Washington, D.C. – En un caso emblemático que resalta las crecientes amenazas cibernéticas a las instituciones financieras y plataformas digitales, Eric Council Jr., un residente de Alabama de 25 años, se ha declarado culpable de llevar a cabo un ataque de intercambio de SIM (SIM-swapping) que resultó en el secuestro de la cuenta oficial de la Comisión de Bolsa y Valores de EE.UU. (SEC) en X (anteriormente Twitter) en enero de 2024. Su intrusión permitió la publicación de un falso anuncio de aprobación de ETFs de Bitcoin, lo que influyó momentáneamente en el mercado de criptomonedas antes de que se descubriera el engaño.
Análisis del Ataque: ¿Cómo Logró el Acceso?
SIM-Swapping: Una Puerta de Entrada a Cuentas de Alto Perfil
El SIM-swapping es una forma de ingeniería social en la que los ciberdelincuentes transfieren fraudulentamente el número de teléfono de una víctima a una nueva tarjeta SIM bajo su control. Esto les permite evadir la autenticación multifactor (MFA) y obtener acceso no autorizado a cuentas digitales vinculadas a ese número.
En el caso de Council, su objetivo era una persona encargada de gestionar las redes sociales de la SEC. Utilizando una identificación fraudulenta, que fabricó con una impresora de tarjetas de identificación, logró hacerse pasar por la víctima y obtener acceso a su número de celular.
Una vez en posesión del número, Council restableció la contraseña de la cuenta de X de la SEC, obteniendo control total. Luego transfirió el acceso a sus cómplices, quienes le pagaron 50,000 dólares en Bitcoin por su papel en la operación.
El Anuncio Falso y la Manipulación del Mercado
Tras tomar control de la cuenta oficial de la SEC en X, Council y sus cómplices publicaron un mensaje falso anunciando la aprobación de los ETFs de Bitcoin:
“Hoy la SEC otorga aprobación a los ETFs de Bitcoin para su cotización en bolsas de valores nacionales registradas. Los ETFs de Bitcoin aprobados estarán sujetos a medidas continuas de vigilancia y cumplimiento para garantizar la protección de los inversionistas.”
Dado el papel de la SEC como regulador clave en los mercados financieros, el falso anuncio hizo que el valor del Bitcoin aumentara en $1,000 en cuestión de minutos. Sin embargo, la euforia duró poco, ya que el presidente de la SEC, Gary Gensler, desmintió el mensaje, confirmando que la cuenta había sido hackeada. Como resultado, el precio de Bitcoin cayó rápidamente en $2,000, generando pérdidas significativas para los inversores que actuaron con base en la información fraudulenta.
Al día siguiente, la SEC confirmó que el ataque se realizó a través de un SIM-swapping, lo que generó preocupaciones sobre la seguridad de cuentas institucionales y la vulnerabilidad de la autenticación basada en SMS.
La Investigación: El Rastro Digital de Council lo Delató
Después del incidente, el FBI inició una investigación exhaustiva, logrando vincular a Council con el ciberataque. Durante el análisis forense de su computadora personal, los agentes descubrieron búsquedas sospechosas como:
- “¿Cuáles son las señales de que estás siendo investigado por la policía o el FBI, incluso si no te han contactado?”
- “¿Cómo puedo saber con certeza si estoy siendo investigado por el FBI?”
Estos registros, junto con evidencia de su implicación en la falsificación de documentos, proporcionaron pruebas suficientes para su arresto y enjuiciamiento.
Consecuencias Legales: Posible Condena de Cinco Años
Después de haberse declarado no culpable inicialmente, Council cambió su declaración y aceptó su culpabilidad por conspiración para cometer robo de identidad agravado y fraude con dispositivos de acceso. De acuerdo con las pautas federales de sentencia, enfrenta una pena máxima de cinco años de prisión.
La sentencia se dictará el 16 de mayo de 2025, y los expertos legales anticipan una condena severa para disuadir futuros delitos cibernéticos.
Cómo Funciona un Ataque SIM-Swap: Análisis Técnico
1. Identificación del Objetivo y Reconocimiento
🔹 Los atacantes utilizan OSINT (inteligencia de fuentes abiertas) y análisis de redes sociales para recolectar información personal.
🔹 Buscan números de teléfono, direcciones de correo electrónico, fechas de nacimiento y respuestas de seguridad en bases de datos filtradas.
2. Obtención de Datos Personales para Ingeniería Social
🔹 Compran credenciales robadas o lanzan ataques de phishing para obtener nombre completo, dirección y PINs de cuenta.
🔹 Se hacen pasar por representantes de bancos o empresas de telecomunicaciones para extraer más información.
3. Ejecución del SIM-Swap con la Compañía Telefónica
🔹 Llaman al operador móvil de la víctima, alegando que perdieron su teléfono.
🔹 Usan datos personales robados para responder a preguntas de seguridad y convencer al soporte técnico de transferir el número.
🔹 Cuando la transferencia se completa, la víctima pierde el servicio celular y el atacante recibe llamadas y mensajes.
4. Toma de Control y Explotación de Cuentas
🔹 Restablecen contraseñas de cuentas bancarias, correos electrónicos y billeteras cripto.
🔹 Interceptan códigos SMS de autenticación, burlando los sistemas de seguridad.
🔹 Bloquean a la víctima de sus propias cuentas y ejecutan fraudes financieros.
Cómo Protegerse Contra los Ataques de SIM-Swapping
✅ 1. Fortalecer la Seguridad en el Operador Móvil
🔹 Configurar un PIN o contraseña única con el proveedor de telefonía.
🔹 Activar el bloqueo de transferencia de SIM o el congelamiento de portabilidad.
🔹 Vincular alertas de seguridad a un correo electrónico en lugar de SMS.
✅ 2. Evitar la Autenticación Basada en SMS
🔹 Usar autenticadores de aplicaciones (Google Authenticator, Authy, Microsoft Authenticator).
🔹 Preferir llaves de seguridad físicas (YubiKey, Titan Key) para cuentas de alto riesgo.
✅ 3. Monitorear y Proteger Datos Personales
🔹 Congelar el crédito para evitar el robo de identidad.
🔹 Activar alertas en bancos y correos electrónicos para detectar actividad sospechosa.
✅ 4. Estar Atento a Intentos de Phishing
🔹 Nunca compartir información personal en llamadas no solicitadas.
🔹 Ignorar SMS o correos sospechosos que soliciten verificación de seguridad.
🔹 Revisar periódicamente la seguridad de las cuentas digitales.
Reflexión Final: Un Llamado de Atención para la Ciberseguridad
El caso de Eric Council demuestra cómo un solo ataque de SIM-swapping puede tener consecuencias financieras y de reputación devastadoras.
A medida que los delincuentes cibernéticos perfeccionan sus métodos, las instituciones financieras, las agencias gubernamentales y los operadores de telecomunicaciones deben mejorar sus estrategias de seguridad.
Con el fallo judicial previsto para mayo de 2025, este caso podría sentar un precedente legal clave para la lucha contra el fraude digital. Lo que está claro es que la seguridad digital debe evolucionar constantemente para mantenerse un paso adelante de los atacantes.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
