{"id":7166,"date":"2025-07-05T17:40:59","date_gmt":"2025-07-05T20:40:59","guid":{"rendered":"https:\/\/itconnect.lat\/portal\/?p=7166"},"modified":"2025-07-05T17:58:15","modified_gmt":"2025-07-05T20:58:15","slug":"cm-software-0001","status":"publish","type":"post","link":"https:\/\/itconnect.lat\/portal\/cm-software-0001\/","title":{"rendered":"C&#038;M Software 2025: cuando los CISO brasile\u00f1os se hicieron PIX oficial"},"content":{"rendered":"<h1>La Brecha del Bill\u00f3n de Reales: Anatom\u00eda del Ataque a C&amp;M Software y el D\u00eda que se Rompi\u00f3 el Eslab\u00f3n M\u00e1s D\u00e9bil de la Fintech Brasile\u00f1a<\/h1>\n<h2>Una Onda Expansiva Sist\u00e9mica<\/h2>\n<p>Los d\u00edas 1 y 2 de julio de 2025 marcaron un punto de inflexi\u00f3n para el ecosistema financiero de Brasil.<\/p>\n<figure id=\"attachment_7171\" aria-describedby=\"caption-attachment-7171\" style=\"width: 400px\" class=\"wp-caption alignleft\"><a href=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2025\/07\/tinywow_Lucid_Realism_A_dark_and_ominous_image_depicting_a_massive_cyb_2_82195330-e1751747720934.webp\"><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-7171\" src=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2025\/07\/tinywow_Lucid_Realism_A_dark_and_ominous_image_depicting_a_massive_cyb_2_82195330-e1751747720934.webp\" alt=\"C&amp;M Software\" width=\"400\" height=\"400\" title=\"\"><\/a><figcaption id=\"caption-attachment-7171\" class=\"wp-caption-text\">C&amp;M Software<\/figcaption><\/figure>\n<p>Lo que comenz\u00f3 como rumores confusos en los c\u00edrculos financieros y tecnol\u00f3gicos se convirti\u00f3 r\u00e1pidamente en una crisis en toda regla.<\/p>\n<p>Los informes iniciales hablaban de un ciberatraco de proporciones monumentales, con cifras que oscilaban vertiginosamente entre 400 millones de reales y una asombrosa suma de m\u00e1s de 1.000 millones de reales.<\/p>\n<p>En el centro de la tormenta se encontraba <strong>C&amp;M Software<\/strong>, un proveedor de tecnolog\u00eda hasta entonces poco conocido fuera del sector, pero fundamental para el funcionamiento de una parte significativa del mercado fintech del pa\u00eds.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p>La respuesta de las autoridades fue tan dr\u00e1stica como la escala del presunto robo.<\/p>\n<p>El Banco Central de Brasil (BCB), en una medida sin precedentes, emiti\u00f3 una orden perentoria: desconectar a C&amp;M Software de toda la infraestructura de pagos del pa\u00eds.<\/p>\n<div class=\"wp-playlist wp-audio-playlist wp-playlist-light\">\n\t\t\t<div class=\"wp-playlist-current-item\"><\/div>\n\t\t<audio controls=\"controls\" preload=\"none\" width=\"640\"\n\t\t\t><\/audio>\n\t<div class=\"wp-playlist-next\"><\/div>\n\t<div class=\"wp-playlist-prev\"><\/div>\n\t<noscript>\n\t<ol>\n\t\t<li><a href='https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2025\/07\/Ciberataque-CM-Software_-El-Dia-que-Pix-Sufrio-un-Reves.wav'>Ciberataque C&M Software_ El D\u00eda que Pix Sufri\u00f3 un Rev\u00e9s<\/a><\/li>\t<\/ol>\n\t<\/noscript>\n\t<script type=\"application\/json\" class=\"wp-playlist-script\">{\"type\":\"audio\",\"tracklist\":true,\"tracknumbers\":true,\"images\":true,\"artists\":true,\"tracks\":[{\"src\":\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2025\/07\/Ciberataque-CM-Software_-El-Dia-que-Pix-Sufrio-un-Reves.wav\",\"type\":\"audio\/wav\",\"title\":\"Ciberataque C&M Software_ El D\\u00eda que Pix Sufri\\u00f3 un Rev\\u00e9s\",\"caption\":\"\",\"description\":\"\\u00abCiberataque C&M Software_ El D\\u00eda que Pix Sufri\\u00f3 un Rev\\u00e9s\\u00bb.\",\"meta\":{\"length_formatted\":\"6:59\"},\"image\":{\"src\":\"https:\/\/itconnect.lat\/portal\/wp-includes\/images\/media\/audio.svg\",\"width\":48,\"height\":64},\"thumb\":{\"src\":\"https:\/\/itconnect.lat\/portal\/wp-includes\/images\/media\/audio.svg\",\"width\":48,\"height\":64}}]}<\/script>\n<\/div>\n\t\n<p>Esta acci\u00f3n, equivalente a una amputaci\u00f3n quir\u00fargica en la red financiera, detuvo en seco las operaciones de docenas de instituciones financieras m\u00e1s peque\u00f1as, precisamente aquellas que el auge de la innovaci\u00f3n brasile\u00f1a pretend\u00eda impulsar.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p>Este incidente no fue simplemente un crimen audaz, aunque ciertamente lo fue.<\/p>\n<p>Fue una prueba de estr\u00e9s cr\u00edtica y no planificada para la infraestructura financiera de Brasil, un sistema que se hab\u00eda digitalizado a una velocidad vertiginosa, sobrealimentado por el \u00e9xito arrollador y la ubicuidad del sistema de pago instant\u00e1neo Pix.<\/p>\n<p>El ataque a <strong>C&amp;M Software<\/strong> se ha convertido en un momento decisivo, una &#8220;llamada de atenci\u00f3n&#8221; que ha puesto de manifiesto los profundos riesgos sist\u00e9micos inherentes a las vulnerabilidades de la cadena de suministro en el sector fintech.<\/p>\n<p>Ha obligado a una reevaluaci\u00f3n fundamental de las pr\u00e1cticas de ciberseguridad, la supervisi\u00f3n regulatoria y la propia arquitectura de confianza que sustenta el ecosistema financiero brasile\u00f1o.<\/p>\n<p>El ataque demostr\u00f3 con una claridad brutal que las vulnerabilidades de terceros ya no son riesgos te\u00f3ricos, sino &#8220;amenazas existenciales para los sistemas financieros&#8221;.<\/p>\n<p>Este informe analiza en profundidad la anatom\u00eda de ese ataque, las ondas de choque que envi\u00f3 a trav\u00e9s del sistema y las lecciones duraderas que el mercado, los reguladores y los inversores deben asimilar para construir un futuro financiero m\u00e1s resiliente.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<h2>La Anatom\u00eda del Ataque<\/h2>\n<p>Para comprender plenamente el impacto del incidente de C&amp;M Software, es imperativo deconstruir forensemente el evento.<\/p>\n<p>Esto implica examinar no solo el objetivo del ataque, sino tambi\u00e9n el vector preciso de la intrusi\u00f3n y la ejecuci\u00f3n meticulosa del atraco digital.<\/p>\n<p>El an\u00e1lisis revela una historia no de fuerza bruta contra muros de c\u00f3digo, sino de una sutil explotaci\u00f3n de la confianza y las relaciones interconectadas que definen el sistema financiero moderno.