15/07/2025 - 17:42
O recente ataque cibernético à C&M Software, que resultou no roubo de até R$ 1 bilhão das contas reserva de seis instituições financeiras no Banco Central, não é apenas uma manchete chocante sobre o sistema financeiro. É um sinal vermelho que deveria acender alertas de cibersegurança em todas as organizações – desde pequenas empresas até grandes corporações.
O episódio de julho de 2025 ficará na história como, possivelmente, o mais significativo ataque cibernético contra o sistema financeiro brasileiro. No entanto, as lições que emergem dele transcendem o setor financeiro, focando diretamente na segregação de acessos e na gestão de privilégios administrativos. O que torna este caso particularmente preocupante é como criminosos conseguiram explorar a interconexão e a confiança entre as instituições para atingir o núcleo operacional do sistema.
A vulnerabilidade escondida no seu escritório
Enquanto as manchetes focam nos milhões roubados, um aspecto crítico passa despercebido: a maioria dos ataques cibernéticos bem-sucedidos começa com algo aparentemente inofensivo – alguém com muitos privilégios administrativos para tarefas cotidianas.
O que muitos não sabem é que usar o computador com privilégios administrativos é como deixar todas as portas da empresa abertas, mesmo que você ache que está apenas “navegando na internet” ou “checando e-mails”.
É comum que as empresas atribuam aos funcionários e prestadores de serviços mais acessos e privilégios do que necessitam. Essas permissões adicionais criam riscos de segurança da informação se um funcionário abusar de seu acesso ou se sua conta for comprometida por um invasor.
Por que o excesso de privilégios e as contas administrativas são bombas-relógio
O uso indiscriminado de contas com privilégios elevados pode ser catastrófico para a segurança da sua empresa. Entenda os riscos:
1. Acesso Total aos Sistemas: Quando você opera com muitos privilégios ou como administrador, qualquer malware que infecte seu computador herda automaticamente esses mesmos privilégios elevados. É como dar as chaves do cofre para um ladrão que você nem percebeu que entrou na sua casa.
2. Propagação Lateral na Rede: Privilégios administrativos somente deveriam ser dados a determinados usuários. Quando isso não acontece, um único computador comprometido pode se tornar a porta de entrada para toda a infraestrutura da empresa. O atacante pode “pular” de máquina em máquina, coletando dados e ampliando seu controle.
3. Instalação Silenciosa de Software Malicioso: Com privilégios administrativos, malwares podem se instalar sem pedir permissão, modificar configurações de segurança, desabilitar antivírus e criar “portas dos fundos” para acesso futuro, comprometendo a cibersegurança.
Casos reais: quando a negligência custa caro
O fator humano continua sendo o elo mais fraco em cibersegurança. Um estudo de 2022 da Universidade de Stanford divulgado pela Forbes afirmou que 26% das pessoas entrevistadas já caíram em golpes de phishing e 32% já foram enganadas por hackers. Quando essas mesmas pessoas têm acesso administrativo, um clique errado pode comprometer sistemas inteiros.
Em 2020, a empresa global de segurança cibernética Positive Technologies conseguiu invadir o sistema de cerca de 93% das empresas que participaram de seu estudo. E o pior: a maioria em menos de uma hora!
O caso Marriott: lição de R$ 500 milhões
Em 2020, a rede de hotéis Marriott foi invadida e dados pessoais de 383 milhões de hóspedes vazaram, inclusive com números de cartão de crédito e passaporte. Por conta disso, além das despesas relacio1nadas ao ataque, a rede teve que pagar uma multa de 99 milhões de Libras, demonstrando o alto custo de falhas na segurança da informação.
Guia prático: como proteger sua empresa
A prevenção proativa é a única defesa efetiva contra ataques cibernéticos.
Para Usuários Domésticos (e pequenos escritórios):
1. Criar Contas Separadas:
◦ Use uma conta de administrador apenas para instalar softwares e fazer alterações no sistema.
◦ Crie uma conta de usuário padrão para uso diário.
◦ Nunca navegue na internet ou abra e-mails com a conta administrativa.
2. Princípio do Menor Privilégio:
◦ Questione-se: “Eu realmente preciso de acesso administrativo para esta tarefa?”
◦ Se a resposta for não, use a conta padrão.
