A digitalização trouxe avanços notáveis no setor financeiro, mas também criou uma nova classe de riscos invisíveis. Em 2026, o setor financeiro da América Latina permanece entre os principais alvos de ameaças cibernéticas. Bancos, instituições de pagamento, seguradoras e plataformas financeiras digitais enfrentam um ambiente de risco no qual ataques cibernéticos têm potencial para gerar impactos imediatos, danos reputacionais e efeitos sistêmicos sobre a estabilidade e a confiança do mercado.
Além disso, os incidentes no ambiente financeiro tendem a afetar diretamente a continuidade operacional, proteção de dados e integridade de sistemas de pagamento. Esse cenário levou autoridades regulatórias e instituições a tratarem a cibersegurança como um componente essencial da resiliência operacional e do gerenciamento de risco. O Brasil destaca-se como o epicentro das ameaças cibernéticas na América Latina, concentrando grande parte das campanhas direcionadas ao setor financeiro regional.
Este artigo examina o cenário de ameaças cibernéticas no setor financeiro da América Latina em 2026, com foco no Brasil, analisando tendências, táticas e atores relevantes. Este conteúdo destina-se a CISOs, líderes de cibersegurança, risco operacional, tecnologia e compliance do setor financeiro, bem como a profissionais de CTI, SOC, antifraude e decisores técnicos e regulatórios.
Panorama Geral do Setor Financeiro da América Latina
O setor financeiro da América Latina enfrenta um ambiente de ameaças caracterizado por um elevado volume de ataques, foco crescente em fraude financeira e profissionalização do crime cibernético.
Além disso, continua acima da média global em atividades de e-Crime, com instituições financeiras entre os principais alvos devido ao valor direto dos ativos, à confiança depositada pelos clientes nas instituições e à interconectividade com terceiros e provedores tecnológicos.
Macrotendências
Reforço regulatório: A América Latina, com destaque para o Chile e o Brasil, avançou significativamente no fortalecimento de marcos regulatórios de segurança cibernética nos últimos anos. A Lei Marco de Cibersegurança do Chile, a Estratégia Nacional de Cibersegurança (E-Ciber) e as atualizações normativas do Banco Central do Brasil elevaram os requisitos de governança, segurança e reporte de incidentes no setor financeiro, ampliando a visibilidade regulatória e a responsabilização institucional.
Cibersegurança financeira como risco prudencial e sistêmico: Reguladores e bancos centrais passaram a reconhecer incidentes cibernéticos como potenciais geradores de risco sistêmico, especialmente quando afetam sistemas de pagamento, de liquidação ou de custódia de ativos financeiros.
Colaboração setorial e compartilhamento de inteligência: O setor financeiro brasileiro apresentou avanços na cooperação técnica e no compartilhamento de informações, refletidos em iniciativas como o #EspaçoCiber da ANBIMA. Essas iniciativas contribuem para a disseminação de boas práticas, redução de assimetrias de conhecimento e fortalecimento da resposta coletiva a ameaças recorrentes.
Industrialização do e-crime financeiro: O crime cibernético direcionado ao setor financeiro na América Latina opera de forma cada vez mais industrializada e segmentada. Cadeias de ataque baseadas em roubo de credenciais, atuação de Initial Access Brokers e modelos de ransomware-as-a-service tornaram-se predominantes, reduzindo o tempo entre comprometimento inicial e monetização do ataque.
Microtendências
Aumento do reporte de incidentes: O reforço regulatório ampliou a visibilidade de incidentes no setor financeiro, com reporte mais consistente de eventos antes tratados como operacionais. O efeito principal é a redução da assimetria de informação, não um aumento proporcional de ataques.
Deslocamento do risco para alvos menos maduros: A elevação do nível mínimo de controle em instituições supervisionadas deslocou o risco para fintechs, fornecedores e prestadores de serviços menos maduros.
Incidentes com impacto operacional desproporcional: Existe um crescente número de incidentes tecnicamente limitados com impacto operacional e reputacional elevado, como interrupções pontuais de pagamentos ou indisponibilidades temporárias.