<\/p>\n<h3>C&amp;M Software, el Intermediario Indispensable del Sistema<\/h3>\n<p>C&amp;M Software (tambi\u00e9n conocida como CMSW) no era una empresa de tecnolog\u00eda cualquiera; era un pilar fundamental en la fontaner\u00eda del sistema financiero brasile\u00f1o. Fundada en 1992, la compa\u00f1\u00eda se consolid\u00f3 como un intermediario cr\u00edtico, alcanzando un hito en 2001 al convertirse en el primer ;<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0<\/span><\/p>\n<blockquote>\n<h5><b>Provedor de Servi\u00e7os de Tecnologia da Informa\u00e7\u00e3o (PSTI)<\/b><\/h5>\n<\/blockquote>\n<p>Aprobado por el Banco Central de Brasil para operar en la Red del Sistema Financiero Nacional (RSFN).<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p>La funci\u00f3n del PSTI es esencial y est\u00e1 estrictamente regulada. Estas entidades especializadas proporcionan la infraestructura tecnol\u00f3gica necesaria para que las instituciones financieras y de pago se conecten de forma segura a la RSFN y al Sistema de Pagos Brasile\u00f1o (SPB).<\/p>\n<p>Son un salvavidas para las instituciones m\u00e1s peque\u00f1as, a menudo descritas por el Banco Central como &#8220;instituciones financieras que carecen de infraestructura de conectividad propia&#8221;.<\/p>\n<p>Estas fintechs, bancos digitales y entidades de pago, que son el motor de la innovaci\u00f3n y la competencia en el mercado, a menudo no pueden permitirse el coste o la complejidad de gestionar un enlace directo y seguro con los sistemas centrales del BCB.<\/p>\n<p>C&amp;M Software proporcionaba precisamente este servicio: la &#8220;mensajer\u00eda que conecta a los bancos y fintechs con el SPB y Pix&#8221;.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p>El \u00e9xito de la empresa se tradujo en un dominio del mercado que, si bien era un logro empresarial, concentraba un riesgo sist\u00e9mico peligroso.<\/p>\n<p>C&amp;M Software ostentaba una cuota de mercado asombrosa del 56% en el segmento de PSTI.<\/p>\n<p>Su lista de clientes inclu\u00eda a gigantes del sector como XP Investimentos y NuInvest, que utilizaban sus plataformas como &#8220;Rocket&#8221; y &#8220;SPBX&#8221; para agilizar la incorporaci\u00f3n de clientes y las transacciones financieras.<\/p>\n<p>Junto a estos titanes, C&amp;M prestaba servicio a &#8220;unas dos docenas de peque\u00f1as instituciones financieras&#8221; , formando una red interconectada que depend\u00eda de su infraestructura.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p>Esta posici\u00f3n dominante transform\u00f3 inadvertidamente a C&amp;M Software en un punto \u00fanico de fallo (SPOF, por sus siglas en ingl\u00e9s) para un segmento considerable del mercado fintech brasile\u00f1o. La eficiencia que el mercado hab\u00eda ganado al consolidarse en torno a un proveedor principal se convirti\u00f3 en su mayor vulnerabilidad.<\/p>\n<p>La l\u00f3gica es ineludible: la cuota de mercado del 56% significaba que cualquier interrupci\u00f3n en C&amp;M afectar\u00eda a m\u00e1s de la mitad de las instituciones que depend\u00edan de estos servicios.<\/p>\n<p>La respuesta necesaria del BCB, una desconexi\u00f3n total para contener el ataque, paraliz\u00f3 instant\u00e1neamente las operaciones de esta vasta franja del mercado.<\/p>\n<p>Esto revela una paradoja estructural profunda: la tendencia natural del mercado hacia un proveedor dominante y eficiente cre\u00f3 un riesgo concentrado que, cuando fue explotado, socav\u00f3 la resiliencia de todo el ecosistema.<\/p>\n<p>El ataque no solo golpe\u00f3 a una empresa; explot\u00f3 una debilidad estructural en el dise\u00f1o mismo del mercado.<\/p>\n<h3>El Vector: Una Brecha de Confianza, no de C\u00f3digo<\/h3>\n<p>Contrariamente a la imagen popular de los ciberataques que explotan complejas vulnerabilidades de software de d\u00eda cero, la ra\u00edz de la brecha de C&amp;M fue decididamente m\u00e1s humana y, por ello, m\u00e1s insidiosa.<\/p>\n<p>El director comercial de C&amp;M, Kamal Zogheib, y los informes oficiales posteriores fueron consistentes en su explicaci\u00f3n: el ataque se origin\u00f3 por el &#8220;uso fraudulento de credenciales de clientes&#8221;.<\/p>\n<p>No se trat\u00f3 de una haza\u00f1a de ingenier\u00eda de software, sino de un compromiso de informaci\u00f3n de inicio de sesi\u00f3n v\u00e1lida, un ataque a la confianza en lugar de al c\u00f3digo.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p>Para lograr esto, los atacantes probablemente emplearon una o una combinaci\u00f3n de dos t\u00e9cnicas bien conocidas:<\/p>\n<h5><b>Credential Stuffing (Relleno de Credenciales):<\/b><\/h5>\n<p>Este m\u00e9todo de ciberataque implica el uso de bots automatizados para probar sistem\u00e1ticamente grandes listas de pares de nombre de usuario y contrase\u00f1a robados de brechas de datos anteriores contra el portal de inicio de sesi\u00f3n de un nuevo objetivo.<\/p>\n<p>Su eficacia se basa en el h\u00e1bito generalizado y peligroso de la reutilizaci\u00f3n de contrase\u00f1as por parte de los usuarios en m\u00faltiples servicios.<\/p>\n<p>Aunque la tasa de \u00e9xito por intento es baja, a menudo en torno al 0,1%, el volumen masivo de credenciales disponibles en la web oscura hace que sea un ataque de alto rendimiento a gran escala.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<div class=\"container ng-tns-c2990807889-34 hide\">\n<div class=\"carousel-container ng-tns-c2990807889-34\"><\/div>\n<\/div>\n<h5><b>Phishing y\/o Ingenier\u00eda Social:<\/b><\/h5>\n<p>Esta t\u00e9cnica consiste en enga\u00f1ar a individuos para que revelen voluntariamente sus credenciales a trav\u00e9s de correos electr\u00f3nicos enga\u00f1osos, sitios web falsos que imitan a los leg\u00edtimos, o cualquier otra forma de manipulaci\u00f3n psicol\u00f3gica.<\/p>\n<p>Dado que el ataque se centr\u00f3 en las credenciales de los &#8220;clientes&#8221;, es muy probable que los empleados de una de las instituciones financieras clientes de C&amp;M fueran el objetivo de una sofisticada campa\u00f1a de phishing.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<div class=\"container ng-tns-c2990807889-35 hide\">\n<div class=\"carousel-container ng-tns-c2990807889-35\"><\/div>\n<\/div>\n<p><b>Tabla: El Vector de Ataque Explicado (Credential Stuffing vs. Fuerza Bruta)<\/b><\/p>\n<div class=\"horizontal-scroll-wrapper\">\n<table>\n<thead>\n<tr>\n<td>Caracter\u00edstica<\/td>\n<td>Credential Stuffing<\/td>\n<td>Ataque de Fuerza Bruta Tradicional<\/td>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td><b>Metodolog\u00eda<\/b><\/td>\n<td>Utiliza credenciales v\u00e1lidas y conocidas robadas de brechas anteriores.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/td>\n<td>Intenta adivinar contrase\u00f1as desde cero, utilizando diccionarios o combinaciones aleatorias.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/td>\n<\/tr>\n<tr>\n<td><b>Datos de Entrada del Atacante<\/b><\/td>\n<td>Una lista de pares de nombre de usuario\/contrase\u00f1a verificados.