Desbloquea el Editor’s Digest gratis
Roula Khalaf, editora del FT, selecciona sus historias favoritas en este boletín semanal.
La publicación X en la cuenta oficial de la Comisión de Bolsa y Valores que afirma, falsamente, que había aprobado fondos negociados en bolsa de bitcoins al contado de EE. UU. el martes parece haber sido el resultado exactamente del tipo de pirateo que el regulador ha pasado años advirtiendo a las empresas que eviten.
La publicación se compartió ampliamente en las redes sociales, así como en Bloomberg TV y sitios web de noticias de negocios, hasta que el presidente de la SEC, Gary Gensler, publicó en su propia cuenta X 10 minutos después diciendo que la cuenta del regulador había sido «comprometida» y no se habían otorgado aprobaciones.
El percance es un ojo morado de alto perfil para Gensler, quien ha hecho de la seguridad cibernética un pilar de su agenda, adoptando reglas más estrictas para ampliar la divulgación de incidentes cibernéticos de las empresas y castigando a las empresas por engañar a los inversores sobre sus prácticas de seguridad cibernética.
La SEC dijo que se había cancelado el acceso no autorizado a su cuenta. Está trabajando con agencias, incluido el FBI, para examinar el incidente.
En una publicación a última hora del martes, X, anteriormente conocido como Twitter, dijo que el «compromiso» fue causado por un «individuo no identificado que obtuvo control sobre un número de teléfono asociado con el @SECGov cuenta a través de un tercero”. X fue más allá y reveló que la cuenta de la SEC carecía de autenticación de dos factores. «Alentamos a todos los usuarios a habilitar esta capa adicional de seguridad», agregó.
Según los estándares de seguridad cibernética, una cuenta X comprometida es mucho menos grave que una infracción dirigida al propio regulador, como el hackeo del sistema de archivos corporativos de la SEC en 2016 que supuestamente permitió a los comerciantes embolsarse al menos 4,1 millones de dólares en ganancias ilegales.
«Al final, es sólo una vergüenza», dijo Bruce Schneier, profesor de Harvard y tecnólogo de seguridad. «En el esquema general de las cosas, no se hace ningún daño».
Sin embargo, “esto es cosa de un jardín de infantes”, añadió. “Esta no es una decisión de seguridad sutil, tenemos que formar un comité, comprar un producto y decidir implementarlo. Esto es configurar una autenticación de dos factores en su cuenta de Twitter”.
Chris Pierson, director ejecutivo del grupo de seguridad cibernética BlackCloak, dijo que no era raro que las cuentas organizacionales operaran sin identificación de dos factores porque configurar un sistema de autenticación para una cuenta utilizada por varias personas era más complicado.
La revelación de X sobre la falta de implementación de la autenticación de dos factores por parte de la SEC sorprendió a algunos analistas. Pero Pierson dijo que tenía sentido a la luz de las nuevas y estrictas normas de seguridad cibernética de la comisión que exigen la divulgación de cualquier evento importante de seguridad cibernética en un plazo de cuatro días.
«X no tenía que hacerlo, pero probablemente dieron un paso adicional debido al enfoque de la SEC en las reglas de seguridad cibernética», dijo. «La SEC pasó todo 2023 tocando los tambores en materia de seguridad cibernética».
X está controlada por Elon Musk, quien ha sido un crítico vocal y desde hace mucho tiempo de la SEC. En 2018, llegó a un acuerdo con la agencia después de ser acusado de fraude de valores vinculado a una publicación en Twitter que decía que estaba «considerando privatizar Tesla por 420 dólares». Financiamiento asegurado”. Posteriormente, Musk compró Twitter, lo hizo privado y lo renombró X.
La SEC demandó por separado a Musk en octubre para obligarlo a testificar como parte de una investigación de la agencia sobre su compra de Twitter en 2022, una citación contra la que ha estado luchando en los tribunales.
Para la SEC, el ataque se produjo justo cuando la mirada del mundo financiero estaba puesta en el regulador apenas unas horas antes de una fecha límite muy esperada sobre la aprobación de algunas de las al menos 11 solicitudes presentadas por administradores de activos que buscaban lanzar ETF de bitcoin al contado.
En los minutos posteriores a la publicación falsa, bitcoin subió un 1,5 por ciento ese día, pero rápidamente se revirtió una vez que la publicación fue desacreditada. Luego, el precio cayó hasta un 3,4 por ciento antes de recuperarse ligeramente.
Los legisladores de Washington han pedido una investigación sobre lo sucedido. Bill Hagerty, el senador republicano de Tennessee que criticó la postura más estricta de la SEC sobre las criptomonedas, calificó el incidente de «inaceptable» en una publicación X.
“Así como la SEC exigiría responsabilidad a una empresa pública si cometiera un error tan colosal en el movimiento del mercado, el Congreso necesita respuestas sobre lo que acaba de suceder”, añadió.
Los republicanos del comité de servicios financieros de la Cámara de Representantes solicitaron al regulador una sesión informativa sobre el incidente. Sherrod Brown, presidente demócrata del comité bancario del Senado de Estados Unidos, que supervisa la SEC, dijo al Financial Times en un comunicado que estaba «preocupado» de que el incidente «podría socavar nuestros mercados y la misión de la agencia». Cynthia Lummis, senadora republicana de Wyoming y defensora de las criptomonedas, dijo en una publicación de X el martes que «necesitamos transparencia sobre lo que sucedió».
El motivo y la naturaleza del ataque siguen sin estar claros. «Podría ser ‘ja, ja, no fue tan gracioso’ o ‘Hice un montón de inversiones y ahora voy a sacar provecho de ellas'», dijo Schneier, profesor de Harvard y tecnólogo de seguridad.
James Elbaor, director de Marlton, un fondo de cobertura con sede en Chicago que opera en el mercado de bitcoins y otros mercados, dijo que no habían visto ningún «movimiento extraño en el mercado que se hubiera beneficiado del hackeo».
«Simplemente creo que era alguien que debería haberlo sabido mejor, pero no alguien que intentaba ganar dinero», dijo. «No es tan nefasto».
Información adicional de Stephen Gandel y Hannah Murphy