Redução do tempo entre comprometimento e monetização: A industrialização do eCrime financeiro reduziu significativamente o intervalo entre comprometimento e impacto, com os ataques a tornarem-se mais curtos, com menor necessidade de persistência e foco em monetização rápida, o que favorece modelos repetíveis e escaláveis.
Convergência prática entre fraude, intrusão e extorsão: As fronteiras entre os 3 conceitos tornam-se difusas. Essa convergência exige maior coordenação entre segurança, antifraude e risco, refletindo uma mudança operacional relevante na gestão de incidentes.
O Brasil como Target-Rich Environment no Setor Financeiro
O Brasil consolidou-se como um target-rich environment no setor financeiro da América Latina pela convergência de fatores estruturais, e não por fragilidades pontuais. O sistema financeiro brasileiro combina escala, sofisticação tecnológica e elevada interconectividade, concentrando o maior volume de transações financeiras digitais da região e o ecossistema mais maduro de pagamentos instantâneos (PIX). Essa centralidade faz com que infraestruturas financeiras brasileiras atuem tanto como alvos finais quanto como intermediárias em cadeias de ataque regionais.
A atratividade do país é ampliada pela alta densidade de serviços financeiros digitais e pela consequente expansão da superfície de ataque. A adoção massiva de canais digitais e a integração profunda entre bancos, fintechs, provedores de pagamento e plataformas de crédito criam um ecossistema no qual múltiplos ativos exploráveis coexistem de forma interdependente.
Outro fator crítico é a concentração de identidades digitais e dados financeiros. O Brasil lidera a região em indicadores relacionados a infecções por stealer malware, exposição de credenciais reutilizáveis e vazamentos de dados associados a serviços financeiros.
Apesar da elevada maturidade de algumas das grandes instituições, o ecossistema financeiro brasileiro apresenta assimetria significativa de maturidade em cibersegurança, especialmente entre fintechs de rápido crescimento, fornecedores especializados e prestadores de serviços com acesso privilegiado. Essa assimetria cria condições para ataques indiretos, nos quais compromissos em elos menos maduros geram impactos em cascata sobre instituições centrais.
Assim, o Brasil é um dos principais alvos da América Latina. Conforme apontado pelo BIS e por autoridades monetárias, incidentes cibernéticos nesses sistemas podem gerar impactos sistêmicos desproporcionais, afetando a confiança, a liquidez e a continuidade dos serviços, o que explica por que eventos locais frequentemente produzem repercussões regionais.
Ecossistema de Ameaças – Principais grupos de atores
Crime Cibernético Organizado com Motivação Financeira
O crime cibernético organizado constitui o principal vetor de risco no setor financeiro da região. Esses atores priorizam monetização previsível e em escala, explorando instituições financeiras, provedores de pagamento e serviços associados. Grupos como TA505 e FIN7 (Gold Niagara) exemplificam esse perfil, com campanhas financeiras recorrentes e alcance regional.
Do ponto de vista operacional, atuam de forma industrializada, combinando serviços terceirizados, baixa dependência de exploração técnica avançada e foco em repetibilidade. O objetivo é reduzir custos e riscos operacionais, mantendo o fluxo contínuo de campanhas. Ataques à cadeia de suprimentos têm sido utilizados como vetor complementar de acesso inicial, permitindo contornar controles de segurança ao explorar fornecedores de software, prestadores de serviços gerenciados e provedores de nuvem com acesso privilegiado a ambientes financeiros.
Para o setor financeiro, esses atores são críticos pela liquidez imediata dos ativos, pela monetização indireta via dados e identidades e pelo efeito multiplicador proporcionado por cadeias de pagamento e integrações com terceiros.
Grupos de Ransomware com Motivação Econômica
Grupos de ransomware operam com foco em extorsão financeira, gerando alto impacto mesmo sem grande frequência. Na América Latina, LockBit e ALPHV/BlackCat mantêm atuação consistente por meio de afiliados regionais, com registros envolvendo organizações brasileiras e fornecedores críticos do setor financeiro.
