O sistema financeiro brasileiro enfrentou na última terça-feira (1º de julho) o maior ataque hacker de sua história: não por conta de uma falha técnica, mas por uma decisão humana. Um colaborador terceirizado, com acesso privilegiado aos sistemas da empresa C&M Software, vendeu suas credenciais administrativas por R$ 15 mil a criminosos cibernéticos. Com esse único gesto, possibilitou que criminosos movimentassem ilegalmente valores que podem ultrapassar R$ 1 bilhão, expondo fragilidades operacionais, falhas na gestão de acessos e, acima de tudo, a falta de controle sobre o fator humano dentro de ambientes críticos.
O responsável pelo vazamento das credenciais foi João Nazareno Roque, 48 anos, operador de TI alocado por uma empresa terceirizada na C&M Software. Segundo as investigações conduzidas pela Polícia Civil e, posteriormente, assumidas pela Polícia Federal, João, insatisfeito com seu trabalho, vendeu suas credenciais administrativas por R$ 15 mil a um grupo criminoso, permitindo que eles acessassem o ambiente interno da C&M. As senhas e rotinas operacionais fornecidas por ele foram utilizadas para executar transações reais, tecnicamente válidas, a partir da própria infraestrutura da empresa.
Não houve invasão, malware ou falha nos sistemas. Os criminosos agiram dentro do ambiente autorizado, justamente por estarem munidos de credenciais verdadeiras. Isso tornou o ataque particularmente difícil de detectar em tempo real.
As transações fraudulentas afetaram diretamente instituições como Banco Paulista, BMP Money Plus, Banco Carrefour e Credsystem, além de fintechs, cooperativas e até uma organização religiosa que operava via C&M. Com a descoberta do incidente, o Banco Central suspendeu imediatamente a operação da C&M Software, causando interrupções em serviços de Pix e transferências bancárias por quase 48 horas.
Após perícias emergenciais, o BC autorizou a retomada gradual das atividades da empresa, sob auditoria reforçada. Parte dos recursos desviados está sendo rastreada e bloqueada, mas o montante completo ainda está sendo apurado. A Polícia Federal segue com investigações sobre lavagem de dinheiro, cumplicidade e a cadeia de repasses dos valores desviados.
Este ataque representa um caso emblemático de ameaça interna, ou insider threat, conceito amplamente conhecido na segurança da informação, mas ainda subestimado no Brasil. Em um cenário onde a maioria das estratégias de defesa são voltadas à proteção contra ameaças externas — como invasões, phishing ou ransomware —, o episódio da C&M expõe o quanto uma empresa pode estar vulnerável a partir de dentro.
Colaboradores com acesso elevado, especialmente terceirizados, muitas vezes operam fora da estrutura de governança direta da organização. Quando combinados com baixos níveis de supervisão, frustração profissional e ausência de controles eficazes, tornam-se vetores silenciosos e letais de risco.
O incidente também demonstra que credenciais administrativas não podem ser tratadas como ativos imunes. Quando um operador tem acesso irrestrito a sistemas críticos sem autenticação multifator, monitoramento ativo ou segregação de funções, qualquer ação sua — legítima ou maliciosa — pode comprometer a integridade de toda a operação.
Embora a C&M possuísse infraestrutura tecnológica robusta, o que falhou foi o controle sobre comportamentos, vínculos contratuais e vigilância dos próprios operadores. O incidente deixa clara a necessidade de revisar como o fator humano é tratado dentro das estruturas de cibersegurança. Sistemas não falharam; as pessoas sim — e, mais grave, não havia mecanismos adequados para identificar e impedir essa falha.
Esse tipo de ataque não pode ser evitado apenas com firewalls ou softwares de monitoramento. O que está em jogo é a cultura de segurança, a gestão de terceiros e a governança de acessos. É preciso investir tanto em tecnologia quanto em treinamento, valorização de equipes e vigilância preventiva sobre sinais de insatisfação, negligência ou comportamento atípico.
Evitar que um colaborador insatisfeito comprometa a segurança de toda uma estrutura financeira exige medidas específicas. A primeira delas é a revisão contínua de acessos privilegiados, com limitação rigorosa do que cada usuário pode fazer e visibilidade sobre cada ação executada. Sistemas críticos devem ter autenticação multifator obrigatória, e o princípio do menor privilégio deve ser aplicado com rigor — ninguém deve ter acesso além do necessário.
Além disso, é fundamental adotar monitoramento comportamental, que permita detectar padrões suspeitos, horários de acesso incomuns e fluxos não autorizados. Auditorias regulares e independentes, canais internos de denúncia anônima, e a implementação de programas contínuos de conscientização em segurança também são pilares indispensáveis.
Por fim, é essencial avaliar periodicamente o clima organizacional, especialmente entre profissionais terceirizados, que muitas vezes são deixados à margem das políticas internas. Funcionários mal remunerados, isolados da cultura da empresa e sem perspectiva de crescimento podem, como visto neste caso, se tornar brechas humanas de alto impacto.
O caso da C&M Software não é apenas mais um episódio de fraude. Ele é um divisor de águas para o setor financeiro e para todas as empresas que lidam com dados sensíveis e sistemas críticos. Ao mostrar que uma única senha vendida por um colaborador desmotivado foi suficiente para permitir o maior ataque hacker da história do país, ele deixa uma lição clara: a verdadeira segurança não começa nos sistemas. Começa nas pessoas.
Por Jonathan Vergetti – Tera Tecnologia | 4 de Julho de 2025