La policía continúa investigando el que se considera como el mayor ciberataque del sistema financiero de Brasil, en el que los atacantes se apoderaron de alrededor de 150 millones de dólares, todo facilitado por la venta de credenciales de acceso de un trabajador. Parte del dinero habría sido convertido a criptomonedas.
La Policía Federal de Brasil arrestó esta semana a João Roque, un trabajador del área de tecnologías de la información de la empresa C&M Software, en relación con el gigantesco robo cibernético que afectó al sistema de pagos instantáneos PIX. Según las autoridades, el robo superó los 800 millones de reales (aproximadamente 148 millones de dólares) y habría afectado, al menos, a seis instituciones financieras, aunque se sospecha que el número real podría ser aún mayor.
Roque, de 48 años, confesó haber vendido sus credenciales de acceso a un grupo de cibercriminales por cerca de 2.700 dólares, en dos pagos en efectivo. El medio brasileño TV Globo informó que el encuentro entre Roque y los delincuentes ocurrió en un bar, donde lo convencieron de entregar su cuenta y contraseña. La Policía habría indicado que Roque “fue abordado a la salida de un bar por un intermediario que le prometió dinero fácil”, y agregaron que Roque incluso cambiaba de teléfono cada 15 días para evitar ser rastreado. El 3 de julio fue finalmente detenido en la ciudad de São Paulo.
El sistema PIX, operado por el Banco Central de Brasil, permite transferencias instantáneas entre instituciones financieras. C&M Software, empleadora de Roque, es una de las ocho empresas autorizadas por el Banco Central para conectar sus servicios con el sistema financiero del país. Esta relación permitió que, mediante el acceso entregado por el trabajador, los delincuentes lograran vulnerar el sistema.
En una declaración pública, C&M Software aseguró estar colaborando activamente con las autoridades: “La empresa es víctima directa de una acción criminal, que incluyó el uso indebido de credenciales para intentar acceder de forma fraudulenta a sus sistemas y servicios”. Como medida de emergencia, el Banco Central bloqueó el acceso a partes del sistema operado por la empresa.
C&M Software indicó que el ataque no fue posible por una falla de seguridad interna, sino por un caso de ingeniería social. En un comunicado, aseguraron que “el marco de protección de la compañía fue clave para detectar el acceso no autorizado y colaborar con las autoridades”.
Una de las entidades más golpeadas fue BMP, una firma de servicios financieros B2B, que perdió más de 99 millones de dólares. También fueron afectadas Credsystem y Banco Paulista, aunque el BC aún no publica el listado completo de víctimas.
El ciberataque ocurrió el pasado 30 de junio, cuando los cibercriminales accedieron a las cuentas de reserva de al menos seis instituciones financieras, fondos que los bancos mantienen en el Banco Central para garantizar liquidez. Según reportes de la Policía Civil de São Paulo, la operación fue posible gracias a las credenciales entregadas por Roque, quien también proporcionó instrucciones técnicas para ejecutar acciones dentro del sistema, como la creación de cuentas y la habilitación de accesos remotos.
Mientras continúa la investigación, la policía ya ha identificado al menos a cuatro posibles responsables del ciberataque y congeló unos 270 millones de reales (aproximadamente 49 millones de dólares) vinculados al caso. Las autoridades no descartan nuevos arrestos.