{"id":1948,"date":"2025-09-03T09:01:49","date_gmt":"2025-09-03T12:01:49","guid":{"rendered":"https:\/\/news.ivy.com.br\/?p=1948"},"modified":"2025-09-29T11:08:12","modified_gmt":"2025-09-29T14:08:12","slug":"ameaca-real-a-cadeia-de-suprimentos-financeira","status":"publish","type":"post","link":"https:\/\/news.ivy.com.br\/index.php\/2025\/09\/03\/ameaca-real-a-cadeia-de-suprimentos-financeira\/","title":{"rendered":"Um retorno ao pesadelo conhecido: a amea\u00e7a real \u00e0 cadeia de suprimentos financeira"},"content":{"rendered":"\n

Incidente Sinqia \u2014 uma an\u00e1lise por Paula Yara CISO grupo Ivy<\/h4>\n\n\n\n

Um Perigoso Padr\u00e3o se Repete<\/strong><\/h3>\n\n\n\n

O ciberataque direcionado \u00e0 Sinqia em agosto de 2025 n\u00e3o deveria ser visto como um evento isolado. Para quem acompanha seguran\u00e7a no setor financeiro, ele soa como uma repeti\u00e7\u00e3o preocupante do incidente que atingiu a C&M Software apenas dois meses antes.  Analis\u00e1-lo sem esse contexto \u00e9 perder o ponto principal:  estamos diante de uma campanha direcionada e bem-sucedida contra a cadeia de suprimentos de tecnologia do sistema financeiro brasileiro.<\/p>\n\n\n\n

O epis\u00f3dio resultou em uma tentativa de desvio de centenas de milh\u00f5es de reais e exp\u00f4s fragilidades cr\u00edticas do modelo Banking as a Service (BaaS). Minha inten\u00e7\u00e3o aqui \u00e9 conectar os fatos a uma conclus\u00e3o pr\u00e1tica: a resposta a essa amea\u00e7a exige uma mudan\u00e7a fundamental: sair de uma seguran\u00e7a focada em per\u00edmetros para uma arquitetura de Confian\u00e7a Zero Trust, com uma colabora\u00e7\u00e3o muito mais ativa entre institui\u00e7\u00f5es e provedores.<\/p>\n\n\n\n

A Estrutura do Ataque<\/strong><\/h3>\n\n\n\n

Os fatos daquela madrugada de sexta-feira, 29 de agosto, revelam a dimens\u00e3o do problema. A opera\u00e7\u00e3o foi r\u00e1pida e silenciosa: os atacantes conseguiram acesso a sistemas da Sinqia respons\u00e1veis pela conex\u00e3o de clientes \u00e0 rede Pix. <\/p>\n\n\n\n

A detec\u00e7\u00e3o s\u00f3 aconteceu horas mais tarde, um tempo valioso em qualquer incidente de seguran\u00e7a.\u00a0<\/strong><\/p>\n\n\n\n

A a\u00e7\u00e3o decisiva veio do Banco Central (BC), que, ao ser notificado, desconectou a Sinqia do Sistema Financeiro Nacional (SFN) e conteve perdas maiores. Os comunicados oficiais que se seguiram, como \u00e9 comum, foram contidos para evitar alarme no mercado enquanto as investiga\u00e7\u00f5es avan\u00e7avam.<\/p>\n\n\n\n

O valor exato do preju\u00edzo \u00e9 um tema complexo. A imprensa reportou uma tentativa de desvio entre R$ 400 e R$ 420 milh\u00f5es, tendo o HSBC e a Artta como as principais v\u00edtimas. \u00c9 importante esclarecer um ponto t\u00e9cnico: os fundos n\u00e3o foram retirados de contas de clientes, mas das contas de reserva que as institui\u00e7\u00f5es mant\u00eam no BC. A a\u00e7\u00e3o r\u00e1pida do regulador permitiu que a maior parte desses valores fosse bloqueada e recuperada.<\/p>\n\n\n\n

