Red Team em Fintechs: A Arte de Hackear o Próprio Banco Antes do Criminoso

O dia em que a sua fintech "quebrou"

Imagine chegar no escritório numa terça-feira chuvosa na Faria Lima e descobrir que o banco de dados de produção da sua fintech simplesmente sumiu.

No lugar das chaves PIX e dos saldos de três milhões de clientes, há apenas um arquivo de texto exigindo 500 Bitcoins. O desespero bate. O telefone do compliance toca. É o Banco Central pedindo explicações. As ações despencam antes mesmo da abertura do mercado.

Felizmente, tudo isso foi apenas uma simulação.

Quem invadiu sua infraestrutura não foi o grupo cibercriminoso LockBit ou o Lapsus$. Foi o seu próprio Red Team. Eles acabaram de salvar a sua empresa da falência, de multas pesadas da LGPD e de um dano reputacional irreversível.

Acompanhamos o mercado financeiro brasileiro há mais de 15 anos. Vimos a transição dos pesados mainframes bancários para a infraestrutura ágil em nuvem que sustenta gigantes como Nubank, Stone e Mercado Pago. Essa agilidade tem um preço: a superfície de ataque multiplicou por mil.

Se você opera uma instituição de pagamento (IP) ou uma Sociedade de Crédito Direto (SCD) em 2026, com PIX Automático rodando e Open Finance na Fase 4, a pergunta não é se você será atacado. A pergunta é quando. E mais importante: quem vai encontrar a sua falha crítica primeiro? O cibercriminoso russo ou o engenheiro de segurança que senta três mesas ao lado do seu CTO?

Pentest é exame de sangue. Red Team é teste de esforço na esteira

Existe uma confusão enorme no mercado brasileiro. Muito CTO de fintech recém-autorizada pelo BACEN acha que contratar um "pentest" anual resolve o problema de segurança ofensiva.

Vamos ser brutais aqui: pentest virou commodity.

Você contrata uma consultoria terceirizada. Eles rodam scanners automatizados como Nessus ou Burp Suite por duas semanas, entregam um PDF de 80 páginas cheio de falsos positivos e a vida segue. O auditor sorri, o conselho de administração aprova. Na nossa análise, isso é teatro de segurança. O pentest atua com escopo limitado, janelas de tempo definidas e regras de engajamento amigáveis.

Red Team é briga de rua.

Uma operação de Red Team (Equipe Vermelha) dura meses. O objetivo não é listar todas as vulnerabilidades de um sistema, mas sim atingir um objetivo de negócio específico.

O alvo pode ser: "Consigam transferir R$ 1 milhão para uma conta laranja sem disparar os alertas do sistema de Prevenção à Lavagem de Dinheiro (PLD)". Ou "Roubem o banco de dados de cartões de crédito tokenizados".

Não há regras. O Red Team vai mandar e-mails de phishing se passando pelo RH. Vai tentar subornar o pessoal da limpeza para plugar um pendrive no servidor físico. Vai vasculhar o GitHub pessoal dos desenvolvedores atrás de credenciais da AWS expostas por acidente. Eles operam exatamente como uma Ameaça Persistente Avançada (APT) operaria.

Enquanto o pentest testa a tecnologia, o Red Team testa a tríade completa: pessoas, processos e tecnologia. E testa, principalmente, a capacidade do Blue Team (sua equipe de defesa e SOC) de detectar e responder ao ataque em tempo real.

Anatomia de um ataque: Como os Red Teams operam no Brasil

Para entender o impacto, precisamos olhar para as trincheiras. Uma operação de Red Team em uma fintech brasileira de médio porte geralmente segue um roteiro tático rigoroso, baseado em frameworks globais como o MITRE ATT&CK, mas adaptado para a nossa realidade tropical.

Fase 1: Inteligência e OSINT (Procurando o elo fraco)

Nenhuma invasão séria começa atacando o firewall principal. Começa no LinkedIn.

Os atacantes mapeiam toda a estrutura organizacional da fintech. Quem são os desenvolvedores backend? Quem gerencia o Kubernetes? Quem acabou de ser contratado e ainda está confuso com os processos internos?

Usando técnicas de OSINT (Open Source Intelligence), o Red Team varre fóruns, repositórios públicos de código e até vazamentos de senhas antigos em sites obscuros. O objetivo é montar um quebra-cabeça da infraestrutura. Se a fintech usa AWS, Azure ou GCP. Se o gateway de pagamento é interno ou roteado por terceiros.

