Um ataque de hackers de proporções não publicadas atingiu a C&M Software, uma empresa responsável por serviços de infraestrutura para o sistema bancário brasileiro, causando o desvio milionário de recursos financeiros vinculados ao banco central.
O caso, que já é considerado o maior ataque cibernético financeiro do Brasil, expôs sérias vulnerabilidades no sistema digital que suporta o PIX e o sistema de pagamento brasileiro (SPB).
Leia mais:
Informações essenciais para aqueles que optaram pelo FGTS-Annivisan
A invasão através da “parte de trás das costas”
A fonte da violação foi o uso indevido dos costumes do cliente do cliente da C&M Software, um provedor de serviços de tecnologia da informação (PSTI). A empresa atua como um intermediário tecnológico que conecta bancos menores e fintechs diretamente ao Banco Centralpor meio de APIs que permitem operações via PIX, TED e outras formas de acordo financeiro.
Segundo relatos obtidos pelo Brasiljournal, o ataque começou entre o amanhecer de domingo (30) e segunda -feira (1), quando transações não autorizadas começaram a ser detectadas em contas de liquidação mantidas pelo Banco Central.
Somente da BMP, uma empresa especializada em serviços bancários como serviço, foi desviado cerca de US $ 400 milhões em alguns minutos. Pelo menos oito instituições financeiras foram impactadas pela ação, que usava contas de reserva das instituições, conhecidas como “cofres digitais”, para disparar múltiplas pixes. Isso permitiu o movimento de valores sem que os clientes finais fossem diretamente afetados.
Como ocorreu o ataque
O método usado por hackers explorou as credenciais legítimas da C&M para acessar a infraestrutura digital que conecta as instituições ao banco central. Assim, o ataque aconteceu “dentro” do sistema, usando um canal de acesso autorizado, mas fraudulento, o que dificultava a detecção inicial.
Além disso, os recursos desviados foram rapidamente pulverizados em dezenas de transações via PIX, o que dificulta rastrear e bloquear os valores.
Impactos no sistema financeiro brasileiro
O banco central confirmou o incidente e agiu rapidamente, determinando o desligamento imediato da infraestrutura da C&M para conter o ataque. Essa medida, no entanto, causou a suspensão temporária de pix para os bancos que usam o provedor como intermediário, afetando a conexão de 293 instituições financeiras ao sistema.
A BMP confirmou o movimento irregular em sua conta de reserva, mas garantiu que nenhum apelo final do cliente estivesse comprometido. O São Paulo Bank, também envolvido, disse que havia apenas uma interrupção temporária no pix, sem vazamento de dados pessoais.
O software C&M emitiu uma declaração afirmando que era uma “vítima direta” do ataque e que os sistemas críticos continuam operando normalmente. O diretor comercial, Kamal Zogheib, enfatizou a cooperação da empresa com a Polícia Federal, o Banco Central e a Polícia Civil de São Paulo para a investigação.
A vulnerabilidade de Pstis
Este episódio expôs uma fragilidade crítica na cadeia de pagamentos digital: provedores de serviços de tecnologia da informação, essenciais para a integração entre instituições financeiras e o banco central, mas agora são apontadas como uma possível fraqueza na arquitetura do sistema.
A crescente dependência dessas empresas permitir operações rápidas e eficientes da PIX e outras modalidades exigem protocolos de segurança ainda mais robustos e monitoramento constante.
Investigação e medidas em andamento
A polícia federal está encarregada das investigações para identificar os responsáveis e entender como as credenciais vazaram, além de rastrear os fluxos financeiros. Há suspeitas do desempenho de gangues especializadas em crimes financeiros digitais, que aproveitam a velocidade e o anonimato das transações via pix para dificultar a recuperação de valores.
Embora ainda não haja confirmação do número total de instituições afetadas ou do valor final desviado – que é inicialmente estimado em US $ 800 milhões, mas pode exceder US $ 3 bilhões – o impacto já levou os reguladores, bancos e empresas de tecnologia a reavaliar os protocolos atuais de segurança.
Revaliação do sistema de pagamento
Os funcionários do banco central e as agências regulatórias avaliam a necessidade de fortalecer a supervisão do PSTIS e adotar padrões mais rigorosos para controle de acesso e autenticações digitais.
Este caso serve como um aviso à importância da segurança cibernética na era da digitalização financeira, especialmente em sistemas que movem bilhões de reais diariamente e já se tornaram centrais na economia brasileira.
Imagem: Gorodenkoff / Shutterstock.com