El miércoles 02 de julio de 2025, en solo dos horas y media, Brasil vivió el ciberataque más grave de su historia financiera. El sistema de pagos PIX, que millones usan a diario, se vino abajo, y las plataformas digitales del Banco Central también se vieron comprometidas.
Todo comenzó con una intrusión en C&M Software, una empresa autorizada por el Banco Central que conecta bancos pequeños y fintechs con los sistemas principales del sistema bancario nacional. Esa brecha fue la puerta de entrada para uno de los ataques más sofisticados que ha enfrentado el país.
Pix nació en 2020 como una apuesta fuerte del Banco Central de Brasil para facilitar la vida de la gente. Su objetivo era claro: hacer los pagos más rápidos, simples y accesibles. Funcionaba 24/7, sin comisiones, y con solo unos clics podías transferir dinero a cualquier parte. En poco tiempo, se volvió el medio de pago más usado del país, dejando atrás a las transferencias tradicionales, las tarjetas e incluso los clásicos boletos bancarios. Para 2025, ya lo usaba el 82% de la población y movía más de 42.000 millones de transacciones al año.
Pero lo interesante (y lo que casi nadie ve) es que Pix no es una aplicación en sí, sino una especie de “red de redes”. Detrás de su simplicidad hay un ecosistema complejo que depende de intermediarios autorizados, como C&M Software, que se encargan de conectar a bancos más pequeños y fintechs con el sistema central del Banco Central.
Y fue justamente ese punto débil el que los atacantes aprovecharon. Los hackers lograron meterse en los sistemas de C&M Software y desde ahí accedieron a las cuentas de reserva. Estas cuentas son clave para el sistema financiero: las usan los bancos y otras instituciones para garantizar liquidez y operar directamente con el Banco Central, por ejemplo, cuando hacen préstamos o invierten en títulos públicos.
Según la Policía Civil de São Paulo, al menos seis instituciones financieras fueron afectadas. El monto robado supera los 800 millones de reales (unos 148 millones de dólares), aunque las cifras oficiales aún están en revisión. Solo BMP, una empresa que no atiende al público directamente sino que ofrece servicios de tecnología financiera a otras compañías (lo que se conoce como Banking as a Service o BaaS), sufrió pérdidas por 541 millones de reales (casi 100 millones de dólares).
Además de BMP, medios brasileños como Valor Econômico señalan que otras víctimas habrían sido Credsystem y Banco Paulista, aunque el Banco Central todavía no publicó una lista oficial ni confirmó el valor total sustraído.
Los hackers no entraron forzando puertas virtuales con fuerza bruta. Todo empezó de forma mucho más sutil: convencieron a un empleado de C&M Software para entregar credenciales clave. No era alguien con un cargo técnico importante, pero tenía acceso a lo que necesitaban. A cambio de 15.000 reales, les dio la llave de entrada al sistema. Así de simple.
Una vez adentro, los atacantes se movieron por la red como fantasmas. Pasaron varios días explorando, recolectando accesos, probando rutas internas y recopilando información. Todo sin levantar sospechas ni activar ninguna alarma. Sabían lo que hacían y tenían claro a dónde querían llegar.
El objetivo final era claro: las cuentas de reserva que los bancos mantienen en el Banco Central. Esas cuentas son fundamentales para las operaciones Pix entre instituciones. Los hackers usaron credenciales de administrador para vaciarlas sin tocar directamente las cuentas de los clientes. Pero el golpe fue durísimo para los bancos involucrados.
Después de robar los fondos, los transfirieron a cuentas “laranja” (cuentas de terceros usadas como mulas) y de ahí las movieron a criptomonedas. Usaron Pix como parte del proceso de lavado, lo que demuestra lo bien que conocían el sistema. Una parte del dinero logró ser recuperada gracias al Mecanismo Especial de Devolución (MED), pero hasta ahora el Banco Central no ha revelado cifras concretas.