Seu modelo operacional baseia-se em ransomware-as-a-service, uso de afiliados e estratégias de extorsão direta e indireta. A eficiência do modelo reside mais na coerção econômica do que na sofisticação técnica.
O setor financeiro é particularmente relevante quando a indisponibilidade afeta serviços sistêmicos, há pressão regulatória significativa ou risco de vazamento de dados sensíveis.
Atores Regionais com Conhecimento Local
Atores regionais possuem profundo conhecimento do contexto local, incluindo idioma, marcas e fluxos financeiros, operando com menor visibilidade internacional, mas alta eficácia. No Brasil, Operation Magalenha e Guildma (Astaroth) ilustram esse perfil.
Operacionalmente, exploram campanhas oportunistas, infraestrutura regional e adaptação rápida ao contexto regulatório e econômico. Engenharia social e abuso da confiança em marcas locais são centrais.
Para o setor financeiro, esses atores aumentam a eficácia de fraudes direcionadas e amplificam impactos em serviços amplamente utilizados, mesmo com baixa sofisticação técnica.
Hacktivismo e Atores Ideológicos
Atores hacktivistas atuam por motivações políticas ou ideológicas, com atividade episódica ligada a eventos geopolíticos. Embora o setor financeiro raramente seja alvo primário, sofre impactos colaterais devido à sua visibilidade. Killnet, subgrupos do Anonymous e coletivos regionais ad hoc são exemplos relevantes.
O modelo operacional tende a ser simples, baseado em ataques de indisponibilidade, defacements e vazamentos oportunistas. A coordenação e a amplificação pública compensam a baixa sofisticação técnica.
Para o setor financeiro, esses atores representam risco operacional indireto e pressão reputacional, com potencial impacto desproporcional em serviços essenciais.
Táticas, Técnicas e Procedimentos (TTPs) dominantes contra Instituições Financeiras
Initial Access
O acesso inicial a ambientes financeiros ocorre predominantemente por meio do abuso de exposições conhecidas, credenciais válidas e vetores indiretos, com baixa dependência de zero-days.
Operacionalmente, destacam-se campanhas de phishing com entrega de stealer malware (como RedLine, Raccoon, Vidar e Lumma), amplamente observadas no Brasil, além da exposição de serviços remotos (VPNs e portais administrativos) e da exploração de CVEs conhecidas em dispositivos de borda, como CVE-2022-42475 (FortiOS) e CVE-2023-3519 (Citrix NetScaler).
Um caso ilustrativo foi o vazamento atribuído ao grupo Dragonforce, envolvendo a C&M Software, no qual credenciais e materiais internos foram explorados meses após o comprometimento inicial.
Vulnerabilidades Exploradas em 2025 com Relevância para o Setor Financeiro
Em 2025, ataques contra instituições financeiras na América Latina continuaram a explorar vulnerabilidades amplamente divulgadas, sobretudo em tecnologias de borda, acesso remoto e identidade corporativa. Esse padrão reforça a eficácia de cadeias de ataque baseadas em Initial Access rápido, reutilizável e silencioso, sem necessidade de exploração avançada.
Relatórios regionais e análises de incidentes indicam exploração recorrente de falhas em gateways VPN, firewalls, appliances de acesso remoto e plataformas corporativas críticas, amplamente utilizados por bancos, fintechs e seus fornecedores. A combinação entre exposição externa, alto privilégio e janelas prolongadas de correção torna essas vulnerabilidades particularmente atrativas para e-Crime organizado e afiliados de ransomware.
