Home > Blog > El caso de C&M Software: El robo de 541 millones de reales de las cuentas de reserva de los bancos brasileños

El caso de C&M Software: El robo de 541 millones de reales de las cuentas de reserva de los bancos brasileños

09.07.2025

Volver

El último día de junio de 2025, Brasil se vio sacudido por uno de los mayores casos de fraude financiero de su historia: la malversación de 541 millones de reales de las cuentas de reserva de varios bancos y fintechs brasileñas.

El plan, considerado sofisticado y audaz, se llevó a cabo en varias fases, entre ellas:

  • ingeniería social,
  • corrupción de empleados de una empresa subcontratada,
  • acción de agentes internos,
  • violación de los derechos de acceso,
  • fugas de datos,
  • ataque supply-chain (cadena de suministro),
  • empresas creadas especialmente para recibir el dinero malversado.

Como en una película de Robin Wood, los ciberdelincuentes sólo desviaron dinero de las cuentas de las instituciones financieras brasileñas, las llamadas cuentas de reserva, un requisito legal para garantizar la liquidez del sistema bancario nacional, sin que se tenga noticia de que se desviara dinero de las cuentas de particulares, ni de que se filtraran datos personales de los clientes de las instituciones financieras afectadas.

¿Lo que ocurrió?

La banda responsable del mayor ataque de cracker registrado en Brasil, tras acceder a una cuenta del banco BMP en el Banco Central de Brasil, envió 541 millones de reales malversados de esa empresa a 29 entidades financieras diferentes en más de 100 transferencias vía PIX.

El fraude fue descubierto tras las investigaciones del Banco Central y de la Policía Federal, que identificaron movimientos sospechosos en las cuentas de reserva de las instituciones financieras entre las 04:30 y las 07:00 del 30/06/2025. Los delincuentes utilizaron lagunas en los sistemas de backoffice de los bancos, manipulando las transferencias para desviar fondos sin que las instituciones se dieran cuenta de inmediato.

C&M Software, una empresa tecnológica que presta servicios a bancos, fue señalada como la pieza central de la estafa. Los investigadores creen que empleados de la empresa y/o crackers asociados a ellos pudieron acceder a los sistemas internos de los bancos y realizar transferencias ilegales. Hasta ahora sólo ha sido detenido José Nazareno Roque, que trabaja en C&M Software desde 2022.

Roque habría recibido en total 15.000 reales (unos 2.700 dólares) por ceder sus credenciales a los ciberdelincuentes y desarrollar un sistema interno que facilitaba el acceso a las cuentas. Según los investigadores, Roque estuvo en contacto con al menos 4 personas diferentes, y Roque admite haber conocido a una de ellas en persona en un bar del barrio de Pirituba de São Paulo.

La empresa Monexa Gateway de Pagamentos, que se abrió el 11 de junio, 19 días antes del ataque de los crackers, recibió 45 millones de reales en transferencias de PIX de uno de los bancos objetivo de los ciberdelincuentes. Se realizaron cinco transferencias, cuatro por valor de 10 millones de reales y una por valor de 5 millones de reales, a través de la fintech Nuoro Pay, que fue suspendida del sistema de pagos PIX inmediatamente después de los secuestros.

Además de Monexa, otras cuatro empresas (Nuvora Gateway de Pagamentos, Pay Gateway de Pagame, Altrix Gateway de Pagame y Veltro Gateway de Pagamentos) fueron abiertas el mismo día a nombre de Lavinia Lorraine Ferreira dos Santos. Todas ellas en la ciudad de São José dos Pinhais, en el estado de Paraná.

¿Cómo funcionaba la estafa?

1. Acceso privilegiado: Los delincuentes se aprovecharon de las credenciales de acceso de C&M Software, que tenía permiso para operar en los sistemas bancarios.

2. Manipulación de datos: se alteraron los registros de transferencias, desviando importes de cuentas de reserva (que garantizan la liquidez de los bancos) a cuentas fantasma.

3. Blanqueo de capitales: el dinero se distribuyó en varias cuentas y luego se movió a través de criptomonedas e inversiones en activos difíciles de rastrear.

