En un video insertado en X el pasado 1 de enero, Gary Gensler, presidente de la Comisión de Bolsa y Valores de Estados Unidos (SEC), expresa sus buenos deseos para el año nuevo, al tiempo de exponer tres propósitos que la agencia se plantea cumplir este 2024.
Se trata de tres resoluciones que curiosamente lucen fallidas 10 días después de la publicación del mensaje, tras el hackeo que sufrió la cuenta en X de la agencia federal este 9 de enero.
La primera resolución que cita Gensler es la protección a los inversionistas, la segunda es facilitar la formación de capital y la tercera tiene que ver con mantener el orden y la eficiencia en los mercados. Adicionalmente habla de prevenir el fraude, la manipulación y el abuso, poniendo un mayor esfuerzo en la ciberseguridad.
Y justo sobre el tema de la ciberseguridad es que el público se hace preguntas y cuestiona a la SEC, luego de ver cómo un pirata informático utilizó su cuenta en la red social para dar un falso anuncio sobre la aprobación de los ETF de bitcoin.
La fake new tuvo repercusiones inmediatas y negativas para los inversionistas y para mercado, yendo en contra de las tres resoluciones de año nuevo que enumeró Gensler en el video. Tal como informó este medio, tanto el tuit falso como su posterior negación, provocaron alta volatilidad en la cotización de bitcoin (BTC).
El falso mensaje no solo hizo que el precio diera un brinco de los USD 46.000 a los USD 48.000 para luego volver a caer, sino que provocó la liquidación de casi USD 85 millones de dólares en posiciones apalancadas en futuros de BTC y otras criptomonedas. Se trata de pérdidas multimillonarias que afectan a empresas y personas, generadas en una fecha en la cual el mercado se halla expectante ante la inminente aprobación de los ETF de bitcoin.
De esta forma, ambos mensajes, en vez de proteger causaron daño a los inversionistas. Esto, además de perjudicar la formación de capital y generar desorden en el mercado de bitcoin.
De ahí que muchos se pregunten si la SEC será capaz de investigarse a sí misma por manipulación del mercado. Una actividad ilícita mediante la cual algún ente o persona busca beneficiarse por la caída o subida del valor de algún activo, y por la cual la agencia ha acusado y sancionado a muchas empresas de criptomonedas en los últimos años.
Como prevención ante este tipo de incidentes, que suelen partir de información divulgada en redes sociales, paradójicamente la SEC había alertado al público el pasado 16 de octubre. Pidió a través de su cuenta de X que se tuviera cuidado con lo que lee por Internet:
Al parecer la SEC incumple sus propias normas de ciberseguridad
A pesar de que en julio pasado la SEC aprobó nuevas reglas para la llamada «gestión de riesgos de ciberseguridad para entidades reguladas», todo indica que esas normas no fueron cumplidas por la agencia.
La nueva normativa exige la entrega de información detallada sobre la estrategia y gobernanza de gestión de riesgos de ciberseguridad, así como la explicación, ante la Comisión, sobre incidentes y ataques cibernéticos.
«Al garantizar que las empresas divulguen información importante sobre ciberseguridad, las normas beneficiarán a los inversionistas, las empresas y los mercados que los conectan», dijo Gensler en un comunicado del 26 de julio.
«Ya sea que una empresa pierda una fábrica en un incendio, o millones de archivos en un incidente de ciberseguridad, puede ser importante y afectar a los inversionistas», acotó en el mismo escrito donde también se indican los pasos a seguir.
El formulario de declaración del evento deberá presentarse ante la SEC cuatro días hábiles después de que un registrante determine que un incidente de ciberseguridad es importante. La divulgación puede retrasarse si el fiscal general de los Estados Unidos determina que la divulgación inmediata representaría un riesgo sustancial para la seguridad nacional o pública y notifica a la Comisión dicha determinación por escrito.
Normas de la SEC sobre gestión de riesgos de ciberseguridad
Visto lo anterior, parece que la SEC tendrá que explicarse ante sí misma y ante las autoridades estadounidenses las causas del hackeo, además de informar sobre sus estrategias de ciberseguridad. Una acción sobre la que ya se adelantó X.
El equipo de seguridad de la red social publicó un mensaje para aclarar que el ataque no se debió a ninguna violación de los sistemas de X, sino más bien a que un individuo no identificado obtuvo el control de un número de teléfono asociado con la cuenta @SECGov a través de un tercero. Para sorpresa de muchos, confirmaron que la cuenta no tenía habilitada la autenticación de dos factores.
Se acentúa así el debate en torno a cómo se publicó la falsa noticia. Por un lado, se dice que la SEC fue víctima de un ataque externo de intercambio de SIM; otros piensan que todo se debió a un error interno que llevó a una publicación adelantada.
Sea cual sea la razón, muchos inversionistas resultaron afectados. Por eso llueven las críticas, burlas y algunos hasta recuerdan a Gensler sus propios consejos de ciberseguridad.
Mientras tanto, políticos y congresistas piden una pronta explicación. Muchos insisten en que, si se produjera un ataque de esta naturaleza en una cuenta de Wall Street o de una empresa de criptomonedas, el personal de la SEC ya estaría exigiendo respuestas.
Hasta el momento, el organismo solo ha dicho que trabajará con las autoridades y socios en todo el gobierno para investigar el asunto y determinar los próximos pasos relacionados, tanto con el acceso no autorizado como con cualquier mala conducta relacionada.