O incidente de segurança envolvendo a mensageria do Banco Central reacende debate sobre governança de identidades, proteção de credenciais e arquitetura segura nas infraestruturas críticas
Na manhã desta quinta-feira, 4 de julho de 2025, a Polícia Civil de São Paulo prendeu um homem suspeito de envolvimento direto no que se pensava se tratar de um ataque hacker que comprometeu o sistema de mensageria responsável pela comunicação entre instituições financeiras e o Banco Central do Brasil. Conforme o G1 noticiou agora pela manhã, a prisão aconteceu na região do Tatuapé, zona leste da capital paulista, em uma operação da 5ª Delegacia da Divisão de Crimes Cibernéticos do DEIC.
O ataque, identificado no início desta semana, envolveu o comprometimento de chaves criptográficas de uma empresa autorizada e supervisionada pelo Banco Central. O incidente permitiu acessos indevidos a contas reservas de seis grandes instituições financeiras, com prejuízos estimados em aproximadamente R$ 700 milhões — valor que, segundo especialistas, pode se aproximar de R$ 1 bilhão considerando o efeito cascata nas liquidações.
Segundo o G1, o suspeito preso vivia em um apartamento de alto padrão e chamou a atenção das autoridades pela incompatibilidade entre seu estilo de vida e sua renda declarada. O rastreamento digital e financeiro foi essencial para chegar à identificação e localização do indivíduo.
Como esse ataque aconteceu?
A empresa C&M Software (CMSW), responsável por intermediar a comunicação entre instituições financeiras e o Banco Central, informou que os criminosos utilizaram credenciais legítimas de clientes de forma indevida para acessar seus sistemas. A partir disso, obtiveram acesso às contas de reserva das instituições e, possivelmente, a outras informações sensíveis.
Esse tipo de ação é conhecido como “ataque à cadeia de suprimentos” (supply chain attack), no qual invasores exploram a relação de confiança entre empresas e seus fornecedores para realizar ações maliciosas com credenciais privilegiadas.
“Os criminosos exploraram a confiança estabelecida entre os bancos e seus prestadores para se infiltrar indiretamente no ecossistema financeiro”, declarou ao G1 Hiago Kin, presidente do Instituto Brasileiro de Resposta a Incidentes Cibernéticos (IBRINC) e segundo Micaella Ribeiro, especialista da IAM Brasil disse ao G1, o ataque se desenvolveu em múltiplas fases, com diferentes níveis de acesso e persistência nas redes invadidas — característica comum em ataques direcionados e bem estruturados.
A importância das credenciais vem sendo discutida
Em uma entrevista ao Crypto ID, Sergio Muniz, diretor de desenvolvimento de negócios da Thales, destacou que o controle de credenciais de terceiros é um dos pontos mais frágeis da segurança bancária moderna:
“Os controles de acesso são parte essencial da proteção do cliente. Quando uma empresa terceirizada não protege adequadamente essas credenciais, todo o sistema fica vulnerável. É preciso garantir não só a identidade do usuário, mas também a integridade do ambiente de autenticação”, alertou Muniz.
A entrevista detalha como o uso de autenticação multifatorial, segmentação de privilégios e políticas de Zero trust são indispensáveis para proteger instituições contra esse tipo de violação. Confira a entrevista completa.
Falta de HSM e criptografia adequada agravou o incidente
O caso foi analisado em profundidade pelo portal especializado Crypto ID, que destacou que o ataque expôs falhas críticas na infraestrutura de segurança utilizada por alguns provedores de serviços financeiros, especialmente aqueles que operam sem a devida proteção criptográfica baseada em hardware.
Marco Zanini, CEO da DINAMO Networks, alertou:
“O principal erro é que muitos provedores de BaaS não armazenam as chaves criptográficas em módulos de segurança (HSM), que são a única forma segura. Em vez disso, deixam essas chaves em servidores de arquivos, vulneráveis a ataques. O resultado é quase 1 bilhão de reais em prejuízos e um alerta vermelho para o mercado.”