<\/td>\n<td>Un diccionario de contrase\u00f1as comunes o caracteres aleatorios.<\/td>\n<\/tr>\n<tr>\n<td><b>Tasa de \u00c9xito<\/b><\/td>\n<td>Baja por intento (ej. 0,1%), pero efectiva a gran escala debido al volumen de credenciales.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/td>\n<td>Extremadamente baja contra pol\u00edticas de contrase\u00f1as seguras y bloqueos de cuenta.<\/td>\n<\/tr>\n<tr>\n<td><b>Defensa Clave<\/b><\/td>\n<td>Autenticaci\u00f3n Multifactor (MFA), gesti\u00f3n de bots, detecci\u00f3n de inicios de sesi\u00f3n an\u00f3malos.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/td>\n<td>Pol\u00edticas de bloqueo de cuentas, requisitos de contrase\u00f1as complejas.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<p>La especificidad de la declaraci\u00f3n oficial \u2014&#8221;uso indevido de credenciais de clientes&#8221; \u2014 apunta a una conclusi\u00f3n alarmante.<\/p>\n<p>El vector de ataque no fue una vulnerabilidad en el software de C&amp;M, sino en la seguridad de uno de sus propios clientes. Esto sugiere una &#8220;vulnerabilidad de la cadena de suministro inversa&#8221;.<\/p>\n<p>Los atacantes probablemente primero comprometieron a una instituci\u00f3n financiera cliente de C&amp;M, ya sea a trav\u00e9s de una brecha en sus propios sistemas o mediante una exitosa campa\u00f1a de phishing dirigida a sus empleados.<\/p>\n<p>Armados con estas credenciales robadas pero leg\u00edtimas, los atacantes pudieron acceder a la plataforma de C&amp;M haci\u00e9ndose pasar por un usuario v\u00e1lido, un ejemplo cl\u00e1sico de un ataque de &#8220;relaci\u00f3n de confianza&#8221;.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p>Una vez dentro de los sistemas de C&amp;M con las credenciales de un cliente leg\u00edtimo, pudieron pivotar y lanzar ataques contra las cuentas de reserva de <i>otros<\/i> clientes conectados a la misma plataforma.<\/p>\n<p>Esto revela una falla catastr\u00f3fica de segmentaci\u00f3n y de los principios de Confianza Cero (Zero Trust) dentro de la arquitectura de C&amp;M.<\/p>\n<p>Las credenciales de un cliente nunca deber\u00edan haber proporcionado una ruta de acceso a los activos de otro.<\/p>\n<p>La postura de seguridad de todo el ecosistema de las aproximadamente dos docenas de clientes de C&amp;M depend\u00eda, en \u00faltima instancia, de la seguridad del cliente m\u00e1s d\u00e9bil.<\/p>\n<h3>El Atraco: Desv\u00edo de Fondos y Lavado de Activos<\/h3>\n<p>El objetivo de los atacantes era quir\u00fargicamente preciso: las &#8220;contas reserva&#8221;.<\/p>\n<p>Es crucial entender que estas no son cuentas de clientes minoristas. Son cuentas mayoristas mantenidas directamente en el Banco Central y utilizadas exclusivamente para la liquidaci\u00f3n interbancaria.<\/p>\n<p>Funcionan como el capital de trabajo que las instituciones financieras utilizan para saldar deudas entre s\u00ed al final de cada d\u00eda de transacciones.<\/p>\n<figure id=\"attachment_7169\" aria-describedby=\"caption-attachment-7169\" style=\"width: 400px\" class=\"wp-caption alignright\"><a href=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2025\/07\/tinywow_Lucid_Realism_A_dark_and_ominous_image_depicting_a_massive_cyb_0_82195330-e1751747766854.webp\"><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-7169\" src=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2025\/07\/tinywow_Lucid_Realism_A_dark_and_ominous_image_depicting_a_massive_cyb_0_82195330-e1751747766854.webp\" alt=\"C&amp;M Software \" width=\"400\" height=\"400\" title=\"\"><\/a><figcaption id=\"caption-attachment-7169\" class=\"wp-caption-text\">C&amp;M Software<\/figcaption><\/figure>\n<p>Esta distinci\u00f3n es la raz\u00f3n por la que instituciones como BMP pudieron afirmar con veracidad que no hubo &#8220;<em><strong>ning\u00fan impacto en las cuentas de los clientes ni en los saldos internos<\/strong><\/em>&#8221; , una distinci\u00f3n vital que, sin embargo, se perdi\u00f3 en gran parte de la cobertura medi\u00e1tica inicial.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p>La magnitud del robo se convirti\u00f3 inmediatamente en un punto de confusi\u00f3n y controversia, alimentando la narrativa de caos e incertidumbre.<\/p>\n<ul>\n<li>El 1 de julio, el medio <i>Brazil Journal<\/i> public\u00f3 una exclusiva que sacudi\u00f3 al mercado, afirmando que las p\u00e9rdidas ascend\u00edan a &#8220;m\u00e1s de R$ 1 milh\u00e3o&#8221; (m\u00e1s de 1.000 millones de reales). Esta cifra, si se confirmaba, representar\u00eda el mayor ciberatraco de la historia del sistema financiero brasile\u00f1o.<span class=\"button-container hide-from-message-actions ng-star-inserted\"> \u00a0<\/span>\n<div class=\"container ng-tns-c2990807889-42 hide\">\n<div class=\"carousel-container ng-tns-c2990807889-42\"><\/div>\n<\/div>\n<\/li>\n<li>Al d\u00eda siguiente, surgieron estimaciones m\u00e1s conservadoras. Informes que citaban a <i>Valor Econ\u00f4mico<\/i> y otras fuentes de noticias financieras situaban las p\u00e9rdidas en un rango de 400 a 500 millones de reales.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span>\n<div class=\"container ng-tns-c2990807889-43 hide\">\n<div class=\"carousel-container ng-tns-c2990807889-43\"><\/div>\n<\/div>\n<\/li>\n<li>Otras fuentes, como <i>Estad\u00e3o\/Broadcast<\/i>, mencionaron cifras de hasta 800 millones de reales.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span>\n<div class=\"container ng-tns-c2990807889-44 hide\">\n<div class=\"carousel-container ng-tns-c2990807889-44\"><\/div>\n<\/div>\n<\/li>\n<\/ul>\n<p><b>Tabla: Impacto Financiero Disputado del Atraco a C&amp;M Software<\/b><\/p>\n<div class=\"horizontal-scroll-wrapper\">\n<table>\n<thead>\n<tr>\n<td>P\u00e9rdida Reportada (BRL)<\/td>\n<td>Fuente(s)<\/td>\n<td>Fecha del Informe<\/td>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>&gt; R$ 1.000 Millones<\/td>\n<td>Brazil Journal , TecMundo <span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/td>\n<td>1 de julio de 2025<\/td>\n<\/tr>\n<tr>\n<td>R$ 400-500 Millones<\/td>\n<td>Valor Econ\u00f4mico , Security Leaders <span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/td>\n<td>2 de julio de 2025<\/td>\n<\/tr>\n<tr>\n<td>R$ 800 Millones<\/td>\n<td>Estad\u00e3o\/Broadcast <span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0<\/span><\/p>\n<div class=\"container ng-tns-c2990807889-47 hide\">\n<div class=\"carousel-container ng-tns-c2990807889-47\">\n<div class=\"carousel-content ng-tns-c2990807889-47\">\n<div class=\"sources-carousel-source ng-tns-c2990807889-47 hide ng-star-inserted\" data-test-id=\"sources-carousel-source\"><\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/td>\n<td>2 de julio de 2025<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<p>Tras el desv\u00edo, los atacantes se movieron r\u00e1pidamente para blanquear las ganancias il\u00edcitas.