El hack de FTX: el misterio sin resolver del intercambio de SIM

Recientemente, el Departamento de Justicia reveló, de manera discreta,una acusación que algunas plataformas de medios tradicionales y de Cripto rápidamente recogieron e informaron como cargos que "resolvieron" el misterio de un robo de $400 millones en Criptomonedas que anteriormente estaban en poder del criptointercambio colapsado FTX.

La acusación no fue eso. Pero sí refleja una creciente preocupación regulatoria y económica que enfrentan las empresas de Criptomonedas , tanto locales como extranjeras. El fraude de "intercambio de SIM" que presuntamente afectó a FTX en noviembre de 2022 es prácticamente una herramienta de "hackeo" rudimentaria, ONE en el robo de identidad y la suplantación de identidad del titular de una cuenta financiera, que se dirige principalmente a empresas que ofrecen protecciones de Privacidad de identificación de dos o múltiples factores (2FA y MFA, respectivamente) cada vez más anticuadas para sus clientes y titulares de cuentas.

Los reguladores federales de EE. UU. son cada vez más conscientes de los peligros que representan los sistemas que dependen de procedimientos de protección de la Privacidad vulnerables a los intercambios de SIM. La Comisión Federal de Comunicaciones (FCC) está impulsando nuevas normas, mientras que las recientes regulaciones de ciberseguridad de la SEC probablemente exigirán a las empresas que mejoren sus medidas de Privacidad ante esta amenaza específica. De hecho, la SEC está ahora aún más motivada, quizás debido a su reciente fiasco con el intercambio de SIM.

Nuevos cargos y los hackers de FTX

El 24 de enero de 2024, la Fiscalía de los Estados Unidos para el Distrito de Columbia hizo pública una acusación formal, titulada Estados Unidos contra Powell y otros, tras la detención de algunos de los acusados en dicho caso. Según se alega, Robert Powell, Carter Rohn y Emily Hernandez colaboraron para obtener información personal de identificación (PII) robada de más de 50 víctimas.

Posteriormente, el trío utilizó esa información robada para crear documentos de identificación falsos con el fin de engañar a los proveedores de telecomunicaciones para que cambiaran la cuenta de teléfono celular de la víctima de robo de identidad a un nuevo dispositivo en poder de los acusados o de "co-conspiradores" anónimos a quienes el trío de acusados vendió información identificable robada.

El esquema se basa en la reasignación del número de teléfono de las víctimas a un teléfono físico controlado por un delincuente, lo que implica la transferencia o portabilidad del número de las víctimas (y, en esencia, su identidad) a la tarjeta SIM (Módulo de Identidad del Suscriptor) alojada físicamente en el nuevo dispositivo del delincuente. Esto se conoce como esquema de intercambio de SIM.

Mediante el esquema de intercambio de tarjetas SIM denunciado en Estados Unidos contra Powell, los acusados y sus cómplices, no identificados, indujeron fraudulentamente a los proveedores de telecomunicaciones inalámbricas a reasignar los números de teléfono celular de la tarjeta SIM del usuario legítimo a la controlada por los acusados o sus cómplices, no identificados. El intercambio de tarjetas SIM permitió al trío Powell y a otros acceder a las cuentas electrónicas de las víctimas en diversas instituciones financieras para robar fondos de dichas cuentas.

El principal beneficio para los demandados del intercambio de SIM fue la posibilidad de interceptar en los nuevos dispositivos fraudulentos los mensajes de las cuentas financieras que buscaban autenticar que la persona que accedía a la cuenta era el titular legítimo. Normalmente, cuando no hay fraude, dicha autenticación se traduciría en un SMS u otro mensaje al usuario legítimo, quien autenticaría el intento de acceso a la cuenta proporcionando un código incluido en el mensaje. Sin embargo, en este caso, ese código Secret llegó directamente a los estafadores, quienes lo utilizaron para suplantar la identidad del titular de la cuenta y retirar fondos.

Aunque la acusación de Powell no menciona a FTX como víctima, las acusaciones en torno al mayor incidente de fraude de intercambio de tarjetas SIM descrito en la acusación se refieren claramente al "hackeo" de FTX ocurrido en el momento del anuncio público de quiebra de la empresa. Las fechas, horas y montos coinciden con los informes públicos sobre dicho hackeo, y los medios de comunicación han confirmado, incluso por parte de investigadores internos, que FTX es, de hecho, la "Empresa Víctima-1", como se describe en Powell. En el momento del hackeo de FTX, se especuló mucho sobre los autores: ¿trabajo interno, reguladores gubernamentales en la sombra?

Sigue leyendo: El misterio del hackeo de FTX podría resolverse: EE. UU. acusa a tres personas de robo, incluido el infame ataque a una plataforma de intercambio de Cripto.