3. Autenticação com Multi Fatores (MFA):
◦ A implementação de privilégios mínimos e a implantação de MFA podem ajudar a limitar o risco de ataques de controle de contas.
◦ Ative 2FA em todas as contas importantes.
Para empresas (estratégias essenciais de cibersegurança)
1. Gestão de Identidade e Acesso (IAM): As metodologias de IAM incluem contas de usuários privilegiados, que concedem privilégios administrativos somente a determinados usuários; e gerenciamento do ciclo de vida do usuário, que gerencia a identidade e os privilégios de acesso de cada usuário desde o registro inicial até a aposentador2ia. Essencial para a segregação de acessos.
2. Segregação de Funções: O Princípio Fundamental: A segregação de funções é um dos pilares mais importantes da segurança corporativa. Este princípio estabelece que:
◦ Nenhuma pessoa deve ter controle total sobre uma transação crítica.
◦ Diferentes pessoas devem ser responsáveis por autorizar, registrar e custodiar operações.
◦ Quem executa não deve ser quem aprova.
◦ Exemplo prático: Em uma transferência bancária, uma pessoa solicita, outra pessoa aprova, e uma terceira executa. Aplicar essa segregação impede que os atacantes, uma vez dentro do sistema, executem transações sem as devidas aprovações.
3. Dupla Custódia para Operações Críticas: A dupla custódia exige que duas pessoas autorizadas estejam presentes ou aprovem conjuntamente operações sensíveis:
◦ Acesso a servidores críticos: Duas chaves ou senhas diferentes.
◦ Configurações de segurança: Aprovação de dois administradores.
◦ Transferências financeiras acima de determinado valor: Dois signatários.
◦ Alterações em sistemas de produção: Dupla validação.
◦ Por que funciona: Mesmo que um funcionário seja comprometido ou aja maliciosamente, a operação não pode ser completada sem a segunda autorização.
4. Sistema de Alçadas: Controle Escalonado: Implemente níveis de autorização baseados no valor e criticidade das operações:
◦ Alçada Básica: Supervisor direto.
◦ Alçada Intermediária: Gerente + Diretor.
◦ Alçada Superior: Dois diretores + validação interna.
◦ Operações críticas: Dois diretores + aprovação do board.
5. Políticas Rígidas de Acesso:
◦ Implemente o princípio do menor privilégio em toda a organização.
◦ Realize auditorias regulares de permissões.
◦ Remova acessos desnecessários imediatamente.
6. Treinamento Contínuo: A falha humana ainda é uma das maiores ameaças de ataques cibernéticos. Invista em:
◦ Simulações de phishing.
◦ Treinamentos sobre segurança digital.
◦ Conscientização sobre engenharia social.
7. Monitoramento e Detecção: Automatizar o monitoramento e o gerenciamento de segurança permite que as equipes de segurança dimensionem e corrijam problemas rapidamente, fortalecendo a cibersegurança.
Medidas técnicas essenciais
• Atualizações e Patches: Sistemas desatualizados representam um risco significativo de segurança cibernética, pois se tornam alvos fáceis para ataques maliciosos. Vulnerabilidades de software são comuns e são corrigidas com a aplicação de patches ou atualizações que corrigem o problema.
• Backup e Recuperação: A importância dos backups consistentes não pode ser subestimada, pois sua ausência pode levar à perda irreparável de dados em diversas situações críticas.
• Configurações Seguras: O software geralmente possui várias configurações que ativam ou desativam diferentes recursos, incluindo funcionalidade de segurança. A falha na configuração segura do aplicativo é um problema comum, especialmente em ambien3tes de nuvem.
Como a segregação de funções poderia ter evitado o ataque C&M
O caso da C&M revela uma falha crítica nos controles internos. Segundo o CEO da BMP, Carlos Benitez, os certificados de autenticação foram “de alguma forma duplicados ou invadidos”, gerando autorizações fraudulentas de remessa para o Banco Central.
Se houvesse segregação adequada, como prevê a boa prática de segurança da informação:
• A mesma pessoa que gerava os certificados não poderia executar as transações.
• Transferências de grande valor (como os R$ 400 milhões da BMP) exigiriam múltiplas aprovações.
• Sistemas de alçada teriam impedido transações automáticas acima de determinados limites.
