datos personales e incluso detalles de la cuenta. Esta información puede obtenerse a través de diferentes métodos, como phishing, violaciones de datos, o incluso comprando datos de la víctima en el mercado negro.
- Acceso a cuentas protegidas: Una vez que el número de teléfono ha sido transferido a la nueva SIM controlada por el atacante, puede interceptar SMS o llamadas destinados a la víctima. Esto incluye códigos de autenticación de dos factores, lo que permite al delincuente acceder a cuentas protegidas, como correo electrónico, cuentas bancarias, y perfiles de redes sociales.
- Daño potencial: El daño causado por un ataque de intercambio de SIM puede ser significativo. Aparte del acceso no autorizado a cuentas personales y financieras, los atacantes pueden utilizar esta técnica para cometer fraudes, robo de identidad, e incluso manipular mercados (como en el caso de la SEC y el mercado de Bitcoin).
Como veis, todo comienza siempre con un engaño.