O Ataque ao BACEN e o Alerta Vermelho para a Cadeia de Suprimentos na Cibersegurança

1. Introdução

Na madrugada de 1º de julho de 2025, um episódio sem precedentes sacudiu o sistema financeiro brasileiro. Um grupo de cibercriminosos conseguiu desviar, de forma silenciosa e precisa, mais de um bilhão de reais de contas reservas mantidas por instituições junto ao Banco Central do Brasil (BACEN). O ponto de entrada, no entanto, não foi o próprio Banco Central nem as instituições diretamente envolvidas, mas sim uma empresa terceirizada: a C&M Software. Essa empresa é responsável por interligar instituições financeiras menores ao Sistema de Pagamentos Brasileiro (SPB), funcionando como ponte técnica para operações bancárias como transferências e liquidações de fundos — inclusive via Pix.

O impacto financeiro do ataque é inegável, mas o aspecto mais preocupante está na tática adotada pelos invasores. Eles utilizaram credenciais legítimas para simular acessos autorizados, explorando a confiança depositada em um fornecedor estratégico da cadeia de suprimentos digital do setor bancário. O episódio não apenas levantou questionamentos sobre as medidas de segurança adotadas por prestadoras de serviço, como também expôs uma fragilidade sistêmica que pode atingir qualquer instituição, pública ou privada, que terceirize etapas críticas de seus processos tecnológicos. Este artigo busca analisar com profundidade a estratégia utilizada no ataque, demonstrando como o vetor de entrada foi explorado e quais lições precisam ser incorporadas em políticas de segurança corporativa, especialmente no que diz respeito à governança da cadeia de suprimentos.

2. O Caso C&M Software e o Desvio de Recursos do Sistema Financeiro

O ataque se deu por meio de credenciais legítimas de clientes da C&M Software, que foram utilizadas para acessar o ambiente de integração com o SPB. A partir desse acesso, os invasores se comportaram como instituições financeiras reais, simulando operações típicas de liquidação bancária. Com isso, conseguiram movimentar valores das contas reservas de diversas fintechs, que utilizavam a C&M como integradora técnica, transferindo os recursos para dezenas de contas laranjas e, em seguida, para carteiras de criptomoedas. Estima-se que pelo menos cinco instituições financeiras tenham sido afetadas, com prejuízos individuais ainda em apuração, mas que somam mais de 800 milhões de reais, podendo ultrapassar um bilhão em volume total, de acordo com fontes do setor e veículos como Folha de S.Paulo, UOL e InvestNews.

Embora o Banco Central tenha informado que seu ambiente próprio não foi comprometido, o fato de que o ataque se deu por meio de uma prestadora homologada pelo próprio sistema regulatório mostra o grau de interdependência existente na estrutura atual. A C&M, embora não opere diretamente contas bancárias, possui permissões para transmitir comandos de movimentação via infraestrutura do SPB, com base em autenticações fornecidas pelas instituições parceiras. O roubo, portanto, não envolveu invasão direta a um banco, mas sim a utilização indevida de uma camada intermediária de confiança, o que reforça a natureza crítica das cadeias de suprimento digital em ambientes regulados.

A reação imediata do Banco Central incluiu a suspensão das operações da C&M no SPB, auditoria emergencial em seus sistemas e bloqueio de conexões até que novos parâmetros de segurança fossem implementados. Algumas transações, especialmente aquelas convertidas para criptomoedas como USDT e Bitcoin, foram parcialmente interceptadas com apoio de operadores de infraestrutura financeira e serviços de criptoativos. No entanto, parte relevante dos valores foi rapidamente escoada para fora do sistema bancário tradicional, tornando improvável sua recuperação integral.

3. A Estratégia dos Invasores: Persistência, Legitimidade e Simulação

Diferentemente de muitos ataques que exploram falhas técnicas ou brechas de software, o incidente envolvendo a C&M Software revelou uma abordagem baseada em inteligência, paciência e engenharia social. Ao invés de utilizar uma falha zero-day ou explorar um sistema vulnerável com força bruta, os criminosos atuaram de forma discreta: utilizaram logins, senhas e chaves reais de clientes legítimos para simular integrações válidas com o SPB. A ausência de autenticação multifatorial robusta, como tokens físicos ou módulos HSM obrigatórios, facilitou esse processo, permitindo que os acessos fossem realizados de forma fluida, sem gerar alertas de comportamento anômalo.

Relatórios técnicos preliminares indicam que os invasores já tinham acesso ao ambiente da C&M havia meses. Durante esse período, mapearam a estrutura de funcionamento da integração com o sistema financeiro, aprenderam os fluxos normais de operação, testaram pequenas movimentações e identificaram os pontos de menor resistência. Esse processo de reconhecimento silencioso, típico de ameaças persistentes avançadas (APTs), é cada vez mais comum em ataques a ambientes complexos, especialmente aqueles que envolvem cadeias de terceiros. Ao contrário de um ataque explosivo e imediato, o que se viu foi uma infiltração calculada, cujas consequências só foram percebidas quando os desvios em massa já estavam em curso.

