O ataque hacker, ocorrido na última terça-feira (1), considerado o maior ataque ao sistema financeiro brasileiro, segue sendo motivo de perguntas, principalmente em razão da falta de informações publicadas pelas instituições públicas competentes, como o Banco Central.

A Gazeta do Povo fez um compilado de perguntas e respostas sobre o que se sabe até agora.

1. Qual foi o valor desviado?

Não se sabe exatamente o valor desviado. Estimativas publicadas pela imprensa variam de R$ 400 milhões a quase R$ 1 bilhão. O Brazil Journal indicou a possibilidade de um roubo de R$ 500 milhões de uma única empresa. Ainda de acordo com o jornal, apurações preliminares do Banco Central apontam para o montante de R$ 800 milhões roubados de oito instituições bancárias e não-bancárias.

Até agora, sabe-se que os criminosos tentaram converter o montante em criptomoedas e bitcoins. Algumas das casas de conversões, ao perceberem os valores muito altos, suspeitaram e suspenderam as operações, por isso, uma parte do montante pode ter sido recuperada.

O caso está em investigação pela Polícia Federal (PF) e pelo Conselho de Controle de Atividades Financeiras (Coaf).

2. Quem são os hackers?

Essa é outra pergunta até o momento segue sem resposta. De acordo com o jornal Valor, especialistas apontam para a possibilidade de o roubo ter sido feito dentro da sede da C&M. O crime também pode ter sido cometido por um grupo de hackers que explorou uma vulnerabilidade da empresa. A Polícia Federal abriu um inquérito para investigar o caso e tentar chegar aos autores.

3. Quais foram as empresas afetadas e o que dizem?

Entre as vítimas da ação criminosa estão seis instituições financeiras – três delas já se pronunciaram. A principal é a C&M, empresa de “banking as a service” (Baas), que segundo o Brazil Journal teve R$ 400 milhões subtraído pelos hackers.

As outras duas são a BMP, um Bank as a Service (BaaS) que atende 92 fintechs e 210 fundos de investimento e a Credsystem, uma prestadora de serviço – ambas, clientes da C&M, possível porta de entrada para invasão.

Em nota, a C&M confirmou que foi uma das vítimas dos hackers e está colaborando com as investigações da Polícia Civil de São Paulo e do Banco Central (BC).

“A empresa foi vítima de uma ação criminosa, que envolveu o uso indevido de credenciais de clientes em tentativas de acesso fraudulento. Todas as medidas previstas em nossos protocolos de segurança foram imediatamente adotadas, incluindo o reforço de controles internos, auditorias independentes e comunicação direta com os clientes afetados”, afirmou.

A Credsystem afirmou que “o impacto direto nas operações da credsystem se restringe apenas ao serviço de Pix”, que ficou temporariamente fora do ar por determinação do BC.

Já o BMP sinalizou que o ataque não impactou nenhum cliente. “No caso da BMP, o ataque envolveu exclusivamente recursos depositados em sua conta reserva no Banco Central. A instituição já adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo a sua operação ou a seus parceiros comerciais”, disse a empresa em nota.

Carlos Eduardo Benitez, fundador da BPM, afirmou ao Brazil Journal que “nossa parte foi de R$ 400 milhões, mas já recuperamos R$ 130 milhões”.

“Nossos clientes estão 100% protegidos. Sempre prezamos pela segurança, que não é só cibernética, mas também de recursos. Nenhuma conta de cliente foi afetada e nenhum dado foi vazado”, completa.

4. Quais foram os primeiros indícios do ataque?

De acordo com o Brazil Journal, os primeiros indícios de que a ação criminosa estava em curso ocorreu na madrugada de segunda-feira. O jornal conta que um executivo do BPM recebeu uma ligação do banco afirmando uma transferência via pix de uma conta da empresa de banking as a service para o banco.

O executivo então foi até o escritório da BMP, contatou a C&M, e foi informado que diversos outros pix não autorizados haviam sido feitos. Além disso, notou-se que os valores foram subtraídos da chamada “conta reserva” que as instituições mantêm junto ao BC, que mistura dinheiro dos clientes e da própria instituição.

Na última quarta-feira, o BC determinou o desligamento do acesso das instituições às infraestruturas operadas pela C&M – já retomado nesta quinta.

A C&M é o que se chama de PSTI, uma provedora de serviços de tecnologia da informação. Hoje, sete empresas deste tipo estão autorizadas a operar e são supervisionadas pelo BC, conectando 293 instituições à autoridade monetária.

Esses PSTIs disponibilizam as APIs que concedem acesso a mensagens do pix, TED e outras funções do Sistema Brasileiro de Pagamentos. É através desses sistemas que algumas instituições têm acesso a suas contas de reservas do BC. Possivelmente o hacker entrou por essa porta, conseguindo acesso às contas das instituições, fazendo diversos pix em minutos.

