Evento online vai explorar impacto das mudanças regulatórias e estratégias para empresas no universo open
7 de julho de 2025
CEO da SPOC Open Power participa de painel sobre os rumos do Open Insurance no Insurtech Brasil
7 de julho de 2025
Por Manuel Matos*
O ataque cibernético à C&M Software, amplamente reportado pela imprensa, ocorrido em 1º de julho de 2025, que resultou no desvio estimado de R$ 400 milhões a R$ 1 bilhão de contas reserva no Banco Central do Brasil, expôs vulnerabilidades críticas em sistemas financeiros que dependem de autenticação menos segura, como usernames, senhas e autenticação multifator (MFA).
Este incidente reforça a necessidade de adotar credenciais mais robustas, como os certificados digitais da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, reconhecidos pela Lei nº 14.063/2020 como assinaturas eletrônicas qualificadas, o mais alto nível de confiabilidade. Esta análise detalha as vantagens dos certificados ICP-Brasil, com ênfase na validação presencial obrigatória, e argumenta por que sua adoção obrigatória em sistemas críticos é essencial para prevenir ataques sofisticados.
Contexto do ataque
O ataque à C&M Software explorou credenciais roubadas, provavelmente usernames e senhas, obtidas por métodos como phishing ou malware, permitindo que hackers realizassem transferências ilícitas via Pix e convertessem os fundos em criptomoedas, como Bitcoin e USDT. Fontes da imprensa estimam o prejuízo entre R$ 400 milhões e R$ 1 bilhão, superando o assalto ao Banco Central de Fortaleza, realizado em 2005, que resultou em perdas de R$ 164,7 milhões, à época.
A provável ausência de autenticação robusta, como certificados ICP-Brasil, no acesso inicial aos sistemas da C&M, pode ter sido um fator crítico para o sucesso do ataque, conforme indicado por relatos de uso indevido de credenciais durante o ataque.
O que é a ICP-Brasil?
A ICP-Brasil, instituída pela Medida Provisória nº 2.200-2/2001, é uma infraestrutura hierárquica de confiança que emite certificados digitais por Autoridades Certificadoras credenciadas, geridas pelo Instituto Nacional de Tecnologia da Informação – ITI. Esses certificados utilizam criptografia de chave pública/privada, garantindo autenticação, integridade, confidencialidade e não-repúdio. A Lei nº 14.063/2020 classifica as assinaturas eletrônicas em três níveis:
Simples: baixa confiabilidade (ex.: login com senha).
Avançada: Confiabilidade intermediária (ex.: credenciais gov.br com MFA).
Qualificada: Máxima confiabilidade, exclusiva de certificados ICP-Brasil, aceita em qualquer interação com entes públicos.
Os certificados ICP-Brasil, especialmente do tipo A3, armazenados em tokens ou smart cards, são emitidos após validação presencial obrigatória, exigindo documentação e comparecimento a uma Autoridade de Registro – AR, o que reduz significativamente fraudes de identidade.
Vantagens dos certificados ICP-Brasil
Os certificados ICP-Brasil oferecem benefícios únicos que os tornam ideais para sistemas críticos, especialmente no setor financeiro:
- Autenticação forte: os certificados utilizam criptografia assimétrica, com uma chave privada armazenada em hardware seguro (ex.: token USB ou smart card). O acesso requer posse física do dispositivo e conhecimento do PIN, formando uma autenticação de dois fatores intrínseca. Diferentemente de senhas ou códigos MFA, que podem ser interceptados remotamente, o roubo de um certificado A3 exige acesso físico, dificultando ataques como phishing ou malware.
- Não-repúdio: a assinatura digital vincula o signatário ao documento de forma irrefutável, garantindo que ações não possam ser negadas. Isso é um grande diferencial em sistemas financeiros, onde a rastreabilidade de transações é essencial para auditorias e investigações, como no caso do ataque à C&M.
- Integridade e autenticidade: qualquer alteração em um documento assinado digitalmente invalida a assinatura, garantindo que os dados não foram manipulados. Isso protege contra ataques que tentam falsificar transações, como os realizados no incidente de julho de 2025.
- Validade jurídica: conforme a Lei nº 14.063/2020, assinaturas qualificadas da ICP-Brasil têm validade jurídica equivalente à assinatura manuscrita, sendo presumidas verdadeiras (MP 2.200-2/2001). Isso é essencial para transações financeiras e interações com o Bacen, como no Sistema de Pagamentos Brasileiro.
- Validação presencial obrigatória: a emissão de certificados exige comparecimento presencial a uma AR, com verificação de documentos. Esse processo, destacado pela AARB, reduz fraudes de identidade, como as vistas em casos de desvio de benefícios do INSS, onde validação presencial poderia ter evitado fraudes (AARB, 2019). No ataque à C&M, credenciais roubadas poderiam ter sido evitadas com essa camada de segurança.
- Revogação de certificados: em caso de perda ou comprometimento, os certificados podem ser revogados rapidamente, bloqueando acessos não autorizados. Isso contrasta com senhas, que podem ser usadas até a detecção do roubo.
