Resumo:
- Ataques cibernéticos contra o setor financeiro cresceram 115% entre 2024 e 2025, chegando a 1.858 ocorrências registradas globalmente.
- O Brasil concentra 84% de todas as atividades maliciosas da América Latina.
- Os principais vetores são engenharia social via Pix, malware bancário móvel, abuso de identidade e ataques à cadeia de fornecedores.
- Fraudes por identidade sintética representam 48,3% dos casos na América Latina, contra 11% no mundo.
- A assimetria de maturidade entre grandes bancos e fintechs/fornecedores cria um caminho de menor resistência para os atacantes.
- Dados do Inside Pentesting 2026 da Vantico mostram que APIs dobraram como superfície de ataque e que a autenticação segue como a segunda vulnerabilidade mais frequente nos projetos.
Ataques cibernéticos contra o setor financeiro cresceram 115% entre 2024 e 2025, saltando de 864 para 1.858 ocorrências registradas (Check Point).
Na América Latina, o Brasil concentra 84% de todas as atividades maliciosas detectadas na região no primeiro semestre de 2025: mais de 314 bilhões de tentativas de ataque em seis meses (Fortinet).
Esses números são altíssimos por um motivo: o setor financeiro é estruturalmente o mais atraente para atacantes de qualquer nível de sofisticação, e o Brasil ocupa uma posição singular nesse cenário.
Entender por que é o primeiro passo para construir um programa de segurança que responda ao cenário real de ameaças.
O que torna o setor financeiro um alvo tão valioso?
A concentração de ataques no setor financeiro acontece devido a três fatores que raramente se combinam com a mesma intensidade em qualquer outro setor.
Valor direto e monetização imediata
Diferentemente de outros setores, onde o atacante precisa converter dados roubados em dinheiro (processo que envolve intermediários, risco de rastreamento e descontos), no setor financeiro o ativo é o próprio dinheiro.
Isso reduz drasticamente o ciclo de monetização e torna o setor atraente até para grupos com menor sofisticação técnica.
Ou seja, os criminosos conseguem operar com modelos repetíveis, baixa dependência de exploração técnica avançada e foco em volume.
Pressão por disponibilidade
Bancos e fintechs operam 24/7 com SLAs rígidos e sob rígida supervisão regulatória.
Qualquer indisponibilidade gera perda direta de receita, risco de notificação ao regulador e impacto severo na reputação.
Esse contexto aumenta significativamente a propensão a pagar resgate em ataques de ransomware, o que retroalimenta a atratividade do setor como alvo.
Grupos como LockBit e ALPHV/BlackCat, ativos na região via modelo de ransomware-as-a-service, exploram exatamente essa pressão.
Assimetria de maturidade
Outro ponto importante: a diferença de maturidade entre as grandes instituições e seu ecossistema.
Grandes bancos brasileiros investem pesado em segurança. Porém, muitas vezes, as fintechs em fase de crescimento, fornecedores especializados e prestadores de serviços com acesso privilegiado não acompanham esse ritmo.
Essa assimetria cria o que analistas de ameaças chamam de target-rich environment: um ecossistema onde elos menos maduros oferecem acesso indireto a alvos de alto valor.
O ataque à C&M Software em 2025, onde credenciais de um funcionário terceirizado abriram caminho para o maior ataque da história do sistema financeiro brasileiro, com R$ 1 bilhão desviado e 392 GB de dados vazados, confirma isso.
O perfil dos ataques na América Latina
Conhecer os vetores dominantes é importante para avaliar os controles existentes.
Engenharia social como vetor dominante
O Pix movimentou R$ 35,4 trilhões em 2025 e registrou 28 milhões de casos de fraude entre janeiro e setembro do mesmo ano.
Além do número alarmante, o que chama a atenção é que entre 80% e 90% das fraudes atuais via Pix envolvem manipulação via engenharia social.
E essa migração para engenharia social é uma resposta direta ao avanço dos controles técnicos dos bancos: ao invés de invadir sistemas, os atacantes passaram a atacar a decisão humana, convencendo a vítima a autorizar a transação ela mesma.
O resultado é que controles como biometria, senhas e MFA tornam-se parcialmente ineficazes: eles validam uma identidade legítima que está sendo manipulada.
Ao mesmo tempo, incidentes de malware bancário cresceram 220% no primeiro semestre de 2025.
Trojans como o Guildma (Astaroth) e variantes desenvolvidas especificamente para o ecossistema brasileiro utilizam permissões de acessibilidade do Android para interceptar transações Pix em tempo real, alterando o destinatário e o valor sem que o usuário perceba, enquanto a tela do aplicativo exibe as informações originais.
Abuso de identidade como técnica central
O abuso de identidade consolidou-se como a técnica central em ataques contra instituições financeiras.
