La pérdida de $400 millones de FTX revela cómo los fraudes por intercambio SIM eluden la seguridad del Cripto.

Cuando FTX colapsó en noviembre de 2022, los reguladores y la comunidad cripto se apresuraron a entender cómo los hackers drenaron $400 millones de los monederos del intercambio. Los recientes cargos federales finalmente proporcionan respuestas, pero también plantean preguntas incómodas sobre lo que realmente sucedió y quién tiene la responsabilidad.

El esquema de intercambio de SIM que vulneró la seguridad de FTX

En enero de 2024, la Oficina del Fiscal de los Estados Unidos para el Distrito de Columbia reveló cargos contra Robert Powell, Carter Rohn y Emily Hernandez – tres individuos acusados de orquestar un ataque sofisticado pero sorprendentemente simple: el intercambio de SIM.

Así es como funcionó: Los acusados supuestamente obtuvieron información personal de más de 50 víctimas, luego utilizaron documentos falsificados para engañar a los proveedores de telecomunicaciones y transferir los números de teléfono de esas víctimas a nuevos dispositivos bajo su control. Al redirigir un número de teléfono a su propia tarjeta SIM, los estafadores interceptan los códigos de autenticación de dos factores, los Guardianes digitales que protegen las cuentas financieras.

Una vez que tuvieron esos códigos, acceder a las cuentas de FTX se volvió sencillo. Cuando los titulares de cuentas legítimas intentaron autenticar inicios de sesión, los textos de autenticación fueron a los teléfonos de los criminales en su lugar. Los estafadores simplemente usaron los códigos para hacerse pasar por los titulares de cuentas y drenar sus saldos.

La acusación describe el ataque más grande que coincide con este patrón, con fechas y montos que se alinean precisamente con el anuncio público de quiebra de FTX. Fuentes federales han confirmado que FTX es la “Compañía Víctima-1” no nombrada mencionada en los cargos.

Una Brecha Crítica: ¿Quién Robó Realmente el Dinero?

Aquí está lo que hace que este caso sea desconcertante: mientras que Powell, Rohn y Hernandez están acusados de robar información personal y vender códigos de autenticación, la acusación los excluye notablemente al describir el robo real de fondos de FTX.

En cambio, los cargos se refieren a “co-conspiradores” no nombrados que “obtuvieron acceso no autorizado a cuentas de FTX” y “transferieron más de $400 millones en moneda virtual” a billeteras que controlaban. En la práctica legal estándar, los fiscales nombran a los acusados al detallar las acciones que llevaron a cabo. La ausencia de estos tres sospechosos en el robo final sugiere que alguien más ejecutó el robo en sí.

Este detalle lingüístico importa. Mientras los titulares proclamaban “misterio resuelto”, la acusación mantiene en la sombra a los perpetradores principales. Los verdaderos arquitectos del hackeo de FTX pueden permanecer sin nombre, al menos por ahora.

Por qué funcionan los intercambios de SIM y por qué los reguladores están alarmados

El intercambio de SIM tiene éxito porque explota una debilidad fundamental en la infraestructura de seguridad moderna. Las empresas de telecomunicaciones dependen de una verificación de identidad relativamente básica: preguntas que los estafadores pueden responder con información personal robada. Mientras tanto, los intercambios de criptomonedas, los bancos y las plataformas tecnológicas consideran que la autenticación basada en SMS es una protección suficiente.

Para los criminales, el intercambio de SIM ofrece una combinación ideal: bajo costo, mínima sofisticación técnica y éxito comprobado. Es un fraude rudimentario ejecutado a gran escala.

Los reguladores federales están tomando nota. En diciembre de 2023, la Comisión Federal de Comunicaciones emitió nuevas reglas que exigen a los proveedores inalámbricos reforzar la autenticación del cliente antes de procesar transferencias de SIM. La SEC, por su parte, sufrió recientemente su propio ataque de intercambio de SIM, un recordatorio embarazoso de que incluso las agencias regulatorias siguen siendo vulnerables.

Los nuevos requisitos de divulgación de ciberseguridad de la SEC agravan esta presión. Los intercambios regulados en EE. UU. deben ahora documentar sus protocolos de seguridad, demostrar procedimientos de gestión de riesgos y someterse a auditorías externas. Estos requisitos aseguran que los clientes comprendan qué protecciones han implementado las empresas.

Lo Que Esto Significa para las Empresas de Cripto y los Usuarios

La acusación de Powell revela una verdad incómoda: la industria cripto depende de estándares de seguridad que tienen décadas y son cada vez más inadecuados. El colapso de FTX fue resultado en parte de vectores de ataque primitivos que deberían haber sido neutralizados hace mucho tiempo.

Para los intercambios que operan en los EE. UU., el camino a seguir es claro: adoptar medidas de seguridad que superen los mínimos regulatorios. Esto incluye la transición de la autenticación de dos factores basada en SMS hacia alternativas más seguras como llaves de hardware o aplicaciones de autenticación. Requiere rigurosos protocolos de verificación de identidad que resistan la ingeniería social. Lo más importante es que exige transparencia: los clientes merecen saber qué medidas de seguridad ha implementado su intercambio.

Las plataformas offshore enfrentan una presión diferente. Sin la supervisión de la SEC, no pueden esconderse detrás de la conformidad regulatoria como un punto de venta. En cambio, la competencia en el mercado recompensará cada vez más a aquellos que adopten voluntariamente prácticas de ciberseguridad transparentes. Las empresas que se resistan a tal divulgación se enfrentarán a clientes escépticos, con justificación, dada la enfoque opaco de FTX sobre la gobernanza de la seguridad.

El hackeo de FTX y los cargos contra Powell ilustran una realidad inevitable: la infraestructura de las criptomonedas es tan segura como su eslabón más débil. Ese eslabón a menudo no es la tecnología blockchain en sí, sino los sistemas de autenticación orientados al usuario que protegen el acceso a billeteras y cuentas. Hasta que la industria sistematice defensas contra el intercambio de SIM y ataques similares, ni los reguladores ni los usuarios pueden confiar en que otro robo de $400 millones no volverá a suceder.