Humanizing Banking

Asesor estratégico para líderes que enfrentan desafíos reales.

4–6 minutos

Ciberataque al Corazón Financiero de Brasil: El Asalto de R$800 Millones que Desnudó la Fragilidad del Pix

El Terremoto Digital

En julio de 2025, el sistema financiero brasileño fue sacudido por un ciberataque de magnitud inédita. El blanco no fue un banco específico ni una base de datos de clientes. Fue algo más estructural: el ecosistema de pagos instantáneos Pix, orgullo tecnológico del Banco Central de Brasil. Lo que comenzó como una filtración de R$18 millones escaló a un desfalco de proporciones devastadoras: entre R$400 y R$800 millones, según distintas fuentes.

Este no fue simplemente un robo. Fue un ataque quirúrgico a la infraestructura crítica de la economía digital latinoamericana, que expuso una verdad incómoda: la hiperconectividad sin controles proporcionales no es sinónimo de progreso. Es una vulnerabilidad latente.

¿Qué es Pix y Por Qué Fue un Blanco Estratégico?

Pix nació en 2020 como un ambicioso experimento de inclusión financiera. Diseñado por el Banco Central, eliminó fricciones, redujo costos y permitió pagos instantáneos 24/7. Rápidamente se convirtió en el método de pago más usado del país, desplazando a transferencias bancarias tradicionales, tarjetas y boletos. Para 2025, el 82% de la población lo utilizaba, procesando más de 42.000 millones de transacciones por año.

Pero la clave está en lo que no se ve: Pix no es una app, es una red de redes. Su funcionamiento depende de un conjunto de actores intermedios homologados —como C&M Software— que conectan bancos y fintechs con el sistema central del BCB. Y ese fue el eslabón que se rompió.

El Ataque: Cronología de una Intrusión Silenciosa

  1. Infiltración por ingeniería social: El primer acceso se logró a través de la manipulación de un empleado de bajo perfil técnico en C&M Software. A cambio de R$15.000, entregó credenciales críticas.
  2. Movimiento lateral y persistencia: Una vez dentro, los atacantes se movieron con sigilo por las redes internas durante días, recolectando credenciales de clientes y mapearon rutas de acceso sin disparar alarmas.
  3. Asalto a cuentas de reserva: Utilizaron privilegios administrativos para vaciar las cuentas de reserva que los bancos tienen en el Banco Central, mecanismo central para transacciones Pix interbancarias. Los clientes no fueron afectados directamente, pero las instituciones sí.
  4. Lavado mediante Pix y criptoactivos: Los fondos fueron enviados a cuentas “laranja” (mulas) y convertidos en criptomonedas. Parte fue recuperada gracias al Mecanismo Especial de Devolución (MED), pero el BCB no publicó cifras oficiales.

¿Qué Instituciones Fueron Afectadas?

El impacto se sintió en al menos seis instituciones, entre ellas:

  • BMP, que confirmó el acceso no autorizado a sus cuentas de reserva.
  • Banco Paulista, que debió desconectarse temporalmente del sistema Pix.
  • Credsystem, Banco Carrefour y Credufes, también reportaron afectaciones.

El Banco Central forzó la desconexión preventiva de múltiples entidades para frenar la propagación del ataque, generando interrupciones masivas en los servicios.

Cifras del Desastre

¿Cómo Fue Posible? Fallas Estructurales

1. Ausencia de topes regulatorios dentro del BCB

Mientras los bancos privados imponen techos operativos, el Banco Central no tenía límites efectivos para las cuentas de reserva, permitiendo que se desvíen cientos de millones sin alarmas automáticas.

2. Dependencia crítica de intermediarios no auditados

C&M Software era uno de los nueve conectores habilitados para operar Pix. Sin embargo, su rol estructural no iba acompañado de controles de seguridad robustos ni auditorías constantes.

3. Subestimación del riesgo humano

El ataque no se basó en una falla tecnológica, sino en una falla cultural: la ausencia de protocolos para gestionar privilegios y prevenir accesos indebidos por ingeniería social.

