El mundo digital está constantemente enfrentando nuevas amenazas, y el caso de Eric Council Jr., un hacker involucrado en un grave ataque contra la Comisión de Bolsa y Valores de Estados Unidos (SEC), es un ejemplo contundente del peligro que representan las vulnerabilidades en la seguridad cibernética. En los primeros meses de 2024, la cuenta oficial del SEC en la plataforma X (antes conocida como Twitter) fue comprometida mediante un ataque de SIM swapping que generó un caos temporal en los mercados financieros debido a la falsa publicación de la aprobación de un fondo cotizado en Bitcoin. Este incidente no solo destapó la fragilidad de los sistemas que deberían ser ejemplares en seguridad digital, sino que también mostró cómo los criminales cibernéticos emplean técnicas sofisticadas para lograr sus objetivos. Eric Council Jr.
fue el responsable directo de ejecutar el SIM swap que permitió el acceso ilegítimo a la cuenta del SEC. Su modus operandi incluía la creación de documentos falsos para hacerse pasar por un empleado autorizado, engañando a un representante de AT&T para reasignar el número telefónico de la víctima a su nueva tarjeta SIM. La investigación reveló que Eric utilizaba prácticas cada vez más comunes en el mundo del hacking: la suplantación de identidad a través del SIM swapping. Esta técnica consiste en obtener el control del número de teléfono de una persona para interceptar códigos de verificación y contraseñas que permiten el acceso a cuentas protegidas con autenticación de dos factores, como la de X del SEC. Una vez logrado el acceso, Eric y sus cómplices publicaron un falso comunicado afirmando que la SEC había aprobado un fondo cotizado en Bitcoin, causando una subida abrupta en el precio de Bitcoin seguido de una caída significativa.
Este evento generó pérdidas millonarias en el mercado y sembró preocupación entre inversores y reguladores sobre la seguridad informática de entidades gubernamentales. El caso de Eric no solo es relevante por el impacto económico y reputacional que tuvo, sino también por la investigación que permitió conocer sus acciones posteriores a la brecha. Tras el ataque, el hacker estuvo intentando borrar cualquier evidencia digital que lo relacionara con el crimen, incluso llegó a realizar búsquedas en Google del tipo '¿Cómo saber si estoy siendo investigado por el FBI?' y '¿Cuánto tarda en eliminarse una cuenta de Telegram?', según documentos presentados por los fiscales. Estas búsquedas reflejan el temor y la paranoia de un delincuente que sabe que las autoridades están muy cerca. En un intento desesperado por evadir la justicia, Eric intentó también llevar a cabo SIM swaps adicionales, conducta que fue detectada por agentes de seguridad, lo que derivó en una redada a su domicilio y la incautación de dispositivos electrónicos con pruebas contundentes, incluyendo plantillas para la creación de identidades falsas.
Además del ataque al SEC, Eric Council admitió haber realizado múltiples SIM swaps para terceros durante varios meses, generando alrededor de 50,000 dólares. Se promocionaba en Telegram bajo el nombre de usuario 'easymunny', ofreciendo estos servicios ilícitos a cambio de sumas que oscilaban entre 1,200 y 1,500 dólares. Esto evidencia que su accionar no se limitaba a un solo hecho, sino que formaba parte de una serie de operaciones criminales con fines lucrativos. El caso también puso en evidencia una falla grave en la seguridad del SEC: la cuenta no tenía activada la autenticación de dos factores, una herramienta básica para evitar accesos no autorizados. Aunque el SEC afirmó que esta función estaba habilitada inicialmente, fue eliminada tras una solicitud errónea por parte de un empleado y el soporte de la plataforma, una negligencia que facilitó el ataque.
Después de su arresto, Eric Council se declaró culpable de conspiración para cometer robo de identidad agravado y fraude con dispositivos de acceso. Su actitud y los hechos permiten comprender la sofisticación con la que operan estas redes de hackers y la necesidad urgente de reforzar los sistemas y procesos de seguridad en organizaciones, especialmente aquellas que manejan información y activos de alto impacto económico. El incidente también provocó un debate sobre la responsabilidad de las plataformas digitales para garantizar seguridad en las cuentas oficiales, así como la necesidad de regulaciones más estrictas en cuanto a protección de los usuarios y respuestas ante incidentes de hacking. Los expertos en ciberseguridad recomiendan a las organizaciones que empleen medidas robustas, como la autenticación multifactor, monitoreo constante y capacitación permanente al personal en materia de riesgos digitales. En un mundo donde la tecnología avanza aceleradamente, los ataques de SIM swapping y otras formas de cibercrimen seguirán siendo una amenaza latente.
La historia de Eric Council Jr. es un llamado de atención para todas las instituciones que deben estar preparadas para prevenir, detectar y responder eficazmente a estas situaciones antes de que ocasionen daños irreparables. Finalmente, la investigación y condena de Eric contribuyen a sentar un precedente legal que puede disuadir a futuros ciberdelincuentes, mostrando que la justicia puede alcanzar incluso a los hackers más audaces. Sin embargo, también recuerda que la mejor defensa es la prevención y la inversión continua en tecnologías y estrategias de seguridad que protejan la información y confianza del público.
