Por Felipe Chalegre

Introdução

O sistema financeiro brasileiro passou por um dos seus maiores sustos em julho de 2025, quando hackers conseguiram desviar aproximadamente R$ 1 bilhão através de uma falha na empresa C&M Software, que conecta bancos menores ao sistema PIX. O que mais chocou foi descobrir que o ataque só foi possível porque um funcionário interno vendeu suas credenciais de acesso por apenas R$ 5 mil iniciais, posteriormente cobrando mais R$ 10 mil para facilitar o golpe.

Este caso expõe de forma dramática como falhas humanas podem derrubar mesmo os sistemas mais sofisticados, e por que frameworks de segurança como NIST e ISO 27001 são fundamentais para proteger organizações contra ameaças internas e externas.

O Que Aconteceu: Um Resumo do Incidente

Na madrugada de 30 de junho de 2025, criminosos conseguiram acessar os sistemas da C&M Software, empresa que faz a ponte entre instituições financeiras menores e o Sistema de Pagamentos Brasileiro (SPB), incluindo o PIX. João Nazareno Roque, de 48 anos, funcionário de TI da empresa, confessou ter vendido suas credenciais de acesso aos hackers.

Os criminosos usaram credenciais vazadas de clientes da C&M, como login e senha, para acessar os sistemas da empresa, conseguindo desviar recursos de contas reservas mantidas no Banco Central. O ataque afetou instituições como BMP, uma provedora de serviços bancários digitais, com valores que inicialmente chegaram a R$ 400 milhões, mas que poderiam ultrapassar R$ 3 bilhões considerando todas as tentativas.

O mais preocupante é que o ataque foi planejado há meses, com grupos no Telegram sendo usados para encontrar funcionários de bancos dispostos a entregar credenciais, mostrando a sofisticação e organização por trás do crime.

Por Que a Segurança da Informação Falhou?

O Elo Mais Fraco: O Fator Humano

O episódio reforça uma lição já conhecida no setor de cibersegurança: o elo mais frágil, muitas vezes, não está na tecnologia, mas nas pessoas. Por mais avançados que sejam os sistemas de segurança, eles dependem fundamentalmente de pessoas para operá-los.

O caso da C&M demonstra como investir em soluções tecnológicas de ponta, por si só, não garante segurança, especialmente quando não há uma governança robusta sobre os processos e pessoas envolvidas.

Falhas Sistêmicas Expostas

Segundo a empresa de cibersegurança ZenoX, este incidente não deve ser encarado como um caso isolado, mas sim como o sintoma mais agudo de um problema muito mais amplo: a crescente sofisticação da fraude financeira e a profissionalização do cibercrime.

O relatório aponta três problemas críticos:

• Gestão inadequada da cadeia de suprimentos: terceirizadas sem controles rigorosos
• Ameaças internas não gerenciadas: funcionários com acesso privilegiado sem monitoramento adequado
• Falta de inteligência centralizada: incapacidade de conectar incidentes aparentemente isolados
• Como o NIST Cybersecurity Framework Poderia Ter Ajudado

O NIST Cybersecurity Framework é um conjunto de padrões, diretrizes e práticas recomendadas que ajudam as organizações a melhorar seu gerenciamento de riscos de segurança cibernética. Ele é organizado em cinco funções principais que, se implementadas adequadamente, poderiam ter prevenido ou minimizado o impacto do ataque à C&M.

1. IDENTIFICAR – Conhecer Seus Ativos e Riscos

A primeira categoria do framework do NIST é “Identificar”, que envolve a compreensão dos riscos de segurança cibernética que uma organização enfrenta, incluindo identificar e documentar ativos de informação críticos, sistemas, infraestrutura e processos.

No caso da C&M, uma análise adequada teria identificado:

• Funcionários com acesso privilegiado a sistemas críticos
• Terceirizados com credenciais de alto nível
• Pontos de conexão com o Sistema de Pagamentos Brasileiro
• Vulnerabilidades na gestão de identidades

2. PROTEGER – Implementar Salvaguardas Adequadas

Na segunda categoria, conhecida como “Proteger”, é o momento de escolher medidas de segurança a serem implementadas para mitigar as ameaças identificadas.

Controles que poderiam ter sido implementados:

• Autenticação multifator para todos os acessos privilegiados
• Segregação de funções – evitando que uma única pessoa tenha acesso total
• Monitoramento de comportamento para detectar atividades suspeitas
• Treinamentos regulares sobre engenharia social e segurança

3. DETECTAR – Identificar Eventos de Segurança

Um sistema robusto de detecção teria identificado:

• Acessos fora do horário habitual
• Transferências de valores atípicos
• Padrões de comportamento anômalos do funcionário

4. RESPONDER – Tomar Ações Durante Incidentes

O ataque ocorreu na madrugada da última segunda-feira 30, mas foi comunicado ao Banco Central apenas no dia seguinte, mostrando falhas no processo de resposta a incidentes.

