Hackeo de la cuenta de la SEC: un solo tuit y el bitcóin se desplomó
Cómo una tarjeta SIM provocó fluctuaciones en el mercado de las criptomonedas.
Un residente de Alabama admitió su culpabilidad en el ataque a la cuenta de la Comisión de Bolsa y Valores de EE. UU. (SEC) en la red social X.
En enero, Eric Council Jr., de 25 años, hackeó la cuenta de la SEC y publicó un falso anuncio sobre la inminente aprobación de fondos cotizados en bolsa (ETF) con criptomonedas, lo que provocó fuertes oscilaciones en el valor del bitcóin. La publicación fraudulenta provocó un repunte inmediato del bitcóin en 1 000 dólares, pero poco después su valor cayó en 2 000 dólares cuando el presidente de la SEC anunció que la cuenta había sido comprometida y que la información era falsa.
Al día siguiente, la SEC confirmó oficialmente que el ataque ocurrió debido a la interceptación del número de teléfono del administrador de la cuenta. Council cambió la contraseña y entregó el acceso a sus cómplices, quienes le pagaron 50 000 dólares en bitcoines por la posibilidad de publicar el mensaje.
Council Jr. y sus cómplices se apoderaron de la cuenta del regulador utilizando la técnica de suplantación de SIM (SIM Swapping). Los atacantes falsificaron documentos para hacerse pasar por el verdadero propietario del número de teléfono vinculado a la cuenta de la SEC. Con una identificación falsa, Council visitó una tienda de AT&T, donde obtuvo una nueva tarjeta SIM con el número de la víctima. Luego, compró un iPhone nuevo, activó el número interceptado y lo utilizó para recibir los códigos de autenticación de dos factores de la cuenta de la SEC.
Los documentos del caso también indican que, tras el ataque, Council buscó en Google información sobre el hackeo de la SEC, así como formas de eliminar una cuenta de Telegram y señales de posible vigilancia del FBI. Además, intentó averiguar cómo determinar si se estaba llevando a cabo una investigación en su contra.
Un portavoz de X declaró que la cuenta de la SEC fue comprometida no debido a una vulnerabilidad de la red social, sino como resultado de las acciones de terceros que obtuvieron el control del número de teléfono vinculado a la cuenta. Sin embargo, en la acusación se señala que la autenticación de dos factores estaba activada en el momento del hackeo, lo que contradice la declaración oficial de la red social.
Ahora, Council enfrenta hasta 5 años de prisión por conspiración para cometer fraude y robo de datos personales. La sentencia final se dictará el 16 de mayo de 2025.
¿Estás cansado de que Internet sepa todo sobre ti?