Reação das autoridades e do setor
Segundo o próprio G1, a Polícia Civil acredita que a prisão é apenas o início de uma operação mais ampla, com desdobramentos interestaduais e até internacionais. A Polícia Federal acompanha o caso, considerando que se trata de uma ameaça à segurança da infraestrutura crítica nacional.
O Banco Central do Brasil ainda não comentou oficialmente a prisão, mas havia divulgado, no início da semana, uma nota confirmando a detecção do incidente e a adoção imediata de medidas de contenção. Internamente, cresce a pressão por auditorias mais rígidas nas empresas que operam conectadas ao Sistema de Pagamentos Brasileiro (SPB) e ao PIX.
Repercussão internacional
A repercussão internacional do caso reforça a gravidade do ataque e o impacto global de vulnerabilidades em sistemas financeiros nacionais. Veículos como Reuters, BBC e Business Standard noticiaram o episódio, destacando o uso fraudulento de credenciais, o bloqueio emergencial ordenado pelo Banco Central e os prejuízos milionários.
Portais especializados, como o Cointelegraph, também chamaram atenção para a conversão dos valores roubados em criptomoedas, indicando possível lavagem de dinheiro digital. A atenção da mídia estrangeira demonstra que, em um ecossistema financeiro cada vez mais interconectado, falhas de segurança não se limitam às fronteiras nacionais — elas se tornam um alerta para o mundo.
O incidente reforça que o ecossistema financeiro depende não apenas de tecnologias robustas, mas também de uma governança consistente sobre quem acessa o quê, quando e como. Soluções de IAM (Identity and Access Management) e CIAM (Customer Identity and Access Management) deixam de ser opcionais para se tornarem pilares estruturais de defesa, especialmente em ambientes bancários, onde a confiança pode ser explorada como vetor de ataque.
A lição mais crítica deste caso é clara: não basta autenticar identidades — é preciso controlar continuamente os privilégios, monitorar comportamentos e proteger as chaves criptográficas em módulos seguros (HSMs), de forma isolada do restante da infraestrutura. A proteção da cadeia de suprimentos digital começa nas decisões de arquitetura de segurança, passa pela maturidade das equipes de tecnologia e termina na responsabilidade compartilhada entre instituições, fornecedores e reguladores.
O Crypto ID seguirá acompanhando os desdobramentos e reforçando o debate sobre infraestrutura de confiança, autenticação forte, criptografia avançada e conformidade regulatória no ambiente financeiro digital.
Conheça nossa coluna sobre o Mercado Financeiro e leia outros artigos.
Crypto ID: Informação Estratégica sobre Cibersegurança
Há mais de 10 anos, o Crypto ID conecta tecnologia, regulação e segurança com inteligência editorial porque acreditamos no poder da informação bem posicionada para orientar decisões. Conheça a coluna Cibersegurança.
Acesse outros artigos aqui sobre….
IAG – Identity & Access Governance (Governança de Identidade e Acesso), PAM – Privileged Access Management (Gerenciamento de Acesso Privilegiado), Access Intelligence (Inteligência de Acesso), Account TakeOver prevention (Prevenção de Tomada de Contas), BIAM – Business Identity & Access Management, CIAM – Customer Identity & Access Management (Gerenciamento de Acesso à Identidade do Cliente), CIEM – Cloud Infrastructure Entitlements Management (Gerenciamento de Direitos de Infraestrutura em Nuvem), MFA – Multi Factor Authentication (Autenticação Multifator), API Access Control (Controle de Acesso à API), ITDR (Recuperação de Desastres de TI), LGPD / GDPR / Privacy (Privacidade), Fraud Prevention & Threat Modelling (Prevenção de Fraudes e Modelagem de Ameaças), Web, Mobile & Cloud Access Management (Gerenciamento de Acesso Web, Móvel e Nuvem), IDM – Identity Management (Gerenciamento de Identidade), SSO – Single Sign-On (Autenticação Única), RBAC – Role-Based Access Control (Controle de Acesso Baseado em Funções), ABAC – Attribute-Based Access Control (Controle de Acesso Baseado em Atributos) e DAC – Discretionary Access Control (Controle de Acesso Discricionário).
