Ataque hacker pode ser o maior roubo da história do Brasil; entenda o caso

O alvo: uma empresa no coração do sistema financeiro

Um ataque hacker de proporções gigantescas está sendo investigado no Brasil, com um desvio que pode chegar a R$ 1 bilhão. O alvo da ação criminosa foi a C&M Software, uma empresa de tecnologia que funciona como uma ponte, conectando diversas fintechs e bancos ao Sistema de Pagamentos Brasileiro (SPB), incluindo o Pix. O caso, que veio à tona nesta semana, expõe a vulnerabilidade da infraestrutura que dá suporte a uma parte significativa do mercado financeiro digital do país.

A C&M confirmou que foi vítima de uma “ação criminosa” que incluiu o uso indevido de credenciais para acessar seus sistemas. A empresa afirma que está colaborando ativamente com o Banco Central e a Polícia Civil de São Paulo nas investigações. Se o valor de R$ 1 bilhão for confirmado, este será o maior roubo da história do Brasil, superando o emblemático assalto ao Banco Central em Fortaleza, em 2005.

Como o ataque aconteceu?

As investigações ainda estão em andamento, mas as primeiras informações indicam que os hackers não atacaram os bancos diretamente, mas sim a empresa que lhes prestava serviço. A C&M Software é especializada em “Banking As A Service” (BaaS), oferecendo a infraestrutura tecnológica para que outras instituições possam operar no sistema financeiro.

Os criminosos teriam conseguido acesso aos sistemas da C&M, e a partir daí, movimentado dinheiro de contas de clientes da empresa, como a da operadora BMP. O ataque foi direcionado aos recursos depositados na conta reserva da BMP no Banco Central, o que mostra um alto grau de sofisticação e conhecimento do sistema por parte dos hackers.

A resposta do Banco Central e as empresas afetadas

Assim que o ataque foi comunicado, o Banco Central (BC) agiu rapidamente para conter os danos. A autarquia determinou o desligamento imediato da C&M Software dos sistemas de pagamentos, isolando a empresa para evitar novas fraudes. O BC frisou que seus próprios sistemas não foram afetados, e que o ataque se restringiu à infraestrutura da prestadora de serviços.

A desconexão, no entanto, gerou um efeito cascata. Várias empresas que dependiam da C&M para operar o Pix ficaram temporariamente sem acesso ao sistema. Entre as afetadas estão:

• Credsystem: Sofreu impacto direto, com seus clientes perdendo o acesso ao sistema Pix.
• Banco Paulista: Também registrou interrupções no serviço de pagamentos instantâneo, mas informou não ter sofrido movimentações indevidas.
• BMP: Confirmou que o ataque envolveu recursos de sua conta reserva no BC e que já tomou as medidas legais cabíveis, garantindo que seus clientes não terão prejuízos.

A XP Investimentos, que também constava na lista de clientes da C&M, informou que não foi afetada pelo incidente.

Um desvio bilionário?

O valor exato desviado pelos criminosos ainda é incerto e faz parte da investigação sigilosa. A primeira notícia sobre o caso, do Brazil Journal, apontou para um rombo de até R$ 1 bilhão, com base em fontes do mercado. Outras apurações, como a do Valor Econômico, indicam um valor de pelo menos R$ 400 milhões.

Independentemente do valor final, o caso já é considerado um dos mais graves incidentes de segurança cibernética da história do Brasil. Ele serve de alerta máximo para a necessidade de investimentos contínuos em segurança por parte de todas as empresas que operam na infraestrutura crítica do sistema financeiro nacional.

Com informações de Valor Económico