Antes de começar a falar sobre o incidente envolvendo a C&M Software, considero importante salientar que todas as análises apresentadas neste artigo são baseadas em informações divulgadas pela própria empresa em declarações oficiais, pelas forças policiais ou por grandes veículos de imprensa que verificam cuidadosamente os fatos.
A seguir, apresento alguns pontos sobre o ocorrido, a partir dos quais compartilho informações que podem ser úteis para compreender este e outros incidentes futuros.
Destaco dois fatos principais: o primeiro é que o incidente ocorreu em 2 de julho de 2025, quando o Banco Central informou que a C&M Software sofreu um ataque à sua infraestrutura. O segundo é que a C&M Software atua como prestadora de serviços de tecnologia para diversas instituições financeiras.
Foi um ataque cibercriminoso?
Um dos pontos que mais chamou minha atenção é que muitas informações sobre este incidente o associam a um ciberataque. Apesar de haver elementos tecnológicos envolvidos, o ocorrido não parece ter sido desencadeado por cibercriminosos de forma tradicional.
A informação mais amplamente divulgada até o momento é que um funcionário interno da empresa foi aliciado para fornecer suas credenciais de acesso aos sistemas, permitindo que transações para o desvio de recursos fossem realizadas. Segundo relatos, o funcionário também teria fornecido informações que possibilitaram a criação de um software capaz de transferir grandes quantias de dinheiro.
Embora meios digitais tenham sido utilizados, um ciberataque típico envolve diversos outros elementos. Isso nos leva a considerar essa hipótese, mas não é possível afirmá-la com certeza.
O PIX não foi comprometido!
Dentre os vários serviços oferecidos pela C&M Software está o de intermediação de transações via PIX. Quando o Banco Central bloqueou preventivamente as comunicações que partiam do ambiente comprometido pelos criminosos, as conexões relacionadas ao serviço de PIX que passavam por esse ambiente também apresentaram variações.
Isso não significa, de forma alguma, que o sistema do PIX, fornecido pelo Banco Central, tenha sofrido um ataque direto, como chegou a ser noticiado em alguns veículos. O PIX utilizado por todas as demais instituições financeiras não registrou qualquer tipo de interrupção.
Vale reforçar que o PIX conta com um sistema de proteção bastante robusto, o que torna extremamente difícil que criminosos ou cibercriminosos causem danos diretos a ele.
O que podemos extrair de incidentes com terceiros?
Este é um caso com muitas características específicas, como o segmento de atuação da empresa. É bem provável que você não trabalhe ou possua atualmente uma empresa do mesmo tipo. Então, quais aprendizados seria possível extrair?
A verdade é que sempre podemos identificar ideias para melhorar a segurança do ambiente a partir de incidentes de terceiros, sejam eles de cibersegurança ou não, mesmo quando afetam organizações de um setor totalmente diferente daquele em que atuamos.
#Conscientização
Esse, sem dúvida, precisa ser o primeiro ponto a ser destacado. Se sintetizarmos todo o ocorrido em poucas palavras, temos a venda de uma credencial por R$ 15 mil e o desvio de R$ 400 milhões. Certamente existem diversas hipóteses em torno do caso, mas acredito que a mais significativa para exemplificar este ponto seja a de que a pessoa que forneceu a credencial não tinha noção do potencial nocivo que ela poderia ter nas mãos de criminosos.
É bastante comum que as pessoas não compreendam a importância de proteger seus dispositivos, credenciais e conhecimentos, de modo a evitar que caiam em mãos erradas. Embora este seja um exemplo extremo, esse tipo de situação é mais frequente do que parece. Para reduzir riscos, é fundamental que as empresas capacitem seus colaboradores em temas relacionados à segurança da informação, mas também que deixem claros os possíveis impactos de incidentes e as responsabilidades envolvidas.
Uma ênfase especial dessa capacitação pode ser direcionada às áreas responsáveis pela contratação de profissionais, de forma a identificar candidatos que demonstrem maior afinidade com as normas e práticas de segurança da empresa.
#Revisão de processos
Partamos do princípio de que todo negócio possui áreas mais e menos críticas. Essas áreas podem ser identificadas por meio de uma análise de risco ou da elaboração de um plano de continuidade de negócios. Ao analisar os processos vinculados a essas áreas, é possível identificar pontos de melhoria e até inserir etapas adicionais de validação.
Seguindo o exemplo citado neste artigo, em casos de transferências não programadas com valores financeiros médios/altos ou altos, seria necessária a validação por outro colaborador de nível hierárquico superior ou pelo gestor da área em questão.
Essa medida permitiria identificar inconsistências caso o processo fosse iniciado por ação humana. Já se a origem fosse uma API ou um sistema automatizado, seria necessário implementar a validação de forma sistêmica, garantindo que alguém em cargo superior recebesse uma notificação sobre a transação e que a efetivação só ocorresse após a devida autorização.
#Soluções de segurança
Por fim, menciono as soluções de segurança que, idealmente, devem proteger todo o ambiente em diversas camadas e que acredito serem reconhecidas por todos como imprescindíveis para qualquer negócio.
No incidente em questão, assim como em outros que envolvem funcionários aliciados ou insiders, essas ferramentas enfrentam limitações, já que os acessos dos criminosos são praticamente idênticos aos de uma pessoa que possui legitimamente credenciais para acessar o ambiente. De acordo com as informações apuradas, nenhum tipo de malware foi utilizado durante o incidente. Portanto, se não há softwares ou comportamentos maliciosos que permitam a atuação das soluções de segurança, elas tendem a interpretar a atividade como normal do usuário.
Desafios na segurança digital
Incidentes como este trazem diferentes tipos de desafios para as equipes responsáveis pela proteção do ambiente e, na minha opinião, estão entre os mais complexos de lidar, justamente porque fogem às possibilidades tradicionais de detecção das ferramentas de segurança. Transpor o conceito de segurança em camadas para os processos da empresa possibilita elevar a maturidade do ambiente e, ao mesmo tempo, ajuda a reduzir as chances de que esse tipo de incidente seja bem-sucedido.