| Tecnologia | CVE | CVSS v3.x | Categoria | Uso observado no contexto financeiro LATAM (2025) |
| Ivanti Connect Secure / Policy Secure | CVE-2025-0282 | 9.8 (Crítica) | VPN / Edge | Exploração ativa em 2025 para acesso inicial em organizações reguladas, incluindo instituições financeiras |
| Citrix NetScaler ADC | CVE-2024-6235 (CitrixBleed-2) | 9.4 (Crítica) | ADC / Gateway | Sequestro de sessão e abuso de identidade em ambientes financeiros expostos |
| Palo Alto PAN-OS | CVE-2025-0108 | 8.7 (Alta) | Firewall / Edge | Bypass de autenticação em firewalls usados como perímetro financeiro |
| FortiOS / FortiProxy | CVE-2024-47575 | 9.6 (Crítica) | VPN / Edge | Continuidade do padrão Fortinet como vetor de acesso inicial em bancos e fintechs |
| Microsoft Exchange Server | CVE-2024-21410 | 8.8 (Alta) | E-mail / Identidade | Persistência e abuso de identidade em ambientes híbridos, com impacto em fraude |
Identity Abuse
O abuso de identidade consolidou-se como a técnica central em ataques contra instituições financeiras, permitindo que atacantes operem no modelo de confiança dos sistemas. Técnicas MITRE como T1078 (Valid Accounts), T1550 (Alternate Authentication Material) e T1539 (Session Cookie Theft) são recorrentes nesse contexto.
Na prática, observa-se o uso de cookies de sessão para contornar MFA, abuso de tokens OAuth em ambientes cloud e SaaS e persistência por meio de contas legítimas pouco monitoradas. O Brasil destaca-se regionalmente pela alta incidência de infostealer logs contendo credenciais financeiras e corporativas.
No setor financeiro, onde a identidade equivale à autorização, esse padrão permite fraude e acesso indevido sem exploração técnica avançada, deslocando o foco defensivo para monitoramento comportamental e governança de identidades.
Lateral Movement em Ambientes Híbridos
O movimento lateral ocorre predominantemente em ambientes híbridos, explorando inconsistências entre infraestrutura on-premises, cloud e SaaS. A complexidade desses ambientes cria zonas de baixa visibilidade que facilitam a expansão silenciosa do acesso.
As técnicas mais observadas incluem T1021 (Remote Services), T1087 (Account Discovery) e T1046 (Network Discovery), além do abuso de trusts entre Active Directory e Azure AD. Casos reportados indicam uso frequente de Kerberoasting, Pass-the-Hash e abuso de identidades sincronizadas, inclusive de contas de serviço.
Para uma instituição financeira, esse padrão permite que atacantes alcancem sistemas críticos de back-office e plataformas de integração financeira, ampliando o impacto potencial antes da fase de monetização.
Living-off-the-Land (LotL) e Ferramentas Legítimas
O uso de ferramentas legítimas (living-off-the-land) é um padrão dominante em ataques financeiros, permitindo reduzir a detecção, operar sob identidade válida e evitar EDRs tradicionais.
Técnicas como PowerShell (T1059.001), WMI (T1047) e PsExec (T1569.002) são amplamente exploradas, assim como ferramentas nativas de administração e monitoramento. Em ambientes financeiros altamente controlados, esse modelo é frequentemente mais eficaz do que malware customizado, pois se confunde com atividades administrativas legítimas e gera poucos indicadores clássicos de comprometimento.
Esse padrão desafia SOCs e modelos de detecção baseados em assinatura, exigindo maior foco na correlação de comportamentos e no contexto operacional.
Fraude Pós-Comprometimento
A fase final de muitos ataques contra instituições financeiras envolve fraude operacional, e não destruição de sistemas. Observam-se casos de manipulação de fluxos de pagamento, abuso de contas internas para autorizar transações e desvio gradual de recursos para evitar alertas antifraude.
Fraudes envolvendo manipulação de APIs bancárias são comuns no Brasil, especialmente em sistemas de pagamento instantâneo como o Pix. Esse padrão foi identificado em campanhas com acesso prolongado a ambientes financeiros, mesmo na ausência de ransomware. A fraude pós-comprometimento combina acesso técnico legítimo, conhecimento de processos financeiros e baixa geração de IOCs.
Para o setor financeiro, isso reforça a convergência prática entre intrusão e fraude, exigindo integração efetiva entre segurança da informação, antifraude e risco operacional.
Big Game Hunting no Setor Financeiro
O Big Game Hunting (BGH) representa a priorização deliberada de alvos de alto valor econômico e sistêmico, em detrimento de campanhas oportunistas. No setor financeiro latino-americano, esse modelo tornou-se mais evidente à medida que atacantes passaram a focar instituições cuja indisponibilidade, fraude ou exposição de dados gera impacto imediato e pressão regulatória significativa.
