Ha sido calificado como el ataque hacker más grave jamás registrado contra el sistema financiero brasileño. Ocurrió en apenas dos horas y media el miércoles y afectó a todo el sistema de pago rápido del gigante latinoamericano, el llamado PIX, y a las infraestructuras digitales del Banco Central (BC).
El ataque se llevó a cabo mediante una intrusión en los sistemas informáticos de C&M Software, una empresa tecnológica autorizada por el Banco Central para conectar bancos menores y fintech a los sistemas centrales del sistema bancario nacional.
Los hackers lograron acceder y vaciar las llamadas cuentas de reserva, es decir, aquellas cuentas que las instituciones financieras mantienen en el Banco Central de Brasil para garantizar la liquidez y participar en operaciones con la institución, como préstamos o inversiones en títulos públicos. Según las investigaciones de la Policía Civil de San Pablo, al menos seis instituciones financieras se vieron afectadas. Los hackers robaron más de 800 millones de reales (148 millones de dólares), aunque el recuento definitivo aún está en curso. Solo BMP, una empresa brasileña que no presta servicios a clientes privados, sino que opera bajo el modelo Banking as a Service (BaaS), ofreciendo soluciones tecnológicas y financieras a otras empresas, además de conceder préstamos y apoyar la gestión de servicios bancarios digitales, sufrió una pérdida de 541 millones de reales (99,8 millones de dólares). Además de BMP, según el sitio web de noticias económicas Valor Econômico, entre las víctimas también se encuentran Credsystem y Banco Paulista. Sin embargo, el Banco Central aún no ha publicado la lista completa ni confirmado el valor total sustraído.
“Se trata de un ataque clasificado como un ataque a la cadena de suministro, también conocido como supply chain attack”, explica a Infobae Oerton Fernandes, profesor y experto brasileño en ciberseguridad. “Este tipo de ataque se produce cuando los ciberdelincuentes no atacan directamente al objetivo principal, en este caso, el Banco Central, sino a un eslabón más débil de la cadena, como una empresa tercera que presta servicios o tiene acceso al sistema del objetivo”, explica Fernandes. Según el experto, “en este caso concreto, los hackers lograron acceder al sistema de C&M Software, que actúa como intermediario entre los bancos menores y el Banco Central. Desde allí, utilizaron credenciales legítimas para realizar transacciones fraudulentas, moviendo cuantiosas cantidades de dinero y, en muchos casos, convirtiendo los importes en criptomonedas para dificultar su rastreabilidad”.
La Policía Civil detuvo ayer en San Pablo a un empleado de C&M, João Nazareno Roque, de 48 años. Según las investigaciones, fue él quien proporcionó sus credenciales a los criminales, permitiéndoles acceder al sistema. A cambio, habría recibido 15.000 reales (2.766 dólares), 5000 reales (922 dólares) por entregar la contraseña y 10.000 reales (1.844 dólares) por explicar cómo entrar en el sistema. Roque confesó a la policía que cambiaba de teléfono cada 15 días para evitar ser rastreado y que no conocía personalmente a los delincuentes, con los que solo se comunicaba por teléfono móvil. Al parecer, fue abordado a la salida de un bar por un intermediario que le propuso una ganancia elevada y rápida. Tras el ataque, el Banco Central suspendió inicialmente por completo el acceso de las instituciones vinculadas a C&M Software, para luego adoptar una suspensión parcial. La medida se tomó para limitar los daños y reforzar la seguridad. Según los expertos del sector, el caso atraerá la atención de los reguladores financieros, como el propio Banco Central y el Consejo Monetario Nacional, ya que representa un ejemplo concreto de los riesgos sistémicos derivados de la creciente digitalización del sistema bancario.