<\/p>\n<p>Los informes sugieren que utilizaron los servicios de fintechs que conectan el sistema financiero tradicional con el mundo de las criptomonedas, como SmartPay, para convertir los reales brasile\u00f1os robados en activos digitales, espec\u00edficamente Bitcoin (BTC) y la stablecoin USDT, vinculada al d\u00f3lar.<\/p>\n<p>El CEO de SmartPay, Rocelo Lopes, confirm\u00f3 haber detectado &#8220;movimientos at\u00edpicos&#8221; y haber bloqueado operaciones para devolver parte de los fondos.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p>Una peque\u00f1a fracci\u00f3n de los fondos fue recuperada a trav\u00e9s del <b>Mecanismo Especial de Devolu\u00e7\u00e3o (MED)<\/b> del Pix, un sistema dise\u00f1ado por el BCB para revertir fondos en casos de fraude o fallo operativo.<\/p>\n<p>Sin embargo, el incidente expuso una limitaci\u00f3n cr\u00edtica del MED en ese momento: solo pod\u00eda bloquear fondos en la primera cuenta receptora.<\/p>\n<p>Una vez que los criminales mov\u00edan el dinero a una segunda o tercera capa de cuentas, el mecanismo era ineficaz, una laguna que el propuesto MED 2.0 busca cerrar.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<div class=\"container ng-tns-c2990807889-49 hide\">\n<div class=\"carousel-container ng-tns-c2990807889-49\">\n<div class=\"carousel-content ng-tns-c2990807889-49\">\n<div class=\"sources-carousel-source ng-tns-c2990807889-49 hide ng-star-inserted\" data-test-id=\"sources-carousel-source\"><span style=\"font-size: 1.7em; font-weight: bold;\">El Ecosistema Bajo Presi\u00f3n<\/span><\/div>\n<\/div>\n<\/div>\n<\/div>\n<p>La brecha de C&amp;M Software no fue un evento contenido.<\/p>\n<p>Sus repercusiones se extendieron instant\u00e1neamente por todo el ecosistema financiero, provocando una respuesta dr\u00e1stica por parte del regulador, una crisis operativa para las instituciones afectadas y un intenso escrutinio sobre la seguridad de la joya de la corona de la innovaci\u00f3n financiera de Brasil: el sistema Pix.<\/p>\n<h3>La Respuesta del Banco Central: Una Amputaci\u00f3n Necesaria<\/h3>\n<p>Al ser notificado del ataque por C&amp;M, el Banco Central de Brasil (BCB) actu\u00f3 con una rapidez y decisi\u00f3n que subrayan la gravedad de la amenaza.<\/p>\n<p>La orden fue inmediata y contundente:<\/p>\n<blockquote><p><strong>el &#8220;desligamento do acesso das institui\u00e7\u00f5es \u00e0s infraestruturas por ela operadas&#8221;. <\/strong><\/p><\/blockquote>\n<p>Esta fue una cirug\u00eda de contenci\u00f3n, una medida radical para aislar el punto de infecci\u00f3n y evitar que la hemorragia se extendiera por las arterias del sistema financiero.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p>Esta acci\u00f3n no fue un acto de p\u00e1nico, sino el ejercicio de las amplias facultades regulatorias del BCB.<\/p>\n<p>Instrumentos como la Circular N.\u00ba 3.970\/2019, que establece los criterios para la comunicaci\u00f3n de datos en el SFN y regula a los PSTI , y la Resoluci\u00f3n N.\u00ba 4.893\/2021, que impone pol\u00edticas de ciberseguridad a las instituciones financieras , otorgan al BCB la autoridad expl\u00edcita para supervisar e intervenir con el fin de proteger la integridad del sistema.<\/p>\n<p>Estas regulaciones exigen planes de respuesta a incidentes y otorgan al BCB derechos de auditor\u00eda sobre los proveedores de terceros, proporcionando la base legal para su dr\u00e1stica intervenci\u00f3n.<span class=\"button-container hide-from-message-actions ng-star-inserted\"> \u00a0<\/span><\/p>\n<p>Inmediatamente, el BCB coordin\u00f3 una investigaci\u00f3n multifac\u00e9tica, movilizando a sus propios equipos t\u00e9cnicos junto con la Polic\u00eda Civil de S\u00e3o Paulo y la Polic\u00eda Federal, lanzando una operaci\u00f3n a gran escala para determinar el alcance del da\u00f1o, identificar a los responsables y recuperar los fondos.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p>La respuesta del BCB, sin embargo, pone de relieve un desaf\u00edo fundamental al que se enfrentan los reguladores en una era de finanzas hiperconectadas, a menudo denominado el &#8220;trilema del regulador&#8221;.<\/p>\n<p>El banco se vio obligado a tomar una decisi\u00f3n dif\u00edcil entre tres objetivos a menudo contrapuestos: (1) la estabilidad sist\u00e9mica,<\/p>\n<p>(2) la continuidad operativa de las empresas individuales y<\/p>\n<p>(3) la competencia en el mercado.<\/p>\n<p>En esta crisis, la elecci\u00f3n fue clara e inequ\u00edvoca. La prioridad absoluta fue la estabilidad sist\u00e9mica. La necesidad de detener el ataque y prevenir el contagio a todo el sistema financiero justific\u00f3 la desconexi\u00f3n inmediata.<\/p>\n<p>Sin embargo, esta misma acci\u00f3n perjudic\u00f3 directamente la continuidad operativa de las aproximadamente dos docenas de empresas m\u00e1s peque\u00f1as que depend\u00edan exclusivamente de C&amp;M para su conexi\u00f3n al sistema de pagos.<\/p>\n<p>Sus negocios quedaron efectivamente paralizados.<\/p>\n<p>A su vez, esto tiene implicaciones negativas para la competencia en el mercado.<\/p>\n<p>Estas fintechs m\u00e1s peque\u00f1as, que las pol\u00edticas de banca abierta y Pix del BCB pretend\u00edan empoderar, se revelaron como fr\u00e1giles.<\/p>\n<p>El incidente podr\u00eda provocar una &#8220;<em>huida hacia la calidad<\/em>&#8220;, con clientes y capital volviendo a los grandes bancos tradicionales que poseen su propia conectividad robusta, socavando as\u00ed el objetivo de un panorama m\u00e1s competitivo.<\/p>\n<p>La decisi\u00f3n del BCB revela su prioridad \u00faltima: la integridad de todo el sistema siempre prevalecer\u00e1 sobre la supervivencia de sus partes individuales, incluso si son numerosas.<\/p>\n<p><span style=\"color: #ff0000;\"><strong>Esto establece un precedente aleccionador sobre la tolerancia al riesgo dentro del espacio fintech brasile\u00f1o.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/strong><\/span><\/p>\n<h3>El Efecto Domin\u00f3: Impacto en las Instituciones Financieras<\/h3>\n<p>Mientras el Banco Central se centraba en la contenci\u00f3n a nivel macro, las instituciones financieras individuales se enfrentaban a una crisis propia.