Um ataque cibernético de grandes proporções atingiu, nesta semana, pelo menos seis instituições financeiras que operam no Brasil. Segundo o Banco Central (BC), o incidente partiu da C&M Software, empresa que conecta bancos de menor porte ao sistema do PIX. Embora os nomes das instituições afetadas ainda não tenham sido divulgados oficialmente, estimativas indicam que os prejuízos podem chegar a R$ 800 milhões. O caso, considerado um dos mais graves da história recente, já mobiliza autoridades e investigações em múltiplos níveis.
Invasão levanta suspeitas sobre segurança no ecossistema do PIX
A C&M Software, autorizada a operar como intermediadora entre bancos e o Sistema de Pagamentos Brasileiro (SPB), informou que hackers obtiveram acesso indevido a contas de reserva. A brecha teria ocorrido por meio do uso ilegal de senhas e credenciais de clientes. Na prática, os invasores conseguiram movimentar recursos diretamente do ambiente financeiro operado pela empresa, afetando pelo menos seis instituições interligadas a ela.
Embora o BC não tenha revelado todos os nomes envolvidos, a empresa BMP confirmou ter sido uma das vítimas. Fontes do setor financeiro também apontam o Banco Paulista e a Credsystem entre os possíveis atingidos. Até o momento, os valores desviados não foram oficialmente confirmados, mas fontes ligadas à investigação estimam o montante em até R$ 800 milhões.
Ataque sofisticado seguiu padrão de “cadeia de suprimentos”
Conforme apurado por especialistas em segurança cibernética, os criminosos aplicaram um modelo de ataque conhecido como “supply chain attack”. Nesse tipo de golpe, os hackers exploram brechas em empresas terceirizadas para acessar sistemas bancários de forma indireta. O Instituto Brasileiro de Resposta a Incidentes Cibernéticos (IBRINC) afirma que os invasores manipularam relações de confiança entre instituições e seus prestadores de serviço.
De acordo com a consultora Micaella Ribeiro, da IAM Brasil, o ataque seguiu uma sequência metódica de quatro fases: desde a obtenção fraudulenta de acesso (por meio de engenharia social), passando pelo reconhecimento interno dos sistemas, até a execução das transferências e rápida conversão dos valores para criptoativos.
BC, PF e DEIC já investigam o caso
O Banco Central suspendeu temporariamente o acesso das instituições à infraestrutura da C&M. A medida foi ajustada para uma suspensão parcial, após a empresa adotar ações emergenciais para mitigar o risco de novos ataques. Em paralelo, a Polícia Federal instaurou inquérito para investigar o ocorrido. A Polícia Civil de São Paulo também atua no caso por meio da Delegacia de Crimes Cibernéticos do DEIC.
A apuração agora busca identificar os responsáveis e rastrear os valores desviados. Contudo, por se tratar de um crime altamente sofisticado e de múltiplas camadas, ainda não há prazo para a conclusão das investigações. Especialistas avaliam que o caso pode desencadear mudanças na regulação da segurança digital para empresas que atuam no setor financeiro.
Sistema financeiro brasileiro acende sinal de alerta
Ainda que os bancos afetados afirmem que não houve vazamento de dados de clientes, o episódio acendeu um alerta no mercado. A exposição de falhas nas conexões entre instituições e empresas terceirizadas colocou em xeque a gestão de acessos privilegiados e a segurança da cadeia tecnológica que sustenta o sistema financeiro nacional.
Segundo Hiago Kin, presidente do IBRINC, esse tipo de ataque não é raro, mas geralmente é abafado pelas próprias empresas. Neste caso, porém, a magnitude da ação e o número de envolvidos chamaram atenção. A expectativa é que o episódio leve a um reforço nas exigências regulatórias para evitar novos incidentes.