Outro ponto central foi a simulação de comportamento legítimo. Como as ações ocorreram com credenciais válidas, os sistemas não detectaram anomalias com base em permissões, horários ou comandos. O padrão era aparentemente regular, o que dificultou tanto a identificação quanto a interrupção em tempo real. Somente após o início das liquidações em série é que as primeiras suspeitas emergiram, sendo confirmadas rapidamente pelo Banco Central e pelas instituições afetadas. A partir daí, o esforço se concentrou na contenção e no bloqueio, mas boa parte do prejuízo já havia sido concretizado.

Por fim, os criminosos demonstraram domínio não apenas técnico, mas também financeiro. Os valores desviados foram rapidamente pulverizados entre contas interpostas, utilizando Pix como mecanismo de agilidade, e convertidos para ativos digitais fora do radar bancário tradicional. Embora parte dos recursos tenha sido bloqueada a tempo por sistemas de compliance de criptoativos, outra parcela escapou completamente das estruturas de rastreamento convencionais, evidenciando a importância de sistemas integrados de alerta e resposta, inclusive com prestadores de serviços financeiros alternativos.

4. Cadeia de Suprimentos Digital: O Risco Invisível

O ataque à C&M Software escancarou um risco que há anos vem sendo subestimado por empresas e instituições financeiras: o da cadeia de suprimentos digital. Em tecnologia, a cadeia de suprimentos compreende todos os fornecedores de software, hardware, APIs, integrações e serviços técnicos que compõem a operação de uma organização. Em outras palavras, é o ecossistema de terceiros que, mesmo atuando fora do perímetro direto da empresa, têm acesso — muitas vezes privilegiado — a sistemas sensíveis, fluxos de dados e permissões operacionais.

Em um mundo cada vez mais conectado, poucas organizações operam de forma isolada. Fintechs dependem de integradoras para acessar o sistema bancário, empresas públicas usam consultorias de TI para gerenciar redes e órgãos reguladores contratam plataformas para gerir dados sensíveis. Cada uma dessas conexões cria um vetor de risco. O problema é que nem sempre os controles de segurança impostos internamente pelas empresas se estendem aos seus fornecedores. E, como mostra o caso da C&M, basta que um elo dessa cadeia esteja desprotegido para que todo o sistema seja comprometido.

Outro fator agravante é o excesso de confiança nas certificações ou homologações regulatórias. Embora a C&M fosse uma empresa autorizada a operar com instituições financeiras no SPB, isso não significava, necessariamente, que possuía os mesmos padrões de segurança exigidos dos bancos e fintechs com os quais se conectava. Esse tipo de confiança institucional, sem auditoria técnica contínua, cria uma falsa sensação de segurança e abre margem para ataques silenciosos e devastadores.

O uso de APIs e integrações automatizadas, embora traga agilidade e escalabilidade, também amplia a superfície de ataque. Quando essas interfaces não contam com mecanismos de autenticação forte, monitoramento em tempo real e validação contínua, tornam-se pontos de entrada privilegiados para ameaças externas. E como são, por definição, canais de confiança mútua entre sistemas, qualquer operação feita por eles tende a ser tratada como legítima — mesmo quando não é.

Além disso, há uma lacuna cultural e estratégica no modo como muitas empresas lidam com seus fornecedores tecnológicos. Em vez de enxergá-los como extensão de sua própria estrutura de segurança, são tratados como parceiros comerciais comuns. Isso faz com que muitos contratos omitam cláusulas de cibersegurança, planos de resposta a incidentes conjuntos ou auditorias periódicas. Na prática, ao terceirizar parte da operação, terceiriza-se também o risco — mas não a responsabilidade.

5. Governança, Prevenção e Lições do Caso C&M

Um dos principais ensinamentos do ataque ocorrido em julho é que não existe mais separação clara entre segurança interna e externa. A governança cibernética precisa incorporar, de forma explícita e estruturada, a gestão de fornecedores e a segurança da cadeia de suprimentos digital. Isso significa que as instituições devem mapear todos os seus prestadores que possuem algum nível de integração com sistemas sensíveis, classificando-os por grau de criticidade e impondo controles técnicos e contratuais proporcionais ao risco envolvido.

Entre as medidas mais urgentes, está a exigência de autenticação multifatorial robusta para qualquer acesso a sistemas de missão crítica, mesmo que via API. Isso inclui a adoção de certificados digitais, tokens físicos, módulos HSM (Hardware Security Module) e a limitação do acesso com base em horários, geolocalização e perfis comportamentais. A simples validação de usuário e senha, especialmente em ambientes interconectados, é insuficiente para garantir segurança em tempo real.

