Brasil: Un ciberataque vía Pix expone vulnerabilidades en el corazón del sistema financiero

Un nuevo ataque hacker en Brasil volvió a exponer la fragilidad del ecosistema financiero digital.
Más de R$ 40 millones fueron desviados desde sistemas interconectados a Pix, afectando a fintechs y bancos brasileños, según información publicada por Seu Dinheiro.

El grupo de ciberdelincuentes habría infiltrado los sistemas de Diletta, un proveedor de servicios que interconecta aplicaciones de instituciones financieras, desviando el dinero mediante centenas de transferencias.

Cuando el Banco Central de Brasil (BC) detectó los movimientos anómalos, los fondos ya habían sido dispersados entre cuentas fantasma y billeteras digitales. Entre las víctimas figura FictorPay, filial del holding Fictor, con pérdidas estimadas en más de R$ 6 millones.

En un comunicado, FictorPay señaló que la actividad irregular se originó en el entorno tecnológico de Diletta, y que la investigación está siendo liderada por este proveedor con el apoyo de expertos en ciberseguridad.
La fintech aclaró que sus propios sistemas no fueron comprometidos.

Por su parte, Celcoin afirmó que no se registró ninguna invasión o ataque en su infraestructura tecnológica. Según explicó, se identificó una actividad inusual en la cuenta de un cliente, la cual fue bloqueada de forma preventiva gracias a sus sistemas de monitoreo.

Ni Diletta ni el Banco Central comentaron el caso hasta el cierre del informe.

Un blanco creciente en el sistema financiero

El incidente marca un nuevo capítulo en la ola de ciberataques que afecta al Sistema de Pagos Brasileño (SPB).

Desde junio, empresas como C&M Software, Sinqia, Monbank y E2 Pay han sido víctimas de ataques similares, evidenciando brechas en los proveedores tecnológicos que conectan bancos y fintechs con el entorno de liquidación de Pix.

El caso más grave, ocurrido en C&M Software, habría desviado más de R$ 1.000 millones e involucró a un empleado interno que vendía credenciales a los atacantes.

El caso Diletta, sin embargo, presenta una particularidad: según fuentes citadas, la estafa explotó una vulnerabilidad interna, no el robo de claves Pix ni el acceso directo al sistema del Banco Central, como sucedió en incidentes anteriores.

La respuesta del Banco Central

Ante la escalada de incidentes, el Banco Central de Brasil endureció las normas de seguridad del sector.

En septiembre, impuso un límite de R$ 15.000 por transferencia (Pix o TED) a entidades de pago que operan mediante intermediarios tecnológicos sin autorización directa.

Además, estableció que toda fintech deberá contar con autorización formal del Banco Central a partir de mayo de 2026, con el fin de fortalecer el control y reducir los riesgos en un sistema cada vez más integrado y, por tanto, más expuesto.

El caso Diletta refuerza una alerta estructural para el ecosistema financiero brasileño: la dependencia de proveedores tecnológicos que actúan como nodos críticos dentro del sistema de pagos.

Pix sigue siendo sinónimo de rapidez y eficiencia, pero su expansión también exige una evolución constante en ciberseguridad y gobernanza tecnológica.

Fuente: Seu Dinheiro