EE.UU.: Senadores exigen una investigación sobre el ataque a la SEC, después del aumento del precio de Bitcoin

Legisladores estadounidenses han exigido una investigación sobre la violación de la cuenta X (anteriormente Twitter) de la Comisión de Bolsa y Valores (SEC) la semana pasada.

Los senadores Ron Wyden, que forma parte del Comité de Inteligencia del Senado, y Cynthia Lummis, acusaron a la agencia federal de no proteger sus cuentas de redes sociales utilizando las mejores prácticas de la industria en una carta fechada el 11 de enero de 2024.

Los piratas informáticos comprometieron la cuenta X de la SEC el 10 de enero y publicaron un anuncio falso sobre la aprobación de fondos cotizados en bolsa (ETF) de Bitcoin en bolsas de valores, lo que provocó que los precios de Bitcoin se dispararan brevemente.

El equipo de seguridad de X dijo más tarde que la adquisición se debió al secuestro de un número de teléfono asociado con la cuenta @SECGov en un ataque de intercambio de SIM. X también señaló que la cuenta de la SEC no tenía habilitada la autenticación de dos factores (2FA) en el momento en que fue pirateada.

Este ataque se produjo en medio de una ola de secuestros de cuentas X relacionadas con criptomonedas dirigidas a empresas destacadas, incluidas Mandiant, Hyundai y Certik.

Wyden y Lummis escribieron que, dado el potencial de manipulación del mercado a través de tales ataques, el hecho de que la SEC no siguiera las mejores prácticas de ciberseguridad, como 2FA, era “imperdonable”.

Argumentaron que la SEC debería haber utilizado claves de seguridad para proteger sus cuentas de redes sociales, así como 2FA, siguiendo las recientes directrices de la Oficina de Gestión y Presupuesto (OMB) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).

Los senadores dijeron: “Un hackeo que resulte en la publicación de información importante para los inversores podría tener impactos significativos en la estabilidad del sistema financiero y la confianza en los mercados públicos, incluida una posible manipulación del mercado.

«Le instamos a investigar las prácticas de la agencia relacionadas con el uso de MFA, y en particular, MFA resistente al phishing, para identificar cualquier brecha de seguridad restante que deba abordarse».

La SEC, que introdujo nuevas reglas en 2023 que exigen que las empresas que cotizan en bolsa y que operan en EE. UU. revelen incidentes cibernéticos “materiales” en un plazo de cuatro días, ha sido criticada por malas prácticas de ciberseguridad en varias ocasiones en los últimos años, señala la carta.

Esto incluye una evaluación independiente en el año fiscal 23 que determinó que el programa y las prácticas de seguridad de la información de la SEC no eran efectivos.

Wyden y Lummis le dieron a la SEC como fecha límite el 12 de febrero para proporcionar una actualización sobre su investigación y sus soluciones de ciberseguridad.

SendmarcZi zoom

OPINIÓN

Media Kit Ciberseguridadlatam

Tu anuncio en
nuestra web

Convierta a Ciberseguridad LATAM en su aliado estratégico para alcanzar a los líderes y profesionales en ciberseguridad, gobierno de datos y protección de la información de América Latina.