Más allá de los millones robados, el ataque plantea preguntas profundas sobre la robustez de la seguridad del sistema de pagos inmediatos de Brasil, alabado mundialmente por su adopción masiva.
En uno de los ciberataques más significativos de la historia reciente de Latinoamérica, hackers sustrajeron al menos 800 millones de reales brasileños (unos US$148 millones) explotando una vulnerabilidad crítica en los sistemas de C&M Software, un proveedor tecnológico clave que conecta a entidades financieras con la infraestructura del sistema de pagos instantáneos Pix, operado por el Banco Central de Brasil.
El ataque, que se habría perpetrado desde el lunes 1 de julio, dejó expuestas a al menos cinco instituciones financieras, según confirmó el propio Banco Central de Brasil en un comunicado. Si bien el organismo no reveló la magnitud del impacto, múltiples fuentes del sector confirmaron que los fondos desviados provinieron de las cuentas de reserva que estas instituciones mantenían directamente en el banco central. Es decir: fondos utilizados exclusivamente para liquidaciones interbancarias, sin acceso directo a los depósitos de los clientes. Aun así, el golpe sacudió al ecosistema financiero del país.
“Se trata de un ciberataque complejo, pensado de manera profunda y con varias aristas en su repercusión”, explicó a Forbes Martina López, especialista en ciberseguridad de ESET Latinoamérica. “Va más allá del robo de dinero: afecta la confianza en las instituciones financieras y gubernamentales”.
La puerta de entrada al sistema fue C&M Software, fundada en 1992 por Orli Machado, y que actúa como proveedor de servicios de tecnología de la información (PSTI) para cerca de 24 pequeñas instituciones financieras en Brasil. Su rol es conectar a estos jugadores, que no cuentan con infraestructura propia, con el Sistema de Pagos Brasileño (SPB) a través de la Red del Sistema Financiero Nacional (RSFN).
De acuerdo con Martina López, este incidente se alinea con un patrón creciente de ataques a la cadena de suministro tecnológica. En lugar de atacar directamente al Banco Central o a los grandes bancos, los atacantes optaron por vulnerar a un proveedor más pequeño, pero esencial para el engranaje del sistema.
“Muchas veces las empresas invierten en proteger su ciberseguridad interna, pero olvidan exigir lo mismo a los terceros que manejan información sensible en su nombre”, apuntó.
La técnica utilizada habría involucrado el uso fraudulento de credenciales legítimas de clientes de C&M Software, lo que sugiere que los atacantes tuvieron acceso sofisticado a información confidencial. Una fuente con conocimiento directo de la investigación dijo a Forbes que parte del dinero ya fue convertido en criptoactivos, y otra parte pudo ser recuperada por el Mecanismo Especial de Devolución (MED) del sistema Pix.
El Banco Central ordenó la semana pasada desconectar de inmediato a C&M Software del sistema, dejando sin acceso a Pix a las instituciones que dependían de su infraestructura. Si bien los sistemas críticos de la compañía siguen operativos, el incidente ha revelado grietas preocupantes en la arquitectura del sistema Pix, lanzado en 2020 y que rápidamente se convirtió en el método de pago más usado en Brasil.
Para expertos como López, lo ocurrido recalca la necesidad de adoptar estrategias de ciberseguridad basadas en el modelo Zero Trust, que no asume que un usuario autenticado es automáticamente confiable. “Las organizaciones deben monitorear comportamientos y no solo validar credenciales. Además, es crucial capacitar al personal con acceso a sistemas sensibles”, afirma.
Aunque por ahora las instituciones afectadas han indicado que sus operaciones no han sido comprometidas y que cuentan con garantías para absorber las pérdidas, la crisis deja heridas abiertas. El sistema Pix, símbolo de modernización financiera en Brasil, enfrenta ahora una prueba de fuego. El desarrollo del nuevo MED 2.0, una herramienta para rastrear más eficazmente las transacciones, se vuelve urgente.
Más allá de los millones robados, el ataque plantea preguntas profundas sobre la robustez de la seguridad del sistema de pagos inmediatos de Brasil, alabado mundialmente por su adopción masiva, y la capacidad de las autoridades para mitigar amenazas sistémicas. Como suele ocurrir en los grandes ciberataques, el daño reputacional podría ser tan costoso como el financiero.
Siga la información de tecnología en nuestra sección especializada