Fase 2: O Acesso Inicial (O bote)

Esqueça a imagem do hacker quebrando criptografia em telas verdes. O acesso inicial quase sempre envolve falha humana.

Recentemente, acompanhamos um caso onde o Red Team de uma grande adquirente brasileira criou um portal de benefícios falso. Enviaram mensagens de WhatsApp para 50 funcionários do atendimento ao cliente, prometendo ingressos gratuitos para o Rock in Rio, exigindo apenas o login corporativo para "validação".

Três funcionários caíram. Foi o suficiente. O Red Team estava dentro da rede corporativa.

Fase 3: Escalonamento de Privilégios e Movimentação Lateral

Estar na rede do atendimento ao cliente não dá acesso aos cofres do PIX. Aqui começa a parte técnica pesada.

Os operadores do Red Team usam credenciais comprometidas para explorar vulnerabilidades internas. Eles procuram servidores mal configurados, APIs legadas sem autenticação adequada (o famoso Shadow IT) e falhas no Active Directory.

O objetivo é pular da rede corporativa genérica para o ambiente de produção isolado (CDE - Cardholder Data Environment) ou para a infraestrutura crítica de pagamentos.

Casos Reais: O que as simulações revelaram no mercado brasileiro

Conversamos em off com líderes de segurança cibernética, consultorias especializadas como Tempest e HackerSec, e executivos de risco. Os relatos dos relatórios pós-ação (post-mortem) das operações de Red Team no Brasil são assustadores e fascinantes.

Separamos três casos práticos que ilustram o nível de sofisticação dos ataques simulados.

Caso 1: O pesadelo do Open Finance e o token esquecido

Uma fintech focada em crédito pessoal (SCD) com mais de 2 milhões de clientes contratou um exercício de Red Team focado em sua infraestrutura de Open Finance.

A equipe de ataque descobriu que um desenvolvedor júnior havia feito um commit em um repositório público no GitHub contendo um token de acesso de leitura (Read-Only) para um bucket S3 da AWS. A princípio, um token de leitura parece inofensivo.

Porém, o Red Team usou esse token para ler arquivos de configuração internos. Um desses arquivos continha a chave privada de uma API usada para comúnicação entre microsserviços internos. Com essa chave, eles forjaram requisições se passando pelo serviço de aprovação de crédito.

O resultado? Em quatro dias de operação, o Red Team conseguiu aprovar limites de crédito de R$ 50.000 para 20 contas laranjas criadas por eles mesmos, burlando todo o motor de risco da fintech. O ataque só foi detectado pelo Blue Team quando o dinheiro já estava (teoricamente) pronto para ser sacado.

Caso 2: Multiplicação de saldo via falha na API do PIX

O PIX é uma maravilha tecnológica, mas a implementação das APIs nas instituições financeiras menores é um terreno fértil para bugs.

Uma Instituição de Pagamento (IP) autorizada pelo BACEN sofreu uma simulação focada em seu gateway de transações. O Red Team explorou uma falha clássica de "Race Condition" (condição de corrida) na API de cash-in via PIX.

Eles escreveram um script que enviava 500 requisições simultâneas de confirmação de pagamento para uma única transferência PIX de R$ 10,00. O banco de dados da fintech não conseguia lidar com a trava de concorrência (concurrency lock) a tempo.

Na prática, o sistema registrou o depósito de R$ 10,00 mais de 40 vezes antes de fechar a transação. O saldo do atacante pulou para R$ 400,00 instantaneamente. O Red Team provou que, com um investimento de R$ 1.000, um criminoso poderia gerar R$ 40.000 em saldo falso e sacar para outro banco em menos de um minuto.

Caso 3: Engenharia social no back-office de um FIDC

Fundos de Investimento em Direitos Creditórios (FIDCs) movimentam bilhões, mas muitas vezes operam com equipes enxutas e processos manuais.

Um Red Team foi contratado para testar a gestora de um grande FIDC que antecipava recebíveis para marketplaces. Em vez de focar na tecnologia, os atacantes focaram no financeiro.

Eles registraram um domínio muito similar ao de um grande varejista cliente do Fundo (trocando um 'm' por 'rn'). Mandaram um e-mail urgente para o analista de back-office na sexta-feira às 17h30, solicitando a alteração da conta bancária de destino para a liquidação dos recebíveis daquela semana.

O e-mail continha uma assinatura falsa do CFO do varejista e um anexo em PDF com timbre copiado da internet. O analista, apressado para encerrar o expediente, fez a alteração no sistema legado sem ligar para confirmar (quebra de processo).

