El ciberataque a Pix en Brasil y los riesgos para Bre-B en Colombia

Cómo se perpetró el mayor robo digital en la historia de Pix

El 30 de junio de 2025, Brasil comprobó cuán efímera puede ser la solidez de una economía hiperconectada. En apenas dos horas y media, seis órdenes de transferencia masiva originadas desde las API de C&M Software, el “puente” que enlaza a más de veinte fintechs con el Banco Central, extrajeron R$ 800 millones (aproximadamente US$148 M) de las cuentas de reserva que las entidades mantienen para liquidaciones interbancarias.

La brecha se abrió cuando João Nazareno Roque, ingeniero de 48 años, vendió sus credenciales de inicio de sesión corporativas por US $2700 y, posteriormente, desarrolló una herramienta de acceso secundaria por US $1800 adicionales.

El golpe se desarrolló en tres fases:

1. Preparación sigilosa (marzo-junio). Los delincuentes abordaron a Roque en un bar de São Paulo y durante semanas le remitieron pagos en efectivo mediante mensajeros para evitar cualquier huella digital. Paralelamente, lo instruyeron a través de WhatsApp y teléfonos desechables sobre cómo habilitar los mecanismos que requerían para el ingreso.

   
   

2. Ejecución relámpago. Aprovechando que el Banco Central carecía de límites dinámicos sobre las cuentas de reserva, se emitieron transferencias con los fondos de al menos seis instituciones: BMP (que perdió R$ 541 M en un solo movimiento), Banco Paulista, Credsystem, Banco Carrefour, Credufes y una financiera no revelada.

   
   

3. Lavado mediante Pix y criptoactivos. Los delincuentes convirtieron entre 30 y 40 millones de dólares del dinero robado en criptomonedas como Bitcoin, Ethereum y USDT, usando dos vías comunes: mesas OTC, que corresponden a negociaciones privadas sin tanta supervisión, y exchanges latinoamericanos, que son plataformas en línea para comprar y vender criptoactivos.

La respuesta institucional fue rápida, pero claramente insuficiente frente a la magnitud del ataque. El Banco Central desconectó a C&M Software, suspendió temporalmente a Transfeera, Soffy y Nuoro Pay e invocó el Mecanismo Especial de Devolución (MED). Sin embargo, este solo permitió recuperar un mínimo 2% del monto sustraído. A pesar de ello, las autoridades lograron congelar R$ 270 millones en una cuenta vinculada al desvío inicial.

Si bien los saldos de los usuarios finales no se vieron comprometidos, el impacto reputacional fue profundo: el episodio socavó la confianza en Pix como emblema de innovación segura y puso en duda los supuestos de “seguridad por diseño” que sustentaban su arquitectura.

Pix: de hito tecnológico a advertencia global

Desde su lanzamiento en noviembre de 2020, bajo la dirección del Banco Central do Brasil, Pix no solo democratizó los pagos instantáneos en el interior del país, sino que se convirtió en el estandarte latinoamericano de bancarización digital. Más que un hito tecnológico, representó una promesa tangible de inclusión financiera y modernización, acercando servicios electrónicos ágiles, gratuitos y universales a sectores históricamente marginados del sector bancario.

En menos de cinco años, registró 538 millones de claves activas (más de dos por cada habitante brasileño) y desplazó al efectivo como el medio de pago más utilizado en el país. Actualmente, procesa cerca de 6000 millones de transferencias mensuales y ha alcanzado picos de hasta 276,7 millones de operaciones en un solo día, superando con holgura los volúmenes combinados de transacciones con tarjetas débito y crédito

Su capacidad de réplica se explica por cuatro características esenciales: gratuidad para el usuario final, simplicidad operativa gracias al uso de alias/claves, plena interoperabilidad entre cientos de entidades financieras y una arquitectura API-first que permitió tanto a fintechs como a bancos tradicionales innovar sobre una infraestructura común y abierta.

Así, el impacto de Pix trascendió las fronteras de Brasil: su modelo fue estudiado por las autoridades de Colombia, Chile, Perú y México, convirtiéndose en referente para el diseño de nuevas arquitecturas de pagos inmediatos en la región.

Precisamente por su éxito e influencia, el ataque contra C&M Software adquirió una dimensión sísmica. El incidente reveló una contradicción inquietante: en un ecosistema donde las transferencias se liquidan en segundos, la misma celeridad que potencia la eficiencia puede convertirse en un vector de ataque letal si no se acompaña de controles estrictos sobre terceros y mecanismos criptográficos avanzados que garanticen la integridad del sistema.

Lecciones estructurales del caso Pix

Bre-B en Colombia: oportunidad y amenaza

En septiembre de 2025, el Banco de la República pondrá en marcha Bre-B, el nuevo sistema nacional de pagos inmediatos que interconectará bancos, billeteras digitales y cooperativas bajo una misma infraestructura.