No setor financeiro, identidade equivale a autorização, o que significa que um atacante operando com credenciais válidas pode realizar fraudes e acessos indevidos sem precisar explorar nenhuma vulnerabilidade técnica.
O Brasil destaca-se regionalmente pela alta incidência de logs de infostealer contendo credenciais financeiras e corporativas. Stealers como RedLine, Raccoon e Lumma são amplamente utilizados em campanhas de phishing para capturar credenciais que posteriormente alimentam Initial Access Brokers, um mercado organizado que vende acesso a ambientes corporativos comprometidos para outros grupos.
Depois de invadir, os atacantes utilizam ferramentas legítimas de administração, como PowerShell, WMI, PsExec, para se mover lateralmente sem gerar alertas tradicionais baseados em assinatura.
Esse padrão de living-off-the-land é especialmente eficaz em ambientes financeiros altamente controlados, onde ferramentas de administração são frequentemente indistinguíveis de atividades maliciosas.
Fraude pós-comprometimento
Outro formato relevante para o setor financeiro é a fraude pós-comprometimento: nela, o atacante não busca destruir os sistemas ou implantar ransomware, mas permanecer dentro do ambiente tempo o suficiente para manipular fluxos de pagamento, abusar de contas internas e desviar recursos gradualmente, evitando acionar sistemas antifraude.
Esse modelo combina acesso técnico legítimo, conhecimento de processos financeiros internos e baixíssima geração de indicadores de comprometimento.
Isso mostra que os controles tradicionais, projetados para identificar eventos técnicos, perdem eficácia quando o ataque acontece por meio de processos legítimos.
Fraude por identidade sintética
Enquanto a fraude por identidade sintética representa 11% dos casos mundiais, na América Latina esse número chega a 48,3% (CISO Advisor, 2026).
A combinação de bases de dados expostas, volumes expressivos de dados pessoais vazados e expansão acelerada dos serviços digitais criou um ambiente especialmente propício para a criação de identidades fictícias a partir de dados reais.
Elas são usadas para abertura de contas, obtenção de crédito e realização de transações fraudulentas.
O que os dados da Vantico revelam sobre o setor
A terceira edição do Inside Pentesting, estudo anual produzido com dados de centenas de projetos reais conduzidos pela Vantico em 2025, traz três achados especialmente relevantes para instituições financeiras:
- APIs dobraram como superfície de ataque testada
As APIs subiram de 5,6% dos projetos em 2024 para 11,2% em 2025.
No setor financeiro, onde open banking e integrações Pix multiplicam as APIs expostas, esse crescimento é ainda mais pronunciado.
APIs mal configuradas ou com controles de acesso inadequados representam um vetor de acesso inicial que frequentemente passa despercebido por ferramentas de segurança tradicionais.
- Vulnerabilidades altas ficam abertas por mais de 70 dias em 27% dos casos
Mesmo após o relatório de pentest ser entregue, são meses sem correção até nas vulnerabilidades mais severas.
Para instituições financeiras sob pressão regulatória e com janelas de exploração que podem ser de horas, esse gap de remediação tem implicação direta na exposição real ao risco.
A causa mais frequente identificada nos projetos é a dificuldade de integrar correções ao ritmo operacional, não a falta de conhecimento técnico.
- Authentication Failures ocupa o segundo lugar no ranking de vulnerabilidades
As falhas de Autenticação representam 10,9% do total identificado, exatamente o vetor que explica por que credenciais comprometidas são responsáveis por 29% dos ataques de ransomware no setor financeiro.
Em ambientes onde identidade é autorização, falhas na camada de autenticação têm impacto desproporcional.
Os dados completos, incluindo vulnerabilidades críticas e altas por setor, SLA de remediação e tendências para 2026, estão disponíveis gratuitamente no Inside Pentesting 2026.
O Brasil como epicentro regional
O Brasil é o maior alvo de ataques cibernéticos da América Latina, porque temos um cenário financeiro muito particular.
O Pix criou o maior ecossistema de pagamento instantâneo do mundo em escala de adoção: são mais de 150 milhões de usuários, infraestrutura de chaves de endereçamento, integrações com open finance e APIs públicas documentadas.
Nenhum outro país da América Latina tem um equivalente. Isso significa que o Brasil tem uma superfície de ataque de pagamentos sem paralelo regional, com especificidades técnicas que exigem ameaças desenvolvidas especificamente para esse ecossistema, como os trojans bancários que interceptam Pix em tempo real.
A escala dos dados expostos aumenta ainda mais o risco: o país lidera a região em infecções por stealer malware, exposição de credenciais reutilizáveis e vazamentos associados a serviços financeiros.
O mercado de cartões roubados brasileiros opera como uma cadeia de produção especializada, com perfis dedicados para roubo, validação e monetização. O preço médio de um cartão brasileiro na dark web é de US$ 10, acima da média regional, refletindo a qualidade e o volume dos dados disponíveis.
