Credential Stuffing: Como 3 Bilhões de Senhas Vazadas Atacam Fintechs Brasileiras Diariamente

Imagine um exército invisível batendo na porta do seu aplicativo financeiro dez mil vezes por segundo. Eles não estão tentando arrombar a fechadura com força bruta ou explorar uma vulnerabilidade obscura de software. Eles simplesmente têm as chaves. E estão testando uma por uma até que a porta se abra.

Essa é a realidade nua e crua do mercado financeiro brasileiro agora em 2026. O vazamento massivo de credenciais — impulsionado por compilações colossais como a COMB (Compilation of Many Breaches) e suas sucessoras, que aglomeram mais de 3 bilhões de pares de e-mails e senhas — criou uma indústria bilionária de fraudes automatizadas. Chamamos isso de credential stuffing.

Se você opera uma fintech, um e-commerce ou qualquer plataforma que guarde dinheiro ou dados sensíveis, preste atenção aqui. O hacker moderno não precisa invadir o seu banco de dados. Ele faz login usando as credenciais que o seu próprio usuário reaproveitou de um fórum de games hackeado em 2018. E quando ele entra, o estrago é instantâneo.

A Matemática Cruel do Credential Stuffing

Para entender a gravidade da situação, precisamos olhar para a economia do cibercrime. O credential stuffing funciona puramente na base da estatística. Os criminosos compram listas gigantescas de credenciais vazadas na dark web por valores irrisórios — às vezes, 50 dólares compram milhões de registros.

O ataque depende de um erro humano universal: a reciclagem de senhas. O usuário médio brasileiro possui dezenas de contas online, mas usa a mesma variação de 'brasil123' ou o nome do cachorro em quase todas elas. Se a senha vazou no ataque ao LinkedIn anos atrás, as chances de ela ainda abrir a conta do Mercado Pago, Nubank ou PagSeguro hoje são altíssimas.

Observamos que a taxa de sucesso de um ataque de credential stuffing varia entre 0,1% e 2%. Pode parecer pouco. Mas aplique essa porcentagem a uma base de 3 bilhões de credenciais. Estamos falando de 3 a 60 milhões de contas financeiras potencialmente comprometidas. Com o uso de ferramentas de automação open-source, um fraudador consegue testar centenas de milhares de logins por hora, gastando quase nada com infraestrutura de nuvem.

O Pix Como Catalisador de Fraudes

Por que as fintechs brasileiras são o alvo perfeito? A resposta tem três letras: Pix. A infraestrutura de pagamentos instantâneos do Banco Central revolucionou a nossa economia, mas também criou a via expressa perfeita para a lavagem de dinheiro e o cash-out de fraudes.

Antes do Pix, invadir uma conta (prática conhecida como Account Takeover, ou ATO) exigia que o criminoso pagasse boletos falsos ou comprasse mercadorias físicas para monetizar o ataque, o que deixava rastros e dava tempo para o banco bloquear a transação. Hoje, o dinheiro sai da conta da vítima e passa por cinco contas 'laranja' em instituições de pagamento diferentes em menos de um minuto.

Dados de mercado mostram que o Account Takeover é responsável por perdas na casa dos bilhões de reais anualmente no Brasil. As quadrilhas operam como empresas estruturadas. Há o grupo que minera os dados, o grupo que desenvolve os scripts de automação, os operadores das botnets e os 'conteiros' — responsáveis por recrutar laranjas para receber o dinheiro do Pix.

Anatomia de um Ataque Automatizado

O funcionamento de um ataque de credential stuffing é uma aula de engenharia de software maliciosa. Acompanhamos de perto a evolução dessas ferramentas e a sofisticação assusta.

1. Preparação da Botnet e Proxies

O atacante carrega a lista de bilhões de senhas em softwares como OpenBullet ou Sentry MBA. O grande desafio deles não é testar as senhas, mas evitar que os firewalls da fintech (como Cloudflare ou Akamai) bloqueiem o ataque. Para isso, eles alugam redes de 'proxies residenciais'.

2. Evasão de Defesas

Em vez de o ataque vir de um servidor da AWS na Rússia — o que seria bloqueado imediatamente —, o tráfego é roteado por modems residenciais infectados de provedores brasileiros legítimos, como Claro, Vivo ou TIM. O servidor da fintech vê milhares de tentativas de login vindo de IPs residenciais em São Paulo, Rio de Janeiro e Recife. Fica quase impossível distinguir o robô do cliente real apenas olhando para o endereço IP.

3. O Teste em Massa (Checker)

Os bots disparam requisições contra as APIs de login (endpoints). Eles são programados para imitar navegadores reais, falsificando cabeçalhos HTTP, cookies e até o tempo de resposta. Se o login falha, o bot tenta a próxima linha da lista. Se o login funciona, a ferramenta separa a conta em um arquivo de 'hits'.

4. Cash-out e Monetização

Com a lista de contas validadas em mãos, os fraudadores acessam manualmente ou via scripts secundários os aplicativos das vítimas. Eles verificam o saldo, avaliam limites de crédito e iniciam as transferências via Pix. Tudo isso acontece muitas vezes na madrugada, enquanto o usuário dorme.