Do ponto de vista operacional, o BGH combina acesso inicial cuidadosamente selecionado, exploração prolongada do ambiente, abuso extensivo de identidade legítima e monetização concentrada. Esse padrão é observado tanto em grupos de ransomware quanto em campanhas avançadas de fraude pós-comprometimento.
Para o setor financeiro, o BGH amplifica o risco ao concentrar esforços adversários em instituições críticas, fornecedores estratégicos e infraestruturas centrais, tornando mesmo incidentes tecnicamente limitados potencialmente sistêmicos.
Impactos Operacionais e Regulatórios
No setor financeiro brasileiro, incidentes cibernéticos deixaram de ser avaliados apenas pelo tempo de indisponibilidade e passaram a ser analisados pelo impacto sistêmico e em cascata. Indisponibilidades parciais, degradação de serviços (brownouts) e isolamento preventivo de ambientes críticos tornaram-se impactos recorrentes, especialmente em infraestruturas centrais como Pix, SPB e integrações em tempo real. Conforme apontado pelo BIS/CPMI, falhas nesses sistemas podem afetar confiança e liquidez mesmo sem perda massiva de dados.
Paralelamente, a fraude sistêmica consolidou-se como um dos impactos mais sensíveis ao setor financeiro. A convergência entre intrusão técnica e fraude operacional permite manipulação de transações por meio de acessos legítimos e processos internos confiáveis, reduzindo a eficácia de controles antifraude tradicionais. Relatórios regionais indicam que a fraude pós-comprometimento tornou-se um desfecho frequente na América Latina, especialmente no Brasil, em função da alta digitalização e da centralidade da identidade como fator de autorização.
O ambiente regulatório brasileiro amplifica os efeitos desses incidentes, convertendo eventos técnicos em questões regulatórias e de governança. Obrigações sob a LGPD, exigências de reporte e gestão de risco do Banco Central do Brasil, potenciais enquadramentos como fato relevante pela CVM e a interdependência introduzida pelo Open Finance reforçam a cibersegurança como risco prudencial e sistêmico, alinhada às diretrizes internacionais e às práticas dos principais reguladores financeiros.
Sua instituição financeira está preparada para ataques reais?
A Blaze ajuda bancos e fintechs a reduzir os riscos em ambientes financeiros críticos.
Projeções e Implicações Estratégicas para 2027
Até 2027, o cenário de ameaças ao setor financeiro deverá permanecer centrado em abuso de identidade, com uso crescente de credenciais válidas, tokens e sessões legítimas. A eficácia isolada de controles tradicionais, como MFA, tende a diminuir frente a stealers, phishing avançado e identidade federada, reforçando a identidade como principal superfície de ataque.
Os incidentes também tenderão a apresentar baixa assinatura técnica, com uso predominante de ferramentas legítimas e pouco ou nenhum malware customizado. Esse padrão dificulta a detecção baseada em IOC e assinatura e favorece impactos financeiros relevantes sem eventos técnicos evidentes.
Nesse contexto, a fraude pós-comprometimento tende a consolidar-se como o principal vetor de impacto, superando ransomware em termos de perdas diretas. O impacto ocorrerá cada vez mais dentro de processos legítimos, por meio de acessos válidos e conhecimento operacional, e não por indisponibilidade prolongada.
A pressão regulatória deve se intensificar, com maior integração entre risco cibernético, operacional e prudencial, especialmente no que diz respeito a terceiros, Open Finance e cadeias de pagamento. No Brasil, esse movimento deverá aprofundar-se sob liderança do Banco Central e em alinhamento com diretrizes internacionais.
Diante desse cenário, empresas do setor financeiro precisarão tratar a cibersegurança como capacidade estrutural de negócio, alocar pessoal em cibersegurança e estar em conformidade com todas as normas de segurança. A vantagem competitiva até 2027 estará menos na prevenção absoluta de incidentes e mais na capacidade de responder, conter impactos e manter operações essenciais em ambientes de alta incerteza.