Aunque el Banco Central no ha dado una lista completa, se sabe que al menos seis instituciones sintieron el golpe:
BMP, que confirmó accesos no autorizados a sus cuentas de reserva.
Banco Paulista, que tuvo que desconectarse temporalmente del sistema Pix.
Credsystem, Banco Carrefour y Credufes, que también reportaron interrupciones.
Para contener el daño, el Banco Central decidió desconectar de forma preventiva a varias entidades, lo que causó fallas e interrupciones masivas en los servicios durante horas.
Podría interesarte leer: Ingram Micro Sufre un Ciberataque Causado por Ransomware SafePay
El ataque al sistema Pix no fue magia ni pura suerte de los hackers. Fue posible por una combinación de descuidos, falta de controles y errores de fondo que, hasta ahora, nadie había tomado muy en serio.
1. No había límites claros dentro del Banco Central: Mientras los bancos privados sí tienen topes y alertas para evitar movimientos inusuales, el Banco Central de Brasil no tenía límites efectivos en las llamadas cuentas de reserva. Eso permitió que los atacantes movieran cientos de millones de reales sin que saltara ninguna alarma automática. Literalmente, no había freno.
2. Demasiada confianza en intermediarios poco vigilados: C&M Software era uno de los nueve operadores habilitados para conectar bancos con el sistema Pix. Tenía un rol clave, pero lo preocupante es que no estaba bajo auditorías estrictas ni tenía controles de seguridad sólidos. En otras palabras, le dieron las llaves del sistema a alguien sin verificar si tenía cerraduras seguras.
3. El error no fue técnico, fue humano: Este ataque no se basó en fallas de software ni en brechas tecnológicas. Fue una falla cultural y organizacional. No había protocolos bien definidos para manejar privilegios de acceso ni para prevenir ataques por ingeniería social. Al final del día, un solo trabajador sin formación en ciberseguridad terminó abriendo la puerta.
Pix es sinónimo de modernidad y eficiencia. Pero este caso deja claro que cuanto más rápido y automatizado es un sistema, más expuesto está si no hay una buena base de seguridad y gobernanza detrás. Lo que celebramos como "avance" puede convertirse en un riesgo si no se hace con cabeza.
Como pasó en otros ataques famosos (como el de SolarWinds), el punto débil no fue el corazón del sistema, sino uno de los proveedores que nadie estaba mirando. Es un recordatorio de que la seguridad de toda una red puede depender del eslabón más chico e invisible.
Aunque se logró interceptar parte del dinero robado, lo más dañino fue la pérdida de confianza en la seguridad del sistema. Y eso, en el mundo financiero, es más difícil (y más caro) de reconstruir que cualquier cifra robada.
Este ataque al sistema Pix no fue solo una brecha digital. Fue un evento con impacto estructural, institucional y cultural. Deja en evidencia una verdad incómoda: la velocidad con la que estamos digitalizando todo va muy por delante de nuestra capacidad para gobernarlo bien.
No se trata solo de tener herramientas rápidas y baratas. Se trata de que sean seguras, auditables y resistentes ante amenazas que, cada vez, son más sofisticadas.
La gran lección no es tecnológica. Es estratégica: si no invertimos en fortalecer nuestras instituciones y regulaciones, cada nueva herramienta se convierte en una posible amenaza.
Y hay un punto clave que no podemos dejar fuera: la educación y concientización de los usuarios. Porque por más robusto que sea un sistema, si las personas no saben cómo proteger sus datos, reconocer un intento de estafa o actuar ante una sospecha, el riesgo sigue vivo. La seguridad digital no es solo responsabilidad de los bancos o el Estado, también es una tarea colectiva que empieza por el uso consciente de la tecnología.
La transformación digital tiene mucho potencial, pero ese potencial solo se cumple si todos (instituciones, empresas y ciudadanos) entendemos que la seguridad no es un complemento, sino una parte esencial del progreso.