Roubo digital histórico traz mais perguntas que respostas

Prisão de um suspeito do ataque hacker é explicação insuficiente

O país acabou de sofrer o maior ataque digital da história. Perto de R$ 1 bilhão foi desviado. 

A ação atingiu o coração do SPB (Sistema de Pagamentos Brasileiro), que são as contas reserva que as instituições financeiras mantêm diretamente junto ao Banco Central.

Quando transferimos dinheiro para alguém, nossa conta bancária é uma abstração. As transferências de fato são feitas entre instituições financeiras, usando as contas reserva. 

Apura-se quanto cada uma recebeu ou dela saiu, faz-se a compensação e os valores são então efetivamente transferidos. Foram contas como essas que o bandido atacou.

Na semana passada a Polícia Federal prendeu um suspeito de participar do ataque. Trata-se de um funcionário administrativo da empresa C&M, que presta serviços para bancos pequenos e médios. 

A empresa é credenciada justamente para intermediar o acesso deles com o Banco Central, permitindo que operem o Pix e TEDs por meio de suas contas reserva.

O funcionário teria recebido R$ 15 mil para fornecer sua credencial de acesso para os bandidos (tal como login e senha). 

De posse da credencial, os bandidos entraram no sistema da C&M e acessaram as contas reserva mantidas no Bacen por clientes da empresa. Tudo resolvido e situação explicada, certo?

Nada disso. Essa explicação é insuficiente. Ela levanta mais perguntas do que respostas. E pior. Se for verdadeira, é um sinal de alerta de que algo vai muito mal. 

A primeira questão é: como um funcionário administrativo tem uma credencial que permite movimentar centenas de milhões de reais? Isso em si já é uma falha grave.

A segunda pergunta é se a C&M não usava um sistema de Multisig, que exige múltiplas assinaturas de pessoas diferentes para que transações dessa magnitude sejam completadas. Essa é uma prática básica para esse tipo de operação.

Outra questão é quantos fatores de autenticação eram necessários para acessar essa credencial. Dois, três, quatro? Ela exigia biometria, impedindo que fosse transferida a outra pessoa? A credencial era criptografada, ou possuía um item de hardware para certificar o acesso? 

Tudo isso são itens elementares, primários até, de cibersegurança que deveriam estar presentes.

E a pergunta mais relevante: por que o sistema não alertou e bloqueou essas ações totalmente fora do padrão, realizadas inclusive durante a madrugada? 

Caro leitor, experimente acordar às 4 da manhã e enviar um Pix de R$ 5 mil da sua conta. O sistema do seu banco provavelmente irá impedir que isso aconteça. Como o sistema interbancário não percebeu a movimentação anômala, e a congelou na raiz? 

Que tipo de auditoria e padrões de segurança o Bacen aplica para empresas como a C&M e outras integrantes do SPB?

Ironicamente, foi uma startup de criptomoedas que deu o alarme. O bandido tentou transferir R$ 6 milhões para ela de madrugada. A empresa detectou a anomalia, bloqueou os fundos e começou a avisar as instituições financeiras.

Tudo isso mostra que cibersegurança é um assunto negligenciado no Brasil. Não dá mais para ser assim.

RONALDO LEMOS - advogado, diretor do Instituto de Tecnologia e Sociedade do Rio de Janeiro