5. RECUPERAR – Restaurar Capacidades Normais

Até o momento, funcionários do BC acreditam que cerca de 2% dos valores desviados foram recuperados, evidenciando a necessidade de planos de recuperação mais eficazes.

• O Papel da ISO 27001 na Prevenção

A ISO 27001 é a norma internacional de gestão de segurança da informação que descreve como colocar em prática um sistema de gestão de segurança da informação avaliado e certificado de forma independente.

Controles Específicos Que Faltaram

A norma possui 93 controles organizados em 4 categorias. Alguns que poderiam ter prevenido o incidente:

Controles Organizacionais:

• Verificação de antecedentes para funcionários com acesso privilegiado
• Política de segurança da informação clara e comunicada
• Gestão de terceiros com avaliações rigorosas de segurança

Controles de Pessoas:

• Termos e condições de contratação incluindo responsabilidades de segurança
• Conscientização e treinamento regular sobre segurança
• Processo disciplinar para violações de segurança

Controles Físicos e Ambientais:

• Proteção contra ameaças ambientais incluindo acesso físico a sistemas
• Trabalho em áreas seguras para atividades sensíveis

Controles Tecnológicos:

• Gestão de identidade e acesso com controles rigorosos
• Criptografia para proteção de dados em trânsito e em repouso
• Logging e monitoramento de todas as atividades críticas

A Importância da Abordagem Baseada em Risco

A ISO 27001 adota uma abordagem baseada em risco, incentivando as empresas a identificarem e avaliarem suas vulnerabilidades e ameaças específicas. No caso da C&M, uma análise de risco adequada teria identificado o risco de insider threat (ameaça interna) como crítico.

• Lições Aprendidas para Todas as Organizações

1. Gestão de Terceiros é Fundamental

O caso expõe o risco de terceirizações sem controle rigoroso e reforça o alerta sobre a segurança no sistema de pagamentos do país. Organizações precisam:

• Auditar regularmente seus fornecedores
• Estabelecer requisitos mínimos de segurança
• Monitorar continuamente os acessos de terceiros

2. Funcionários São o Ativo Mais Crítico

O episódio acende um sinal de alerta não apenas para instituições financeiras, mas para toda a cadeia de prestadores de serviços de TI, especialmente os MSPs (Managed Service Providers).

Medidas essenciais incluem:

• Background checks rigorosos
• Rotatividade de credenciais regulares
• Monitoramento de comportamento dos usuários privilegiados
• Cultura de segurança forte na organização

3. Preparação para Incidentes

Especialistas em segurança cibernética passaram a recomendar políticas mais rígidas para monitoramento de atividades suspeitas, além de sistemas automatizados capazes de identificar anomalias no acesso a redes críticas.

4. Conformidade Não é Opcional

Com regulamentações como a LGPD e pressões do mercado, ter frameworks como NIST e ISO 27001 implementados não é mais diferencial, mas requisito básico de sobrevivência no mercado.

• Conclusão: O Futuro da Segurança da Informação

O ataque à C&M Software serve como um alerta para todo o ecossistema financeiro e empresarial brasileiro. O incidente deverá acelerar discussões no Banco Central e no Conselho Monetário Nacional sobre os riscos sistêmicos da digitalização bancária, especialmente no uso de empresas terceirizadas para operações críticas.

A implementação adequada de frameworks como NIST e ISO 27001 não teria apenas prevenido este ataque específico, mas criado uma cultura de segurança que tornaria a organização mais resiliente contra ameaças futuras.

A grande lição é simples: segurança da informação não é apenas sobre tecnologia – é sobre pessoas, processos e uma abordagem holística que considera todos os riscos possíveis. Em um mundo cada vez mais conectado, não podemos nos dar ao luxo de ter elos fracos em nossa cadeia de segurança.

As organizações que levarem a sério esta lição e investirem em frameworks robustos de segurança estarão melhor preparadas para enfrentar as ameaças do futuro. Aquelas que não o fizerem podem ser as próximas manchetes dos jornais.

---

Fontes consultadas:

• CartaCapital: O que se sabe sobre o ataque de hacker que afetou o Pix
• Terra Brasil Notícias: Golpe bilionário no Pix: polícia captura suspeito de mega ataque hacker
• TecMundo: Ataque hacker ao Pix foi planejado há meses no Brasil e Telegram usado para suborno
• IBM: O que é o NIST Cybersecurity Framework?
• BSI Brasil: ISO/IEC 27001 – Segurança da Informação
• Exame: Ataque hacker milionário ao Pix: quais instituições foram afetadas?
• Visão Oeste: Atenção: seu PIX não foi afetado com o golpe milionário no BC
• Mirian Gasparin: Mega ataque hacker ao sistema PIX acende alerta sobre falhas humanas e gestão de credenciais