Se fosse um ataque real, a gestora teria transferido R$ 15 milhões para a conta de laranjas na segunda-feira de manhã. O Red Team provou que a maior vulnerabilidade custava R$ 0 para ser explorada.

A lupa do BACEN: Resolução CMN 4.893 e a nova fronteira regulatória

O Banco Central do Brasil não está alheio a esse cenário. A Resolução CMN 4.893 (e a correspondente BCB 85), que trata da política de segurança cibernética, mudou o tom da conversa nas mesas de diretoria.

A regulação exige não apenas defesas passivas, mas testes contínuos de eficácia e mecanismos de resposta a incidentes. O BACEN espera que instituições de maior porte sistêmico (Segmentos S1 a S3) tenham maturidade para caçar ameaças internamente.

Se a sua fintech sofrer um vazamento massivo de dados e o BACEN descobrir que vocês nunca testaram o plano de resposta a incidentes sob estrêsse real, a multa será a menor das suas dores de cabeça. A suspensão cautelar de operações no SPI (Sistema de Pagamentos Instantâneos) é uma realidade que pode matar uma empresa de pagamentos em questão de dias.

O Red Team atua como a apólice de seguro contra a negligência técnica. Ele documenta que a diretoria foi proativa em buscar as falhas antes que elas se tornassem domínio público.

Quanto custa brincar de guerra? O ROI do Red Team

Se você gerencia o orçamento de tecnologia, deve estar se perguntando sobre os custos.

Terceirizar um exercício de Red Team de qualidade no Brasil hoje custa entre R$ 250 mil e R$ 1 milhão, dependendo do escopo, do tempo de duração (geralmente de 2 a 4 meses) e da complexidade da infraestrutura. Consultorias de elite cobram caro pelos profissionais ofensivos, que são raros no mercado.

Internalizar a equipe? É um caminho adotado por gigantes como Nubank, Itaú e Mercado Pago. O custo anual de manter 3 a 4 especialistas em Red Team, com salários competitivos para não perdê-los para empresas americanas pagando em dólar, ultrapassa fácilmente a marca de R$ 2 milhões por ano.

Parece muito dinheiro? Vamos fazer a conta inversa.

Qual é o custo de ficar 12 horas fora do ar por um ataque de Ransomware? Quanto custa a perda de confiança de 1 milhão de clientes? Quanto custa a multa da ANPD (Autoridade Nacional de Proteção de Dados)? Quanto custa a perda de valor de mercado e a paralisação de uma rodada de captação Série C?

O Retorno sobre Investimento (ROI) de um Red Team não é medido pelo dinheiro que ele gera, mas pelo apocalipse financeiro que ele evita.

A transição: Do Pentest ao Purple Team

O mercado está evoluindo para um modelo híbrido. Vemos uma forte tendência da adoção de operações "Purple Team".

No modelo tradicional, o Red Team ataca em silêncio e o Blue Team tenta defender no escuro. No final, eles leem o relatório juntos. No modelo Purple Team, o ataque e a defesa trabalham lado a lado, em tempo real.

O Red Team dispara um exploit. O Blue Team verifica imediatamente se o SIEM (Security Information and Event Management) gerou o alerta correto. Se não gerou, eles calibram a regra de detecção na mesma hora. É um ciclo de feedback muito mais rápido e eficiente para fintechs que estão escalando agressivamente.

O que o futuro reserva para as defesas cibernéticas

A inteligência artificial generativa mudou a assimetria do jogo. Os cibercriminosos hoje usam LLMs para criar campanhas de phishing hiper-personalizadas, gerar malware polimórfico e automatizar a descoberta de vulnerabilidades em APIs financeiras.

Se os criminosos estão usando IA, o seu Red Team também precisa usar.

Já observamos testes onde agentes autônomos de IA são soltos dentro de ambientes de homologação de fintechs para encontrar caminhos de ataque lógicos que um engenheiro humano levaria semanas para mapear.

O mercado financeiro brasileiro é um dos mais digitalizados e complexos do mundo. A interoperabilidade trazida pelo PIX e pelo Open Finance criou um ecossistema maravilhoso para o usuário final, mas um campo minado para os CISOs (Chief Information Security Officers).

Adotar a mentalidade de "Assume Breach" (assuma que você já foi invadido) é a única postura responsável. E a melhor forma de validar essa postura é soltar os cães de guerra da sua própria equipe ofensiva contra a sua infraestrutura.

Descubra onde sangra antes que o mercado inteiro veja o sangue.