Lo que estás a punto de leer parece sacado de una película de crimen y tecnología. Pero ocurrió de verdad. Un grupo de ciberdelincuentes robó cerca de $140 millones de dólares (R$800 millones) a través de transferencias instantáneas del sistema bancario brasileño, todo gracias a una jugada maestra: sobornar a un empleado por solo R$15,000 (unos $2,700 USD).
La víctima principal fue C&M Software, una empresa con sede en São Paulo que conecta a bancos y fintechs con el sistema de pagos Pix del Banco Central. En solo tres horas, seis instituciones financieras vieron desaparecer millones de sus cuentas de reserva. Todo ocurrió la madrugada del 30 de junio de 2025, mientras el sistema financiero dormía.
Un plan perfectamente orquestado (y barato)
La historia comenzó en marzo, cuando los criminales abordaron a João Nazareno Roque, operador de TI en C&M, fuera de un bar. Por apenas R$5,000 iniciales (y luego otros R$10,000), Roque entregó sus credenciales corporativas y colaboró en el desarrollo del software que permitió el ataque. Fue arrestado el 3 de julio en su casa de Ciudad Jaraguá.
Los atacantes emitieron órdenes de transferencia falsas usando Pix, simulando ser los bancos afectados. Uno de los más perjudicados fue BMP, que perdió más de R$400 millones (unos $73.8 millones USD). Inmediatamente, los hackers comenzaron a convertir el dinero en criptomonedas, moviendo entre $30 y $40 millones a Bitcoin, Ethereum y USDT antes de que las autoridades pudieran reaccionar.
Pix, lanzado en 2020, es la joya de la corona del sistema financiero brasileño. Permite hacer transferencias instantáneas 24/7, incluso los fines de semana y feriados, usando datos simples como el número de teléfono o correo electrónico del usuario. Pero esa agilidad también implica riesgos.
En este caso, no fueron usuarios comunes los atacados, como ha ocurrido antes con malware como PixPirate. Esta vez, los delincuentes accedieron directamente a las cuentas de reserva de los bancos, conectadas al Banco Central a través de C&M. No fue una falla técnica: fue el uso indebido de credenciales legítimas.
Criptomonedas, identidades falsas y una investigación en curso
Tras el golpe, los fondos fueron canalizados a través de exchanges y mesas OTC en América Latina. Una sola wallet, con casi $50 millones, ya ha sido bloqueada. El investigador cripto ZachXBT, famoso por rastrear transacciones sospechosas, confirmó que está ayudando a identificar direcciones y congelar activos.
Roque, el empleado comprometido, aseguró haber hablado con al menos cuatro personas distintas durante el ataque, todas jóvenes, y nunca volvió a verlas en persona. Cambiaba de celular cada 15 días para no ser rastreado. La policía continúa analizando los dispositivos confiscados y ha creado una fuerza especial para rastrear las transacciones cripto y congelar más fondos.
Tras el escándalo, el Banco Central ordenó desconectar a C&M de la red financiera, lo que afectó temporalmente los servicios Pix de varios bancos. La empresa asegura que implementó todas las medidas de seguridad y que colabora con las autoridades. BMP, por su parte, garantizó que ningún cliente perdió dinero, ya que contaban con garantías suficientes.
El caso ha sacudido al sistema financiero brasileño y podría cambiar la forma en que las instituciones manejan la ciberseguridad en la era de los pagos instantáneos. Lo que está claro es que con apenas $2,700 dólares, los hackers desencadenaron el robo digital más grande en la historia del país.