Ainda assim, fontes de mercado, como o portal Neofeed, indicaram que o valor total visado poderia ser muito maior, talvez pr\u00f3ximo de R$ 1 bilh\u00e3o. Para mim, essa discrep\u00e2ncia \u00e9 um sinal claro de que o plano dos atacantes era mais ambicioso e foi interrompido pela r\u00e1pida resposta ao incidente.<\/p>\n\n\n\n

A comunica\u00e7\u00e3o oficial de que um “n\u00famero limitado de institui\u00e7\u00f5es” foi afetado, embora tecnicamente correta, subestimou o alcance do problema. Fontes do setor sugerem que at\u00e9 20 institui\u00e7\u00f5es podem ter sido, de alguma forma, impactadas. Se considerarmos que a Sinqia atende mais de 70% dos bancos brasileiros, uma viola\u00e7\u00e3o na sua infraestrutura central representa, por defini\u00e7\u00e3o, um risco sist\u00eamico.<\/p>\n\n\n\n

O impacto real, portanto, vai al\u00e9m das perdas financeiras diretas.<\/strong> Ele inclui interrup\u00e7\u00f5es de servi\u00e7o, custos de investiga\u00e7\u00e3o e, o mais importante, a eros\u00e3o da confian\u00e7a p\u00fablica na seguran\u00e7a do ecossistema de pagamentos digitais.<\/p>\n\n\n\n

Desconstruindo o Vetor de Ataque<\/strong><\/h3>\n\n\n\n

A t\u00e9cnica adotada \u00e9 t\u00edpica de ataques \u00e0 cadeia de suprimentos: Em vez de confrontar as defesas de grandes bancos, os advers\u00e1rios miraram um fornecedor estrat\u00e9gico. Ao comprometer um provedor como a Sinqia, eles obtiveram um acesso que j\u00e1 era considerado confi\u00e1vel pelos sistemas dos seus alvos finais.<\/p>\n\n\n\n

O mais alarmante \u00e9 que esta t\u00e1tica n\u00e3o \u00e9 nova. O ataque \u00e0 Sinqia \u00e9 um refinamento do m\u00e9todo utilizado dois meses antes contra a C&M Software Leia aqui a an\u00e1lise<\/strong><\/a>. A similaridade entre os dois casos \u00e9 evidente: o alvo foi a camada de integra\u00e7\u00e3o do Pix, o objetivo foi desviar fundos das contas de reserva no BC e a conten\u00e7\u00e3o exigiu uma a\u00e7\u00e3o direta do regulador.<\/p>\n\n\n\n

Isto muda a nossa perspetiva. N\u00e3o estamos a analisar incidentes isolados, mas sim uma campanha em andamento. O sucesso do primeiro ataque validou a estrat\u00e9gia. O curto intervalo de tempo entre os dois eventos sugere que os atacantes exploram vulnerabilidades comuns entre os provedores do setor. A tabela comparativa demonstra este padr\u00e3o de forma clara.<\/p>\n\n\n\n

Atributo<\/strong><\/td>Incidente C&M Software<\/strong><\/td>Incidente Sinqia<\/strong><\/td><\/tr>
Data<\/strong><\/td>Julho de 2025<\/td>Agosto de 2025<\/td><\/tr>
Alvo<\/strong><\/td>C&M Software<\/td>Sinqia<\/td><\/tr>
Vetor<\/strong><\/td>Cadeia de Suprimentos \/ Amea\u00e7a Interna<\/td>Cadeia de Suprimentos (prov\u00e1vel Amea\u00e7a Interna)<\/td><\/tr>
V\u00edtimas<\/strong><\/td>BMP, Credsystem, etc.<\/td>HSBC, Artta<\/td><\/tr>
Impacto<\/strong><\/td>Tentativa de ~R$ 1 bilh\u00e3o<\/td>Tentativa de R$ 420 mi a R$ 1 bilh\u00e3o<\/td><\/tr>
Fator Cr\u00edtico<\/strong><\/td>Amea\u00e7a interna confirmada<\/td>Hip\u00f3tese forte de amea\u00e7a interna<\/td><\/tr>
Resposta<\/strong><\/td>BC desconecta C&M<\/td>BC desconecta Sinqia<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

