Caso C&M Software evidencia que tecnologia sem estratégia é insuficiente para proteger dados críticos
O recente ataque cibernético à C&M Software, que teria desviado cerca de R$ 1 bilhão por meio de fraudes no sistema Pix, levantou sérias discussões no setor de tecnologia. Embora a operação envolva um dos sistemas mais sofisticados de pagamentos do país, o golpe expôs uma vulnerabilidade crítica: a falha no gerenciamento de senhas e no controle de acesso por parte de uma empresa terceirizada.
O caso evidenciou que investir em soluções tecnológicas de ponta, por si só, não garante segurança, especialmente quando não há uma governança robusta sobre os processos e pessoas envolvidas. Segundo investigações preliminares, os criminosos ofereceram apenas R$ 5 mil a um colaborador terceirizado para obter credenciais que lhes deram acesso a milhões de transações.
Esse episódio acende um sinal de alerta não apenas para instituições financeiras, mas para toda a cadeia de prestadores de serviços de TI, especialmente os MSPs (Managed Service Providers). “Terceirizar funções críticas exige não apenas eficiência operacional, mas uma arquitetura de segurança que antecipe riscos humanos. O acesso privilegiado deve ser segmentado, auditado e protegido com múltiplas camadas de controle”, explica Brunno Busanelli, Diretor de Serviços da ADDEE, empresa que atua há 11 anos no fornecimento de soluções de gerenciamento, monitoramento, proteção de dados e segurança para prestadores de Serviços de TI.
A maturidade operacional passa, necessariamente, pela gestão segura de credenciais. Soluções modernas como cofres de senhas, autenticação multifator (MFA) e políticas de rotação periódica são hoje essenciais e não mais diferenciais.
Além da gestão de acessos, o caso reforça a urgência de estratégias de segurança baseadas em camadas e inteligência. “O que vemos hoje é que antivírus tradicionais já não são suficientes. Soluções como EDR, XDR e MDR vêm se tornando indispensáveis para detectar comportamentos anômalos e responder rapidamente a incidentes. O tempo de resposta define o impacto”, completa Busanelli.
Para o especialista, o caso é um chamado à responsabilidade coletiva. “Não se trata de saber se uma empresa será atacada, mas quando. O diferencial está em como ela se prepara e responde, protegendo não só seus ativos, mas a continuidade do negócio dos seus clientes”, afirma.
A expectativa é que o incidente acelere investimentos em auditorias de fornecedores, segmentação de acesso, educação em segurança digital e na adoção de tecnologias integradas, pilares para um modelo de prestação de serviços de TI mais resiliente e confiável.
