Uma das maiores ameaças à segurança do sistema financeiro brasileiro nos últimos anos está sob investigação das autoridades após um sofisticado ataque hacker à C&M Software, empresa responsável por fornecer infraestrutura tecnológica para instituições financeiras sem conectividade própria ao Sistema de Pagamentos Brasileiro (SPB), incluindo o ambiente do Pix.
O ataque, ocorrido na tarde de terça-feira (1º), permitiu aos criminosos acessar contas reservas mantidas por instituições financeiras no Banco Central e desviar valores estimados entre R$ 400 milhões e R$ 1 bilhão. A quantia foi transferida ilegalmente com o objetivo de ser convertida em criptomoedas, como Bitcoin (BTC) e Tether (USDT), segundo relatos de empresas do setor.
Modus operandi complexo
De acordo com informações apuradas pelo Portal do Bitcoin e confirmadas por executivos do setor, os hackers utilizaram uma estratégia bem planejada. Inicialmente, enviaram pequenas quantias de dinheiro para várias instituições com o intuito de testar as defesas do sistema. Posteriormente, partiram para transações de alto valor, principalmente durante a madrugada, quando o volume de operações é incomum.
“Quando recebi esse alerta vi que tinha mais usuários criando conta, isso me chamou a atenção”, afirmou Rocelo Lopes, CEO da SmartPay, uma das empresas envolvidas. “Como medida de segurança, resolvemos não transacionar fundos de qualquer conta nova criada naquele período.”
Apesar disso, alguns usuários já monitorados pela indústria de compliance conseguiram realizar compras de Bitcoin. Parte dessas transações foi bloqueada graças a parcerias entre plataformas de criptomoedas e a emissora da stablecoin Tether.
“Quando foi às 8h/9h da manhã começou a chover gente na nossa mesa OTC querendo comprar USDT e Bitcoin de forma rápida… para uma segunda-feira, isso não é normal”, destacou Lopes, reforçando que o comportamento anômalo levantou suspeitas e possibilitou a detecção precoce da atividade criminosa.
Empresas afetadas e resposta imediata
Entre as instituições atingidas está a BMP, provedora de serviços de “banking as a service” que opera desde 1999. Segundo a instituição, seis de suas contas foram comprometidas, mas ela garante que clientes finais não sofreram impactos. A BMP também informou que possui garantias suficientes para cobrir integralmente os valores subtraídos.
Outras instituições também foram afetadas, embora nem todas tenham sido identificadas publicamente. Estimativas iniciais sugerem que cada uma delas perdeu, em média, mais de R$ 50 milhões.
A interrupção temporária do acesso ao sistema da C&M causou instabilidades pontuais no funcionamento do Pix, com relatos de suspensão de operações em alguns bancos na manhã de quarta-feira (2).
Medidas emergenciais do Banco Central
Em nota, o Banco Central confirmou ter determinado o desligamento imediato do acesso das instituições financeiras às infraestruturas operadas pela C&M Software, como medida preventiva.
“A C&M Software, prestadora de serviços de tecnologia para instituições provedoras de contas transacionais que não possuem meios de conexão própria, comunicou ataque à sua infraestrutura tecnológica”, disse o BC em comunicado oficial.
Declaração da C&M
A C&M Software admitiu ter sido alvo de um ataque cibernético, mas evitou divulgar detalhes sobre a extensão dos danos. Em nota, a empresa afirmou ter sido vítima de uma “ação criminosa que incluiu o uso indevido de credenciais de clientes para tentar acessar de forma fraudulenta seus sistemas e serviços”.
A empresa reforçou ainda que todos os seus sistemas críticos permanecem intactos e operacionais, e que está colaborando com as autoridades competentes, incluindo o Banco Central, a Polícia Civil de São Paulo e a Polícia Federal, que abriu um inquérito para investigar o caso.
Contexto de queda nos hacks de criptomoedas
Embora o número de ataques envolvendo criptomoedas tenha caído globalmente nos últimos anos, casos como o da C&M mostram que o risco persiste, especialmente quando se trata de infraestrutura crítica ligada ao sistema financeiro tradicional.
Segundo dados da Chainalysis, em 2023, o valor total recebido por endereços ilícitos somou US$ 24,2 bilhões, uma redução de 38% em relação ao ano anterior. Mesmo assim, o incidente no Brasil destaca-se como um dos mais graves envolvendo a interface entre sistemas financeiros convencionais e criptomoedas.
Conclusão
O ataque à C&M Software evidencia a crescente sofisticação dos criminosos cibernéticos e a necessidade de aprimorar protocolos de segurança nas interfaces entre sistemas financeiros tradicionais e novas tecnologias digitais.
Enquanto as investigações seguem em ritmo acelerado, especialistas alertam para a importância de auditorias independentes e atualizações constantes nos mecanismos de autenticação e monitoramento de transações.
O caso pode marcar um antes e um depois na forma como o Brasil lida com a segurança digital no setor financeiro.
