En uno de los ataques internos más significativos en la historia financiera de Brasil, un operador de TI de bajo nivel que trabajaba en C&M Software —empresa responsable de interconectar bancos medianos y pequeños con el sistema de pagos instantáneos PIX— fue arrestado por facilitar acceso no autorizado a la infraestructura crítica de la compañía. El incidente comprometió la puerta de enlace entre instituciones financieras y el Banco Central, lo que derivó en un esquema de fraude que afectó al menos a seis bancos.
El implicado, João Nazareno Roque, de 48 años, utilizó sus credenciales administrativas y acceso técnico para ayudar a delincuentes a ejecutar comandos fraudulentos dentro de los sistemas internos. La brecha no involucró malware ni exploits avanzados, sino un clásico caso de ingeniería social y abuso de confianza.
Línea de Tiempo y Modus Operandi
Fase 1 – Ingeniería Social y Contacto Inicial
Según la declaración policial y el testimonio de Roque:
- Fue abordado fuera de un bar en São Paulo por un individuo que conocía detalles sobre su empleo.
- Días después, recibió una llamada por WhatsApp ofreciéndole R$ 5.000 (~USD 1.000) a cambio de sus credenciales corporativas.
🛑 Dato crítico: No se explotó ninguna vulnerabilidad técnica — todo dependió del abuso de confianza y contacto directo.
Fase 2 – Robo de Credenciales y Preparación de Acceso
Tras aceptar colaborar:
- Entregó físicamente su usuario y contraseña corporativa a un motoboy.
- Posteriormente recibió R$ 10.000 adicionales por ejecutar comandos directamente desde su computadora personal.
- Las instrucciones fueron enviadas mediante una cuenta compartida en Notion, desde donde se le indicaba qué ejecutar y cuándo.
Esto demuestra el uso creciente de plataformas legítimas como Notion o WhatsApp para actuar como canales de comando y control (C2).
Fase 3 – Medidas de Seguridad Operativa
Roque tomó precauciones básicas para evitar ser detectado:
- Cambiaba de teléfono cada 15 días.
- Nunca conoció físicamente a sus contactos ni sabía sus identidades.
- Toda comunicación se realizó por canales cifrados o desechables.
A pesar de estas medidas, el monitoreo forense digital y los registros de sistema vincularon sus credenciales con las acciones maliciosas.
Impacto Institucional y Respuesta
El ataque generó alertas críticas en el ecosistema financiero brasileño, especialmente entre fintechs y bancos digitales que dependen de terceros como C&M para la conectividad con el Banco Central.
Respuesta de C&M Software:
- Declararon que no hubo vulnerabilidad técnica, solo abuso de credenciales.
- Confirmaron colaboración con autoridades y monitoreo activo de sus sistemas.
- Indicaron que sus servicios permanecen totalmente operativos y que identificaron el incidente a tiempo gracias a sus herramientas internas.
Lecciones para la Comunidad de Ciberseguridad
1. Las personas siguen siendo el eslabón más débil
Este incidente refuerza que ni los sistemas más seguros pueden defenderse de los humanos comprometidos si tienen acceso sin controles adicionales.
2. El abuso de credenciales es más simple que explotar software
Este ataque no requirió malware ni conocimientos técnicos profundos. Solo fue necesario comprar el acceso.
Recomendación: Implementar MFA obligatorio, alertas de comportamiento inusual y validación contextual (geolocalización, horarios) en sesiones privilegiadas.
3. El monitoreo debe ser basado en comportamiento
Muchas organizaciones no detectan el uso de herramientas no autorizadas como Notion o Telegram por empleados internos.
Sugerencia: Usar UEBA (User and Entity Behavior Analytics) para detectar:
- Cambios en herramientas utilizadas
- Ejecución inusual de comandos
- Accesos o permisos elevados sin justificación
Perspectiva Red Team: ¿Cómo Opera el Atacante?
Este caso sirve como guía para simulaciones de adversarios internos:
| Etapa | Técnica Usada |
|---|---|
| Reconocimiento | Perfilado en redes sociales y vigilancia local |
| Acceso inicial | Enfoque humano + soborno |
| C2 (comando) | Herramientas de productividad (Notion) |
| Persistencia | Ejecución repetida vía usuario cooperante |
| Pagos | Transferencias en efectivo vía motoboy |
Sin malware. Sin exploits. Solo manipulación psicológica y abuso de confianza.
Implicaciones Globales
- Alerta regulatoria: Este caso podría forzar nuevas reglas para proveedores de middleware financiero.
- Riesgo ampliado en la cadena de suministro: Los empleados de soporte, no solo desarrolladores o admins, son ahora vectores reales de riesgo.
- Necesidad de separación de funciones: Si Roque no hubiera tenido privilegios directos para ejecutar código, el impacto habría sido mucho menor.
Este ataque demuestra que la seguridad no puede limitarse a firewalls y antivirus. La verdadera defensa debe empezar por dentro. Las organizaciones deben implementar una cultura de cero confianza, incluso para los empleados “confiables”.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
