Um relatório publicado no site Infosecurity Magazine, revelou que a fintech brasileira Sinqia, subsidiária da Evertec e fornecedora de software para integração de instituições financeiras ao Pix, sofreu uma tentativa de ataque cibernético de grandes proporções no dia 29 de agosto de 2025.
De acordo com documento enviado à SEC (Securities and Exchange Commission, dos EUA), criminosos tentaram movimentar cerca de R$ 710 milhões (US$ 130 milhões) em transações não autorizadas que afetaram dois clientes da empresa, entre eles, o HSBC e o Artta, conforme notificação publicada no site deste último banco. Parte dos valores já foi recuperada e esforços adicionais continuam em andamento.
Como ocorreu o ataque
A Sinqia explicou que os fraudadores conseguiram acesso por meio de credenciais comprometidas de um fornecedor de TI, utilizando-as para executar transações via ambiente Pix. Assim que a atividade suspeita foi identificada, a empresa acionou seus protocolos de resposta a incidentes, suspendeu o processamento do Pix e convocou especialistas forenses.
O Banco Central do Brasil (BCB), entretanto, determinou que a retomada das operações no Sistema de Pagamentos Brasileiro (SPB) e no Pix só poderá ocorrer após revisão e aprovação oficial das medidas de segurança adotadas pela empresa.
Escalada de ataques com credenciais roubadas
Segundo especialistas ouvidos pelo Infosecurity Magazine, este caso reforça a vulnerabilidade do setor financeiro diante do uso de senhas estáticas.
Um relatório da Mandiant apontou que o uso de credenciais roubadas respondeu por 16% dos incidentes em 2024, frente a 10% no ano anterior. Já o DBIR da Verizon estima que 22% das violações de dados no mesmo período tiveram a mesma origem.
O cenário é agravado pelo aumento do roubo de informações. Apenas no primeiro semestre de 2025, foram detectados 1,8 bilhão de credenciais roubadas, um crescimento de 800% em relação aos seis meses anteriores, segundo levantamento da Flashpoint.
Consequências e riscos
Embora a Sinqia tenha afirmado que não houve vazamento de dados de clientes, o episódio mostra como ataques relativamente simples, explorando falhas em fornecedores, podem ter impacto sistêmico em plataformas críticas de pagamentos como o Pix, que já responde por mais de 90% das transferências financeiras no Brasil.
O caso também ilustra um desafio crescente: garantir que empresas, bancos e prestadores de serviços digitais fortaleçam suas práticas de autenticação e adotem medidas mais avançadas, como autenticação multifator, monitoramento de acessos e gestão ativa de credenciais.
Para o setor financeiro, a tentativa de fraude contra a Sinqia se soma a um alerta global: os ataques estão cada vez mais direcionados às infraestruturas críticas e podem comprometer a confiança em sistemas que hoje sustentam trilhões de reais em movimentações anuais.
Texto: Redação TI Rio