Por Marco Aurélio – Perito em Segurança Digital | M A Segurança Digital
Publicado em 23 de outubro de 2025
O ataque à fintech FictorPay, que resultou no roubo de cerca de R$ 26 milhões em transfers via Pix, deixou uma lição clara para o mercado financeiro: não é preciso “quebrar” um sistema se você consegue as chaves para usá-lo. Segundo as apurações, os invasores exploraram uma vulnerabilidade em um sistema ERP de fornecedor terceirizado e obtiveram certificados digitais e credenciais de pagamento, o que lhes permitiu orquestrar 282 transferências para 271 contas laranjas. Em outras palavras, não foi (apenas) um ataque sofisticado contra a infraestrutura — foi uma falha de gestão e proteção de credenciais.
O fator decisivo: credenciais e certificados comprometidos
Muitos incidentes que viram manchete como “ataques hackers” derivam, na prática, de acesso com credenciais válidas — logins, chaves privadas, certificados ou tokens que autorizam operações financeiras. Quando invasores colocam as mãos nesses elementos, atuam como usuários legítimos do sistema: não precisam explorar vulnerabilidades técnicas complexas; simplesmente executam operações autorizadas.
No caso da FictorPay, a cadeia envolveu um fornecedor white-label — ou seja, um terceiro com acesso sistêmico ao ambiente de pagamentos. Essa dependência externa ampliou a superfície de ataque: bastou comprometer o fornecedor para alcançar credenciais sensíveis.
Por que isso é falha de segurança digital (e não só “crime sofisticado”)
Chamar tudo de “hack” glamouroso mascara o problema real. Aqui estão os pontos que caracterizam falha de segurança digital neste episódio:
- Gestão inadequada de identidades e segredos: certificados e credenciais não foram protegidos com controles robustos (cofres de segredos, rotação automática, uso mínimo de privilégios).
- Dependência de terceiros sem governança suficiente: fornecedores com acesso privilegiado foram vetores críticos.
- Ausência ou falha de controles de detecção: movimentações atípicas (múltiplos Pix para contas diferentes) não foram detectadas a tempo de interromper as operações.
- Políticas de segregação insuficientes: sistemas críticos (ERP, gateways) possuíam caminhos de autorização que permitiram ações em cadeia.
Assim, o vetor não foi um “super-hack” explorando zero-day em grande escala — foi a comprovação de que credenciais fracas ou mal geridas abrem portas tão perigosas quanto qualquer vulnerabilidade técnica.
Impactos práticos do comprometimento de credenciais
Quando certificados e credenciais são roubados:
- invasores conseguem autenticar transações como se fossem usuários legítimos;
- operações financeiras são executadas sem disparar controles básicos (quando estes não existem);
- rastreabilidade e forense ficam mais difíceis (operações surgem ligadas a usuários legítimos);
- a confiança entre parceiros e clientes é abalada;
- a exposição regulatória aumenta — autoridades (Banco Central, órgãos de defesa do consumidor) exigem respostas rápidas.
No caso reportado, o Banco Central passou a monitorar o incidente e a própria estrutura de BaaS/Core Banking que se relaciona com FictorPay foi colocada em alerta.
O que deveria (e pode) ser feito para prevenir esse tipo de ataque
1) Gestão de segredos e certificados (urgente)
- Centralizar chaves, tokens e certificados em cofres de segredos (Secret Manager/HashiCorp Vault/AWS Secrets Manager), com controle de acesso granular.
- Rotacionar senhas e chaves automaticamente em intervalos curtos e após qualquer suspeita de incidente.
- Evitar armazenar credenciais em código, arquivos de configuração ou ERPs acessíveis sem criptografia.
2) Autenticação e autorização robustas
- Adotar autenticação multifator (MFA) para todo acesso privilegiado, incluindo integrações de API entre fornecedores e plataformas.
- Implementar princípio do menor privilégio (Least Privilege) e revisão periódica de roles/permissões.
- Segregar ambientes (desenvolvimento/teste/produção) sem compartilhamento de credenciais.
3) Governança de terceiros (Vendor Risk Management)
- Auditar fornecedores com acesso crítico (pen tests, revisão de logs, exigência de práticas de segurança).
- Exigir contratos com cláusulas de segurança: criptografia, rotação de chaves, responsabilidades e notificação imediata de incidentes.
- Limitar o escopo de acesso de parceiros: conceder somente o mínimo necessário.
4) Monitoramento, detecção e resposta (SIEM / EDR / SOAR)
- Implantar monitoramento em tempo real de transações financeiras com regras de anomalia (ex.: muitos Pix em curto intervalo, múltiplos beneficiários, valores atípicos).
- Ter playbooks de resposta para congelamento automático de fluxos suspeitos e coordenação com bancos e reguladores.
- Manter logs imutáveis e reter evidências para investigação forense.
5) Testes e exercícios de resiliência
- Realizar simulações de ataque (red team) que considerem vetores de credenciais (phishing, compromissos de fornecedores).
- Testar planos de recuperação e devolução (como Mecanismo Especial de Devolução para Pix) e rotinas de failover.
6) Cultura, treinamento e conscientização
- Treinar equipes e fornecedores sobre riscos de engenharia social, phishing e armazenamento inseguro de credenciais.
- Promover rotinas de revisão de acessos e “recertificação” periódica.
Procedimentos imediatos para vítimas de movimentações via Pix
- Acionar o banco imediatamente para pedido de bloqueio e abertura do processo de devolução (MED).
- Registrar Boletim de Ocorrência com todos os comprovantes e protocolos.
- Notificar o Banco Central e órgãos de defesa do consumidor, se aplicável.
- Preservar logs e evidências (prints, e-mails, contratos com fornecedores) para as investigações.
O papel da regulação e da supervisão (por que o BC e outros órgãos devem atuar)
Incidentes que exploram credenciais e fornecedores exigem atuação regulatória porque:
- afetam a estabilidade do sistema financeiro;
- evidenciam a necessidade de normas mínimas para governança de acesso e auditoria de terceiros;
- demonstram que mecanismos de supervisão (reportes obrigatórios de incidentes, sanções por negligência) são ferramentas para aumentar a proteção coletiva.
O episódio testa a capacidade do mercado e do regulador em coordenar bloqueios, devoluções e medidas preventivas que evitem novos golpes.
Conclusão: prevenir credenciais comprometidas é proteger o sistema inteiro
O ataque à FictorPay deixa uma mensagem cristalina: proteger credenciais e certificados é tão crítico quanto proteger o código-fonte ou a rede. Quando a “chave” é obtida, o invasor usa o sistema contra seu dono.
Investimento em tecnologia deve sempre andar junto com governança: cofres de segredos, MFA, governança de terceiros, monitoramento e cultura de segurança. Sem isso, o prejuízo financeiro é apenas a primeira consequência — vem depois a perda de confiança, risco regulatório e ameaça sistêmica.
Se quiser, eu transformo esse conteúdo em HTML pronto para o WordPress, adiciono uma checklist prática para auditoria interna ou crio uma versão técnica (para CTOs e CISOs) com recomendações técnicas detalhadas para implementação imediata.
Fontes: Reportagens e apurações sobre o incidente (20–21/10/2025) e documentação técnica sobre proteção de credenciais e segurança em pagamentos.