Consecuencias

  • BMP fue el más afectado: se accedió a sus cuentas de liquidación en el Banco Central, sin perjudicar a los titulares finales, según las investigaciones en curso.
  • Otras cinco entidades se han visto afectadas, entre ellas Bradesco, Credsystem y Banco Paulista, todas ellas usuarias de los servicios de C&M.
  • El Banco Central ordenó la desconexión inmediata de C&M de la conexión con el SPB (Sistema Brasileño de Pagos) y suspendió la participación de los implicados en PIX durante un máximo de 60 días.
  • Pérdidas financieras: los bancos afectados tendrán que cubrir el déficit, lo que afectará a sus balances.
  • Las primeras estimaciones apuntan a que el importe total puede haber superado los 800 millones de reales, y podría alcanzar los 1.000 millones, teniendo en cuenta otros clientes de C&M.
  • Parte del dinero malversado se rastreó y se recuperó mediante el sistema de devolución Med/Pix.
  • Por decisión judicial, cerca de 270 millones de reales permanecen bloqueados en una cuenta vinculada a la fintech Soffy.
  • Investigación y detenciones: La Policía Federal detuvo a sospechosos vinculados a C&M Software y a otros intermediarios de la trama.
  • Falta de seguridad: el caso ha suscitado críticas sobre la supervisión de las empresas subcontratadas con acceso a sistemas bancarios sensibles.

Lecciones del caso

El caso de C&M Software puso de relieve la necesidad de:

  • Mayor control de los contratistas con acceso a los sistemas financieros.
  • Refuerzo de las auditorías en los proveedores críticos y mapeo de todos los puntos de acceso
  • Implantación de una autenticación multifactorial mejorada y segregación de funciones entre empleados y sistemas.
  • Simulaciones de ataques y ejercicios de respuesta para equipos de ciberseguridad.
  • Revisión contractual: las credenciales de terceros deben ser estrictamente confidenciales, con rutinas de cambio y monitoreo constante.
  • Evitar el riesgo de ataques a la cadena de suministro: ataques dirigidos a proveedores de servicios críticos, que pueden comprometer a varios clientes simultáneamente.
  • Control de acceso y formación constante en seguridad de la información para evitar el acceso indebido a datos sensibles a través de las credenciales de empleados subcontratados, obtenidas mediante ingeniería social y/o errores humanos.
  • Control en tiempo real de las transacciones sospechosas.
  • Monitoreo continuo de las actividades de los empleados de todas las empresas de la cadena de producción del SPB (Sistema de Pagos Brasileño).
  • Adopción obligatoria de sistemas de clasificación de datos del tipo DCAP.
  • Adopción obligatoria de sistemas contra la fuga de datos y vigilancia de los canales de comunicación de tipo DLP.
  • Fortalecimiento de la ciberseguridad de los bancos y de todas las empresas que participan en la cadena de producción del SPB (Sistema de Pagos Brasileño), especialmente contra las amenazas internas, para evitar brechas de seguridad y fugas de datos.

Situación actual

El 3 de julio, tras adoptar medidas de seguridad, se autorizó a C&M a reanudar sus operaciones bajo vigilancia, todavía en un entorno de "producción controlada", bajo la supervisión del Banco Central.

Las investigaciones continúan: en el curso del proceso pueden surgir nuevas órdenes de registro, bloqueos y posibles responsabilidades penales o civiles para C&M.

Conclusión

El robo de 541 millones de reales (unos 100 millones de dólares) de las cuentas de reserva de los bancos brasileños marcó una de las mayores estafas de la historia financiera del país. Mientras continúan las investigaciones, el caso sirve de advertencia sobre la vulnerabilidad de una de las principales cadenas de producción, el sistema bancario, a los ataques internos y la importancia de medidas rigurosas de ciberseguridad.

El episodio muestra también la necesidad de controlar la información que poseen las empresas y las organizaciones estatales y de la sociedad civil. Además de cumplir la legislación sobre protección de datos, adoptar sistemas de gestión de riesgos como DCAP y DLP ayuda a protegerse de las amenazas internas, que, como nos muestra este caso, son el origen de muchos ataques externos.

Ataques como el incidente de C&M comentado anteriormente son especialmente difíciles de detectar debido a la implicación del elemento humano. Los delincuentes utilizan a empleados de empresas subcontratadas o proveedores de servicios para acceder sin autorización a los sistemas internos y eludir las medidas de seguridad.

Para evitar estos incidentes, recomendamos explorar soluciones avanzadas de seguridad de la información, como el sistema DLP de última generación Risk Monitor. Combina la protección frente a fugas de datos con la mitigación integral de riesgos humanos, proporcionando una protección de 360 grados frente a amenazas internas, incluidos errores accidentales, acciones maliciosas y diversas formas de fraude corporativo. Las funciones basadas en inteligencia artificial de Risk Monitor aumentan la seguridad y ofrecen una protección integral de los datos corporativos.

¡Inicie ahora su prueba gratuita de 30 días!

Suscríbase para recibir las novedades y conocer las tendencias del sector. Recibirá consejos sobre como afrontar las fugas de los datos y a los ciberdelincuentes.
© 2025 SearchInform LTD
Todos los derechos reservados.
Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario y para mejorar el rendimiento. Si continúa navegando, está dando su consentimiento para la aceptación de nuestra política de cookies, siga el enlace para mayor información.
OK
POLÍTICA DE COOKIES