A verdadeira joia da coroa que os fraudadores buscam

Desde a metade dos anos 1990, quando o Internet Banking começou a se popularizar no Brasil, instituições financeiras e fraudadores travam uma disputa silenciosa e contínua pelo controle das superfícies digitais. E se, por um lado, os bancos evoluíram de forma impressionante, criando camadas sofisticadas de segurança para proteger o usuário, por outro, os criminosos também avançaram. O resultado é um cenário que exige uma mudança urgente de mentalidade.

Nas últimas três décadas, a indústria financeira desenvolveu mecanismos que tornaram o canal de atendimento digital extremamente robusto. Tecnologias de detecção de fraude, biometria, validação de dispositivos e aplicativos guardiões instalados nos equipamentos dos clientes transformaram o Internet Banking e os apps bancários em ambientes mais seguros do que nunca. Paradoxalmente, essa evolução nasceu da própria pressão dos criminosos, que testaram ao limite cada brecha disponível.

Os adversários digitais perceberam que tentar driblar múltiplas camadas de autenticação do usuário final deixou de compensar. Eles compreenderam que existe algo mais valioso e muito mais potente para ser explorado: a infraestrutura interna das instituições financeiras.

Quando falamos de infraestrutura, não se trata de ambientes remotos ou restritos a áreas altamente especializadas. Trata-se do workspace corporativo, onde circulam e-mails e arquivos, das redes internas acessadas por VPN e dos ambientes de desenvolvimento das aplicações financeiras. Esses espaços, quando mal configurados ou pouco monitorados, tornam-se portas alternativas mais acessíveis e perigosas do que a abordagem clássica de tentar invadir a conta de um cliente.

A lógica dos criminosos mudou. Eles não querem mais violar uma conta bancária; querem operar acima do core bancário. Na prática, desejam o poder de simular o próprio banco. Essa capacidade surge a partir da obtenção de acessos privilegiados, como chaves de API usadas na integração entre instituições financeiras e provedores de serviços bancários. Com esse tipo de acesso, um adversário não precisa mais consultar o core bancário para saber se o cliente tem saldo para realizar um PIX. Ele simplesmente afirma que a transação é válida, autentica-se como a instituição e efetua a operação.

Esse novo cenário cria um risco significativo: a falsa sensação de segurança. Muitas instituições acreditam que, porque seus aplicativos são robustos, toda a operação está protegida. No entanto, a segurança dos canais de atendimento não se estende automaticamente ao restante da infraestrutura. Firewalls mal configurados, serviços em nuvem expostos e máquinas internas sem monitoramento adequado oferecem caminhos discretos e eficientes para criminosos altamente capacitados, que conhecem profundamente o funcionamento dos fluxos bancários.

Se eu estivesse hoje à frente de uma instituição financeira, estaria menos preocupado com o teste de uma aplicação isolada e muito mais com a maturidade do ambiente como um todo. A pressão mudou, o adversário mudou e a estratégia precisa acompanhar essa transformação.

Enfrentar essa nova realidade exige um fortalecimento amplo da governança de cibersegurança. As instituições precisam adotar práticas consistentes e integradas, manter um Plano Diretor de Segurança vivo e orientado por riscos reais, promover simulações avançadas de Red Teaming que reproduzam o comportamento dos atacantes, incluir cenários de insider threat nas análises e avaliar continuamente o nível de exposição de toda a infraestrutura, e não apenas de seus canais de atendimento.

A pergunta que precisa ser feita já não é se o aplicativo é seguro. Essa etapa foi superada. A questão central agora é outra: toda a infraestrutura suportaria o ataque de adversários que sabem exatamente como o negócio funciona?

O setor financeiro está diante de um ponto de inflexão. Compreender essa nova dinâmica e agir rapidamente é o único caminho para proteger, de fato, a verdadeira joia da coroa.

Sobre Rodrigo Gava:

Rodrigo Gava é CTO e co-CEO da VULTUS. Formado em Sistemas de Informação e Planejamento Estratégico pela Universidade Mackenzie, com especialização em Proteção e Privacidade de Dados pelo INSPER, possui mais de 20 anos de experiência no desenvolvimento de sistemas seguros e na definição de estratégias de segurança para grandes instituições financeiras, indústrias, empresas de varejo e outros setores.

Também é professor convidado de Cybersecurity na Inteli e tem profundo conhecimento técnico em novas tecnologias, com atuação e interesse que vão de inteligência artificial (incluindo GenAI e AGI) a robótica, IoT e outras inovações emergentes.

+ NOTÍCIAS NO GRUPO NM DO WHATSAPP