AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Ciberataque a bancos brasileños: robo de 140 millones de dólares mediante credenciales comprometidas en proveedor de conectividad financiera**

admin

### 1. Introducción

En uno de los ciberataques financieros más significativos del año, un grupo de actores maliciosos logró sustraer cerca de 140 millones de dólares de seis bancos brasileños. El ataque se realizó explotando las credenciales de un empleado de C&M, una empresa clave en el sector de conectividad financiera en Brasil. Este incidente no solo pone de manifiesto la sofisticación de las tácticas empleadas por los cibercriminales, sino que subraya la criticidad de la seguridad en la cadena de suministro tecnológico de instituciones financieras.

### 2. Contexto del Incidente

C&M, reconocida por proporcionar soluciones de conectividad entre entidades financieras y sistemas de pago, es un eslabón fundamental en la infraestructura bancaria brasileña. El ataque tuvo lugar a mediados de 2024 y afectó a seis bancos que dependen de los servicios de C&M para gestionar pagos y transferencias interbancarias. El acceso inicial se obtuvo mediante las credenciales de un empleado de C&M, lo que permitió a los atacantes realizar transferencias fraudulentas sin levantar sospechas inmediatas.

La brecha fue detectada tras la observación de actividades inusuales en los sistemas de transferencias rápidas, lo que llevó a una investigación conjunta de los equipos de ciberseguridad de los bancos afectados y las autoridades regulatorias brasileñas.

### 3. Detalles Técnicos

Las investigaciones preliminares indican que los atacantes emplearon técnicas avanzadas de spear-phishing para comprometer las credenciales privilegiadas de un empleado de C&M con acceso a los sistemas de integración bancaria. No se ha publicado un CVE específico relacionado con la explotación, pero los vectores de ataque confirman la utilización de TTPs (Tácticas, Técnicas y Procedimientos) alineados con los identificadores del marco MITRE ATT&CK, concretamente:

– **TA0001 (Initial Access):** Spear-phishing para adquisición de credenciales.
– **T1078 (Valid Accounts):** Uso de cuentas legítimas para movimientos laterales.
– **TA0003 (Persistence):** Creación de reglas de acceso persistentes en la infraestructura de C&M.
– **T1041 (Exfiltration Over C2 Channel):** Transferencia de fondos mediante canales legítimos.

Una vez dentro, los atacantes desplegaron scripts automatizados para la manipulación de transferencias bancarias a través de las APIs de C&M, evitando la detección por parte de los sistemas antifraude tradicionales. No se descarta el uso de frameworks ofensivos como **Cobalt Strike** o **Metasploit** para el reconocimiento interno y la escalada de privilegios, aunque los informes forenses aún están en curso. Indicadores de Compromiso (IoC) incluyen direcciones IP asociadas a redes de alojamiento rusas y patrones de acceso horario fuera del rango habitual de actividad empresarial.

### 4. Impacto y Riesgos

Según las cifras oficiales, el monto sustraído asciende a aproximadamente 140 millones de dólares, lo que representa uno de los mayores robos digitales en la historia bancaria de Brasil. El impacto se extiende más allá de las pérdidas financieras directas: el incidente ha puesto en jaque la confianza del sector en los proveedores de conectividad y ha evidenciado la necesidad de una supervisión más estricta en la gestión de identidades y accesos privilegiados (PAM).

Los riesgos inmediatos incluyen la posibilidad de ataques secundarios, exfiltración de datos sensibles de clientes y una potencial reacción en cadena que podría afectar a otras entidades conectadas a través de terceros. La rápida respuesta de los bancos afectados evitó una afectación mayor, aunque el daño reputacional y la exposición a sanciones regulatorias bajo normativas como **LGPD** (Ley General de Protección de Datos de Brasil) y la inminente **NIS2** a nivel europeo, son cuestiones de máxima preocupación.

### 5. Medidas de Mitigación y Recomendaciones

Las entidades afectadas han implementado una serie de medidas de contención y remediación:

– **Rotación inmediata de credenciales privilegiadas** y revisión de cuentas con permisos elevados.
– **Auditoría forense completa** de los sistemas de C&M y de las entidades bancarias afectadas.
– **Refuerzo de la autenticación multifactor (MFA)**, especialmente para accesos a sistemas críticos.
– **Monitorización avanzada de logs** y correlación de eventos para la detección de actividades anómalas.
– **Simulacros de phishing y formación específica** para empleados con acceso privilegiado.
– **Revisión de contratos y SLAs** con proveedores tecnológicos, incorporando cláusulas de ciberseguridad obligatorias bajo NIS2 y estándares internacionales (ISO 27001, PCI DSS).

### 6. Opinión de Expertos

Diversos analistas en ciberseguridad, como los equipos de Kaspersky Lab y Deloitte Brasil, han subrayado la importancia de la protección de la cadena de suministro digital. “Este ataque demuestra que la seguridad de un banco es tan sólida como la de su proveedor más débil”, afirma Fernanda Silva, experta en ciber-riesgos financieros. También se ha destacado el uso de técnicas de Living off the Land (LotL), que dificultan la detección mediante herramientas tradicionales de EDR y SIEM.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, este incidente refuerza la necesidad de estrategias Zero Trust y una evaluación continua de riesgos de terceros. Es crucial realizar pruebas de penetración periódicas, análisis de arquitectura y monitoreo de integridad de sistemas conectados a proveedores externos. Para los usuarios finales, aunque no se han reportado afectaciones directas a cuentas individuales, es recomendable reforzar las medidas de seguridad personal y estar atentos a posibles comunicaciones fraudulentas derivadas de filtraciones de datos.

### 8. Conclusiones

El robo de 140 millones de dólares a bancos brasileños a través de la explotación de credenciales en un proveedor de conectividad financiera marca un nuevo hito en la evolución de los ciberataques al sector financiero. La sofisticación de los métodos, el aprovechamiento de la cadena de suministro y el impacto a gran escala subrayan la urgencia de revisar políticas de acceso, fortalecer la colaboración con proveedores y adaptar los marcos regulatorios a los retos actuales de ciberseguridad.

(Fuente: www.bleepingcomputer.com)