Hackers Roban $140 Millones de Bancos Brasileños Pagando Solo $2.760 por Credenciales Corporativas

Aquí tienes munición para los defensores de la descentralización: Los hackers robaron aproximadamente R$800 millones ($140 millones) de bancos brasileños después de pagar a un empleado de una empresa de tecnología solo R$15.000 ($2.760) por sus credenciales corporativas, según funcionarios encargados de la investigación de lo que describen como el mayor robo digital en la historia del país.

El ataque se dirigió a C&M Software, una empresa con sede en São Paulo que conecta bancos más pequeños y fintechs a la infraestructura del Banco Central de Brasil, incluido el sistema de pagos instantáneos Pix. Seis instituciones financieras sufrieron acceso no autorizado a sus cuentas de reserva el 30 de junio, con los criminales vaciando fondos en menos de tres horas.

"Este es el mayor fraude sufrido por las instituciones financieras a través de internet", dijo Paulo Barbosa, el detective de la policía de São Paulo que lidera la investigación, en una conferencia de prensa el jueves.

El esquema comenzó en marzo cuando los criminales se acercaron a João Nazareno Roque, un operador de TI en C&M, fuera de un bar cerca de su casa. Roque confesó haber vendido sus credenciales del sistema por R$5.000 inicialmente, luego recibió otros R$10.000 para ayudar a crear software que permitió la brecha. La policía arrestó al joven de 30 años en su residencia en City Jaraguá el 3 de julio.

Entre las 4 a.m. y las 7 a.m. hora local del 30 de junio, los atacantes emitieron órdenes de transferencia de Pix fraudulentas mientras se hacían pasar por los bancos afectados. BMP, un proveedor de servicios bancarios, fue uno de los más afectados, confirmando pérdidas de más de R$400 millones ($73,8 millones) de su cuenta de reserva en el banco central. La empresa presentó el informe policial inicial que expuso el ataque más amplio.

Los criminales comenzaron inmediatamente a convertir los reales robados a criptomonedas a través de escritorios y exchanges de criptomonedas de venta libre de América Latina. El análisis blockchain del investigador de criptomonedas ZachXBT indica que al menos $30 millones a $40 millones se movieron a Bitcoin, Ethereum y Tether (USDT) antes de que las autoridades pudieran congelar las cuentas. Una billetera que contenía R$270 millones ($49,8 millones) ha sido bloqueada desde entonces.

El investigador dijo a través de Telegram que ha estado ayudando a los investigadores a identificar y congelar las direcciones de criptomonedas asociadas con lo que describió como "uno de los casos más insanos de este año".

¿Qué es Pix y C&M y por qué fueron objetivo?

El Pix, es un plataforma de pagos instantáneos de Brasil lanzada en noviembre de 2020, que procesa miles de millones de transacciones mensualmente y se ha convertido en el método de pago dominante en todo el país. El sistema permite transferencias instantáneas entre bancos las 24 horas del día, los 7 días de la semana, incluidos los fines de semana y días festivos, con transacciones que se completan casi al instante.

Se ha adoptado ampliamente porque los usuarios pueden vincular sus cuentas a identificadores familiares como su número de teléfono, correo electrónico o número de identificación. Pix también permite pagos mediante códigos QR y ofrece diferentes funciones diseñadas para competir con los proveedores de tarjetas de crédito, incluidas opciones que permiten a los usuarios pagar compras a plazos.

El sistema funciona interconectando bancos e instituciones financieras directamente a través de la infraestructura digital del banco central, lo que permite que los fondos se muevan instantáneamente entre cuentas. Cuando un usuario inicia una transferencia Pix, la solicitud de pago se dirige directamente a través del banco central, que verifica los detalles y autoriza la transacción en tiempo real. Esto elimina los retrasos asociados con las transferencias bancarias tradicionales, que a menudo tardaban minutos e incluso horas en liquidarse, lo que permite que los pagos y transferencias se completen en segundos, en cualquier momento del día.

Se han implementado otras tecnologías adyacentes en Brasil, como la capacidad de los bancos para monitorear las transacciones de otros bancos para la calificación crediticia, por ejemplo.

A diferencia de los ataques anteriores dirigidos a usuarios individuales de Pix a través de malware como PixPirate, esta brecha explotó la infraestructura que conecta a las instituciones financieras con el banco central. Los atacantes accedieron a cuentas de reserva que los bancos mantienen para liquidar transacciones, en lugar de depósitos de clientes.

"Los análisis realizados hasta ahora no han identificado fallas técnicas o vulnerabilidades en los sistemas de CMSW. El incidente ocurrió debido al uso no autorizado de credenciales legítimas. Además de las credenciales del empleado, hay indicios de que se pudieron haber explotado otros métodos de autenticación. La rápida respuesta de la empresa solo fue posible gracias a su sólida arquitectura de seguridad", dijo C&M en un Q&A oficial.

Fundada en 1992 por Orli Machado, C&M proporciona servicios de mensajería que permiten a aproximadamente 23 instituciones financieras más pequeñas acceder a los sistemas de pago de Brasil sin construir su propia infraestructura. El papel de la empresa como intermediario la convirtió en un objetivo atractivo para criminales que buscan acceder a múltiples bancos simultáneamente.

El banco central de Brasil ordenó a C&M desconectarse de toda la infraestructura financiera el 2 de julio, interrumpiendo temporalmente los servicios de Pix para varias instituciones. Banco Paulista informó de una "interrupción temporal" en los pagos instantáneos debido a una "falla externa", al mismo tiempo que tranquilizaba a los clientes de que no se comprometieron datos personales ni fondos.

El Director de la Policía Federal, Andrei Passos Rodrigues, dijo que su agencia inició una investigación inmediata en coordinación con las autoridades del estado de São Paulo. Los investigadores están examinando si el ataque está relacionado con las sofisticadas redes de ciberdelincuentes de Brasil, que a menudo se coordinan a través de canales de Telegram y WhatsApp.

Roque, el operador de TI comprometido, le dijo a los investigadores que se comunicó con al menos cuatro voces diferentes durante el ataque del 30 de junio, todas sonando como jóvenes. Afirmó haber cambiado de teléfono celular cada 15 días para evitar ser detectado y nunca haber conocido en persona a los otros conspiradores más allá del encuentro inicial en el bar.

La brecha ocurrió a pesar de que el sector bancario de Brasil había invertido fuertemente en ciberseguridad después de incidentes anteriores. C&M declaró que había implementado "todas las medidas técnicas y legales" después de descubrir la intrusión y continúa cooperando con las autoridades.

El BMP aseguró a los clientes que el monto robado estaba cubierto con suficiente garantía, evitando pérdidas para los clientes. El banco central confirmó que recuperó porciones de los fondos desviados de entidades reguladas bajo su supervisión, aunque los esfuerzos de recuperación siguen siendo limitados para transferencias a exchanges de criptomonedas no regulados.

La policía continúa analizando los dispositivos incautados en la residencia de Roque mientras trabaja para identificar a otros participantes. Las autoridades han creado una fuerza de tarea conjunta con la Policía Federal y el Ministerio Público para rastrear las transacciones de criptomonedas y potencialmente congelar activos adicionales.