Ataque de hackers podría resultar en pérdidas superiores a R$ 1.000 millones y más víctimas

La Policía Civil de São Paulo estima que las pérdidas causadas por el ataque hacker a la empresa C&M Software pueden superar los R$ 1.000 millones, ya que más instituciones financieras reportan pérdidas relacionadas con el caso.

La información fue confirmada por el delegado Paulo Eduardo Barbosa, responsable por la División de Delitos Cibernéticos (DCCiber), en un reportaje de Valor Econômico .

Según la encuesta publicada, se identificaron inicialmente seis empresas afectadas. Entre los casos conocidos, destacan las pérdidas de R$541 millones sufridas por BMP Money Plus, R$104 millones por otro banco y R$49 millones por una tercera institución. Según Barbosa, es probable que otras instituciones estén involucradas, pero, por temor a dañar su reputación, optan por no notificar a la policía, especialmente cuando las pérdidas son menores.

El Banco Central ha estado apoyando la investigación, aunque sin contar con un equipo técnico específico. Según el jefe de policía, la fase actual consiste en rastrear los fondos malversados y analizar los ordenadores utilizados por el exempleado de C&M, João Nazareno Roque, sospechoso de facilitar el ataque. Fue detenido temporalmente y, tras el período inicial de cinco días, el tribunal autorizó la conversión de su arresto en prisión preventiva.

La investigación también cuenta con el apoyo del Ministerio Público. Hasta el momento, se han congelado aproximadamente R$15 millones convertidos en criptoactivos. La policía busca identificar al grupo responsable de seducir al empleado de C&M. Si bien no se descarta la posibilidad de conexiones internacionales, Barbosa cree que los responsables son mayoritariamente brasileños, que utilizan empresas bajo el nombre de testaferros, y cuyos verdaderos beneficiarios residen en el extranjero.

El caso fue transferido al Juzgado 1.º de Delitos Fiscales, Crimen Organizado y Blanqueo de Capitales de São Paulo. La Policía Civil continúa analizando las pruebas obtenidas y no descarta nuevas detenciones en las próximas semanas.

Otra línea de investigación está a cargo de la Policía Federal en Brasilia, que intenta localizar al menos 140 cuentas que recibieron los fondos malversados.

¿Cómo fue el ataque hacker contra instituciones financieras?

La Policía Civil de São Paulo informó que el ataque informático a C&M Software, empresa que conecta bancos con el sistema Pix, fue el mayor de su tipo registrado en Brasil. El ataque ocurrió después de que João Nazareno Roque, entonces empleado de la empresa, vendiera su contraseña y acceso al sistema por R$5.000 a un grupo criminal.

Días después, ejecutó comandos maliciosos dentro del sistema a cambio de otros R$10.000. Con este acceso, los hackers pudieron emitir órdenes de transferencia falsas en nombre de instituciones financieras, como el banco BMP, que reportó pérdidas por R$541 millones. Inicialmente, se creía que al menos seis instituciones financieras se vieron afectadas, y que las pérdidas totales podrían superar los R$1.000 millones.

Las órdenes fraudulentas se originaron en el sistema de C&M, ajeno al esquema criminal, y desviaron fondos de cuentas de liquidación abiertas en el Banco Central. La compañía declaró en un comunicado que el ataque se produjo mediante técnicas de ingeniería social y no debido a fallas técnicas en sus sistemas. La policía continúa investigando la participación de otras personas en la estafa, incluyendo a miembros del grupo que reclutó a Roque.