Quando a ameaça vem de dentro: o que o ataque a empresa ligada ao Pix revela sobre riscos internos

Por Junior Cunha, CTO e especialista em Segurança da Informação na HSC Labs

Na madrugada de 30 de junho de 2025, o Brasil testemunhou o que já é considerado o maior ataque cibernético da história do seu sistema financeiro.

As cifras precisas ainda estão sendo confirmadas, mas estima-se que até R$1 bilhão pode ter sido desviado a partir de credenciais comprometidas da empresa C&M Software, responsável por integrar bancos e fintechs aos sistemas do Pix e do Banco Central.

O que parecia mais um sofisticado ataque hacker revelou, poucos dias depois, um componente ainda mais preocupante: a cooptação de um funcionário interno.

O episódio escancara vulnerabilidades críticas com foco em três pontos centrais da segurança cibernética: a ameaça interna (Insider Threat), o uso de engenharia social para ataques e os riscos associados à cadeia de fornecimento (Supply Chain Attack).

Neste artigo, vou falar mais sobre esses pontos e os impactos e aprendizados do caso.

Entenda o caso

Antes de falar mais sobre os pontos de atenção desse ataque, gostaria de explicar melhor o caso.

A C&M Software presta serviços de interconexão para instituições financeiras menores, operando como elo entre bancos, fintechs e o Banco Central.

Com as credenciais obtidas, os criminosos conseguiram acessar contas reservas de ao menos seis instituições financeiras que eram clientes da C&M.

Essas contas, mantidas no Banco Central, são uma exigência do BC para todas as instituições financeiras, e são usadas apenas para transações entre os bancos — ou seja, não têm relação com as contas ou dinheiro dos clientes. Foi delas que o dinheiro foi desviado.

A Polícia Federal e a Polícia Civil de São Paulo abriram inquérito e, poucos dias depois, prenderam João Nazareno Roque, operador de TI da empresa.

Segundo depoimento do próprio Roque à polícia, ele foi abordado ainda em março, ao sair de um bar na capital paulista, por um homem que demonstrou conhecer detalhes sobre sua função. Recebeu R$5 mil para fornecer login e senha, e outros R$10 mil para executar comandos e desenvolver um sistema interno que facilitasse o desvio. Todos os pagamentos foram feitos em espécie, via motoboy.

Pontos de destaque sobre o ataque

Insider Threat

Roque não é um hacker sofisticado, mas um funcionário com acesso legítimo, conhecimento operacional e um histórico profissional humilde.

Como acontece em tantos outros casos de Insider Threat, ele foi aliciado por um grupo externo e usou seu conhecimento e acesso privilegiado para burlar os sistemas de segurança.

Esse tipo de ameaça é particularmente difícil de prevenir, pois parte de pessoas já autorizadas a operar dentro do ambiente corporativo.

Técnicas de engenharia social, pressão financeira e abordagens discretas — como exigir a troca frequente de celulares para comunicação, no caso de Roque — são frequentemente utilizadas para manter o ataque longe dos radares por mais tempo.

Engenharia social

O sucesso da operação criminosa teve como base um trabalho cirúrgico de engenharia social. Os criminosos não apenas identificaram um funcionário com acesso privilegiado, como mapearam sua função, hábitos e vulnerabilidades.

Roque foi abordado pessoalmente na saída de um bar, um ambiente informal e fora do controle da empresa, o que indica vigilância prévia e conhecimento sobre sua rotina.

Além disso, havia indícios claros de que os criminosos estudaram seu perfil profissional e emocional. Trata-se de alguém em transição de carreira, com histórico de reinvenção, e uma busca por crescimento.

Esses fatores o tornaram mais suscetível à abordagem. Após o primeiro contato, as comunicações seguiram por celular, com trocas frequentes de aparelho e pagamentos em dinheiro, o que demonstra uma operação consciente da importância do sigilo e do fator humano como vetor de ataque.

Supply Chain Attack

O incidente também evidencia os riscos associados à cadeia de fornecimento. A C&M Software não foi o alvo final, mas sua violação permitiu o comprometimento de instituições financeiras parceiras, incluindo bancos e fintechs.

Esse tipo de ataque, onde o fornecedor se torna a porta de entrada, exige revisão urgente das práticas de due diligence digital, gestão de terceiros e segmentação de acessos.

A suspensão do acesso da C&M ao sistema do Banco Central, bem como o bloqueio de fintechs que receberam os valores desviados, demonstra como um único elo frágil pode impactar toda a infraestrutura financeira.

Impactos e aprendizados

Dentre as lições mais urgentes que esse caso nos traz, creio que podemos destacar algumas.

A primeira é a gestão de credenciais e acessos. É fato que o uso de autenticação multifator (MFA), políticas de privilégio mínimo (Zero Trust) e segmentação de sistemas pode reduzir drasticamente o impacto de credenciais comprometidas.

Outro ponto é o monitoramento comportamental. Hoje, há soluções de segurança que analisam o comportamento de usuários (UEBA – User and Entity Behavior Analytics) e que poderiam ter detectado o uso fora do padrão das credenciais de Roque, como horários incomuns e comandos atípicos.

E isso nos leva ao que é um dos principais elementos desse caso: o fator humano.

Lidar com a vulnerabilidade inerente ao ser humano é um dos maiores desafios da cibersegurança atualmente, mas isso não quer dizer que as empresas estão de mãos atadas. Processos rigorosos de contratação, monitoramento de atividades e educação contínua são ferramentas que ajudam a evitar casos como esse.

Em especial, destaco os programas de conscientização, que precisam ensinar não apenas a como reconhecer phishing, mas também a como lidar com abordagens presenciais e pressão emocional.

E, claro, ressaltar as consequências civis e criminais de facilitar a invasão a sistemas da empresa.

Por fim, reforço a necessidade de repensar de forma urgente a segurança na cadeia de fornecimento. Mais do que exigir uma conformidade em contrato, é preciso auditar e monitorar os fornecedores críticos continuamente.

Conclusão

O caso C&M Software deve ser visto como um marco para o setor financeiro e tecnológico brasileiro.

Ele não representa apenas uma falha pontual, mas o colapso temporário de uma engrenagem fundamental da infraestrutura digital nacional, provocado por um único ponto vulnerável: a confiança depositada em um funcionário.

A cibersegurança do futuro exige não apenas firewalls e criptografia robusta, mas também uma cultura corporativa vigilante, processos de verificação contínuos e uma nova abordagem para lidar com os riscos humanos.