<\/p>\n<p>BMP Money Plus, un proveedor de &#8220;Banking as a Service&#8221; (BaaS) con sede en S\u00e3o Paulo, se convirti\u00f3 en la cara p\u00fablica de las v\u00edctimas. Fue una de las primeras y m\u00e1s vocales en confirmar que hab\u00eda sido afectada.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p>La estrategia de comunicaci\u00f3n de BMP y otras instituciones afectadas fue un ejercicio de control de da\u00f1os, centrado consistentemente en tres mensajes clave para tranquilizar a los clientes y al mercado:<\/p>\n<ol start=\"1\">\n<li>Un total de seis instituciones, incluida BMP, se vieron afectadas por el acceso no autorizado.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span>\n<div class=\"container ng-tns-c2990807889-55 hide\">\n<div class=\"carousel-container ng-tns-c2990807889-55\"><\/div>\n<\/div>\n<\/li>\n<li>La brecha se limit\u00f3 exclusivamente a sus cuentas de reserva interbancarias, sin &#8220;ning\u00fan impacto en las cuentas de los clientes ni en los saldos internos&#8221;.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span>\n<div class=\"container ng-tns-c2990807889-56 hide\">\n<div class=\"carousel-container ng-tns-c2990807889-56\"><\/div>\n<\/div>\n<\/li>\n<li>La instituci\u00f3n pose\u00eda &#8220;garant\u00edas suficientes para cubrir \u00edntegramente el importe afectado, sin perjuicio para sus operaciones o socios comerciales&#8221;.<span class=\"button-container hide-from-message-actions ng-star-inserted\"> \u00a0<\/span>\n<div class=\"container ng-tns-c2990807889-57 hide\">\n<div class=\"carousel-container ng-tns-c2990807889-57\"><\/div>\n<\/div>\n<\/li>\n<\/ol>\n<p>Aunque estas declaraciones eran t\u00e9cnicamente correctas y cruciales para evitar el p\u00e1nico de los depositantes, ocultaban el grave da\u00f1o operativo.<\/p>\n<p>Para estas empresas, la desconexi\u00f3n de la red SPB y Pix fue un golpe devastador.<\/p>\n<p><strong>Significaba la incapacidad de realizar su negocio principal:<\/strong> procesar pagos y transferencias.<\/p>\n<p>Cada hora de desconexi\u00f3n se traduc\u00eda en p\u00e9rdida de ingresos, incumplimiento de los niveles de servicio y un da\u00f1o incalculable a su reputaci\u00f3n.<\/p>\n<p>La confianza, la moneda m\u00e1s valiosa en el sector financiero, se hab\u00eda erosionado gravemente.<span class=\"button-container hide-from-message-actions ng-star-inserted\"> \u00a0<\/span><\/p>\n<p><b>Tabla: Entidades Clave Involucradas y sus Roles<\/b><\/p>\n<div class=\"horizontal-scroll-wrapper\">\n<div class=\"table-block-component\">\n<div class=\"table-block has-export-button\">\n<div class=\"table-content not-end-of-paragraph\">\n<table>\n<thead>\n<tr>\n<td>Entidad<\/td>\n<td>Rol<\/td>\n<td>Impacto<\/td>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td><b>C&amp;M Software (CMSW)<\/b><\/td>\n<td>PSTI cr\u00edtico; proveedor de conectividad SPB\/Pix; v\u00edctima principal y vector del ataque.<\/td>\n<td>P\u00e9rdida financiera y de reputaci\u00f3n masiva; desconexi\u00f3n de la red del BCB; objeto de una investigaci\u00f3n multiagencia.<\/td>\n<\/tr>\n<tr>\n<td><b>Banco Central de Brasil (BCB)<\/b><\/td>\n<td>Regulador, operador de SPB\/Pix, gestor de la crisis.<\/td>\n<td>Ejecut\u00f3 la estrategia de contenci\u00f3n; los sistemas centrales permanecieron seguros; obligado a reevaluar la supervisi\u00f3n de riesgos de terceros.<\/td>\n<\/tr>\n<tr>\n<td><b>BMP Money Plus<\/b><\/td>\n<td>Proveedor de &#8220;Banking as a Service&#8221;; cliente de C&amp;M; una de las seis instituciones afectadas nombradas.<\/td>\n<td>Sufri\u00f3 acceso no autorizado a su cuenta de reserva; se enfrent\u00f3 a una interrupci\u00f3n operativa; lider\u00f3 los esfuerzos p\u00fablicos de control de da\u00f1os.<\/td>\n<\/tr>\n<tr>\n<td><b>Otras Instituciones Afectadas (~24)<\/b><\/td>\n<td>Fintechs y entidades de pago m\u00e1s peque\u00f1as que depend\u00edan de C&amp;M.<\/td>\n<td>Par\u00e1lisis operativa debido a la desconexi\u00f3n de Pix\/SPB; interrupci\u00f3n significativa del negocio y riesgo reputacional.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<h3>Pix en el Punto de Mira: un N\u00facleo Resiliente, un Per\u00edmetro Vulnerable<\/h3>\n<p>El ataque a C&amp;M Software inevitablemente puso al sistema Pix bajo un intenso escrutinio. Lanzado a finales de 2020, Pix ha sido una revoluci\u00f3n sin paliativos, convirti\u00e9ndose r\u00e1pidamente en el m\u00e9todo de pago m\u00e1s utilizado en Brasil.<\/p>\n<p>Su naturaleza instant\u00e1nea, 24\/7 y de bajo coste ha impulsado la inclusi\u00f3n financiera y ha fomentado una competencia sin precedentes en el sector bancario.<span class=\"button-container hide-from-message-actions ng-star-inserted\"> \u00a0<\/span><\/p>\n<p>La seguridad de la arquitectura de Pix se basa en cuatro dimensiones fundamentales: la autenticaci\u00f3n del usuario, la trazabilidad de las transacciones, el tr\u00e1fico seguro de la informaci\u00f3n (mediante cifrado y autenticaci\u00f3n mutua) y un estricto conjunto de normas operativas establecidas por el BCB.<\/p>\n<p>La infraestructura central \u2014el Sistema de Pagos Instant\u00e1neos (SPI) y el Directorio de Identificadores de Cuentas Transaccionales (DICT)\u2014 es robusta y, como confirmaron las autoridades, no fue violada en el ataque.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p>El incidente de C&amp;M ilustra a la perfecci\u00f3n el problema del &#8220;n\u00facleo seguro, per\u00edmetro vulnerable&#8221;. Los atacantes no rompieron, ni pod\u00edan romper, el sistema central de Pix.<\/p>\n<p>En su lugar, aplicaron una estrategia mucho m\u00e1s inteligente: atacaron y comprometieron a un participante de confianza y autorizado en el borde de la red \u2014el PSTI\u2014 que ten\u00eda acceso leg\u00edtimo al n\u00facleo.<\/p>\n<p>Este es un ejemplo de libro de texto de un ataque a la cadena de suministro, donde el eslab\u00f3n m\u00e1s d\u00e9bil compromete la integridad de toda la cadena.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p>Esto nos lleva a una conclusi\u00f3n contraintuitiva pero crucial: el propio \u00e9xito de Pix contribuy\u00f3 parad\u00f3jicamente a aumentar el riesgo sist\u00e9mico.<\/p>\n<p>Las mismas caracter\u00edsticas que lo convirtieron en un \u00e9xito masivo \u2014su arquitectura abierta y el fomento de nuevos y m\u00e1s peque\u00f1os actores fintech\u2014 tambi\u00e9n expandieron la superficie de ataque del sistema e introdujeron nuevos vectores de riesgo.<\/p>\n<p>El dise\u00f1o de Pix como un &#8220;entorno abierto&#8221; ten\u00eda como objetivo expl\u00edcito fomentar la competencia y atraer a nuevos actores, incluidas las instituciones de pago digitales.