Outro ponto fundamental é a implementação de auditorias de segurança específicas para terceiros. Assim como bancos são auditados por órgãos reguladores, fornecedores que interagem com o sistema bancário deveriam estar sujeitos a exigências semelhantes. Isso inclui testes periódicos de penetração, revisão de políticas de acesso, análise de logs e simulações de incidentes cibernéticos. Além disso, os contratos com prestadores devem conter cláusulas que prevejam responsabilidades em caso de vazamento, mecanismos de notificação imediata e obrigações de cooperação com investigações.

A governança também passa pela cultura organizacional. Departamentos jurídicos, financeiros e administrativos precisam ser treinados para compreender que fornecedores de TI não são neutros. Eles devem ser avaliados não apenas por custo e eficiência, mas também por seus níveis de maturidade em segurança da informação. A área de compliance, por sua vez, deve acompanhar a cadeia de suprimentos como um ecossistema vivo, onde cada novo parceiro exige reavaliação dos riscos e possível reconfiguração dos controles internos.

Frameworks internacionais como o NIST SP 800-161 e a norma ISO 27036 oferecem boas diretrizes para a gestão de riscos na cadeia de suprimentos. Também vale considerar o modelo SLSA (Supply-chain Levels for Software Artifacts), que propõe níveis progressivos de segurança para repositórios de código e componentes utilizados no desenvolvimento de software. Embora essas ferramentas sejam técnicas, sua aplicação prática pode ser adaptada à realidade de pequenas e médias empresas, desde que exista orientação especializada e apoio institucional.

6. Considerações Finais e Recomendações

O maior ataque cibernético já registrado contra o sistema financeiro brasileiro não foi realizado com supercomputadores, nem com códigos complexos desconhecidos do mercado. Foi executado com inteligência, paciência e conhecimento sobre as fragilidades humanas e técnicas de uma cadeia de suprimentos interligada e mal monitorada. Esse fato, por si só, muda a forma como empresas, instituições e governos devem pensar a segurança digital.

A partir do caso C&M, fica evidente que o perímetro de segurança não está mais dentro da empresa, nem mesmo nas suas infraestruturas na nuvem. Ele se estende por toda a rede de parceiros, integradores, consultorias e plataformas que participam, de forma direta ou indireta, da operação. Um ataque bem-sucedido a qualquer ponto dessa rede pode comprometer milhões, bilhões ou até a integridade de sistemas regulatórios inteiros.

Por isso, é fundamental que organizações invistam não apenas em firewalls e antivírus, mas em governança cibernética estruturada, com processos claros de seleção e avaliação de fornecedores, contratos que prevejam responsabilidades de segurança, treinamentos constantes e, acima de tudo, monitoramento em tempo real. A cadeia de suprimentos, embora invisível para muitos usuários, é hoje o maior ponto cego da segurança digital.

Cabe às lideranças de TI, compliance, jurídico e governança compreender que o risco de terceiros é um risco corporativo de primeira ordem. E cabe ao setor regulado — em especial o financeiro — assumir um papel protagonista na construção de padrões mínimos que se estendam por toda a cadeia. Se o elo mais fraco continuar sendo ignorado, ele inevitavelmente se romperá — e os prejuízos, como vimos, podem ser devastadores.

Referências

1. Folha de S. Paulo. Como acontece um ataque cibernético como o que desviou R$ 1 bi de contas no Banco Central. Disponível em: https://www1.folha.uol.com.br/tec/2025/07/como-acontece-um-ataque-cibernetico-como-o-que-desviou-r-1-bi-de-contas-no-banco-central.shtml

2. UOL. Ataque hacker afeta infraestrutura de empresa que atende bancos. Disponível em: https://economia.uol.com.br/noticias/estadao-conteudo/2025/07/02/ataque-hacker-afeta-infraestrutura-de-empresa-que-atende-bancos-prejuizo-supera-r-800-milhoes.htm

3. InvestNews. BC confirma ataque hacker a empresa que atende bancos. Disponível em: https://investnews.com.br/financas/bc-confirma-ataque-hacker-a-empresa-que-atende-bancos-roubo-pode-ter-chegado-a-r-1-bilhao

4. Metrópoles. Roubo do século: entenda ataque hacker que pode ter desviado R$ 1 bi. Disponível em: https://www.metropoles.com/negocios/roubo-do-seculo-entenda-ataque-hacker-que-pode-ter-desviado-r-1-bi

5. NIST. Cyber Supply Chain Risk Management Practices. Disponível em: https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final

6. ISO. ISO/IEC 27036 – Information security for supplier relationships. Disponível em: https://www.iso.org/standard/59648.html

7. Medium. O roubo cibernético da C&M e o novo paradigma para a segurança digital. Disponível em: https://medium.com/@paulasys/o-roubo-cibern%C3%A9tico-c-m-bmp-anatomia-de-uma-falha-sist%C3%AAmica-e-o-novo-paradigma-para-a-seguran%C3%A7a-8e1794a98804