image

Access unlimited bootcamps and 750+ courses forever

70
%OFF
Content list
Article image
Lucas Deus
Lucas Deus12/09/2025 18:48
Share

O Elo Mais Fraco: Falhas em Terceiros e Ataques Bilionários no Brasil

    Introdução

    O ano de 2025 ficará marcado na história da tecnologia e das finanças no Brasil. Não por uma inovação disruptiva ou por um recorde de crescimento, mas por ter exposto, da forma mais dura e onerosa possível, uma verdade inconveniente sobre a segurança digital: a fortaleza de uma organização é medida pela força do seu elo mais fraco.

    Os ataques cibernéticos que resultaram no desvio de R$ 1 bilhão do Banco Central e R$ 400 milhões do HSBC não foram fruto de uma investida frontal contra os cofres digitais dessas instituições. Pelo contrário, foram a crônica de uma invasão pela porta dos fundos, aberta por empresas terceirizadas que prestavam serviços essenciais.

    Esses incidentes, que somam R$ 1,4 bilhão em prejuízos, não são apenas sobre dinheiro perdido. Eles representam a quebra de um paradigma: mostram que, na economia digital interconectada, investir milhões em defesas próprias é inútil se os parceiros estratégicos não têm a mesma solidez.

    Anatomia de um desastre: O caso RSGP e o Banco Central

    O primeiro golpe veio através da RSGP, empresa de desenvolvimento de software contratada pelo Banco Central. Suas soluções exigiam acesso privilegiado aos sistemas da autoridade monetária — e foi exatamente essa ponte de confiança que os criminosos exploraram.

    As investigações revelaram que os atacantes não miraram diretamente o Banco Central, mas sim a infraestrutura da RSGP. Uma vez dentro, escalaram privilégios e utilizaram credenciais legítimas para acessar a rede do BC.

    O resultado: o desvio silencioso e preciso de R$ 1 bilhão, explorando a confiança como vulnerabilidade.

    Padrão de vulnerabilidade: O ataque ao HSBC

    Semanas depois, outro ataque confirmou a tendência. Desta vez, o HSBC foi alvo, com prejuízo de R$ 400 milhões. O vetor foi a Sinqia, fornecedora de tecnologia do banco.

    O modus operandi foi semelhante: os criminosos comprometeram primeiro a rede da Sinqia e, a partir dela, abriram caminho para o HSBC.

    A repetição demonstrou que os hackers haviam mapeado o ecossistema financeiro e perceberam que o caminho mais fácil não era atacar os bancos diretamente, mas seus fornecedores.

    De quem é a responsabilidade?

    A pergunta que dominou reuniões e comitês foi inevitável: quem falhou?

    • As terceirizadas, por não investirem o suficiente em segurança?
    • Ou as instituições financeiras, por terceirizarem funções críticas sem supervisão adequada?

    A resposta é compartilhada, mas o ônus final recai sobre os contratantes. Em cibersegurança, a diligência não termina na assinatura do contrato — ela exige monitoramento contínuo.

    Lições aprendidas: Três Pilares do TPRM

    Os casos de 2025 consolidaram a importância do Third-Party Risk Management (TPRM), gestão de riscos de terceiros. Três pilares emergiram como fundamentais:

    1. Due Diligence em Cibersegurança – auditoria técnica profunda antes da contratação de fornecedores.
    2. Princípio do Menor Privilégio (PoLP) – conceder apenas os acessos estritamente necessários.
    3. Monitoramento Contínuo – vigiar tráfego de rede e comportamento de acessos de terceiros.

    Conclusão

    Os ataques ao Banco Central e ao HSBC deixaram uma lição cara: o perímetro de segurança de uma organização não termina em seus firewalls, mas abrange toda a cadeia de suprimentos digitais.

    A cibersegurança deixou de ser um esforço isolado para se tornar um jogo coletivo, onde cada parceiro é decisivo.