“El impacto de este ataque es aterrador por varias razones, en primer lugar porque afecta a la confianza en el sistema financiero. Cuando una estructura crítica como el sistema de liquidación del Banco Central se ve comprometida, aunque sea de forma indirecta, se socava la confianza de los bancos, las empresas y los ciudadanos”, explica Fernandes a Infobae. Además, el ataque ha puesto de manifiesto las dificultades de detección. “Los delincuentes utilizaron credenciales legítimas, por lo que es posible que el sistema no identificara inmediatamente el movimiento como sospechoso”, afirma Fernandes. Para el experto, “la magnitud del daño y la interrupción de los servicios” también hicieron que el ataque fuera realmente problemático.
De hecho, el Banco Central suspendió temporalmente durante unas horas el uso del PIX para varias instituciones, lo que afectó a millones de usuarios. “Este ataque ha puesto de manifiesto una fragilidad estructural que se había ignorado durante mucho tiempo: nuestra arquitectura financiera ha evolucionado a una velocidad exponencial, pero la seguridad se ha quedado anclada en modelos obsoletos”, explica a Infobae Fred Amaral, director ejecutivo de Lerian, una startup brasileña especializada en infraestructura financiera de código abierto. “Ha surgido una fragilidad sistémica. El problema no radica solo en el software o en un error humano específico, sino en el propio modelo. La externalización de la infraestructura crítica, como el ‘core banking’ y los sistemas de mensajería, transfiere niveles esenciales de seguridad a terceros. En la práctica, muchas instituciones reguladas han renunciado al control de la ‘puerta de entrada’ y la ‘puerta trasera’ de sus sistemas. El ataque ha demostrado que la seguridad no se consigue con más muros, sino con una arquitectura sólida desde el núcleo”, afirma Amaral a Infobae.
Mientras continúan las investigaciones de la Policía Civil para intentar recuperar el dinero robado, comienzan a formularse hipótesis sobre la nacionalidad del grupo de hackers que ha podido cometer un ataque de estas proporciones. Brasil cuenta con grupos de ciberdelincuentes altamente especializados en fraudes bancarios. Estos grupos dominan técnicas como el phishing (el robo de datos a través de correos electrónicos o sitios web falsos) y la ingeniería social (la manipulación psicológica y la persuasión para obtener información y credenciales, como ha ocurrido en este caso). “Es posible que haya sido un grupo brasileño el que haya obtenido acceso a las credenciales de bancos menores y haya aprovechado la conexión con el sistema del Banco Central a través del software C&M”, explica Fernandes.
Sin embargo, el experto añade que “el nivel de sofisticación del ataque, en particular el uso de criptomonedas para blanquear rápidamente el dinero, también levanta sospechas sobre grupos internacionales”. Grupos como el Lazarus Group, vinculado a Corea del Norte, y APT28, vinculado a Rusia, son conocidos por atacar los sistemas financieros de todo el mundo, a menudo con el objetivo de financiar actividades estatales o desestabilizar las economías. El ataque se produjo cuatro días antes del inicio de la reunión del bloque BRICS en Río de Janeiro. “Aún no es posible afirmar con certeza el origen del ataque, pero Brasil debe estar preparado para ambos escenarios: ataques internos y externos”, afirma Fernandes.
El ataque al Banco Central es una crucial señal de alarma para que Brasil refuerce su seguridad cibernética en varios frentes, empezando por el fortalecimiento de la gobernanza y la regulación. “Brasil debe actualizar y aplicar con rigor su Estrategia Nacional de Seguridad Cibernética (E-Ciber), exigiendo a todas las empresas que operan con datos sensibles, especialmente en el sector financiero, que adopten estándares internacionales de seguridad de la información”, afirma Fernandes. También es necesario invertir en tecnología e infraestructura. “Es esencial que los sistemas críticos utilicen la autenticación multifactorial (MFA), el cifrado de extremo a extremo y la supervisión continua de los accesos y las transacciones. Además, es necesario segmentar los accesos, es decir, garantizar que cada usuario solo tenga acceso a lo que realmente necesita”, subraya el experto. Además de promover la cultura de la seguridad, también es necesario reforzar los centros de respuesta a incidentes y la cooperación internacional. “Brasil necesita centros de respuesta a incidentes (CSIRT) más sólidos, con equipos capacitados para detectar, contener y responder rápidamente a los ataques. Estos centros deben operar en red, compartiendo información con otras instituciones y con el Gobierno”, afirma Fernandes. Para el experto, “la seguridad informática es un reto global. Brasil debe participar en foros internacionales, firmar acuerdos de cooperación e intercambiar información con otros países para anticiparse a las amenazas y responder de forma coordinada a los ataques transnacionales”.
