En un mundo cada vez más digitalizado, la seguridad en el ámbito de las redes sociales y las instituciones financieras es primordial. La reciente revelación del caso de Eric Council Jr., un hacker que logró vulnerar la cuenta oficial del SEC (Securities and Exchange Commission) en la red social X, pone en relieve la vulnerabilidad de las estructuras tecnológicas incluso de organismos tan importantes y vigilados como el SEC. Su historia no solo destaca la sofisticación detrás del ataque, sino también cómo sus propios movimientos en línea contribuyeron a su caída. El episodio comenzó el 9 de enero de 2024, cuando la cuenta oficial del SEC en X fue comprometida por hackers que publicaron un falso anuncio sobre la aprobación de un fondo cotizado en bolsa (ETF) de Bitcoin.
Este anuncio falso generó un caos inmediato en el mercado de criptomonedas, elevando el precio de Bitcoin en alrededor de 1,000 dólares de forma temporal, antes de que el mercado corrigiera la información y el valor sufriera una caída aún mayor de cerca de 2,000 dólares, lo que implicó pérdidas millonarias para inversores y traders. El responsable detrás del ataque fue Eric Council Jr., un experto en SIM swaps que no solo fue capaz de ejecutar el hackeo, sino también de negociar servicios de este tipo con otros clientes, ganando aproximadamente 50,000 dólares durante el primer semestre del 2024. Estos servicios consisten en la manipulación a través de técnicas de ingeniería social para reclasificar el número telefónico de una víctima en una nueva tarjeta SIM bajo el control del atacante, permitiendo así acceder a cuentas protegidas solo por verificación SMS. La táctica utilizada por Council implicó la creación de documentos de identidad falsos que usó para engañar a empleados de la empresa telefónica AT&T, con el fin de transferir el número de teléfono vinculado a la cuenta del SEC en X a su control.
Es importante señalar que para concretar esta acción, el hacker tuvo que proporcionar datos altamente sensibles, como los últimos cuatro dígitos del número de seguro social y licencia de conducir falsificados para convencer a los empleados encargados del procedimiento. Tras obtener el control total sobre la línea telefónica, Council adquirió un nuevo iPhone en una tienda de Apple en Alabama, insertó la tarjeta SIM obtenida fraudulentamente y desde ahí coordinó con sus cómplices la publicación del falso anuncio sobre el ETF de Bitcoin. Las ganancias de este golpe fueron transferidas principalmente en Bitcoin y otras criptomonedas, evidenciando así la utilización continua de estos activos en el financiamiento de actividades ilícitas. La investigación que llevó a la captura y condena de Eric Council Jr. también reveló aspectos cruciales sobre cómo el hacker intentó evitar ser detectado por las autoridades.
Documentos judiciales indican que, durante semanas posteriores al ataque, realizó búsquedas en internet con frases como “¿Cómo saber si el FBI me está investigando?” y “¿Cuánto tiempo tarda en eliminar una cuenta de Telegram?” Estas consultas demuestran un intento de eliminar evidencias y evitar la intervención del FBI. No obstante, las acciones del hacker no fueron suficientes para obviar el trabajo de los agentes federales. Las autoridades obtuvieron una orden de allanamiento que permitió incautar dispositivos personales y digitales de Council el 18 de junio de 2024, incluyendo su ordenador portátil donde se encontraron plantillas de documentos de identidad falsos usados para el SIM swap. A pesar de que intentó configurar sus chats de Telegram para que se autodestruyeran después de dos semanas, se recuperaron conversaciones que lo vinculan directamente con otros conspiradores, algunos de los cuales operaban en el extranjero. El rol decisivo del FBI en la vigilancia del momento exacto en que Council intentaba realizar otro SIM swap en una tienda de Apple el 12 de junio de 2024 fue determinante para su arresto.
La combinación de vigilancias físicas, tecnológicas y el análisis forense digital construyó un caso sólido para procesar al hacker por cargos de conspiración para cometer robo de identidad agravado y fraude con dispositivos de acceso. En febrero de 2025, Eric Council Jr. se declaró culpable ante un gran jurado federal, reconoció su responsabilidad en el hackeo y en la prestación de servicios fraudulentos a clientes a través de canales encriptados. Su juicio ha puesto en relieve varias preocupaciones importantes respecto a la ciberseguridad en instituciones financieras y gubernamentales, especialmente la ausencia de medidas básicas de protección, como la doble autenticación en cuentas críticas. El SEC confirmó que su cuenta de X no tenía habilitada la autenticación de dos factores en el momento del ataque, y que esta medida fue retirada accidentalmente luego de una solicitud de un empleado del SEC, lo cual facilitó enormemente la labor del hacker para acceder sin mucha resistencia.
El episodio ha servido como una llamada de atención para la industria financiera, los organismos reguladores y las plataformas sociales sobre la necesidad imperiosa de mejorar sus protocolos de ciberseguridad, implementar autenticación robusta y educar a su personal sobre la creciente amenaza de estos métodos sofisticados de ataque. Además, resalta la estrecha relación entre los avances tecnológicos, la seguridad personal y los riesgos de las criptomonedas en actividades ilícitas. Aunque Bitcoin y otros criptoactivos tienen aplicaciones legítimas y un potencial transformador, también siguen siendo herramientas atractivas para actividades delictivas como el lavado de dinero y los pagos a criminales, dada su relativa anonimidad y rapidez. El caso de Eric Council Jr. es un claro ejemplo de cómo una vulnerabilidad puede ser explotada para generar un impacto financiero significativo y cómo la tecnología utilizada para cometer delitos puede, al mismo tiempo, dejar rastros digitales que facilitan la investigación y captura gracias a la pericia de las autoridades.
Finalmente, este incidente subraya la importancia de la cooperación entre empresas, instituciones regulatorias y organismos de seguridad en la lucha contra el cibercrimen. Prevenir futuros ataques requiere no solo tecnología avanzada, sino también políticas claras, auditorías constantes y educación continua sobre las tácticas que los hackers emplean para aprovecharse de las debilidades del sistema. Como lección para todos, la historia del hacker del SEC que buscó en Google si estaba siendo investigado por el FBI refleja el error fundamental que cometen muchos atacantes al subestimar las capacidades de seguimiento y análisis de las agencias de seguridad. La búsqueda imprudente de información en línea sin adecuadas precauciones puede acelerar la captura y condena, sirviendo de advertencia para otros que consideren seguir caminos similares.
