El 30 de junio de este año, Brasil enfrentó el mayor crimen cibernético de su historia. La empresa C&M Software (CMSW), proveedor crítico de infraestructura financiera autorizado por el Banco Central, fue comprometida por un grupo criminal que desvió miles de millones de reales a través del sistema de pagos instantáneos PIX.
El incidente no solo revela la magnitud de los riesgos asociados a la digitalización del sistema financiero, sino también los riesgos asociados a la cadena de suministro y la potencia de la ingeniería social en los ataques informáticos.
Marzo de 2025 – Un empleado de C&M Software, desarrollador junior, es abordado en un bar y acepta entregar sus credenciales a cambio de R$ 5.000.
Mayo de 2025 – El mismo empleado ejecuta comandos en los sistemas de la compañía para habilitar el acceso remoto de los atacantes.
11 de junio de 2025 – Se constituye la firma pantalla Monexa Gateway de Pagamentos, que durante el ataque recibirá transferencias por R$ 45 millones.
30 de junio de 2025 – El grupo criminal lanza la operación: cientos de transacciones fraudulentas vía PIX se ejecutan durante la madrugada.
2 de julio de 2025 – La Policía Federal abre investigación, con apoyo del Banco Central.
Mecanismo del ataque
El vector de intrusión se originó en el uso indebido de credenciales internas, obtenidas mediante ingeniería social sobre un empleado de C&M.
Una vez dentro, los atacantes mapearon la infraestructura de la plataforma Corner, identificando artefactos críticos de autenticación y credenciales compartidas por instituciones financieras clientes.
El grupo obtuvo acceso a claves privadas y certificados digitales necesarios para firmar transacciones PIX en nombre de las entidades afectadas. Esto permitió inyectar órdenes legítimas en el Sistema de Pagos Instantáneos (SPI) sin activar alertas.
Los recursos desviados fueron canalizados primero hacia cuentas en instituciones de pago de menor tamaño, con controles más débiles de KYC.
Posteriormente, fueron fragmentados y convertidos en criptomonedas, buscando anonimizar el rastro financiero.
Impacto del incidente
El monto exacto aún no ha sido confirmado. Estimaciones preliminares varían entre USD 80 millones y USD 800 millones. Incluso en el escenario más bajo, constituye el mayor fraude cibernético registrado en Brasil.
Operativo
Entre el 30 de junio y el 3 de julio, diversas instituciones que dependen de C&M Software quedaron imposibilitadas de procesar transacciones, generando efectos en cadena para empresas y usuarios finales.
El ataque golpea la confianza en PIX y en el ecosistema de pagos instantáneos, además de poner bajo escrutinio la seguridad de los PSTI autorizados por el Banco Central.
Perfil del grupo criminal
Las evidencias apuntan a un grupo criminal brasileño, integrado al menos por cinco personas con:
- Conocimiento avanzado del Sistema de Pagos Brasileño (SPB).
- Capacidades técnicas para manipular certificados y credenciales.
- Recursos para planificar durante meses la operación.
- Se descarta, por ahora, la participación de actores extranjeros o hacktivistas: el crimen fue claramente financieramente motivado.
Factores estructurales que facilitaron el ataque
Dependencia de terceros críticos (PSTI): centralización de claves y certificados en proveedores externos.
Superficie de ataque ampliada: múltiples instituciones financieras conectadas a una misma plataforma.
Controles internos deficientes: credenciales con privilegios excesivos y falta de monitoreo continuo.
KYC débil en instituciones de menor porte: facilitando el lavado y dispersión de fondos.
Recomendaciones estratégicas
Uno de los factores claves para evitar estos ataques es el fortalecimiento proactivo de las defensas, incluyendo la segmentación de redes internas y control estricto de privilegios, recordar el principio de minimo privilegio y la rotación frecuente y gestión segura de credenciales y certificados.
Se sugiere el desarrollo de capacidad de detección y respuesta avanzada con monitoreo en tiempo real y correlación de eventos en Centros de Operaciones de Seguridad (SOC) y CSIRTs.Inteligencia de amenazas: otra de las recomendaciones es la incorporación de fuentes de Threat Intelligence sobre fraudes financieros y modelos de hunting proactivo de actividades anómalas en proveedores.
En la gestión de la cadena de suministro es fundamental contar con auditorías periódicas, asegurar el cumplimiento de estándares obligatorios de ciberseguridad definidos y controles contractuales más rigurosos sobre almacenamiento y uso de certificados digitales e información crítica
Finalmente recordar que es fundamental trabajar con el staff en procesos de concientización y capacitación continua en seguridad de la información. Para ello, es recomendable implementar programas de formación adaptados a los distintos niveles de la organización —ejecutivos, técnicos y usuarios finales—, de modo que cada perfil reciba contenidos relevantes para su rol. Asimismo, es clave desarrollar campañas periódicas de sensibilización que mantengan vigente la atención frente a amenazas como el phishing, la ingeniería social o el ransomware, fortaleciendo así la cultura de seguridad en toda la institución.
Conclusiones
El caso C&M Software constituye un punto de inflexión en la ciberseguridad financiera de Brasil.
Demuestra que el riesgo no proviene únicamente de vulnerabilidades técnicas, sino también de la posible explotación de insiders, de los débiles eslabones de ciertas cadenas de suministro y de la gestión deficiente de credenciales críticas.
La sofisticación del ataque y su impacto sistémico exigen una revisión profunda del modelo actual de dependencia de proveedores. La resiliencia de un sistema dependerá de la capacidad de segmentar riesgos y aplicar controles adecuados, e implementar estándares de seguridad actualizados.
Fuente: Accede al informe completo de Bttng Apura aquí.
