O ataque hacker que teve como alvo a C&M Software, empresa que atua no desenvolvimento de soluções para operações no ecossistema de pagamentos instantâneos, acendeu um alerta no sistema financeiro nacional, exposto a fragilidades e a potenciais ataques hackers de grande magnitude.

A C&M Software é responsável pela mensageria que interliga instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB) – o que engloba o ambiente de liquidação do Pix, sistema de transferências e pagamentos instantâneos criado pelo Banco Central (BC) em 2020 e amplamente utilizado pelos brasileiros.

A ação criminosa dos hackers pode ter movimentado uma cifra bilionária, de acordo com as estimativas iniciais de fontes ligadas ao mercado financeiro. Embora até o momento não haja nenhuma informação oficial sobre valores, o prejuízo pode ter alcançado de R$ 1 bilhão a R$ 3 bilhões.

Outros relatos sobre o caso apontam que os hackers teriam desviado pelo menos algo entre R$ 400 milhões e R$ 800 milhões.

O que dizem especialistas

Segundo especialistas ouvidos pela reportagem do Metrópoles, a dimensão do crime cibernético que veio à tona nesta semana e abalou o mercado mostra que, apesar de uma série de avanços nos últimos anos, o sistema financeiro está mais vulnerável do que se poderia imaginar.

“O ataque expõe falhas graves na governança tecnológica e na cadeia de confiança do sistema financeiro nacional. Ainda que o Banco Central não tenha sido diretamente invadido, a responsabilidade solidária e a falta de diligência na supervisão de terceiros devem ser debatidas à luz da Lei Geral de Proteção de Dados Pessoais [LGPD] e das boas práticas regulatórias”, afirma Matheus Puppe, advogado especialista em Direito Digital com atuação no Brasil, na Alemanha e em Portugal.

“É importante frisar que o uso de criptoativos como Bitcoin e USDT não garante anonimato absoluto. Com apoio jurídico e ferramentas forenses, é possível rastrear e, em certos casos, recuperar ativos desviados”, explica Puppe. “Esse caso reforça que segurança cibernética, proteção de dados e compliance digital são pilares estratégicos e não mais opcionais para instituições públicas e privadas.”

Para Fred Amaral, CEO da Lerian, startup especializada em infraestrutura financeira open source, “a arquitetura fragmentada de transações em tempo real – com criptomoedas, stablecoins e operações cross-border – exige mais que boas práticas de autenticação”. “Precisamos focar no controle transacional e comportamental, integrando inteligência artificial e machine learning às salvaguardas operacionais”, defende.

Amaral diz ainda que o Banco Central tem de assumir responsabilidades e se empenhar para garantir maior proteção ao sistema financeiro.

“O Banco Central, como ‘ledger’ centralizado, deve unir força normativa e tecnologia para mitigar riscos. O core das instituições precisa garantir integridade e rastreabilidade nativa. Sem isso, a inovação vira um castelo de cartas”, opina. “O Pix prova nossa capacidade, mas também nossa responsabilidade. Esse incidente é a chance de evoluir, não retroceder.”

Theo Brazil, CISO (Chief Information Security Officer ou Diretor de Segurança da Informação) da Asper (empresa especializada em cibersegurança), observa que “o incidente que ocorreu nesta semana mostra que é preciso que não só as instituições estejam bem protegidas, como também os parceiros e prestadores de serviços”. “Os problemas de segurança não ocorreram nas instituições financeiras, mas em um fornecedor, um terceiro que não tinha necessariamente a mesma maturidade que o banco, mas contava com acesso privilegiado. Toda essa situação acabou gerando um incidente para outras entidades”, aponta.

“Para usar uma analogia, imagine que você investiu pesado na segurança da sua casa: portão automático robusto, muros altos com cerca elétrica, portas blindadas com fechaduras multiponto, janelas com grades e um sistema de alarme de última geração. Sua casa é, em termos de segurança, um verdadeiro bunker. Agora, você contrata uma empresa de jardinagem para cuidar do seu jardim. Para que eles possam entrar e sair, você dá um controle remoto do portão automático e a chave de um portão lateral que dá acesso apenas ao jardim”, exemplifica Theo.

“Vamos supor que a empresa de jardinagem não tem um controle rigoroso de quem usa as chaves, não troca cadeados ou senhas regularmente e é facilmente enganada. Mesmo com toda a sua casa sendo um forte, se a segurança na gestão das chaves por parte do seu fornecedor for falha, qualquer um que conseguir a chave entrará na casa, ignorando todas as suas camadas de segurança.”

O CISO da Asper afirma ainda que, “em termos cibernéticos, um fornecedor com baixa maturidade de segurança age como essa empresa de jardinagem”. “Ele pode ter uma ‘chave’ para sua rede ou dados. Se ele não protege bem essa chave (por exemplo, não usar senhas fortes, não fazer backup de dados, não treinar seus funcionários contra phishing, não atualizar seus sistemas de segurança), um ataque a ele pode ser a porta de entrada para a sua própria empresa”, compara.

“A segurança das empresas não depende apenas do que elas fazem internamente, mas também da segurança dos parceiros e fornecedores, pois eles podem se tornar o elo mais fraco e, consequentemente, levar à maior vulnerabilidade”, conclui.

Como foi o ataque

O golpe financeiro que atingiu a C&M Software se deu por meio de uma modalidade conhecida como “Supply Chain”, na qual os hackers atacam uma empresa com o objetivo de acessar valores dos clientes.

Grosso modo, um ataque desse tipo é planejado por um longo período, de 6 meses ou mais. Avaliações preliminares apontam que os criminosos já estariam dentro do sistema da C&M há algum tempo.

Pelo menos seis instituições financeiras foram afetadas pela ação criminosa, com desvios de recursos de contas de empresas e interrupção temporária de operações via Pix.