A pe\u00e7a que conecta os dois eventos de forma definitiva \u00e9 a amea\u00e7a interna. A investiga\u00e7\u00e3o do caso da C&M confirmou que um profissional de TI vendeu suas credenciais de acesso por R$ 15.000. Ele foi o ponto de entrada.<\/p>\n\n\n\n

Dada a correla\u00e7\u00e3o, \u00e9 profissionalmente ing\u00eanuo n\u00e3o tratar a hip\u00f3tese de insider threat<\/em> como priorit\u00e1ria na investiga\u00e7\u00e3o da Sinqia. Seja por mal\u00edcia, neglig\u00eancia ou coa\u00e7\u00e3o, um colaborador comprometido neutraliza camadas de controles t\u00e9cnicos. Os advers\u00e1rios sempre seguir\u00e3o o caminho de menor resist\u00eancia, e comprar uma credencial \u00e9, muitas vezes, mais simples e barato do que desenvolver um 0-day<\/em>. Isso eleva a discuss\u00e3o do campo puramente t\u00e9cnico para a governan\u00e7a, a cultura de seguran\u00e7a e a gest\u00e3o de recursos humanos.<\/p>\n\n\n\n

A resposta \u00e0 crise e a narrativa p\u00fablica<\/strong><\/h2>\n\n\n\n

A resposta ao incidente foi uma complexa coreografia entre a Sinqia, seus clientes e o Banco Central. A Sinqia isolou o ambiente e se desconectou proativamente; o HSBC agiu para conter as transa\u00e7\u00f5es e tranquilizar o p\u00fablico; e o BC, como j\u00e1 mencionei, foi o agente de conten\u00e7\u00e3o final, o backstop<\/em> de seguran\u00e7a do sistema.<\/p>\n\n\n\n

A mensagem veiculada de que “nenhuma conta de cliente foi impactada” \u00e9 uma manobra de rela\u00e7\u00f5es p\u00fablicas tecnicamente correta, mas estrategicamente m\u00edope. \u00c9 claro que os saldos individuais n\u00e3o foram debitados, mas essa narrativa obscurece o risco sist\u00eamico.<\/p>\n\n\n\n

Uma perda de centenas de milh\u00f5es das reservas de capital de um banco afeta sua solidez. A sa\u00fade financeira de uma institui\u00e7\u00e3o est\u00e1 diretamente ligada \u00e0 sua capacidade de proteger seus clientes. Portanto, qualquer perda material para o banco \u00e9, indiretamente, um evento que afeta todo o seu ecossistema. Mais do que isso, a repeti\u00e7\u00e3o desses ataques mina a confian\u00e7a do p\u00fablico no sistema Pix como um todo, um ativo muito mais valioso e dif\u00edcil de recuperar do que qualquer montante financeiro.<\/p>\n\n\n\n

As Vulnerabilidades Arquitet\u00f4nicas do Ecossistema<\/strong><\/h3>\n\n\n\n

Esses ataques exploraram mais do que uma falha pontual, exploraram fraquezas arquitet\u00f4nicas do nosso moderno ecossistema financeiro.<\/p>\n\n\n\n

O modelo Banking as a Service<\/em> acelerou a inova\u00e7\u00e3o,, mas tamb\u00e9m criou uma teia de responsabilidades de seguran\u00e7a. A seguran\u00e7a de um banco hoje depende da postura de dezenas de fornecedores. Essa interconex\u00e3o, quando n\u00e3o gerida com rigor, cria uma superf\u00edcie de ataque ampla e porosa. APIs expostas, credenciais compartilhadas e ambientes de terceiros fora do controle direto.<\/p>\n\n\n\n

A estrutura do mercado brasileiro de tecnologia financeira, com a Sinqia atendendo a maioria dos bancos, cria o que chamo de “gargalo de seguran\u00e7a”. A prote\u00e7\u00e3o de muitos depende da resili\u00eancia de poucos. Um ataque a um provedor dominante n\u00e3o \u00e9 um evento isolado; \u00e9 um ataque sist\u00eamico que amea\u00e7a a opera\u00e7\u00e3o de quase todo o setor banc\u00e1rio simultaneamente.<\/p>\n\n\n\n

