O Preço do Acesso: Como Grupos Criminosos Compram as Chaves da Sua Empresa
O maior ataque financeiro digital do Brasil começou com uma credencial legítima vendida por R$ 15 mil.
CIBERSEGURANÇAINFRAESTRUTURAMERCADOTECNOLOGIA
Por Ismael Junior | Arrow Security
5/12/20264 min read
Em julho de 2025, o Brasil registrou a maior fraude financeira digital de sua história. O alvo não foi um banco. Foi a C&M Software, empresa de tecnologia que opera como elo intermediário entre instituições financeiras e o Sistema de Pagamentos Brasileiro, a infraestrutura que sustenta o Pix. O resultado: pelo menos R$ 800 milhões desviados, seis instituições financeiras afetadas, o Banco Central forçado a suspender operações e 21 pessoas presas em uma operação que se estendeu até a Espanha e a Argentina.
O método utilizado não envolveu nenhuma tecnologia sofisticada. Um funcionário vendeu suas credenciais de acesso por R$ 15 mil. Foi o suficiente.
Quando a chave vale mais que o cofre
O caso da C&M expõe uma lógica que grupos criminosos dominam há anos e que o mundo corporativo ainda subestima: em determinados ambientes, o acesso vale mais do que qualquer dado isolado. Não foram roubadas informações de clientes. Não foram exploradas vulnerabilidades técnicas de última geração. Criminosos simplesmente compraram a porta e entraram com credenciais legítimas, sem acionar nenhum alarme.
Essa é a anatomia do ataque de insider: invisível por definição e devastador por consequência. O tempo médio de detecção de um agente interno comprometido é de 197 dias, segundo o Instituto Ponemon. No caso da C&M, as transferências fraudulentas ocorreram na madrugada e foram percebidas horas depois, mas os danos já estavam consolidados.
O que torna esse modelo especialmente perigoso é sua escalabilidade. A C&M prestava serviços a mais de 23 instituições financeiras. Um único ponto de acesso comprometido contaminou todo o ecossistema conectado a ele. Não foi um ataque a um banco, foi um ataque ao sistema.
O erro de achar que isso não é com você
O reflexo imediato de qualquer gestor ao ler sobre uma fraude dessa magnitude é o distanciamento: “minha empresa não é a C&M, não sou alvo desse tipo de ataque.” Esse raciocínio é precisamente o que grupos criminosos contam que você faça.
O modelo de recrutamento de insiders, tornado público pelo grupo LAPSUS$ em 2022, quando anunciou abertamente que pagava por credenciais de funcionários de empresas como Microsoft, Apple, Claro e Telefônica, não discrimina pelo porte da organização. Discrimina pelo valor do acesso. E nesse critério, empresas de pequeno e médio porte podem ser o alvo mais atrativo da cadeia.
Um escritório de contabilidade com acesso aos sistemas financeiros de 40 clientes. Uma empresa de RH que gerencia folhas de pagamento de grupos industriais. Um integrador de TI com acesso remoto privilegiado a dezenas de ambientes corporativos. Para um atacante, esses são pontos de entrada com retorno multiplicado, menos monitorados, menos protegidos e diretamente conectados a organizações maiores.
O setor de segurança tem nome para esse vetor: ataque de cadeia de suprimentos. Foi ele que viabilizou a fraude da C&M. E é ele que explica por que a Febraban registrou R$ 10,1 bilhões em perdas com fraudes e golpes cibernéticos em 2024, um crescimento de 17% em relação ao ano anterior, com R$ 2,7 bilhões associados exclusivamente ao Pix.
O custo que não aparece na projeção
O Instituto Ponemon calcula que o custo médio global de um incidente envolvendo insider superou US$ 16 milhões em 2024, considerando apenas custos diretos e mensuráveis: investigação forense, remediação técnica, notificações legais e multas regulatórias. Não inclui perda de contratos, erosão de reputação e o abandono silencioso de clientes que não renovam sem dar explicações.
No Brasil, o cenário regulatório amplia a exposição. A LGPD prevê sanções de até 2% do faturamento bruto, limitadas a R$ 50 milhões por infração. Empresas que demonstram negligência na gestão de acessos, sem revisões periódicas, sem offboarding estruturado, sem políticas documentadas, acumulam passivo regulatório que pode ser acionado anos depois de um incidente.
Para empresas em processo de crescimento, captação ou fusão, o risco assume uma dimensão adicional: due diligences de cibersegurança tornaram-se padrão em operações de M&A e rodadas de investimento institucional. Uma gestão de acessos negligente, quando descoberta nesse contexto, não reduz valuation, frequentemente inviabiliza a operação.
O que separa as empresas que sobrevivem
Empresas com protocolo formal de resposta a incidentes contêm crises 54 dias mais rápido e gastam 35% menos na remediação, segundo o mesmo estudo do Ponemon. A diferença não está na sofisticação tecnológica, está na qualidade dos processos.
Revisão periódica de permissões, com cada colaborador acessando apenas o que sua função exige. Revogação imediata de acessos no desligamento, sem exceções ou atrasos. Monitoramento de comportamento anômalo nos sistemas. Cultura de conscientização contínua que permita ao próprio time identificar e reportar tentativas de aliciamento. Plano documentado de resposta antes que o incidente aconteça.
Nenhum desses controles é tecnologia de ponta. Todos são decisões de governança.
O caso da C&M Software não é uma anomalia do setor financeiro. É o exemplo mais caro e mais documentado de algo que acontece diariamente em empresas de todos os portes e setores: alguém com acesso legítimo decidiu que aquele acesso valia mais do que o emprego.
A pergunta que todo conselheiro, acionista e gestor deveria levar para a próxima reunião não é técnica. É estratégica: O que alguém dentro da minha empresa poderia vender hoje e eu saberia antes que fosse tarde?
Quem não tem resposta já está correndo um risco que não aparece em nenhuma projeção.