En la conferencia 8.8 el investigador y experto en ciberseguridad Anchises Moraes presentó la charla titulada “Brazil’s aPIXcalypse – How Real Time Payments Turned Brazilian Threat Scenario Into a Nightmare”.

En su exposición, Moraes relató cómo el sistema de pagos instantáneos Pix, lanzado por el Banco Central de Brasil en 2020 y convertido rápidamente en el método de pago más popular del país, no solo revolucionó la economía digital brasileña, sino que también redibujó el mapa de amenazas en la región. La masificación del servicio, su gratuidad y la inmediatez de las transacciones crearon un terreno fértil para que cibercriminales, estafadores y grupos organizados explotaran tanto debilidades tecnológicas como factores humanos.

La charla presentó una visión clara: el éxito de Pix como infraestructura financiera también trajo consigo una “apocalipsis de amenazas” (en palabras del título), que va desde campañas de phishing y smishing a gran escala, hasta ataques dirigidos a proveedores tecnológicos que soportan la operación del sistema. Moraes mostró que Pix no fue “hackeado” en su núcleo, pero sí que su enorme alcance potenció todos los riesgos del ecosistema financiero brasileño, transformando el país en un laboratorio vivo de fraudes en tiempo real.

Qué es Pix: el sistema de pagos instantáneos brasileño

Pix es un sistema de pagos y transferencias instantáneas operado por el Banco Central de Brasil (BCB), que permite transferir valores en reales (R$) entre cuentas de personas físicas y jurídicas de forma inmediata, 24 horas al día, incluso feriados o fines de semana.

Origen y motivaciones

• El proyecto empezó a perfilarse hacia 2016, cuando técnicos del Banco Central exploraron la viabilidad de un sistema nacional de pagos instantáneos para modernizar el ecosistema financiero brasileño.

• En 2018 se formalizó el diseño y los requisitos del sistema dentro del BCB.

• El nombre “Pix” fue adoptado en febrero de 2020 (no es sigla, sino un nombre tecnológico).

• Aunque hubo fases piloto, el sistema empezó a operar realmente en modo de pruebas en octubre de 2020, y desde el 16 de noviembre de 2020 pasó a funcionar plenamente para la población en general.

• En poco tiempo Pix ganó gran adopción: en 2022 ya era el medio de pago electrónico más usado en Brasil, desplazando otros métodos tradicionales como DOC, TED o boletos bancarios.

Funcionamiento esencial

• Para recibir pagos por Pix, los usuarios pueden registrar chaves Pix (claves): que pueden ser CPF/CNPJ, número de celular, dirección de correo electrónico o una clave aleatoria generada por el sistema (que no revela información personal).

• También es posible hacer pagos vía QR code (estático o dinámico), o usando los datos bancarios convencionales (banco, agencia, cuenta) si no se usa una chave.

• Las transacciones son liquidadas en tiempo casi real, lo que significa que el dinero llega casi instantáneamente a la cuenta destino.

• Para las personas físicas y microempresas (MEI), el uso de Pix es gratuito (al menos para envíos de transferencias básicas).

¿Por qué Pix atrae los ojos de los cibercriminales?

Pix combina dos características atractivas para atacantes:

1. Inmediatez del dinero — las transferencias se ejecutan casi al instante, lo cual reduce el margen de tiempo para detección o reversión en muchos casos fraudulentos.

2. Alta adopción y conectividad extensa — cuanto más ampliamente se use un sistema, más “superficie de ataque” habrá: más usuarios, más instituciones, más proveedores y conexiones interbancarias.

Los cibercriminales tienden a abordar Pix desde varias estrategias:

• Ataques a proveedores/conectores que integran instituciones con la infraestructura del BCB / sistema Pix, para desviar fondos o interrumpir operaciones.

• Malware bancario y fraude dirigido al usuario final: engaños (phishing, smishing), inyección de ventanas falsas (“overlay”), control remoto de apps bancarias, para forzar a la víctima a autorizar un Pix.

• Filtraciones de datos de chaves Pix (datos de registro: nombre, CPF, institución, cuenta, etc.). Aunque esos datos por sí mismos no permiten mover dinero, sirven para ingeniería social, suplantación y ataques dirigidos.

• Abuso de operaciones físicas combinadas: por ejemplo, “secuestro relámpago” (capturar físicamente a la víctima para obligarla a hacer un Pix) es una modalidad que reapareció con Pix como vehículo de extracción inmediata.

El Banco Central ha introducido mecanismos como el “Mecanismo Especial de Devolución (MED)” para facilitar devoluciones cuando se prueba que hubo fraude y que los recursos aún están disponibles, además de límites temporales para Pix nocturnos, alertas de transacciones atípicas, y normas de seguridad obligatorias para los actores del ecosistema.

A continuación comparto algunas imágenes de la charla:

Conclusión

El caso de Pix en Brasil es un recordatorio poderoso de cómo la innovación tecnológica y la ciberseguridad están profundamente entrelazadas. El sistema logró democratizar los pagos y transformar la economía digital brasileña, pero su masificación y la inmediatez de las transacciones lo convirtieron en un imán para el cibercrimen organizado.

Tal como expuso Anchises Moraes en la 8.8, el llamado “aPIXcalypse” no es la caída de Pix, sino el desafío constante de equilibrar inclusión financiera con seguridad digital. Los ataques, filtraciones y fraudes que han marcado su historia no significan que el sistema sea inseguro en esencia, sino que evidencian la necesidad de madurez en la gestión de riesgos, colaboración entre instituciones y una cultura de seguridad extendida a todos los actores: bancos, fintechs y usuarios finales.

Si quieres conocer más sobre este caso, puedes descargar el análisis completo proporcionado por el exponente aquí: Descargar análisis ataque PIX Brazil