Ao buscar efici\u00eancia, criamos, sem querer, pontos \u00fanicos de falha de valor inestim\u00e1vel para nossos advers\u00e1rios. Este \u00e9 um problema arquitet\u00f4nico, que n\u00e3o se resolve com um \u00fanico banco fortalecendo seus muros, mas com uma abordagem de ecossistema.<\/p>\n\n\n\n

O fato de dois grandes provedores serem violados por m\u00e9todos semelhantes em t\u00e3o pouco tempo \u00e9 um atestado de falha dos programas de TPRM tradicionais. Question\u00e1rios de autoavalia\u00e7\u00e3o e certifica\u00e7\u00f5es anuais s\u00e3o insuficientes. Precisamos evoluir para um monitoramento cont\u00ednuo, baseado em evid\u00eancias, com direitos de auditoria e testes de intrus\u00e3o mandat\u00f3rios para fornecedores cr\u00edticos. A confian\u00e7a, no nosso ramo, deve ser sempre verificada.<\/p>\n\n\n\n

O Futuro da Ciberseguran\u00e7a Financeira P\u00f3s-Sinqia<\/strong><\/h3>\n\n\n\n

O incidente da Sinqia marca um ponto de inflex\u00e3o. Mostra que a principal superf\u00edcie de ataque do setor financeiro brasileiro migrou definitivamente para a cadeia de suprimentos. O risco de concentra\u00e7\u00e3o deixou de ser teoria para se tornar uma vulnerabilidade explorada na pr\u00e1tica.<\/p>\n\n\n\n

A pr\u00f3xima onda de ataques ser\u00e1 mais sofisticada, possivelmente usando IA para identificar vulnerabilidades e engenharia social avan\u00e7ada para cooptar insiders<\/em>. Defender o ecossistema exige uma mudan\u00e7a real de paradigma. A era da seguran\u00e7a em silos, onde cada um cuida do seu, acabou. O futuro depende da nossa capacidade de construir uma resili\u00eancia coletiva, baseada em transpar\u00eancia, compartilhamento de intelig\u00eancia de amea\u00e7as e um compromisso m\u00fatuo para elevar o padr\u00e3o de seguran\u00e7a de cada elo desta corrente.<\/p>\n\n\n\n

Se voc\u00ea atua no setor financeiro, em provedores de tecnologia ou na regula\u00e7\u00e3o, esta \u00e9 uma agenda urgente para a qual precisamos dedicar recursos, governan\u00e7a e a\u00e7\u00e3o coordenada.<\/p>\n\n\n\n

<\/p>\n","protected":false},"excerpt":{"rendered":"

Incidente Sinqia \u2014 uma an\u00e1lise por Paula Yara CISO grupo Ivy Um Perigoso Padr\u00e3o se Repete O ciberataque direcionado \u00e0 Sinqia em agosto de 2025 n\u00e3o deveria ser visto como um evento isolado. Para quem acompanha seguran\u00e7a no setor financeiro, ele soa como uma repeti\u00e7\u00e3o preocupante do incidente que atingiu a C&M Software apenas dois meses antes.  Analis\u00e1-lo sem esse contexto \u00e9 perder o ponto principal:  estamos diante de uma campanha direcionada e bem-sucedida contra a cadeia de suprimentos de tecnologia do sistema financeiro brasileiro. O epis\u00f3dio resultou em uma tentativa de desvio de centenas de milh\u00f5es de reais e<\/p>\n","protected":false},"author":4,"featured_media":1950,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[51,53],"tags":[90,82],"class_list":["post-1948","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciber","category-tecnologia","tag-ciberseguranca","tag-tecnologia"],"_links":{"self":[{"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/posts\/1948","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/comments?post=1948"}],"version-history":[{"count":1,"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/posts\/1948\/revisions"}],"predecessor-version":[{"id":1951,"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/posts\/1948\/revisions\/1951"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/media\/1950"}],"wp:attachment":[{"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/media?parent=1948"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/categories?post=1948"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/tags?post=1948"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}