Por fim, o ambiente regulatório adiciona mais uma camada de pressão que amplifica os efeitos dos incidentes: obrigações da LGPD, exigências de reporte ao Banco Central, potenciais enquadramentos como fato relevante pela CVM e a interdependência introduzida pelo Open Finance, que elevam o custo regulatório de cada incidente para além do dano operacional.
O que o setor financeiro precisa fazer diferente
Os dados revelam que o setor financeiro precisa se antecipar às ameaças e aumentar, ainda mais, a preocupação com segurança cibernética.
Testar o que não é visto
98% das contas em nuvem no Brasil operam sem MFA e 91% com privilégios excessivos (Fortinet, 2025).
Esses problemas não são descobertos em auditorias de conformidade, apenas em testes que simulam o que um atacante faria. As resoluções BCB 538/2025 e CMN 5.274/2025 refletem exatamente esse entendimento ao tornar obrigatória a realização anual de pentests por profissionais independentes, com retenção de relatórios por cinco anos.
Para entender em detalhe o que as novas resoluções exigem, a Vantico publicou uma análise completa: Resoluções BCB 538 e CMN 5.274: O que muda para Instituições Financeiras.
Tratar credenciais como perímetro
Com o abuso de identidade como técnica central e Authentication Failures como segunda vulnerabilidade mais frequente nos projetos da Vantico, a gestão de identidade se tornou uma prioridade estratégica.
Credential Exposure Assessment (identificação de credenciais corporativas expostas em fontes abertas e dark web) e testes específicos de Active Directory e Microsoft 365 são o ponto de partida para qualquer instituição que queira reduzir o vetor mais explorado no setor.
Incluir terceiros no escopo de segurança
O caso C&M Software é um exemplo de falha da cadeia.
A assimetria de maturidade entre grandes bancos e seus fornecedores é o caminho de menor resistência para atacantes que querem alcançar alvos de alto valor sem enfrentar controles robustos.
Qualquer instituição financeira que opera com BaaS, provedores de cloud ou parceiros de open finance precisa incluir esses terceiros no escopo dos seus testes de segurança.
A centralidade do Pix, a expansão do open banking, a integração com terceiros e a alta liquidez dos ativos criam um ambiente que combina, de forma única, valor imediato, pressão operacional e superfície de ataque extensa.
Esse conjunto de fatores faz com que o Brasil seja um dos países mais visados para ataques financeiros na América Latina.
Entender esse ambiente é fundamental para construir um programa de segurança que responda às ameaças reais de forma eficiente.
A Vantico realiza pentests manuais para instituições financeiras, fintechs e provedores de pagamento, com metodologia orientada a compliance e relatórios que incluem carta de atestado para auditoria. Clique aqui para conhecer nosso trabalho.
Perguntas Frequentes
Por que o setor financeiro é um dos mais atacados no mundo?
Porque combina três fatores únicos: ativos com valor direto e imediato, pressão de disponibilidade que aumenta a propensão a pagar resgate e um ecossistema de integrações com terceiros que amplia a superfície de ataque. O setor financeiro oferece monetização mais rápida (e com menos intermediários) do que qualquer outro setor.
Quais são as principais ameaças cibernéticas para bancos e fintechs na América Latina?
Os vetores dominantes são engenharia social (80-90% das fraudes via Pix envolvem manipulação da vítima), malware bancário móvel, abuso de credenciais comprometidas, ataques à cadeia de fornecedores e fraude por identidade sintética.
Como funciona o malware bancário que ataca o Pix?
Trojans bancários como variantes do Guildma (Astaroth) utilizam permissões de acessibilidade do Android para monitorar aplicativos financeiros em tempo real. No momento de uma transação Pix legítima, o malware altera os dados do destinatário e o valor da transferência enquanto exibe as informações originais na tela do usuário. A vítima confirma a operação acreditando estar enviando para o destino correto.
O que é fraude por identidade sintética e por que é tão comum na América Latina?
Fraude por identidade sintética envolve a criação de identidades fictícias combinando dados reais de diferentes pessoas, geralmente obtidos em vazamentos, com informações fabricadas.
Na América Latina, o alto volume de dados pessoais expostos, a expansão acelerada dos serviços digitais e fragilidades nos processos de KYC (“Know Your Customer” ou Conheça seu Cliente) criaram um ambiente especialmente propício para esse tipo de ataque.
O que bancos e fintechs no Brasil precisam fazer para reduzir exposição a ataques?
Três mudanças de postura são prioritárias com base nos dados: realizar pentest manual periódico que inclua terceiros no escopo (agora obrigatório pelas resoluções BCB 538/CMN 5.274), implementar programas de Credential Exposure Assessment para identificar credenciais corporativas expostas antes que atacantes as utilizem, e integrar APIs e ambientes de open banking nos testes de segurança, superfície que dobrou como vetor de ataque entre 2024 e 2025.
