Ciberataques na cadeia de suprimentos e os riscos sistêmicos ao sistema financeiro brasileiro: análise do caso C&M Software

alexsand
Alexsand Farias de Souza 17 de julho de 2025
Comentários de 0

A transformação digital do sistema financeiro brasileiro, impulsionada pela expansão do Pix e pela digitalização crescente dos serviços bancários, trouxe ganhos relevantes como agilidade, inclusão e redução de custos operacionais. No entanto, essa modernização também ampliou de forma significativa a superfície de exposição a riscos cibernéticos — especialmente no que se refere a prestadores terceirizados que compõem a cadeia de suprimentos tecnológica das instituições financeiras.

Este estudo analisa o ataque cibernético ocorrido em 3 de julho de 2025, quando criminosos exploraram vulnerabilidades na C&M Software, empresa homologada pelo Banco Central responsável por conectar bancos menores aos sistemas de pagamento. O objetivo central é compreender como falhas na governança de acessos privilegiados dentro dessa cadeia permitiram a invasão, e quais os riscos sistêmicos que esse tipo de ameaça representa para o ecossistema financeiro nacional.

A metodologia adotada é qualitativa, baseada em análise documental de relatórios técnicos, reportagens e estudos acadêmicos sobre segurança da informação, ataques à cadeia de suprimentos e governança de TI. A pergunta de pesquisa que orienta este artigo é: de que forma a fragilidade nos controles de fornecedores críticos pode comprometer a estabilidade e a confiança no sistema financeiro brasileiro?

O tema se justifica pela sua relevância prática e teórica. Os ataques que ultrapassam as defesas tradicionais do setor bancário evidenciam vulnerabilidades que exigem respostas articuladas, com impacto direto na confiança sistêmica, na reputação das instituições e na resiliência do sistema financeiro como um todo.

Ciberataques na cadeia de suprimentos: fundamentos e contexto

Os chamados supply chain attacks (ataques à cadeia de suprimentos) representam uma evolução nas estratégias criminosas no campo da segurança da informação. Ao mirar fornecedores estratégicos, os invasores buscam acesso indireto a sistemas críticos, explorando a relação de confiança entre empresas e seus parceiros tecnológicos. Segundo Kim, Park e Choi (2022, p. 4), “esses ataques exploram relações de confiança estabelecidas entre organizações e seus parceiros tecnológicos, permitindo acesso indireto a sistemas críticos”.

No Brasil, o crescimento acelerado de plataformas digitais como o Pix reforçou a dependência de provedores homologados para garantir conectividade com o Banco Central (COSTA; LIMA, 2023). Nesse cenário, empresas como a C&M Software se tornam elos centrais de intermediação — o que, embora positivo para democratizar o acesso ao sistema financeiro, também amplia a superfície de exposição a ataques cibernéticos.

Embora a Resolução nº 4.658/2018 do Conselho Monetário Nacional exija políticas de segurança cibernética e controles de acesso, nem sempre os mecanismos de auditoria e fiscalização sobre fornecedores são efetivos na prática. Isso abre brechas para que acessos privilegiados sejam mal gerenciados — ou pior: explorados de forma criminosa.

O ataque à C&M Software: fases, falhas e consequências

O ataque ocorrido em julho de 2025 contra a C&M Software escancarou essas vulnerabilidades. De acordo com as informações disponíveis, os invasores utilizaram técnicas de engenharia social para obter credenciais privilegiadas e executar transações fraudulentas que somam até R$ 800 milhões. A ação seguiu uma estrutura bem definida:

  1. Comprometimento inicial via engenharia social;

  2. Reconhecimento interno da infraestrutura da empresa;

  3. Escalonamento de privilégios e ampliação dos acessos;

  4. Execução rápida de transações, convertidas em criptoativos para dificultar o rastreamento.

Para a especialista Micaella Ribeiro, o episódio revelou “um ecossistema criminoso estruturado, capaz de agir de forma coordenada e silenciosa” (apud G1, 2025). A complexidade da operação evidencia a insuficiência de medidas meramente técnicas: é necessário também atuar sobre a cultura organizacional de segurança, com capacitação contínua e resposta integrada.

Além do prejuízo financeiro, os efeitos reputacionais e operacionais do ataque foram imediatos. Como alertam Costa e Lima (2023), o impacto sistêmico desse tipo de evento “compromete a confiança de todo o ecossistema financeiro, exigindo resposta coordenada de reguladores, empresas e sociedade” (p. 53).

