El robo bancario de $140 millones en Brasil realizado por solo $2,7K

En una asombrosa violación de confianza y seguridad, los hackers robaron un estimado de $140 millones (aproximadamente R$800 millones) de seis bancos brasileños después de sobornar a un empleado de TI por solo $2,700. El ciberataque, que ocurrió el 30 de junio de 2025, tuvo como objetivo a C&M Software, un intermediario clave que conecta a los bancos con el Banco Central de Brasil y su popular red de pagos instantáneos PIX.

El robo digital comenzó cuando los atacantes pagaron a João Nazareno Roque, un técnico de TI de 48 años en C&M Software, para que entregara sus credenciales de inicio de sesión corporativo. Con eso, los hackers obtuvieron acceso a la infraestructura que conecta a las instituciones financieras con los sistemas de reserva del Banco Central. El ataque afectó a seis bancos, incluyendo Banco BMF y otros, y se ejecutó el mismo día.

Un complot gestado durante unas copas

Según informes de los medios brasileños, Roque fue abordado por primera vez por los cibercriminales fuera de un bar en São Paulo en marzo. Lo que comenzó como un acercamiento casual se convirtió en una operación de alto riesgo. La policía dice que Roque recibió R$5,000 (alrededor de $920) por entregar su inicio de sesión y contraseña corporativa para la empresa C&M.

Más tarde recibió otros R$10,000 (alrededor de $1,850) que se pagaron en billetes de R$100 para llevar a cabo comandos específicos dentro del sistema. Esto permitió a los hackers llevar a cabo su robo sin ser detectados.

Roque supuestamente se comunicó con los cibercriminales solo por celular, mientras intentaba evadir la detección cambiando de teléfono cada 15 días. Además, su pago fue entregado a través de mensajeros en motocicleta. A pesar de las precauciones, fue arrestado por la policía de São Paulo el 3 de julio de 2025.

No una falla técnica, sino una humana

C&M Software enfatizó que la violación no se debió a una vulnerabilidad en sus sistemas, sino que fue el resultado de ingeniería social: manipular a un insider de confianza para ayudar a los atacantes a obtener acceso a sistemas y procesos en lugar de romper cortafuegos, para desviar fondos de cuentas de reserva institucionales.

Una vez dentro del sistema, los hackers drenaron dinero de cuentas de reserva—utilizadas por las instituciones financieras para mover fondos entre sí—en lugar de cuentas de clientes individuales. Si bien no se vieron afectadas cuentas de clientes individuales, la escala y velocidad del ataque han alarmado a expertos en ciberseguridad y reguladores financieros por igual.

Consecuencias inmediatas y respuesta

Tan pronto como se descubrió la violación, el Banco Central de Brasil ordenó a C&M Software desconectarse de todos los sistemas bancarios. Los servicios relacionados con PIX fueron suspendidos brevemente como medida de seguridad.

Las autoridades brasileñas han congelado aproximadamente $55 millones (R$270 millones) en fondos robados y arrestado a Roque. Una parte del dinero robado—entre $30 millones y $40 millones—ya ha sido blanqueada en criptomonedas—incluyendo Bitcoin (BTC), Ethereum (ETH) y Tether (USDT)—utilizando intercambios de criptomonedas en América Latina y mercados OTC no regulados, según el investigador de blockchain ZachXBT.

ZachXBT, conocido por su trabajo rastreando crímenes basados en criptomonedas, está trabajando ahora con las fuerzas del orden brasileñas para rastrear los activos blanqueados vinculados al robo y congelar los fondos robados donde sea posible.

¿Qué sigue?

C&M Software afirma que sus sistemas ya están en línea nuevamente y que la estructura de protección de CMSW fue decisiva para identificar el origen del acceso indebido y aislar la violación rápidamente.

“Hasta ahora, la evidencia sugiere que el incidente fue el resultado del uso de técnicas de ingeniería social para compartir indebidamente credenciales de acceso, y no de fallas en los sistemas o tecnología de CMSW. Nos gustaría enfatizar que CMSW no fue el origen del incidente y sigue siendo totalmente operativo, con todos sus productos y servicios funcionando normalmente”, dijo C&M en un comunicado.

Mientras tanto, el Banco Central dice que ha fortalecido la supervisión sobre las transacciones de PIX y está trabajando en estrecha colaboración con los investigadores para rastrear y recuperar más fondos.