O ataque sofrido pela C&M Software no dia 30 de junho foi feito por CISOs e CIOs reverem suas políticas de segurança em relação a seus fornecedores terceirizados de software e serviços. Nesta estratégia de violar sistemas bancários por meio da cadeia de suprimentos que sustenta grandes plataformas de pagamentos como o PIX, um funcionário da C&M Software, João Nazareno Roque, aceitou suborno para compartilhar suas senhas. Com isso, os criminosos conseguem explorar brechas a partir de acessos legítimos, entrando em sistemas que sustentam a conexão entre diversos bancos menores e a plataforma do Banco Central. Em vez de atacarem as próprias instituições financeiras, os criminosos buscaram os elos mais fracos na cadeia de suprimentos de software e serviços.
Num mundo baseado em aplicações modernas – sistemas extremamente distribuídos e conectados entre si por APIs (Application Programming Interfaces) – o invasor pode utilizar vários vetores de penetração. O prejuízo divulgado no início de julho é de R$ 541 milhões, mas as estimativas do Banco Central indicam que as perdas podem chegar a R$ 800 milhões.
Há Várias Lições a Serem Tiradas Deste Episódio.
É mais importante que nunca seja realizada uma avaliação de risco do ambiente do parceiro da cadeia de suprimentos. A meta é medir a atualização em cibersegurança deste provedor de serviços, detectando, por exemplo, seus pontos cegos (shadow IT), se o desenvolvimento das aplicações desta empresa é baseado nas melhores práticas de segurança, como é a resposta a incidentes, atualizadas são as tecnologias usadas para, por exemplo, ameaças baseadas em IA.
O incidente revelou um novo patamar de sofisticação nas ameaças à cadeia de suprimentos digital. Há indícios de que o ataque foi resultado de meses de planejamento, oferecendo subornos em troca de acesso a ativos digitais. Trata-se de uma evolução clara do modus operandi de fraudes financeiras. O alvo não é apenas uma vulnerabilidade técnica, mas uma fragilidade humana e processual orquestrada com precisão e intenção de escala.
ISO 37001, Contra Corrupção, e ISO 27001, de Cibersegurança
O uso de engenharia social e suborno pelos criminosos coloca sob o foco a importância dos integrantes da cadeia de suprimentos contarem com uma cultura de tolerância zero com crimes digitais e com a corrupção.
Os parceiros que compreendem essa verdade destacam-se por contar com o selo ISO 37001. No nosso caso, entendemos o alinhamento a essa norma como um complemento natural do selo ISO 27001, baseado em processos que preservam a integridade dos dados corporativos, dos clientes e de todo o ecossistema da cadeia de suprimentos. Nas duas ISOs, os processos são constantemente detalhados e reescritos, de modo a retratar uma empresa dinâmica.
Gerenciamento de Senhas e Controle de Identidades
O integrante da cadeia de suprimentos precisa, também, utilizar tecnologias avançadas de proteção de dados. O incidente da C&M talvez pudesse ter sido evitado se a empresa contasse, por exemplo, com uma plataforma que oferece controle granular sobre as senhas. É necessário que a gestão de senhas seja feita de forma certificada ao PCI DSS 4.0 e outras normas que excluam o uso de senhas fortes, incluindo as diretrizes NIST 800-63B, com as melhores práticas em relação à expiração programada de senhas. Toda a política de conformidade da empresa é fortalecida com o uso de soluções de gerenciamento de senhas com validações em camadas que antecipam e resolvem problemas sem, no entanto, afetando a produtividade do usuário.
Zero Trust e Direitos Mínimos de Acesso
Outra estratégia pode ser o alinhamento à disciplina ITDR (Identity Threat Detection and Response – detecção e resposta a ameaças contra identidades). Esse modelo foi criado pelo Gartner e visa proteger a infraestrutura de identidade. O ITDR implementa mecanismos de detecção, investiga alterações de postura e atividades suspeitas e responde a ataques para restaurar a integridade da infraestrutura de identidade.
A partir de uma abordagem Zero Trust e direitos mínimos de acesso, o controle fica mais granular e qualquer comportamento fora do padrão gera alertas. Essa disciplina pode ser renovada com ajuda de soluções ITDR que realizam essas ações de forma automatizada, em ambiente distribuído, na nuvem.
Monitoramento Contínuo de Comportamento e Prevenção de Insiders
O episódio reforça, também, a necessidade de monitoramento contínuo do ambiente interno, com foco especial em comportamentos anômalos de usuários com acesso privilegiado. É fundamental que as organizações adotem práticas que vão além da coleta de registros ou da geração de relatórios, e passem a monitorar o monitoramento e em tempo real os desvios de comportamento.
A identificação precoce de um insider não depende apenas de uma violação explícita, mas da capacidade de detectar quebras sutis de padrão — acessos fora de horário, alterações em configurações críticas, movimentações dinâmicas em arquivos sensíveis, ou atividades que não fazem sentido para o perfil desse usuário.
O problema é que, em muitos casos, as organizações até possuem ferramentas capazes de trazer essas informações, mas só abrem os relatórios depois que o esforço já foi feito. Monitoramento sem ação é apenas acúmulo histórico. A eficácia é a visibilidade ativa e a tomada de decisão em tempo hábil, com processos de resposta bem definidos e inteligência aplicada à rotina de auditorias.
Nesse contexto, prevenir a cooptação de insiders, como ocorreu no caso da C&M — exige mais do que tecnologia: requer disciplina operacional, integração com equipes de segurança e governança, e uma cultura que valorize a vigilância contínua, mesmo quando tudo parece “normal”.
Conexão Umbilical
O ataque sofrido pela C&M, e seu impacto sobre as organizações financeiras, é um retrato do momento atual da economia digital. A computação em nuvem e a disseminação de aplicações modernas – muitas delas baseadas em IA – fazem com que o dado trafegue o tempo todo entre plataformas diferentes rodando em empresas independentes. Nesta realidade, cabe à organização usuária ter uma visão aguda sobre a cultura e a atualização em segurança cibernética de sua cadeia de suprimentos. O parceiro, por sua parte, é chamado a seguir avançando em sua resiliência cibernética, consciente de sua responsabilidade com a sustentação dos negócios de seu cliente. A conexão entre esses dois polos é umbilical e precisa evoluir sem cessar.
Thiago N.Felippe, CEO da AIQON.



