Acaba de ser confirmado um desvio de R$ 420 milhões (talvez mais) feito diretamente por meio da infraestrutura que opera o sistema bancário no Brasil, notadamente o Pix. Os criminosos atacaram a empresa de software Sinqia e teriam desviado ao menos R$ 380 milhões do banco HSBC e R$ 40 milhões da fintech Artta.
As informações até agora dão conta de que os criminosos ficaram parcialmente frustrados. O plano era desviar R$ 1 bilhão, mas como a ação foi identificada e o sistema da Sinqia desconectado, deu para roubar “só” R$ 400 milhões.
Como diz a célebre frase: “A história se repete na primeira vez como tragédia, na segunda como farsa”. No caso brasileiro a tragédia foi há dois meses, quando outra empresa que opera o sistema bancário brasileiro, a C&M software, foi atacada levando ao desvio de algo como R$ 800 milhões de contas reservas do Banco Central.
O assunto, aliás, sumiu misteriosamente do noticiário. Mas nos bastidores continuou efervescente. No dia 17 de agosto o Banco Central enviou privadamente para gestores financeiros um “alerta de segurança” sobre um “possível ataque”, pedindo para “reforçar o monitoramento de transações financeiras, principalmente nos horários noturnos” e “aumentar níveis de autenticação e vigilância”.
Mesmo com o alerta, a farsa aconteceu. Esse tipo de ataque ocorrer de novo em tão pouco tempo é uma anomalia inaceitável. Se um raio cai duas vezes no mesmo lugar significa que vai cair sempre. Em outras palavras, há uma fragilidade estrutural em curso que está sendo explorada por bandidos de forma persistente.
Tudo fica mais grave considerando que a Sinqia desempenha não só uma, mas duas funções críticas. A primeira é integração de bancos e fintechs com o Pix, alvo do ataque. A outra é a operação do chamado “core” bancário. A empresa é responsável pelo software que opera efetivamente as contas dos clientes de alguns bancos. Essa parte não parece ter sido afetada. Mas um ataque tão próximo a ela aponta para o risco de se manipular extratos, saldos e autorizar operações em nome dos clientes finais dos bancos.
Com tudo isso é hora de dar atenção máxima a esse tema. Operações críticas do sistema financeiro estão sendo realizadas por terceirizadas sem que haja um nível de cibersegurança compatível com a responsabilidade envolvida. No caso da C&M, o alvo foram contas-reserva do Bacen. No caso da Sinqia foi o gateway do Pix.
Isso indica falta de uma normatização mais séria por parte dos reguladores. Por exemplo, por que a infraestrutura do Pix não migrou até hoje para o modelo chamado “zero trust” (zero confiança)? Seria o mínimo a se exigir das “terceirizadas”. É absurdo que um único roubo de credenciais possa dar acesso a permissões para realizar volumes dessa magnitude. No modelo “zero trust” as transações são compartimentadas. Se um bandido acessa o sistema, o dano é restrito ao compartimento afetado, sempre com volumes financeiros limitados. A tragédia e a farsa indicam que a arquitetura de segurança financeira no Brasil hoje não serve e precisa ser redesenhada. Que adjetivo qualifica a história quando ela se repete pela terceira vez? Espero não descobrir.
READER
Já era – não haver ataques de grande volume ao sistema financeiro no Brasil
Já é – dois ataques de grande volume em dois meses
Já vem – se nada mudar, mais ataques de grande volume ao sistema financeiro
LINK PRESENTE: Gostou deste texto? Assinante pode liberar sete acessos gratuitos de qualquer link por dia. Basta clicar no F azul abaixo.