Muchos titulares de artículos que han retomado la acusación contra Powell proclaman que el misterio está resuelto: los tres acusados cometieron el hackeo de FTX. Sin embargo, la acusación sugiere lo contrario. Si bien describe a los tres acusados específicamente y por su nombre en las acusaciones sobre el robo de información personal identificable (PII), la portabilidad de números de teléfono a una tarjeta SIM obtenida fraudulentamente y la venta de códigos de acceso de FTX robados, omite notablemente cualquier referencia a ellos al describir el robo de fondos de FTX.

En cambio, relata que “los cómplices obtuvieron acceso no autorizado a las cuentas de [FTX]” y que “los cómplices transfirieron más de 400 millones de dólares en moneda virtual desde las billeteras virtuales de [FTX] a billeteras virtuales controladas por los cómplices”. La costumbre al redactar acusaciones formales es nombrar a los acusados por las acciones cometidas por estos. En este caso, son los cómplices anónimos quienes dieron los pasos finales y más significativos. El misterio sobre la posible identidad de estos cómplices sigue vigente, y podría continuar hasta que se retiren nuevos cargos o un juicio revele más hechos.

Intercambios de tarjetas SIM, reguladores y riesgo empresarial

El caso FTX pone de relieve la creciente concienciación entre fiscales y reguladores sobre la facilidad y prevalencia de los esquemas de intercambio de tarjetas SIM. Leer la acusación de Powell no es muy diferente a leer una de las cientos de acusaciones por robo de tarjetas de crédito que los fiscales federales y estatales presentan cada año. En cuanto a fraudes, el intercambio de tarjetas SIM es económico, sencillo y rutinario. Pero, si eres un delincuente, funciona.

El intercambio de tarjetas SIM funciona en gran medida como resultado de vulnerabilidades en los protocolos antifraude e identificación de las telecomunicaciones, y como resultado de procedimientos antifraude y de verificación de identidad relativamente débiles, utilizados por defecto por demasiados proveedores de servicios en línea, incluidas las empresas de servicios financieros. Recientemente, en diciembre de 2023, la Comisión Federal de Comunicaciones emitió unaInforme y ordenAdoptar medidas diseñadas para abordar las vulnerabilidades de intercambio de SIM de los proveedores de servicios inalámbricos. El Informe y Orden incluye el requisito de que los proveedores de servicios inalámbricos utilicen métodos seguros de autenticación de los clientes antes de realizar cambios de SIM como los descritos en la acusación de Powell, a la vez que buscan mantener la relativa facilidad que los clientes disfrutan al portar legítimamente un número de teléfono a un nuevo dispositivo. Ante la creciente conciencia de la facilidad con la que los autores de intercambios de SIM explotan la autenticación multifactor (MFA) básica y la autenticación de dos factores (2FA) menos segura,particularmente sobre vías de mensajería SMS no segurasEse acto de equilibrio seguirá planteando desafíos tanto a las telecomunicaciones como a los proveedores de servicios (incluidas las empresas de Cripto ) que dependen de ellas.

Seguridad Cripto

Los proveedores de servicios inalámbricos no son los únicos que se enfrentan a un creciente escrutinio en relación con las acusaciones de Powell. El caso también ofrece lecciones y advertencias para la industria de las Cripto .

Incluso si los acusados en Powell no fueran quienes realmente accedieron y vaciaron las billeteras FTX, supuestamente proporcionaron los códigos de autenticación para hacerlo, los cuales obtuvieron mediante un esquema de intercambio de SIM bastante básico (según se alega). En el contexto del incipiente régimen de ciberseguridad de la SEC, el caso destaca la necesidad de que las plataformas de intercambio que operan en EE. UU. desarrollen procesos para evaluar y gestionar los riesgos de ciberseguridad, incluyendo ataques informáticos como los perpetrados en el caso FTX. Dada la propia experiencia de la SEC.como víctima de un reciente ataque de intercambio de SIMPodemos esperar que la División de Cumplimiento preste mayor atención a los ataques de intercambio de SIM contra los exchanges.

Esto podría perjudicar a las plataformas de intercambio offshore que evaden la supervisión de la SEC u otras autoridades regulatorias. Los requisitos de la SEC respecto a la Aviso legal periódica de información sobre la gestión, estrategia y gobernanza de riesgos de ciberseguridad, junto con la auditoría externa de la misma, garantizan que los clientes y las contrapartes comprendan las medidas que estas empresas adoptan para mitigar los riesgos de un evento similar al de FTX. Las empresas offshore pueden adoptar enfoques igualmente transparentes respecto a la divulgación de información sobre ciberseguridad, pero esto presupondría una inclinación a la transparencia por parte de empresas que podrían ser algo reacias a dicha noción, como fue el caso de FTX. Las empresas y proyectos de Cripto pueden anticipar una mayor presión, tanto de los reguladores como del mercado, para adoptar, divulgar, demostrar y mantener prácticas de ciberseguridad muy por encima de las que permiten a los estafadores rudimentarios, como se describe a los acusados ​​en Powell, fugarse con millones.