AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Ataques

Hackers intentan sustraer 130 millones de dólares a través de la red Pix explotando acceso en Evertec-Sinqia

admin

Introducción

En un incidente que pone de manifiesto la creciente sofisticación y ambición de los ciberataques financieros en América Latina, un grupo de actores maliciosos intentó desviar 130 millones de dólares estadounidenses de la filial brasileña Sinqia S.A. perteneciente a Evertec, mediante la explotación de su acceso al sistema de pagos instantáneos Pix, gestionado por el Banco Central de Brasil. Este ataque, que tuvo lugar recientemente, no solo pone en jaque la seguridad del sector fintech brasileño, sino que también resalta la importancia crítica de los controles de acceso y la monitorización de las infraestructuras de pago en tiempo real.

Contexto del Incidente

Sinqia S.A., adquirida por Evertec en 2023, es uno de los principales proveedores de soluciones tecnológicas para el sector financiero en Brasil. El ataque se produjo sobre la plataforma Pix, un sistema de pagos instantáneos que ha revolucionado la economía digital brasileña desde su lanzamiento en 2020, permitiendo transferencias 24/7 y con más de 150 millones de usuarios activos. La centralidad de Sinqia en la infraestructura bancaria y la popularidad de Pix la convierten en un objetivo especialmente atractivo para los grupos criminales.

Los atacantes lograron obtener credenciales privilegiadas y acceso no autorizado al entorno de Sinqia, lo que les permitió intentar la transferencia fraudulenta de fondos. Aunque las defensas de la compañía impidieron la materialización completa del fraude, el incidente evidencia la presión constante a la que están sometidos los sistemas de pago críticos.

Detalles Técnicos

Aunque la investigación sigue en curso y hay detalles bajo reserva, fuentes del sector apuntan a un vector de ataque basado en técnicas de spear-phishing dirigidas a empleados con acceso privilegiado. Una vez obtenidas las credenciales, los atacantes explotaron la integración API entre Sinqia y el sistema Pix para orquestar transferencias masivas no autorizadas.

El ataque puede clasificarse bajo las tácticas MITRE ATT&CK T1078 (Obtención de credenciales válidas) y T1210 (Explotación de servicios remotos). Indicadores de compromiso (IoC) preliminares incluyen direcciones IP provenientes de Europa del Este y patrones de automatización en las solicitudes de transferencia detectados en los logs de Pix.

A fecha de esta publicación, no se ha confirmado la existencia de un exploit público ni integración en frameworks como Metasploit, pero la rapidez y precisión del ataque sugiere el uso de herramientas personalizadas y automatización avanzada, posiblemente combinadas con técnicas de Living-off-the-Land (LotL).

Impacto y Riesgos

La tentativa de sustraer 130 millones de dólares coloca este incidente entre los de mayor cuantía en el ecosistema fintech latinoamericano. Si se hubiera materializado, habría supuesto un golpe sin precedentes a la confianza en los sistemas de pago instantáneo de Brasil y generado un efecto dominó en el resto de entidades conectadas a Pix.

Además del riesgo económico directo, el ataque expone la posibilidad de ataques de tipo supply chain en la banca digital, donde los proveedores de servicios tecnológicos pueden convertirse en el eslabón más débil. La reputación de Sinqia y Evertec, así como la percepción de seguridad del sistema Pix, están ahora bajo escrutinio.

Medidas de Mitigación y Recomendaciones

Tras el incidente, Evertec y Sinqia han reforzado el monitoreo de accesos privilegiados y revisado las políticas de autenticación multifactor (MFA) en todas las integraciones con Pix. Se recomienda a todas las entidades que interactúan con sistemas de pago críticos:

– Implementar autenticación multifactor obligatoria para accesos privilegiados y operaciones sensibles.
– Monitorizar y correlacionar eventos de auditoría en tiempo real, integrando alertas de comportamiento anómalo (UEBA).
– Limitar el acceso a APIs y sistemas de transferencia a direcciones IP o redes autorizadas.
– Revisar la segmentación de red y aplicar el principio de mínimo privilegio.
– Realizar simulaciones periódicas de phishing y formación específica para los empleados con acceso crítico.
– Actualizar y parchear con celeridad todos los sistemas y dependencias, siguiendo los ciclos de respuesta a vulnerabilidades descritos en NIS2 y las mejores prácticas normativas del Banco Central de Brasil.

Opinión de Expertos

Consultores de ciberseguridad y responsables de SOC en entidades financieras brasileñas han coincidido en que el vector predominante sigue siendo el acceso a credenciales privilegiadas, muchas veces facilitado por campañas de ingeniería social muy sofisticadas. “El crecimiento exponencial de las fintech y la adopción masiva de pagos instantáneos está yendo más rápido que la maduración de los controles de seguridad, lo que crea una superficie de ataque muy atractiva”, señala Rafael Lopes, CISO de una entidad bancaria paulista.

Implicaciones para Empresas y Usuarios

Para las empresas, el incidente subraya la importancia de evaluar no solo los riesgos propios, sino también los de terceros y proveedores en sus cadenas de suministro digital. Es fundamental exigir auditorías de seguridad y pruebas de penetración regulares a cualquier socio tecnológico con acceso a infraestructuras críticas.

Para los usuarios, aunque el incidente no ha derivado en pérdidas directas, la recomendación es reforzar la vigilancia de sus cuentas, activar notificaciones de movimientos y desconfiar de contactos no verificados que soliciten información bancaria.

Conclusiones

El ataque frustrado contra Sinqia/Evertec mediante el sistema Pix es un aviso para todo el sector financiero digital: los actores maliciosos están elevando el listón tanto en capacidad técnica como en ambición económica. Fortalecer la gestión de accesos privilegiados, la monitorización proactiva y la preparación frente a incidentes debe ser prioritario para CISOs y equipos de seguridad de cualquier organización que gestione pagos en tiempo real. La colaboración sectorial y la adaptación a marcos regulatorios como NIS2 y la legislación local serán clave para resistir la próxima ola de ciberamenazas financieras.

(Fuente: www.bleepingcomputer.com)