En resumen, el ataque puso de manifiesto graves vulnerabilidades en la seguridad informática del sistema financiero brasileño, en particular en el delicado ecosistema de las fintech y los proveedores externos de tecnología bancaria. Sin embargo, Brasil es un país a la vanguardia. Ayer mismo se anunció un importante acuerdo entre Tether Holdings, el principal emisor mundial de stablecoins, es decir, criptomonedas vinculadas a un activo estable como el oro, y Adecoagro, una empresa presente en Brasil en los sectores agrícola y energético. Las dos empresas colaborarán para lanzar una iniciativa de minería de bitcoins alimentada por energía renovable en Brasil, uniendo blockchain, agricultura y mercado energético. El objetivo del acuerdo es utilizar el exceso de energía limpia producida por Adecoagro, que cuenta con una capacidad instalada de más de 230 megavatios procedentes de fuentes renovables, para alimentar las actividades de extracción de bitcoins, que requieren enormes cantidades de energía.
En cuanto al Banco Central de Brasil, en los últimos años ha liderado una profunda transformación digital del sistema financiero, convirtiéndose en un referente mundial en materia de innovación en el sector. Basta pensar en el lanzamiento de los pagos instantáneos PIX en 2020, que democratizó el acceso a los pagos digitales, especialmente entre la población no bancarizada, redujo el uso de efectivo y abatió los costes de las transacciones. Actualmente, el BC está trabajando en el Drex, la versión digital de la moneda nacional, el real. En fase de pruebas, el Drex pretende favorecer transacciones digitales más rápidas, seguras y trazables, e integrar contratos inteligentes y la tokenización de activos. Por ejemplo, si en el futuro se desea comprar una casa de 300.000 reales (55.328 dólares) utilizando la nueva infraestructura digital del Drex, el valor de la compra se “tokenizará”, es decir, se transformará en 300 cuotas digitales de 1.000 reales (184,43 dólares) cada una. Cuando el comprador envíe el pago a Drex, un contrato inteligente verificará automáticamente la transferencia de fondos y los documentos digitales de la propiedad. Una vez confirmadas las condiciones, los tokens de la casa se transferirán al comprador y la transacción se registrará en la cadena de bloques (blockchain). Todo se realiza en pocos minutos, sin necesidad de intermediarios, con mayor transparencia, seguridad y rapidez. “El Banco Central ya ha demostrado su capacidad técnica al proporcionar PIX y otras soluciones financieras con la solidez que conocemos. Ahora debe dar un paso adelante y asumir un papel más activo como operador tecnológico. No basta con regular: es necesario colaborar con el mercado y con el Gobierno para crear una verdadera inteligencia informática nacional”, explica Fred Amaral a Infobae. Para el experto, “el Banco Central podría, por ejemplo, centralizar una única base de datos segura con información personal para combatir de forma estructurada la apertura de cuentas ficticias. También debería habilitar mecanismos de inversión atómica del fraude, es decir, permitir que, aunque un importe se distribuya entre decenas de instituciones, se pueda rastrear e invertir de forma coordinada y automatizada”. Según Amaral, además, “es urgente implementar análisis de comportamiento en tiempo real, con una tecnología capaz de interrumpir las cadenas de transacciones sospechosas en el momento mismo en que se realizan”.
“El momento requiere el valor de rediseñar los cimientos: no basta con aplicar correcciones superficiales. Si no replanteamos el modelo, seguiremos construyendo castillos en la arena”, concluye Amaral.