    Para profissionais da área, a mensagem é inequívoca: gestão de riscos de terceiros não é mais uma boa prática — é a linha de defesa central contra o próximo “roubo do século”.

    Share
    Recommended for you
    AWS - Agentes de IA em Campo
    Michael Page - Criando Seu Primeiro Agente de IA
    Sem Parar Corpay - Back-end do Zero a Prática
    Comments (3)
    Erick Souza
    Erick Souza - 17/10/2025 20:56

    A análise destaca, esses ataques não violaram diretamente os sistemas das instituições financeiras. Em vez disso, seguiram um novo padrão: comprometer os parceiros estratégicos com acesso privilegiado. Em cibersegurança, confiança sem verificação é vulnerabilidade. A cadeia de segurança não termina onde começa o contrato ela exige vigilância contínua.

    Lucas Deus
    Lucas Deus - 17/09/2025 07:58

    Respondendo à DIO Community:

    Olá! Obrigado pela pergunta. Acompanhar tudo isso é assustador, principalmente para alguém que está iniciando na carreira de CyberSec, ao mesmo tempo, um chamado à responsabilidade. O que mais me marcou é que a falha não foi um ataque de força bruta, quebrando a criptografia do banco. Foi uma porta dos fundos, aberta por um parceiro empresarial. minha cabeça vai direto para a estrutura. Para a arquitetura da confiança. Por isso, meu primeiro impulso, e onde eu sinto que preciso mergulhar, é na parte de criar modelos de avaliação e automação mais inteligentes. Quero entender como podemos usar código, dados e lógica para construir "cercas digitais" que sejam dinâmicas, que aprendam com o comportamento e que não dependam só de um "ok" no momento da contratação de um fornecedor. Acredito que podemos programar defesas que validem continuamente se o acesso concedido ainda faz sentido, mas aí eu paro e penso... de que adianta construir o castelo mais seguro do mundo se alguém, com a melhor das intenções, entregar a chave pela janela? É aí que o outro lado da sua pergunta me pega. A conscientização e o treinamento das equipes não podem ser só um item no checklist.

    Então, respondendo de forma honesta, não vejo como escolher um caminho só. Sinto que um alimenta o outro. A tecnologia nos dá os dados para mostrar onde estamos mais vulneráveis. E esses dados são a munição perfeita para um treinamento que realmente faça sentido, que não seja só mais um slide de "não clique aqui". É poder dizer para as equipes: "Olha, é por aqui que o risco é real, é aqui que precisamos da sua atenção". No fim das contas, sinto que o papel será justamente esse, começar pelo que a minha formação me prepara melhor, a construção de sistemas seguros, mas com o objetivo final de fortalecer o fator humano. Precisamos de tecnologia para proteger as pessoas, e de pessoas bem preparadas para que a tecnologia realmente funcione.

    DIO Community
    DIO Community - 15/09/2025 16:17

    Muito relevante, Lucas! O seu artigo evidencia de forma clara como a segurança de uma organização não depende apenas de seus próprios sistemas, mas da robustez de toda a cadeia de parceiros e fornecedores. Gostei bastante de como você destacou a importância do Third-Party Risk Management (TPRM), mostrando que auditoria, princípio do menor privilégio e monitoramento contínuo são pilares essenciais para prevenir ataques bilionários.

    Na DIO valorizamos muito esse olhar estratégico sobre tecnologia e riscos. O trecho em que você diz que “o perímetro de segurança de uma organização não termina em seus firewalls, mas abrange toda a cadeia de suprimentos digitais” resume bem o impacto que a gestão de riscos de terceiros tem na resiliência corporativa.

    Me conta: olhando para frente, você pretende aprofundar a análise em modelos de avaliação de fornecedores e automação do monitoramento de riscos, ou acredita que o próximo passo será focar na conscientização e treinamento contínuo das equipes para reduzir vulnerabilidades humanas?