Ataque hacker a Sinqia expone vulnerabilidad en proveedores de Pix

El 29 de agosto de 2025, un ataque hacker comprometió los sistemas de Sinqia, empresa que provee infraestructura de core bancario a múltiples instituciones financieras en Brasil. Según reveló NeoFeed, los criminales accedieron al ambiente Pix y ejecutaron transferencias hacia cuentas “laranjas” (de fachada).

Hasta el momento, se identificaron desvíos de al menos R$ 400 millones en cuentas del HSBC, aunque fuentes del mercado no descartan que otras instituciones también hayan sido alcanzadas.

El caso ocurre apenas dos meses después de un ataque similar contra C&M, que generó pérdidas superiores a R$ 1.000 millones, y que ya era considerado el mayor ciberataque financiero del país. Ambos episodios utilizan la misma lógica: atacar a los proveedores de tecnología en lugar de a los bancos directamente, en una modalidad conocida como “ataque a la cadena de suministros”.

En un comunicado, Sinqia confirmó la detección de la actividad sospechosa y aseguró haber actuado rápidamente para aislar el ambiente Pix, iniciar una investigación forense y trabajar con expertos en ciberseguridad. La compañía precisó que el incidente se limita al entorno Pix y que no hay evidencia de filtración de datos personales.

Por su parte, el HSBC afirmó que las operaciones ocurrieron exclusivamente en el sistema del proveedor y no comprometieron fondos ni cuentas de clientes. El banco indicó que implementó medidas inmediatas para bloquear las transacciones y colabora con las autoridades en la investigación.

Un riesgo sistémico para Pix

La reiteración de ataques en un corto intervalo refuerza las alertas sobre la dependencia del ecosistema financiero brasileño respecto a sus proveedores tecnológicos. Si bien los bancos cuentan con sistemas de seguridad avanzados, los atacantes están encontrando en los terceros una puerta de entrada más vulnerable.

El impacto de este incidente podría ir más allá de los montos desviados. Expertos advierten que, al comprometer un proveedor con múltiples clientes, el efecto en cadena puede ser mucho más severo que un ataque a una sola institución financiera.

Fuente: NeoFeed