Como um hacker desviou quase R$ 1 bilhão pelo Pix sem invadir o Banco Central

Um ataque cibernético sem precedentes no Brasil desviou cerca de R$ 1 bilhão de instituições financeiras ao explorar vulnerabilidades humanas dentro da empresa de tecnologia C&M Software, especializada na integração de serviços com o sistema Pix.

O episódio, investigado pelo Deic de São Paulo e acompanhado pela Polícia Federal, expôs falhas no fator mais imprevisível da segurança digital: o comportamento humano.

Segundo as investigações iniciais, o hacker teria utilizado métodos de engenharia social para enganar funcionários da empresa e obter acesso às credenciais internas, o que permitiu a movimentação de valores mantidos por diferentes bancos.

A operação foi realizada de forma altamente sofisticada na madrugada de segunda-feira (30), mas só chegou ao conhecimento do Banco Central na terça-feira. O valor desviado, considerado o maior em ataques digitais no país até o momento, envolveu oito instituições financeiras, sendo que uma única cliente da C&M concentrou cerca de R$ 500 milhões do prejuízo.

A própria empresa, em nota, afirmou que não houve falha tecnológica em seus sistemas, mas sim um ataque baseado em manipulação de pessoas, com o objetivo de capturar acessos críticos. O Banco Central esclareceu que não possui qualquer vínculo contratual com a C&M e que a infraestrutura do Pix não foi comprometida — o que indica que o ataque se deu nos sistemas periféricos que fazem a ponte entre fintechs, bancos e o SPB.

A detenção de um dos suspeitos, que seria funcionário da C&M, foi feita pela 2ª Divisão de Crimes Cibernéticos da Polícia Civil, após rápida identificação do envolvimento interno. Enquanto isso, técnicos do Banco Central e da C&M trabalham na tentativa de recuperar ao menos parte do montante desviado — estimativas iniciais indicam que apenas cerca de 2% foram recuperados até agora.

LER >>>  Laboratório nuclear dos Estados Unidos sofre ataque hacker

O serviço da empresa, que chegou a ser completamente interrompido, foi parcialmente restabelecido com novas exigências de segurança e monitoramento mais intenso.

Esse golpe milionário mobilizou centenas de engenheiros e especialista em segurança cibernética, na busca bloquear o problema e estabelecer novos protocolos antifraude e de segurança.