• A dupla custódia teria exigido validação humana para operações críticas.
O erro fatal: automação sem controles
O ataque conseguiu drenar R$ 800 milhões de oito instituições através de “múltiplos PIX em questão de minutos”. Isso indica que não havia:
1. Controles de velocidade: Limites para número de transações por período.
2. Aprovação manual: Para valores acima de determinados limites.
3. Alertas de anomalia: Para detectar padrões atípicos de transação.
4. Segregação temporal: Janelas de tempo para execução de operações críticas.
O que aprendemos com a C&M
O ataque à C&M nos ensina que não se tratou da falha de uma única empresa, mas sim da falha de um sistema construído sobre uma teia complexa de confiança e interconexão tecnológica.
Lições Fundamentais para a Segurança da Informação:
1. Segurança é uma Cadeia: Uma única vulnerabilidade pode comprometer todo o ecossistema.
2. Controles Internos São Vitais: A falta de segregação de funções e dupla custódia amplificou o dano.
3. Automação Sem Controles é Perigosa: Sistemas automatizados precisam de freios e parâmetros e, dependendo dos limites, de intervenção humana.
4. Confiança Deve Ser Verificada: A confiança já não pode ser implícita; terá de ser verificada, monitorizada e continuamente validada.
5. Preparação é Essencial: Organizações que implementam estratégias de segurança cibernética minimizam as consequências indesejadas de ataques cibernéticos que podem impactar a reputação empresarial, situação financeira, operações comerciais e confiança do cliente.
Checklist de segurança imediata para implementar hoje
Esteja um passo à frente dos criminosos cibernéticos:
□ Revisão de Controles Internos:
• Implemente segregação de funções em processos críticos.
• Estabeleça sistema de dupla custódia para operações sensíveis.
• Defina alçadas claras baseadas em valor e criticidade.
• Crie aprovações escalonadas para diferentes tipos de transação.
□ Auditoria de Contas:
• Identifique quem tem acessos administrativos e/ou excessivos na sua organização.
• Questione se cada pessoa realmente precisa desses privilégios.
□ Políticas de Senha e Acesso:
• Crie senhas fortes para todos os acessos a sistemas e redes.
• Use autenticação multifator (MFA).
• Avalie se as conexões e acessos partem de locais e dispositivos permitidos.
□ Atualizações:
• Verifique se todos os sistemas estão atualizados.
• Implemente um cronograma regular de patches.
□ Treinamento de Equipe:
• Realize uma sessão de conscientização sobre segurança.
• Teste conhecimentos com simulações de phishing.
□ Backup:
• Verifique se os backups estão funcionando.
• Teste a recuperação de dados periodicamente.
Conclusão: segurança não é luxo, é necessidade
O caso da C&M nos lembra que 78% das empresas brasileiras tiveram pelo menos um roubo de dados em 2022. Não é questão de “se” sua empresa será alvo, mas “quando”.
Conceder muitas permissões e usar contas administrativas para tarefas cotidianas é como dirigir sem cinto de segurança – pode parecer mais conveniente, mas as consequências de um acidente podem ser catastróficas.
A superfície de risco ainda está se expandindo, com milhares de novas vulnerabilidades sendo relatadas em aplicações e dispositivos antigos e novos. Em um mundo onde criminosos cibernéticos estão sempre encontrando novos vetores de ataque, a única defesa efetiva é a prevenção proativa.
A segurança cibernética não começa com tecnologias caras ou equipes especializadas. Começa com a simples decisão de não conceder muitos privilégios ou acessos administrativos desnecessariamente.
Sua empresa pode estar a apenas um clique de distância de se tornar a próxima manchete de cibersegurança. A escolha de agir preventivamente é sua.
Keywords
• segregação de acessos
• cibersegurança
• segurança da informação
• ataque cibernético / ataques cibernéticos
• privilégios administrativos / privilégios elevados / privilégios
• gestão de identidade e acesso (IAM)
• princípio do menor privilégio
• dupla custódia
• fraude cibernética (implícita pelo roubo, mas reforçada pelo contexto)
• C&M Software / C&M
• roubo de dados / dados
• hackers
• phishing
• vulnerabilidades
• backups
• segurança
• acessos
*Marco Grecco consultor de tecnologia e cibersegurança