Durante sus primeros años de operación, las transferencias serán gratuitas para los usuarios y contarán con un límite inicial de COP 11 millones por transacción. A diferencia de Pix en Brasil, Bre-B no sustituirá los rieles existentes (como PSE, CredibanCo o Redeban) sino que se superpondrá a ellos, ampliando las posibilidades de interoperabilidad

Esta estrategia, aunque flexible y competitiva, también multiplica los vectores de exposición: cada punto de integración adicional representa una superficie de ataque potencial.

En consecuencia, lo que se proyecta como una oportunidad de transformación digital inclusiva, también impone un riesgo estructural si no se acompaña de medidas de seguridad rigurosas y proactivas.

Basta con que un solo actor subestimado —una pasarela de pago menor o un proveedor con controles laxos— se vea comprometido para que el país reviva, en cuestión de segundos, un episodio similar al del ataque contra Pix.

Llamado a la acción: pilares de defensa para Bre-B

Gobernanza de terceros

Ningún conector, pasarela o fintech debe integrarse a Bre-B sin auditorías anuales de código, infraestructura y cadena de custodia de llaves.

Supervisión transaccional en tiempo real

Es imperativo implementar límites dinámicos, telemetría cifrada y modelos de aprendizaje automático capaces de identificar patrones anómalos de comportamiento en cuestión de segundos.

Cultura criptográfica y educación continua

Las amenazas más graves no nacen del código, sino de la manipulación humana. Solo una educación continua en «ciberhigiene», ingeniería social, spear-phishing y uso adecuado de credenciales podrá evitar que la seguridad sea percibida como un mero formalismo.

Plan post-cuántico con sentido de urgencia

Migrar hoy certificados digitales, protocolos VPN y mecanismos de firma es significativamente menos costoso y riesgoso que hacerlo una vez ocurra el “Q-Day”. No se trata de fantasía, sino de planificación responsable.

Cyte y el nuevo paradigma de resiliencia digital

Empresas como Cyte se encuentran liderando este cambio de paradigma en Colombia, consolidándose como un actor estratégico en la construcción de infraestructuras digitales seguras, resilientes y preparadas para el futuro post-cuántico. Su enfoque no se limita a la provisión de productos tecnológicos, sino que integra consultoría especializada, acompañamiento regulatorio y formación cultural para garantizar que la seguridad se entienda como el núcleo de toda innovación financiera.

Además de desplegar módulos criptográficos adaptados a los requerimientos específicos de cada cliente y diseñar soluciones preparadas para enfrentar las amenazas cuánticas emergentes, la empresa promueve una profunda transformación cultural apoyada en los principios de Zero Trust. Asimismo, facilita la alineación con marcos regulatorios globales y prácticas recomendadas con el propósito de preparar a las organizaciones no solo a cumplir, sino a liderar.

Confianza digital y arquitectura segura

El caso Pix dejó una lección contundente: en la economía digital, la confianza representa el recurso más valioso, pero también el más efímero. Basta una brecha bien ejecutada, sin importar cuán puntual o aislada parezca, para erosionar años de progreso, credibilidad institucional y adopción ciudadana.

Hoy, Bre-B se presenta como un puente estratégico para Colombia: puede ser el catalizador que nos posicione a la vanguardia de los pagos digitales en América Latina o el lugar donde se lleve a cabo el próximo gran ataque sistémico.

El desenlace no dependerá únicamente de la tecnología, sino de las decisiones que se tomen en torno a la criptografía, la gestión de terceros y la arquitectura de seguridad.

La historia reciente demuestra que no existe margen para la improvisación: en un entorno donde los ataques son automatizados, distribuidos y cada vez más sofisticados, las salvaguardas deben ser integradas desde el diseño, no aplicadas como parche reactivo.

En este sentido, el enfoque de Zero Trust cobra una relevancia clave. No basta con asumir que los actores son confiables por su rol o ubicación en la red. Por el contrario, se requiere verificación continua, segmentación de accesos, control de privilegios mínimos y monitoreo contextual en tiempo real.

Blindar la integridad y la confidencialidad del sistema financiero no es un lujo, sino una condición estructural para que la innovación no se vuelva sinónimo de vulnerabilidad. La confianza en el entorno digital no se hereda: se diseña, se verifica y se protege activamente.

Referencias

1. Employee arrested after Brazil's central bank service provider hacked for US $140 million

2. C&M Software Hacked $140 Million Stolen From Brazil's Central Bank

3. Hackers allegedly bribed a C&M employee to steal $140 million from six banks in one day

4. Así fue el mayor ciberataque contra el sistema financiero de Brasil - Infobae

5. Se robaron US$148 millones en un ciberataque en Brasil: esto es lo que sabemos - Forbes Colombia

6. Brazil police arrest suspect in $100M banking hack | AP News

7. Ataque hacker desviou R$ 541 milhões “em massa”, diz polícia | CNN Brasil

8. Pagos inmediatos sin fricciones: el caso de éxito de Pix en Brasil

9. PIX bate novo recorde de transações em um único dia | Exame

10. Bre-B (pagos inmediatos) | Banco de la República

Si deseas tener siempre a la mano el artículo escrito por ⁨Valentina Salazar, te invitamos a descargarlo, compartirlo y comentarnos qué opinas al respecto.