<\/p>\n<p>Muchas de estas nuevas empresas, al carecer de su propia infraestructura de conectividad, pasaron a depender de PSTIs como C&amp;M.<\/p>\n<p>El crecimiento explosivo de Pix signific\u00f3 que el volumen y el valor de las transacciones que flu\u00edan a trav\u00e9s de estos canales de terceros se dispararon.<\/p>\n<p>Esto cre\u00f3 una situaci\u00f3n en la que un proveedor como C&amp;M, cuya postura de seguridad podr\u00eda no igualar la de un gran banco o la del propio BCB, se convirti\u00f3 en un conducto cr\u00edtico para miles de millones de reales.<\/p>\n<p>Por lo tanto, el \u00e9xito de Pix en la ampliaci\u00f3n de la participaci\u00f3n cre\u00f3 inadvertidamente objetivos de alto valor y potencialmente m\u00e1s d\u00e9biles en el per\u00edmetro del sistema.<\/p>\n<p>El ataque a C&amp;M no fue solo un ataque a una empresa de software; fue un ataque al modelo de inclusi\u00f3n financiera y competencia que Pix hab\u00eda defendido con tanto \u00e9xito.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<h2>La Hora de la Verdad y el Camino a Seguir<\/h2>\n<p>El ataque a C&amp;M Software no fue un evento aislado que pudiera ser contenido y olvidado.<\/p>\n<p>Fue un <a href=\"https:\/\/www.aba.com\/experts-peers\/partner-network\/directory\/c-m-software-llc\" target=\"_blank\" rel=\"noopener\">sismo que ha provocado r\u00e9plicas duraderas en todo el panorama financiero<\/a> y tecnol\u00f3gico de Brasil.<\/p>\n<p>Esta parte final del informe se aleja del an\u00e1lisis del incidente en s\u00ed para examinar sus consecuencias a largo plazo, explorando el ajuste de cuentas regulatorio, los cambios en el mercado y los pasos necesarios para construir un futuro m\u00e1s defendible.<\/p>\n<h3>\u00bfUn Fallo de Supervisi\u00f3n? El Panorama Regulatorio y sus L\u00edmites<\/h3>\n<p>A primera vista, Brasil parec\u00eda bien preparado para prevenir un incidente de este tipo. El pa\u00eds cuenta con un conjunto completo y moderno de regulaciones de ciberseguridad y protecci\u00f3n de datos.<\/p>\n<h5><b>Lei Geral de Prote\u00e7\u00e3o de Dados (LGPD):<\/b><\/h5>\n<p>La ley de protecci\u00f3n de datos de Brasil (Ley N.\u00ba 13.709\/2018) establece normas detalladas sobre el tratamiento de datos personales e impone fuertes sanciones por incumplimiento, incluyendo multas de hasta el 2% de los ingresos de una empresa en Brasil, con un tope de 50 millones de reales por infracci\u00f3n.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<h5><b>Resoluciones del BCB N.\u00ba 4.893\/2021 y N.\u00ba 85\/2021:<\/b><\/h5>\n<p>Estas normativas regulan espec\u00edficamente las pol\u00edticas de ciberseguridad para las instituciones financieras y de pago.<\/p>\n<p>Exigen la implementaci\u00f3n de pol\u00edticas de ciberseguridad, planes de respuesta a incidentes y, de forma crucial, establecen requisitos estrictos para la contrataci\u00f3n de proveedores externos para el procesamiento de datos, el almacenamiento y los servicios de computaci\u00f3n en la nube.<\/p>\n<p>Obligan a las instituciones a incluir cl\u00e1usulas contractuales que garanticen que los proveedores de terceros cumplan con los est\u00e1ndares de seguridad y autoricen el acceso del Banco Central a todos los documentos e informaci\u00f3n relacionados.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p><b>Pol\u00edtica Nacional de Ciberseguran\u00e7a (PNCiber):<\/b> Aprobada por el Decreto N.\u00ba 11.856\/2023, esta pol\u00edtica establece una estrategia gubernamental m\u00e1s amplia para guiar las actividades de ciberseguridad en el pa\u00eds y proteger las infraestructuras cr\u00edticas.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<div class=\"container ng-tns-c2990807889-65 hide\">\n<div class=\"carousel-container ng-tns-c2990807889-65\"><\/div>\n<\/div>\n<p><b>Tabla: Regulaciones Clave de Ciberseguridad para Terceros Financieros en Brasil<\/b><\/p>\n<div class=\"horizontal-scroll-wrapper\">\n<div class=\"table-block-component\">\n<div class=\"table-block has-export-button\">\n<div class=\"table-content not-end-of-paragraph\">\n<table>\n<thead>\n<tr>\n<td>Regulaci\u00f3n<\/td>\n<td>Requisito Clave<\/td>\n<td>Sanci\u00f3n por Incumplimiento<\/td>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td><b>LGPD (Ley 13.709\/2018)<\/b><\/td>\n<td>Protecci\u00f3n de datos personales; notificaci\u00f3n de brechas; nombramiento de un Delegado de Protecci\u00f3n de Datos (DPO).<\/td>\n<td>Multas de hasta 50 millones de reales por infracci\u00f3n.<\/td>\n<\/tr>\n<tr>\n<td><b>Resoluci\u00f3n del BCB 4.893\/2021<\/b><\/td>\n<td>Pol\u00edtica de ciberseguridad obligatoria; plan de respuesta a incidentes; cl\u00e1usulas contractuales espec\u00edficas para proveedores terceros (incluidos derechos de auditor\u00eda del BCB).<\/td>\n<td>Sanciones administrativas por parte del Banco Central.<\/td>\n<\/tr>\n<tr>\n<td><b>PNCiber (Decreto 11.856\/2023)<\/b><\/td>\n<td>Establece la estrategia nacional y los principios rectores para la protecci\u00f3n de infraestructuras cr\u00edticas.<\/td>\n<td>Principalmente una pol\u00edtica orientadora, pero informa las prioridades de aplicaci\u00f3n de otras regulaciones.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<p>La existencia de este s\u00f3lido marco regulatorio plantea una pregunta cr\u00edtica: si las reglas estaban en vigor, \u00bfpor qu\u00e9 ocurri\u00f3 la brecha?<\/p>\n<p>El incidente sugiere una brecha peligrosa entre el cumplimiento normativo como una lista de verificaci\u00f3n y una postura de seguridad genuina y efectiva.<\/p>\n<p>Es probable que el ataque desencadene un cambio fundamental en el enfoque del BCB, pasando de la simple verificaci\u00f3n de la existencia de pol\u00edticas a la auditor\u00eda rigurosa y t\u00e9cnica de su eficacia en la pr\u00e1ctica.<\/p>\n<p>Las consecuencias legales y financieras para C&amp;M Software podr\u00edan ser graves.<\/p>\n<p>Se enfrenta a posibles multas regulatorias del BCB por fallos en sus controles de seguridad, sanciones en virtud de la LGPD si se demuestra que se comprometieron datos personales, y una oleada de demandas civiles por parte de las instituciones financieras afectadas que busquen una indemnizaci\u00f3n por las p\u00e9rdidas operativas y los fondos robados.<\/p>\n<h3>La Nueva Tesis de Inversi\u00f3n: Fortalecer la Frontera Fintech<\/h3>\n<p>El ataque a C&amp;M Software envi\u00f3 &#8220;ondas de choque a los mercados mundiales&#8221; , actuando como un poderoso catalizador para el cambio.