Lecciones del Caso: No fue un error. Fue un síntoma.

  1. La innovación sin gobernanza es un riesgo sistémicoEl caso demuestra que, a mayor eficiencia, mayor es la superficie de ataque. Los mecanismos que celebramos como “progreso” también se convierten en vectores de disrupción si no están blindados con protocolos serios.
  2. El proveedor más pequeño puede habilitar el mayor dañoEl eslabón débil no fue el sistema central, sino su periferia. Como ocurre en ataques tipo SolarWinds, el “enemigo” no siempre entra por la puerta principal. Entra por el tercero que nadie vigilaba.
  3. No basta con recuperar el dinero. Hay que recuperar la confianzaAunque parte de los fondos fue interceptada, lo que quedó dañado fue la percepción de robustez del sistema. Y eso, en sistemas financieros digitales, vale más que el capital perdido.

Reflexión Final: Cuando la Ciberseguridad es Política Pública

El ataque al Pix no fue solo un “incidente cibernético”. Fue un evento estructural, institucional y cultural. Y como tal, obliga a repensar desde el diseño de sistemas hasta los marcos regulatorios.

El caso expone una paradoja incómoda: la velocidad del progreso digital ha superado nuestra capacidad de gobernarlo con responsabilidad sistémica. No basta con desarrollar herramientas rápidas y baratas. Hay que asegurar que sean confiables, trazables y resilientes.

La gran lección no es técnica. Es estratégica: si no invertimos en blindaje institucional, cada innovación se transforma en una amenaza latente. Brasil, con su liderazgo en pagos digitales, tiene hoy una oportunidad histórica: transformar esta crisis en un estándar regional de gobernanza.

Pix seguirá. Pero deberá hacerlo con nuevas reglas, nuevos controles y nuevos guardianes.

Diego San Esteban

Presidente Latam AI Hub

Fuentes

AP News. (2025). Police in Brazil arrest suspect over $100M banking hack. https://apnews.com/article/5e39633b2ce3a662b90978dcf4647510
Reuters. (2025). Brazilian tech services company C&M resumes operations after cyberattack. https://www.reuters.com/world/americas/brazilian-tech-services-company-cm-resumes-operations-after-cyberattack-2025-07-03/
Reuters. (2025). Cyberattack on Brazil tech provider affects reserve accounts…. https://www.reuters.com/world/americas/brazils-cm-software-hit-by-cyberattack-central-bank-says-2025-07-02/
Valor International. (2025). Pix hacking prompts cybersecurity reckoning in Brazil. https://valorinternational.globo.com/markets/news/2025/07/03/pix-hacking-prompts-cybersecurity-reckoning-in-brazil.ghtml
Valor International. (2025). Hackers steal R$400m in attack on Pix‑connected fintech. https://valorinternational.globo.com/markets/news/2025/07/02/hackers-steal-r400m-in-attack-on-pix-connected-fintech.ghtml
Security Leaders. (2025). Ciberataque a provedor de TI gera prejuízo de R$500 milhões. https://securityleaders.com.br/ciberataque-a-provedor-de-ti-gera-prejuizo-de-r-500-milhoes-em-servicos-financeiros/
TI Inside. (2025). Company targeted by hacker attack resumes operations. https://tiinside.com.br/en/03/07/2025/empresa-alvo-de-ataque-hacker-volta-a-operar-com-autorizacao-do-bc/
Agência Brasil. (2025). BC suspende três instituições do Pix após ataque cibernético. https://agenciabrasil.ebc.com.br/economia/noticia/2025-07/bc-suspende-tres-instituicoes-do-pix-apos-ataque-cibernetico

No pierdas nuestros artículos

Suscríbete al canal y mantente actualizado de los articulos, eventos, y sobre todo de los webinars y conversatorios que organizo junto a prestigiosos colegas

Subscribe

Descubre más desde Humanizing Banking

Suscríbete ahora para seguir leyendo y obtener acceso al archivo completo.

Seguir leyendo