- Rastreabilidade: as assinaturas digitais criam trilhas de auditoria claras, permitindo identificar quem realizou uma ação, essencial para investigações pós-ataque.
Comparação com outras autenticações
Comparativo dos certificados ICP-Brasil com credenciais gov.br e MFA:
Credenciais gov.br: usadas para acesso a serviços públicos, dependem de login/senha e, em níveis mais altos, MFA (ex.: biometria ou OTP). São vulneráveis a ataques de engenharia social e malware, como visto em incidentes anteriores (Exame).
MFA: embora adicione camadas de segurança, métodos como SMS ou aplicativos autenticadores podem ser comprometidos por SIM swapping ou interceptação de códigos. O ataque à C&M sugere que credenciais roubadas, possivelmente com MFA, foram suficientes para acessar sistemas.
ICP-Brasil: a exigência de hardware físico e validação presencial torna o sistema mais resistente a ataques remotos. Mesmo em cenários de engenharia social, o roubo do token físico e do PIN é significativamente mais difícil.
Evidências de eficácia
Embora estudos de caso específicos sobre a prevenção de ataques por certificados ICP-Brasil sejam limitados, exemplos indiretos reforçam sua eficácia:
Fraudes no INSS: um caso reportado pela AARB (2019) destacou fraudes de R$ 500 mil em benefícios do INSS usando identidades falsas. A validação presencial obrigatória da ICP-Brasil poderia ter evitado tais fraudes, garantindo que apenas indivíduos verificados acessassem sistemas sensíveis.
Segurança em transações bancárias: certificados ICP-Brasil são obrigatórios para comunicações com o Bacen via SPB, indicando sua confiabilidade em ambientes financeiros. No ataque à C&M, o ponto de falha foi o acesso inicial, não o SPB, sugerindo que a extensão do uso de certificados aos sistemas de provedores poderia ter evitado o incidente.
Pesquisas gerais sobre certificados digitais apontam que, quando bem gerenciados, eles protegem contra ataques como phishing e ransomware, garantindo autenticação e criptografia robustas. A validação presencial da ICP-Brasil adiciona uma camada de segurança ausente em outros métodos.
Custo versus benefício
Os custos de implementação de certificados ICP-Brasil, incluindo tokens e infraestrutura de PKI, são frequentemente citados como barreiras. No entanto, o ataque à C&M, com prejuízos de até R$ 1 bilhão, demonstra que esses custos são insignificantes frente às perdas potenciais. Para uma instituição com 1.000 usuários, o custo de certificados A3 seria de R$ 100.000 a R$ 500.000, uma fração do prejuízo do ataque. Além disso, a gestão de certificados pode ser otimizada com sistemas automatizados, reduzindo a complexidade.
Por que a adoção obrigatória é justificada?
A obrigatoriedade de certificados ICP-Brasil em sistemas críticos, como os que acessam o SPB, é justificada pelos seguintes motivos:
Prevenção de ataques sofisticados: o ataque à C&M mostra que credenciais menos seguras são vulneráveis. Certificados A3 teriam dificultado o acesso não autorizado.
Redução de fraudes de identidade: a validação presencial elimina o risco de emissão de certificados para identidades falsas.
Conformidade legal: a Lei nº 14.063/2020 reforça a confiabilidade das assinaturas qualificadas, tornando-as ideais para sistemas com validade jurídica.
Proteção do ecossistema financeiro: sistemas financeiros são alvos prioritários, e a adoção de certificados robustos protege a confiança no sistema.
Prevenção
Obrigatoriedade regulatória: o Bacen deveria exigir certificados ICP-Brasil para todos os acessos a sistemas que interagem com o SPB, incluindo provedores terceirizados.
Capacitação: treinamento para empresas na gestão de certificados, reduzindo a percepção de complexidade.
Auditorias regulares: verificações periódicas para garantir conformidade com padrões de segurança em todas as empresas e entidades que interagem com o SPB.
Os certificados digitais ICP-Brasil, com sua autenticação forte, não-repúdio, validade jurídica e validação presencial obrigatória, são o mecanismo mais robusto para proteger sistemas críticos contra ataques sofisticados, como o ocorrido em julho de 2025.
Embora custos e complexidade sejam desafios, os prejuízos financeiros e reputacionais de ataques justificam sua adoção obrigatória. A extensão do uso de certificados ICP-Brasil a todos os pontos de acesso a sistemas financeiros é essencial para fortalecer a cibersegurança no Brasil.
* Manuel Matos é 1º vice-presidente da Fenacor, delegado do Sincor-SP e um dos idealizadores que introduziu os corretores de seguros na oferta de certificados digitais no Brasil. Também é coordenador do Comitê Open Insurance da Camara-e.net, entidade que presidiu durante cinco anos, fundador da Via Internet Insurance Consulting, uma das empresas pioneiras da Internet no País, e idealizador do GuiaOpen.