5. Uma vez o valor subtraído, o que os criminosos podem fazer?

Por mais que existam formas de transferir o montante subtraído para o exterior, a conversão do dinheiro em criptoativos faz com o valor saia do sistema financeiro tradicional, não apenas do país. Essa é a forma atual e o primeiro passo para, posteriormente, tornar o valor irrastreável.

Dentro do sistema financeiro tradicional, o dinheiro é facilmente rastreado. Mas, ao ser convertido em criptomoedas que priorizam o anonimato total, os criminosos conseguem ocultar a origem e o destino do valor roubado, tornando praticamente impossível o rastreio.

Segundo o Valor, existem indícios que apontam que o dinheiro roubado foi convertido rapidamente em criptoativos.

A Gazeta do Povo consultou Victor Valente, advogado e especialista em Direito Digital com foco em criptoativos. Ele explicou que é importante primeiro entender qual seria o “caminho do dinheiro” – ou seja, como ele sairia do sistema financeiro tradicional para entrar no universo das criptomoedas.

Valente explica que há serviços que facilitam este câmbio, chamados “on-ramps” e “off-ramps” no ecossistema de criptoativos. O termo “on-ramp” se refere ao processo de conversão de moedas fiduciárias em criptomoedas, ou seja, é a porta de entrada do dinheiro tradicional para o mundo virtual das criptos. Já o “off-ramp” é o caminho inverso: quando se converte criptomoedas em dinheiro tradicional.

No caso em questão, sabe-se que os hackers tentaram converter os reais roubados em bitcoin e USDT (uma stablecoin pareada com o dólar). Para realizar essa operação, eles buscaram intermediários e pessoas dispostas a vender suas criptomoedas em troca de reais.

Valente lembra que, logo após o incidente, alguns intermediários desse processo de conversão, a exemplo de algumas prestadoras de serviços de ativos virtuais nacionais, noticiaram um aumento anormal na demanda por bitcoin e USDT.

“Quando algo assim acontece, os intermediários são obrigados por lei a adotar medidas de compliance financeiro, o que pode culminar no bloqueio dessas transações e no informe às autoridades policiais, sob pena de responsabilização dos intermediários”.

6. Uma vez convertido o montante – ou parte – para criptomoeda, o que acontece?

Valente explica que uma vez bem sucedida a transferência do valor para as moedas cripto, o montante está “fora do sistema financeiro tradicional, tendo acesso a blockchains [registro de transações abertas online], programas e criptoativos no sistema financeiro da internet, que podem ser trocados sem a necessidade de intermediários, via contratos inteligentes ou processos feitos automaticamente por computadores – portanto, sem a necessária atuação de pessoas”.

Os valores ficam em um ambiente virtual “mantido de forma descentralizada, ou seja, é mantida por uma ampla teia de computadores interligados e responsáveis por fazer as blockchains funcionarem como bancos ou fintechs, porém sem a atuação de pessoas guardando os valores ou realizando as trocas, tudo por meio de programas com execução automática e mantidos em funcionamento por computadores conectados às blockchains via internet”, explica.

Neste processo, o criminoso pode tornar o valor totalmente irrastreável, usando protocolos internos 100% privados e anônimos para ocultar transações.

⁠⁠7. Como o setor financeiro tem enxergado o ataque hacker?

O jurista explica que o ataque repercutiu bastante no mercado, principalmente no que tange à capacidade de o Banco Central e as instituições financeiras tradicionais de se protegerem nesse novo ambiente virtual.

Valente explica que, apesar de o ataque não ter ocorrido diretamente em um sistema do Banco Central, a entidade poderia ser alvo de críticas quanto à sua parcela de culpa na contratação de parceiros para custódia e/ou funcionamento do sistema financeiro e monetário nacional.

Ele questiona se o BC “está mesmo preparado para integrar o Drex [moeda digital brasileira regulamentada pelo BC] ao sistema financeiro da internet, pois dependendo de como for feita a integração, o processo de conversão de valores em reais para criptomoedas ficaria mais fácil, e as possibilidades de ataques a vulnerabilidades em códigos e sistemas do BC e das instituições financeiras conveniadas se amplia”.

Por fim, questionado se o Pix continua sendo um método seguro, Valente explica que sua segurança “vai continuar dependendo das pessoas e organizações que mantêm o sistema funcionando”.

“Caso esses agentes não consigam acompanhar a evolução da tecnologia e aumentar seus mecanismos de segurança interna e cibersegurança, podemos começar a nos preocupar sim com um aumento no número de casos como esse”, disse.

“Ao contrário do que acontece no ecossistema de criptoativos, em que a segurança do sistema se dá pela análise ampla e aberta dos códigos autoexecutáveis responsáveis por fazer o sistema funcionar, no sistema tradicional, a segurança continua dependendo principalmente das pessoas e organizações que o compõem”, completa.

Ele termina considerando que não pode ser descartada a hipótese de que o incidente tenha sido causado por pessoas da própria empresa alvo do ataque hacker.