E há indícios de que esses casos não são pontuais. Segundo Hiago Kin, presidente do Instituto Brasileiro de Resposta a Incidentes Cibernéticos, esse tipo de ataque “ocorre duas ou três vezes por ano, mas costuma ser abafado pelas instituições” (apud G1, 2025). Isso sugere uma subnotificação preocupante — e a possível subestimação do problema pelos órgãos reguladores.

Fragilidades regulatórias e riscos sistêmicos

Embora a Resolução nº 4.658/2018 estabeleça diretrizes importantes, ela não detalha exigências para certificação periódica de fornecedores críticos. A ausência de requisitos mais rigorosos para terceiros que atuam como pontos de interconexão fragiliza o sistema financeiro como um todo, tornando-o vulnerável a ataques que se aproveitam justamente dos seus elos mais frágeis.

Esse cenário revela uma falha estrutural: a confiança delegada a fornecedores não é acompanhada por controles proporcionais ao risco que representam. Isso favorece o surgimento de riscos sistêmicos, capazes de afetar diversas instituições simultaneamente, com efeitos em cascata.

Considerações finais

Este artigo analisou criticamente o ataque cibernético que, em julho de 2025, impactou instituições financeiras brasileiras por meio de vulnerabilidades na cadeia de suprimentos da C&M Software. A pesquisa partiu da hipótese de que falhas na governança de acessos privilegiados e na fiscalização de fornecedores críticos representam riscos reais e crescentes ao sistema financeiro nacional.

A partir da análise de fontes documentais e acadêmicas, concluiu-se que o ataque seguiu uma metodologia sofisticada e bem estruturada, aproveitando-se de lacunas na segurança de terceiros para executar transações de alto impacto. Mesmo com investimentos significativos em segurança por parte das instituições financeiras, a fragilidade de prestadores terceirizados permanece como um dos maiores pontos de vulnerabilidade do setor.

Além dos prejuízos financeiros diretos, os danos reputacionais e os efeitos sistêmicos reforçam a urgência de medidas concretas. Auditorias constantes, fortalecimento da governança de acessos, capacitação contra engenharia social e fiscalização regulatória mais rigorosa são medidas indispensáveis para mitigar riscos semelhantes.

Por fim, o estudo destaca que a resiliência do sistema financeiro não depende apenas de tecnologia avançada, mas da construção de uma cultura organizacional sólida, com responsabilidade compartilhada entre instituições, fornecedores e reguladores.

Veja também em: Artigo_CIBERATAQUES NA CADEIA DE SUPRIMENTOS

Categorias: Segurança da Informação
Etiquetas:
✍️ Quer publicar seu artigo na ANETI?

Mostre sua voz e compartilhe seu conhecimento com mais de 1.500 profissionais de T.I. Faça parte ativa da nossa comunidade!

Clique Aqui

alexsand
Alexsand Farias de Souza

Artigos relacionados

A Importância da Infraestrutura de TI: O Alicerce Tecnológico para o Sucesso Empresarial

A infraestrutura de TI é a base tecnológica que suporta e impulsiona as operações e processos de uma organização. Desde a conectividade de rede até os servidores e sistemas de armazenamento, uma infraestrutura de TI robusta é essencial para garantir a eficiência, a segurança e a escalabilidade das operações empresariais. Neste post, exploraremos a importância da infraestrutura de TI e como ela desempenha um papel fundamental no sucesso das empresas na era digital.

marcos-wesley
Marcos Wesley 24 de maio de 2023
Comentários de 0

Garantindo a Confidencialidade e Integridade dos Dados: A Importância da Segurança da Informação

A segurança da informação é um dos aspectos mais críticos no mundo digital atual. Com a crescente quantidade de dados e informações sensíveis armazenadas e transmitidas eletronicamente, as organizações enfrentam desafios cada vez maiores para proteger seus ativos digitais. Neste post, discutiremos a importância da segurança da informação e como ela é essencial para garantir a confidencialidade, integridade e disponibilidade dos dados.

marcos-wesley
Marcos Wesley 24 de maio de 2023
Comentários de 0

Respostas

Relatório

Comportamento de assédio ou intimidação
Contém informações enganosas ou falsas
Contém conteúdo impróprio ou sensível
Contém conteúdo abusivo ou depreciativo
Contém spam, conteúdo falso ou malware potencial

Membro do bloco?

Por favor, confirme que você deseja bloquear este membro.

Você não poderá mais:

  • Ver postagens de membros bloqueados
  • Mencione este membro em postagens
  • Convidar este membro para grupos
  • Enviar mensagem para este membro
  • Adicione este membro como uma conexão

Observe: Esta ação também removerá este membro de suas conexões e enviará um relatório ao administrador do site. Aguarde alguns minutos para que esse processo seja concluído.

Relatório

Você já denunciou isso .