<\/p>\n<p>Demostr\u00f3 de forma contundente que la r\u00e1pida innovaci\u00f3n en el auge de las fintech en Am\u00e9rica Latina hab\u00eda &#8220;superado a las inversiones en seguridad&#8221;.<\/p>\n<p>Este desequilibrio ha creado una demanda inmediata y urgente de soluciones de ciberseguridad robustas, abriendo lo que los analistas estiman como una &#8220;oportunidad de 20 a 30 mil millones de d\u00f3lares para las empresas de ciberseguridad&#8221; que se dirigen a la regi\u00f3n.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p>El incidente ha redefinido la tesis de inversi\u00f3n en el sector, destacando tres \u00e1reas clave de crecimiento:<\/p>\n<h5><b>Detecci\u00f3n de Amenazas en Tiempo Real y Control de Acceso:<\/b><\/h5>\n<p>Las instituciones financieras, especialmente en los mercados emergentes, a menudo carecen de los recursos para supervisar continuamente a sus proveedores externos.<\/p>\n<p>Esto crea una gran demanda de soluciones como la Detecci\u00f3n y Respuesta de Endpoints (EDR) de empresas como CrowdStrike, que pueden detectar y neutralizar amenazas en tiempo real.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<div class=\"container ng-tns-c2990807889-67 hide\">\n<div class=\"carousel-container ng-tns-c2990807889-67\"><\/div>\n<\/div>\n<h5><b>Seguridad en la Nube y Gesti\u00f3n de Identidades:<\/b><\/h5>\n<p>A medida que la adopci\u00f3n de fintech se dispara, tambi\u00e9n lo hace la dependencia de la infraestructura en la nube, un objetivo principal para los hackers.<\/p>\n<p>Las soluciones de protecci\u00f3n integral para entornos de nube h\u00edbrida, como la suite Prisma Cloud de Palo Alto Networks, y las empresas de gesti\u00f3n de identidades como Okta, que son cruciales para prevenir brechas vinculadas a credenciales robadas, est\u00e1n preparadas para un crecimiento significativo.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<h5><b>Cumplimiento y Respuesta a Incidentes:<\/b><\/h5>\n<p>El endurecimiento de los requisitos regulatorios, como el mandato del Banco Central de Brasil de realizar auditor\u00edas rigurosas a los proveedores de tecnolog\u00eda, beneficiar\u00e1 a las empresas que ofrecen servicios de respuesta a incidentes y forenses (como Mandiant) y de gesti\u00f3n de acceso privilegiado (como CyberArk).<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<figure id=\"attachment_7170\" aria-describedby=\"caption-attachment-7170\" style=\"width: 400px\" class=\"wp-caption alignleft\"><a href=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2025\/07\/tinywow_Lucid_Realism_A_dark_and_ominous_image_depicting_a_massive_cyb_1_82195330-e1751747847375.webp\"><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-7170\" src=\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2025\/07\/tinywow_Lucid_Realism_A_dark_and_ominous_image_depicting_a_massive_cyb_1_82195330-e1751747847375.webp\" alt=\"C&amp;M Software\" width=\"400\" height=\"400\" title=\"\"><\/a><figcaption id=\"caption-attachment-7170\" class=\"wp-caption-text\">C&amp;M Software<\/figcaption><\/figure>\n<p>M\u00e1s all\u00e1 de un simple aumento en el gasto, la brecha de C&amp;M provocar\u00e1 una &#8220;huida hacia la calidad&#8221; en la inversi\u00f3n en ciberseguridad.<\/p>\n<p>El tipo de soluciones que se buscan cambiar\u00e1 fundamentalmente.<\/p>\n<p>El vector de ataque no fue un simple virus que un antivirus b\u00e1sico podr\u00eda detener; fue un sofisticado compromiso de credenciales.<\/p>\n<p>El punto de fallo no fue el cortafuegos de la propia empresa, sino su proveedor externo de confianza. Por lo tanto, <span style=\"color: #ff0000;\"><strong>el antiguo modelo de asegurar el propio per\u00edmetro ha quedado obsoleto<\/strong><\/span>.<\/p>\n<p>Los directores de seguridad de la informaci\u00f3n (CISO) y los inversores ahora priorizar\u00e1n soluciones que ofrezcan visibilidad y control sobre toda su cadena de suministro.<\/p>\n<p>Esto se traduce en una creciente demanda de plataformas especializadas en la Gesti\u00f3n Continua de la Exposici\u00f3n (CEM), la Gesti\u00f3n de Riesgos de Terceros (TPRM) y la Gesti\u00f3n Avanzada de Identidades y Accesos (IAM), capaces de detectar comportamientos an\u00f3malos incluso con credenciales &#8220;v\u00e1lidas&#8221;.<\/p>\n<p>La tesis de inversi\u00f3n se desplaza de &#8220;\u00bfcumplimos con la normativa?&#8221; a &#8220;\u00bfsomos defendibles contra un adversario sofisticado y paciente?&#8221;.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<h3>3.3 Recomendaciones: Construyendo un Futuro Financiero M\u00e1s Defendible<\/h3>\n<p>La brecha de C&amp;M Software ofrece lecciones duras pero necesarias. Para evitar que se repita un incidente de esta magnitud, todas las partes del ecosistema deben adoptar un nuevo paradigma de seguridad.<\/p>\n<p><b>Para las Instituciones Financieras:<\/b> La lecci\u00f3n principal es que el riesgo no se puede externalizar. La debida diligencia va m\u00e1s all\u00e1 de un contrato.<\/p>\n<p><b>Adoptar una Arquitectura de &#8220;Confianza Cero&#8221; (Zero Trust):<\/b> El principio fundamental es no confiar nunca de forma inherente en ning\u00fan usuario o sistema, ya sea dentro o fuera de la red. Esto es especialmente cr\u00edtico en las relaciones con los proveedores. Cada solicitud de acceso debe ser verificada continuamente, asumiendo que la red ya ha sido comprometida.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<div class=\"container ng-tns-c2990807889-71 hide\">\n<div class=\"carousel-container ng-tns-c2990807889-71\"><\/div>\n<\/div>\n<p><b>Implementar la Gesti\u00f3n Continua de la Exposici\u00f3n (CEM):<\/b> Las instituciones deben pasar de las exploraciones peri\u00f3dicas de vulnerabilidades a un proceso continuo de descubrimiento, priorizaci\u00f3n y validaci\u00f3n de exposiciones en toda la superficie de ataque, incluidos los terceros. Esto proporciona una visi\u00f3n contextualizada de c\u00f3mo las exposiciones se interconectan para crear rutas de ataque a los activos cr\u00edticos.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p><b>Exigir la Autenticaci\u00f3n Multifactor (MFA):<\/b> Se debe hacer cumplir la MFA para todo el acceso a sistemas cr\u00edticos, tanto para empleados internos como para socios externos. Es la defensa m\u00e1s eficaz contra los ataques de relleno de credenciales.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p><b>Para los Reguladores (BCB):<\/b> El enfoque debe pasar de la pol\u00edtica a la prueba, de la confianza a la verificaci\u00f3n.