Envelope Instagram Whatsapp


Chaves em mãos erradas: Lições do maior ataque hacker ao sistema financeiro


Julho de 2025 foi um marco na história da segurança digital no Brasil. Um ataque hacker sem precedentes desviou mais de R$ 541 milhões do sistema financeiro nacional, explorando falhas em uma prestadora de infraestrutura crítica conectada ao Banco Central.

Esse incidente expôs falhas graves na gestão de identidades, autenticação e no controle de fornecedores. Ele deixou lições valiosas para a segurança digital, especialmente em ambientes de missão crítica, como os sistemas de pagamento instantâneo.

Neste artigo, vamos entender as causas do ataque e discutir boas práticas para melhorar a segurança nos sistemas financeiros.


O Ataque: Como um fornecedor comprometeu o sistema financeiro

O ataque teve origem em uma falha dentro da cadeia de fornecedores de serviços digitais, mais especificamente na C&M Software, responsável pela conectividade de instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB) e ao PIX.

A empresa tinha acesso direto ao Banco Central, e seu papel estratégico acabou facilitando o ataque. Como isso aconteceu?

  • Credenciais de TI mal protegidas: Um operador de TI vendeu suas credenciais por valores baixos.
  • Falta de autenticação multifatorial (MFA): A autenticação de acesso não exigia validação segura.
  • Falta de monitoramento adequado: O sistema não possuía segmentação de privilégios nem auditoria em tempo real.

Esse erro deixou transações falsas serem criadas e aprovadas no sistema, comprometendo mais de 10 bancos. O Banco Central só foi alertado após as transações terem ocorrido.


O Elo Fraco: Gestão de Identidades ou Fornecedores?

Esse incidente mostrou que a segurança não pode depender apenas dos operadores do sistema financeiro, mas deve incluir toda a cadeia de fornecedores. Mesmo um pequeno erro de gestão de identidade pode comprometer toda a infraestrutura digital.

A ausência de controles importantes como:

  • Políticas de privilégio mínimo.
  • Auditorias de acesso privilegiado.
  • Cofres de credenciais e rotação de segredos automatizada.

Esses falhas de governança afetam toda a cadeia do serviço financeiro e mostram a necessidade urgente de políticas robustas de gestão de identidades federadas e governança de chaves criptográficas.


O Papel da Gestão de Identidades em Ambientes de Alto Risco

Apesar de a maior parte das instituições financeiras terem absorvido o prejuízo financeiro, a confiança no sistema PIX foi afetada. O episódio reforça a importância da integridade das transações digitais para a confiança dos usuários.

O que devemos aprender com isso?

  • A segurança digital precisa ser aplicada em todos os níveis, especialmente no controle de credenciais e na autenticação de transações críticas.
  • A ausência de criptografia eficaz ou de monitoramento adequado pode permitir que hackers se aproveitem de falhas, como aconteceu neste ataque.

Recomendação: Usar assinaturas digitais qualificadas e autenticação multifatorial (MFA) é essencial para proteger transações financeiras.


Boas Práticas para Infraestruturas Digitais Críticas

Com base nas lições deste ataque, aqui estão algumas recomendações para fortalecer a segurança em sistemas financeiros e digitais:

  1. Utilização de PAM (Privileged Access Management): Implementar soluções que assegurem a segregação de funções.
  2. Autenticação Multifatorial (MFA): Como um padrão mínimo para acesso a transações críticas.
  3. Auditorias regulares de conformidade com normas como ISO 27001 e NIST.
  4. Criptografia ponta a ponta e HSMs (Módulos de Segurança de Hardware) para validação de transações.
  5. Cultura de segurança: Capacitações regulares sobre riscos de engenharia social e segurança de identidades.


Conclusão: A Segurança Começa e Termina na Identidade

O maior ataque cibernético ao sistema financeiro brasileiro não foi apenas uma falha de tecnologia, mas de governança de identidade e gestão de fornecedores. Mesmo sistemas resilientes podem ser comprometidos se as práticas de segurança não forem aplicadas de forma abrangente.

A confiança no sistema financeiro digital depende de uma arquitetura robusta de autenticação e controle de credenciais.
Está interessado em garantir a segurança das transações no seu sistema? Fale com a Solusete agora e saiba como as melhores práticas de segurança podem proteger seu negócio!

📲 Clique aqui para saber mais

Créditos:
Este conteúdo foi inspirado no artigo de Marcelo Leite. Leia o artigo completo em Crypto ID e Blog Certifica.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Compartilhe:

Facebook
Twitter
LinkedIn

Veja Também:

Precisando do seu certificado digital? Fazemos para você! Vai proteger sua marca ou patente? Faça seu registro conosco. Quer otimizar o envio de obrigações do SST ao eSocial? Conte com a gente!

Conheça a Solusete
Facebook-f
Menu
Contatos

© 2025 - Direitos reservados à Solusete - Criado por Ulobo Design

Posso ajudar?