Esta semana se registró el incidente de ciberseguridad más grande registrado en Brasil relacionado con el sistema de pagos instantáneos PIX, El robo de R$1.000 millones no fue solo un ciberataque, fue una brecha en la cadena de suministro digital y un ataque quirúrgico a la infraestructura crítica de la economía digital latinoamericana, El 30 de junio de 2025, C&M Software, proveedor que conecta instituciones al sistema financiero brasileño, fue blanco de un ataque muy bien planificado y orquestado que combinó ingeniería social, vulnerabilidades de infraestructura, aplicativos y un modelo operativo predefinido para ejecutar el robo. ¿El resultado? Cibercriminales sobornaron a un empleado, obtuvieron credenciales corporativas y desviaron más de R$1.000 millones desde cuentas de reserva del Banco Central, utilizando la arquitectura de pagos instantáneos de Pix para mover fondos en tiempo real y convertirlos en criptomonedas.
Aunque Pix y el sistema bancario no fueron vulnerados directamente, el ataque revela puntos ciegos que son usualmente subestimados en las estrategias de Ciberdefensa: Riesgos en la cadena de suministro (TPRM) y el riesgo de un INSIDER dentro de la organización. Según comentan en Forbes Chile.
𝗟𝗲𝗰𝗰𝗶𝗼𝗻𝗲𝘀 𝗔𝗽𝗿𝗲𝗻𝗱𝗶𝗱𝗮𝘀 𝗽𝗮𝗿𝗮 𝗖𝗵𝗶𝗹𝗲
Este ataque, comparable con el caso del Banco Central de Bangladesh en 2016, nos obliga a repensar los protocolos de seguridad a nivel local, pensando en la implementación del 𝗦𝗶𝘀𝘁𝗲𝗺𝗮 𝗱𝗲 𝗙𝗶𝗻𝗮𝗻𝘇𝗮𝘀 𝗔𝗯𝗶𝗲𝗿𝘁𝗮𝘀 (𝗦𝗙𝗔), que conectará a bancos, fintechs y empresas de pago en un entorno interoperable y en tiempo real. Lo ocurrido en Brasil deja aprendizajes claves:
La normativa y regulación son indispensables, pero no previenen un ataque, la Ciberseguridad es un tema inherentemente técnico, no podemos perder de vista esto.
Los proveedores críticos deben ser tratados como parte de la superficie de ataque, con monitoreo activo y políticas de acceso privilegiado.
Se necesitan reglas claras sobre esquemas con interoperabilidad masiva, cualquier vulnerabilidad en un participante, por más pequeño que parezca, puede escalar a un riesgo sistémico.
El riesgo no depende del tamaño, sino de la naturaleza del producto. Si una entidad puede mover fondos o iniciar pagos, su estándar de seguridad debe ser alto, aunque sea pequeña. En un sistema abierto, el eslabón más débil afecta a todos.
Este ataque deja una lección clave: tu seguridad es tan fuerte como tu eslabón más débil, y es el reflejo de un riesgo sistémico, que cada cierto tiempo nos sorprende con ataques cada vez más elaborados y que exponen una verdad incómoda: la hiperconectividad sin controles proporcionales no es sinónimo de progreso.
El mayor retorno de inversión de la historia, 200 Millones de dólares obtenidos por los cibercriminales por solo 3000 Usd de inversión.