<\/p>\n<p><b>Exigir Auditor\u00edas Rigurosas e Intrusivas de los PSTI:<\/b> El BCB debe ir m\u00e1s all\u00e1 de las comprobaciones de cumplimiento basadas en papel y realizar auditor\u00edas t\u00e9cnicas activas de los controles de seguridad, la gesti\u00f3n de accesos y las capacidades de respuesta a incidentes en todos los proveedores de terceros cr\u00edticos.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p><b>Acelerar y Mejorar el MED 2.0:<\/b> El incidente de C&amp;M proporciona un caso de uso poderoso para acelerar el propuesto MED 2.0. Esta mejora permitir\u00e1 el bloqueo y la recuperaci\u00f3n de fondos fraudulentos a trav\u00e9s de m\u00faltiples capas de cuentas, obstaculizando significativamente los esfuerzos de lavado de dinero de los criminales.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<p><b>Reevaluar el Riesgo de Concentraci\u00f3n:<\/b> El BCB debe analizar el riesgo sist\u00e9mico que plantea el dominio del mercado por parte de un \u00fanico PSTI y considerar pol\u00edticas para fomentar la diversificaci\u00f3n y la resiliencia, quiz\u00e1s estableciendo requisitos de capital o de seguridad m\u00e1s elevados para los proveedores que superen una determinada cuota de mercado.<\/p>\n<p><b>Para la Industria en su Conjunto:<\/b> La seguridad es una responsabilidad colectiva, no un esfuerzo aislado.<\/p>\n<p><b>Fomentar el Intercambio de Inteligencia sobre Amenazas:<\/b> Es necesario crear plataformas m\u00e1s s\u00f3lidas para que las instituciones financieras compartan inteligencia en tiempo real sobre amenazas, t\u00e1cticas e indicadores de compromiso, siguiendo el modelo de marcos como el FS-ISAC (Centro de An\u00e1lisis e Intercambio de Informaci\u00f3n de Servicios Financieros).<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0<\/span><\/p>\n<div class=\"container ng-tns-c2990807889-76 hide\">\n<div class=\"carousel-container ng-tns-c2990807889-76\"><\/div>\n<\/div>\n<p><b>Invertir en Formaci\u00f3n Continua en Seguridad:<\/b> Dado que el vector de ataque inicial fue probablemente la ingenier\u00eda social, la industria debe invertir masivamente en una formaci\u00f3n continua y sofisticada para ayudar a los empleados de todos los niveles a reconocer y resistir el phishing y otras t\u00e1cticas de manipulaci\u00f3n.<span class=\"button-container hide-from-message-actions ng-star-inserted\">\u00a0 \u00a0<\/span><\/p>\n<div class=\"container ng-tns-c2990807889-77 hide\">\n<div class=\"carousel-container ng-tns-c2990807889-77\"><\/div>\n<\/div>\n<h2>M\u00e1s All\u00e1 de la Brecha<\/h2>\n<p>La brecha de C&amp;M Software fue mucho m\u00e1s que un crimen financiero masivo; fue un fallo sist\u00e9mico que expuso la fragilidad inherente de un ecosistema digital en r\u00e1pida expansi\u00f3n construido sobre una base de confianza interconectada.<\/p>\n<p>Las lecciones son claras y contundentes: la primac\u00eda de la seguridad de la identidad sobre la seguridad del per\u00edmetro; el peligro del riesgo concentrado en la cadena de suministro; la insuficiencia de una mentalidad centrada \u00fanicamente en el cumplimiento normativo; y el factor humano como el eslab\u00f3n perpetuamente m\u00e1s d\u00e9bil.<\/p>\n<p>El ataque, aunque devastador en su escala y consecuencias, sirve como un catalizador poderoso y necesario. Ha forzado una maduraci\u00f3n dolorosa pero esencial de la infraestructura financiera digital de Brasil.<\/p>\n<p>Ha obligado a los reguladores, las instituciones y los inversores a ir m\u00e1s all\u00e1 de la euforia del auge de las fintech y a enfrentarse a las duras realidades de la construcci\u00f3n de un futuro financiero que no solo sea innovador y eficiente, sino tambi\u00e9n verdaderamente resiliente y defendible.<\/p>\n<p>El camino a seguir requerir\u00e1 una vigilancia constante, una inversi\u00f3n estrat\u00e9gica y una colaboraci\u00f3n sin precedentes, pero es el \u00fanico camino para garantizar que la promesa de la revoluci\u00f3n digital de Brasil no se vea socavada por sus propios riesgos inherentes.<\/p>\n<p>&nbsp;<\/p>\n<p><b>Por el equipo de redacci\u00f3n de An\u00e1lisis Tecnol\u00f3gico y Financiero<\/b> <b>2 de julio de 2025, 11:35 a. m. GMT-3. Publicado hoy, 5 de Julio, por enfermedad del General Publisher. (pedimos sinceras disculpas)<\/b><\/p>\n<p>&nbsp;<\/p>\n<p>Lea m\u00e1s sobre Ciberseguridad en:<\/p>\n<p><a href=\"https:\/\/itconnect.lat\/portal\/active-listening-001\/\">Active Listening 2025: \u00bfhay seguridad en tu tel\u00e9fono?<\/a><\/p>\n<p><a href=\"https:\/\/itconnect.lat\/portal\/ciberseguridad-000001\/\">Ciberseguridad es esencial en la Era de la IA 2025<\/a><\/p>\n<p><a href=\"https:\/\/itconnect.lat\/portal\/desalineacion-agentica-0001\/\">Desalineaci\u00f3n Ag\u00e9ntica 2025: cuando la AI no brinda seguridad<\/a><\/p>\n<p><a href=\"https:\/\/itconnect.lat\/portal\/coo-0001\/\">COO 2025 en la cuerda floja digital: abismos de seguridad<\/a><\/p>\n<p><a href=\"https:\/\/itconnect.lat\/portal\/marcelo-romero-001\/\">Marcelo Romero 2025: El Guardi\u00e1n Digital la Seguridad Argentina &#x1f6e1;&#xfe0f;&#x1f50d;<\/a><\/p>\n<p><span style=\"color: #ffffff;\"><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><span style=\"font-size: 8pt;\">C&amp;M Software,\u00a0<\/span><\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La Brecha del Bill\u00f3n de Reales: Anatom\u00eda del Ataque a C&amp;M Software y el D\u00eda que se Rompi\u00f3 el Eslab\u00f3n M\u00e1s D\u00e9bil de la Fintech Brasile\u00f1a Una Onda Expansiva Sist\u00e9mica Los d\u00edas 1 y 2 de julio de 2025 marcaron un punto de inflexi\u00f3n para el ecosistema financiero de Brasil. Lo que comenz\u00f3 como rumores [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":7168,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"default","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"set","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[58],"tags":[4243],"class_list":["post-7166","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","tag-cm-software"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/7166","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/comments?post=7166"}],"version-history":[{"count":4,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/7166\/revisions"}],"predecessor-version":[{"id":7175,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/7166\/revisions\/7175"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/media\/7168"}],"wp:attachment":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/media?parent=7166"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/categories?post=7166"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/tags?post=7166"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}