O Custo Oculto para as Fintechs Brasileiras

A conta dessa fraude não cai no colo do usuário. A Súmula 479 do Superior Tribunal de Justiça (STJ) é clara: as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos práticados por terceiros. O banco paga a conta.

Para as grandes instituições de varejo, o custo do reembolso pode ser absorvido. Para fintechs menores, gateways de pagamento e exchanges de criptomoedas (como Mercado Bitcoin e Foxbit), um ataque bem-sucedido de credential stuffing pode comprometer o caixa da empresa e atrair auditorias severas do Banco Central.

Além do ressarcimento direto, há o custo operacional brutal. Centrais de atendimento lotadas, desgaste da marca, processos judiciais e a necessidade de acionar o Mecanismo Especial de Devolução (MED) do Pix, que consome horas preciosas das equipes de backoffice.

Defesas Ativas: Muito Além do SMS e do Captcha

Se a sua estratégia de segurança ainda depende de pedir para o usuário criar uma senha forte e usar um Captcha de imagens, sua plataforma já está comprometida. A inteligência artificial resolve Captchas em milissegundos. E a autenticação por SMS (OTP) é vulnerável a ataques de SIM Swap, onde o criminoso clona o número do celular da vítima nas operadoras de telefonia.

As fintechs brasileiras mais blindadas estão adotando um arsenal pesado, invisível para o usuário final, mas fatal para os bots.

Biometria Comportamental

Empresas brasileiras especializadas em identidade digital, como Incognia e AllowMe (agora sob o guarda-chuva da Serasa Experian), mudaram o jogo. A tecnologia não avalia apenas se a senha está correta. Ela avalia como o usuário digita a senha. O celular está na mesma inclinação de sempre? A pressão do dedo na tela é a mesma? A localização física faz sentido com o histórico de transações? Se um login com a senha correta acontece em um dispositivo novo, simulando um clique de mouse perfeito, a transação é bloqueada.

Device Fingerprinting Avançado

A coleta de impressões digitais do dispositivo analisa dezenas de variáveis: resolução de tela, fontes instaladas, versão do sistema operacional e nível de bateria. Os bots que tentam emular dispositivos móveis frequentemente falham em replicar essas minúcias com perfeição.

FIDO2 e a Revolução das Passkeys

A Apple, Google e Microsoft já decretaram a morte da senha. As Passkeys útilizam criptografia de chave pública vinculada ao hardware do dispositivo do usuário (FaceID, TouchID ou Windows Hello). Não há senha para ser vazada, interceptada ou reaproveitada. Se o banco exigir uma Passkey, o credential stuffing perde 100% da sua eficácia.

A Mão Pesada do Regulador: BACEN e CVM

O Banco Central do Brasil não está assistindo passivamente. A Resolução Conjunta nº 6 exige que as instituições financeiras implementem políticas rigorosas de segurança cibernética. O BACEN exige não apenas prevenção, mas capacidade de resposta a incidentes, compartilhamento de informações sobre ameaças e testes frequentes de invasão.

Com o avanço do Open Finance, a preocupação regulatória aumenta. Um Account Takeover hoje não compromete apenas o saldo de um banco isolado. Se o criminoso assumir o controle de um aplicativo financeiro central, ele pode gerenciar consentimentos e acessar o histórico financeiro completo do cidadão, orquestrando fraudes ainda mais complexas.

As instituições que negligenciarem a proteção contra ataques automatizados enfrentarão multas pesadas e restrições operacionais. A CVM também tem apertado o cerco contra plataformas de investimento que falham em proteger os ativos dos clientes contra invasões originadas por credenciais comprometidas.

O Que Isso Significa Para a Sua Operação

Se você está no comando de uma operação digital, a ação precisa ser imediata. A regra de ouro é assumir que todas as senhas dos seus usuários já estão vazadas.

Na prática, você deve implementar um Web Application Firewall (WAF) focado em Bot Management. Monitore picos de falhas de login. Uma taxa normal de falha de login gira em torno de 5% a 10%. Se esse número pular para 40% em uma madrugada, você está sob ataque de credential stuffing. Acione os freios (raté limiting) imediatamente.

Integre serviços como a API do 'Have I Been Pwned' no seu fluxo de cadastro e redefinição de senhas. Se o usuário tentar registrar uma senha que já faz parte dos 3 bilhões de registros vazados, bloqueie a ação e exija uma credencial nova.

O Fim de Uma Era

A senha baseada em texto foi uma solução brilhante para a computação dos anos 1960. Hoje, ela é uma bomba-relógio. O volume colossal de dados disponíveis nos fóruns da dark web transformou o credential stuffing em um risco sistêmico para o sistema financeiro nacional.

As fintechs que sobreviverão à próxima década são aquelas que entenderem que a segurança não pode depender da memória ou do bom senso do usuário. A transição para autenticação sem senha (passwordless), ancorada em biometria física e comportamental, já começou. Quem atrasar essa migração pagará a conta das fraudes — e o preço, como os dados provam diariamente, é alto demais.