O Elo Mais Fraco: Falhas em Terceiros e Ataques Bilionários no Brasil

Introdução

O ano de 2025 ficará marcado na história da tecnologia e das finanças no Brasil. Não por uma inovação disruptiva ou por um recorde de crescimento, mas por ter exposto, da forma mais dura e onerosa possível, uma verdade inconveniente sobre a segurança digital: a fortaleza de uma organização é medida pela força do seu elo mais fraco.

Os ataques cibernéticos que resultaram no desvio de R$ 1 bilhão do Banco Central e R$ 400 milhões do HSBC não foram fruto de uma investida frontal contra os cofres digitais dessas instituições. Pelo contrário, foram a crônica de uma invasão pela porta dos fundos, aberta por empresas terceirizadas que prestavam serviços essenciais.

Esses incidentes, que somam R$ 1,4 bilhão em prejuízos, não são apenas sobre dinheiro perdido. Eles representam a quebra de um paradigma: mostram que, na economia digital interconectada, investir milhões em defesas próprias é inútil se os parceiros estratégicos não têm a mesma solidez.

Anatomia de um desastre: O caso RSGP e o Banco Central

O primeiro golpe veio através da RSGP, empresa de desenvolvimento de software contratada pelo Banco Central. Suas soluções exigiam acesso privilegiado aos sistemas da autoridade monetária — e foi exatamente essa ponte de confiança que os criminosos exploraram.

As investigações revelaram que os atacantes não miraram diretamente o Banco Central, mas sim a infraestrutura da RSGP. Uma vez dentro, escalaram privilégios e utilizaram credenciais legítimas para acessar a rede do BC.

O resultado: o desvio silencioso e preciso de R$ 1 bilhão, explorando a confiança como vulnerabilidade.

Padrão de vulnerabilidade: O ataque ao HSBC

Semanas depois, outro ataque confirmou a tendência. Desta vez, o HSBC foi alvo, com prejuízo de R$ 400 milhões. O vetor foi a Sinqia, fornecedora de tecnologia do banco.

O modus operandi foi semelhante: os criminosos comprometeram primeiro a rede da Sinqia e, a partir dela, abriram caminho para o HSBC.

A repetição demonstrou que os hackers haviam mapeado o ecossistema financeiro e perceberam que o caminho mais fácil não era atacar os bancos diretamente, mas seus fornecedores.

De quem é a responsabilidade?

A pergunta que dominou reuniões e comitês foi inevitável: quem falhou?

• As terceirizadas, por não investirem o suficiente em segurança?
• Ou as instituições financeiras, por terceirizarem funções críticas sem supervisão adequada?

A resposta é compartilhada, mas o ônus final recai sobre os contratantes. Em cibersegurança, a diligência não termina na assinatura do contrato — ela exige monitoramento contínuo.

Lições aprendidas: Três Pilares do TPRM

Os casos de 2025 consolidaram a importância do Third-Party Risk Management (TPRM), gestão de riscos de terceiros. Três pilares emergiram como fundamentais:

1. Due Diligence em Cibersegurança – auditoria técnica profunda antes da contratação de fornecedores.
2. Princípio do Menor Privilégio (PoLP) – conceder apenas os acessos estritamente necessários.
3. Monitoramento Contínuo – vigiar tráfego de rede e comportamento de acessos de terceiros.

Conclusão

Os ataques ao Banco Central e ao HSBC deixaram uma lição cara: o perímetro de segurança de uma organização não termina em seus firewalls, mas abrange toda a cadeia de suprimentos digitais.

A cibersegurança deixou de ser um esforço isolado para se tornar um jogo coletivo, onde cada parceiro é decisivo.

Para profissionais da área, a mensagem é inequívoca: gestão de riscos de terceiros não é mais uma boa prática — é a linha de defesa central contra o próximo “roubo do século”.