Ataque hacker ao Pix: análise completa e lições de segurança
Hackers desviam R$ 800 mi via C&M Software, provedor do Pix. Saiba como o golpe ocorreu, impactos e boas práticas para proteger sua empresa.
O maior ataque hacker ao Pix: entenda como R$ 800 milhões foram desviados e o que sua empresa deve fazer agora
Tempo de leitura: 11 min ;Atualizado em: 03 jul 2025
1. O que aconteceu?
Na madrugada de 25 para 26 de junho, um grupo de hackers invadiu a C&M Software, empresa de infraestrutura que conecta bancos e fintechs ao Sistema de Pagamentos Instantâneos (Pix) e ao Sistema de Pagamentos Brasileiro (SPB). Usando as credenciais da companhia, os criminosos acessaram contas reservas de pelo menos seis instituições financeiras e desviaram mais de R$ 800 milhões em minutos – possivelmente ultrapassando R$ 1 bilhão à medida que novas perdas são contabilizadas :contentReference[oaicite:0]{index=0}.
O Banco Central, a Polícia Federal e a Polícia Civil de São Paulo abriram inquérito. Embora não haja evidências de exposição de dados de usuários finais, o episódio já é considerado o maior cibercrime financeiro da história do país :contentReference[oaicite:1]{index=1}.
2. Linha do tempo do ataque
| Data | Evento |
|---|---|
| 25/06 · 22h | Invasão à rede da C&M; instalação de malware para captura de chaves de assinatura. |
| 26/06 · 0–2h | Geração de ordens de débito nas contas reservas de 6 bancos; recursos migrados para contas laranjas. |
| 26/06 · 5h | Instituições detectam movimentação atípica; alertam Banco Central. |
| 26/06 · 9h | BC suspende conectividade da C&M Software ao SPI (infraestrutura do Pix). |
| 26/06 · 18h | Empresa publica nota reconhecendo “incidente de segurança” e cooperação com autoridades. |
3. Quem é a C&M Software e por que ela é crítica?
Fundada em 1991, a C&M fornece gateways que fazem a ponte entre sistemas internos de bancos e o núcleo do BC. Na prática, ela é o “fio” que leva ordens de crédito e débito para o Pix, TED, DOC e boletos. Se o fio é comprometido, o invasor ganha um atalho para autorizar transações em nome das instituições clientes.
Pela regulamentação, cada banco é responsável pela segurança, inclusive quando terceiriza. O episódio reacende o debate sobre risco de concentração: um único provedor virou ponto de falha para múltiplas instituições.
4. Possíveis vetores de ataque (hipóteses em investigação)
- Phishing corporativo – e-mail falso coletou credenciais de administrador.
- Exploração de VPN – vulnerabilidade em acesso remoto expôs chave de API.
- Comprometimento de MFA – token SMS ou push interceptado por SIM swap.
- Escalada lateral – após acesso inicial, invasor capturou certificados de assinatura no servidor HSM.
*Confirmaremos o vetor definitivo após laudo forense do BC e PF.
5. Impacto financeiro e reputacional
• Prejuízo estimado: R$ 800 mi a R$ 1 bi (em liquidação).
• Seis instituições afetadas – duas identificadas até agora: BMP Bank e Credsystem.
• Custos adicionais: multas regulamentares, indenização a clientes, custos de forensics e reforço de segurança.
• Reputação: questionamentos sobre a resiliência do Pix, embora o núcleo do BC não tenha sido violado.
6. Lições de cibersegurança para instituições e empresas
6.1 Zero Trust não é opcional
A premissa de “rede confiável” morreu. Cada requisição deve ser autenticada, criptografada e monitorada.
6.2 Gestão de terceiros
Bancos e grandes corporates precisam auditar provedores críticos, exigir pen tests semestrais e relatórios SOC 2/ISO 27001.
6.3 Segmentação de chaves
Certificados de assinatura devem ficar em HSM isolado com MPC: chave nunca existe completa em um único lugar.
6.4 Deteção em tempo real
SIEM com regras de comportamento anômalo (ex.: transferência fora de horário, valor acima do percentil) poderiam ter estancado fraudes em minutos, não horas.
7. Recomendações práticas da GX Capital
- Revisão de limitadores Pix – reduza teto noturno e ative aprovação dupla para valores > R$ 50 k.
- Seguro cibernético – renegocie cláusulas que cubram ataques indiretos via terceiros.
- Redundância de provedor SPI – avalie conexão dual home com outro gateway.
- Planos de resposta – inclua table-top exercises focados em fraude sistêmica.
8. Perguntas frequentes
- Meu dinheiro no banco está em risco?
- Até o momento, apenas contas de liquidação internas foram afetadas. Saldos de clientes finais permanecem íntegros segundo o BC.
- O Pix ficou inseguro?
- O núcleo do Pix não foi violado. O problema foi a autenticação do provedor terceirizado. Mas o incidente mostra a importância de camadas extras de verificação.
- Posso reverter um Pix fraudulento?
- Há o Mecanismo Especial de Devolução (MED). Porém, se fundos já foram sacados, a recuperação depende de ação policial e rastreamento.
9. Conclusão
O megavazamento financeiro via C&M Software não é uma falha do Pix em si, mas um alerta contundente sobre a cadeia de confiança digital. Em tempos de juros altos e margens comprimidas, perder milhões por falha de segurança pode ser fatal. Instituições e empresas que investirem agora em zero trust, segmentação de chaves e monitoramento em tempo real sairão na frente – não apenas no quesito segurança, mas em credibilidade perante clientes e reguladores.
Qual é a Sua Reação?
Like
0
Não Curtir
0
Love
0
Engraçado
0
Irritado
0
Triste
0
Uau
0
