Gary Gensler, presidente de la Comisión de Bolsa y Valores de EE. UU. (SEC), respondió a los legisladores sobre una violación de la cuenta X de la SEC.
El 9 de enero, un actor desconocido realizó un ataque de intercambio de SIM en la cuenta X de la SEC y luego publicó un mensaje falso indicando que la SEC había aprobado varios ETF de Bitcoin al contado. Aunque la SEC finalmente aprobó esos fondos el 10 de enero, el primer mensaje no fue auténtico.
Gensler dijo a los legisladores en una carta:
“Les aseguro que la SEC se toma en serio sus obligaciones de ciberseguridad. Entiendo que la Oficina de Asuntos Legislativos e Intergubernamentales de la SEC organizó una sesión informativa el 17 de enero para su personal sobre el incidente X y abordó las preguntas planteadas en su carta”.
La carta de Gensler se dirige a los miembros de la Cámara Patrick McHenry, Bill Huizenga, French Hill y Ann Wagner. Además de comentar individualmente, esos miembros de la Cámara escribieron una carta el 10 de enero pidiendo a la SEC que cumpla con los estándares de divulgación de seguridad que impone a las empresas.
Los miembros de la Cámara pidieron a la SEC que respondiera a su solicitud antes del 17 de enero, fecha límite que la SEC aparentemente cumplió, dado que Gensler informó sobre una sesión informativa en esa fecha.
En una carta separada del 11 de enero, los senadores Ron Wyden y Cynthia Lummis pidieron a la SEC que comenzara una investigación sobre la autenticación multifactor y los tokens de hardware (o claves de seguridad) resistentes al phishing y cerrara cualquier brecha de seguridad. Aunque hoy, 12 de febrero, debía presentarse una actualización sobre ese asunto, la última carta no se dirige a los senadores y no se ha informado de ninguna otra respuesta.
Gensler dice que la investigación aún está en curso
En el resto de su carta, Gensler describió un cronograma de ataque previamente conocido y proporcionó una actualización sobre las investigaciones. Dijo que las autoridades están investigando actualmente cómo el atacante hizo que el servicio del operador cambiara la tarjeta SIM asociada con la cuenta X de la SEC y cómo el atacante identificó el número de teléfono asociado con la cuenta de la SEC.
Gensler fue el primero en confirmar que la cuenta X de la SEC se vio comprometida el 9 de enero. Publicó una declaración completa sobre el incidente el 12 de enero.
A diferencia de esas declaraciones anteriores, la carta de Gensler a los legisladores no es pública y pasó desapercibida hasta ahora. La carta está fechada el 6 de febrero y fue publicada por Politico el 8 de febrero. Varias fuentes circularon e informaron sobre la carta de manera más amplia hoy.