Potenciais vulnerabilidades cibernéticas do PIX

O PIX é um meio de pagamento instantâneo, mantido pelo Banco Central do Brasil, disponível 24 horas todos os dias do ano, com transferências de até 10 segundos para múltiplos casos de uso, incluindo o uso de QR Code e uso de chaves de endereçamento. Através de um aplicativo de uma instituição participante será possível um usuário realizar pagamentos ou transferências instantâneas para outras pessoas ou estabelecimentos comerciais usando chaves como identificadores, tais como número do celular, CPF/CNPJ e conta de e-mail. O grande atrativo do PIX, além da velocidade de transferência e disponibilidade, é o custo por transação, que deverá ser de centavos. Contrapondo, com as altas taxas do DOC e TED cobrados pelos bancos. Entretanto, o PIX abrirá novas portas para ataques cibernéticos, fraudes financeiras e lavagem de dinheiro.

Atualmente, as transferências e pagamentos de contas está limitado a um número restrito de instituições financeiras, que utilizam técnicas preditivas para identificar fraudes e tempo suficiente para análises, que pode chegar na casa dos minutos. O desafio das técnicas preditivas é reduzir ao máximo os casos de falso-positivo, ou seja, transações sem problemas que o algoritmo bloqueia por suspeita de fraude. Um número alto de casos falso-positivo gera insatisfação dos clientes e torna o processo ineficiente, embora traga mais segurança para o sistema.

As grandes instituições financeiras do Brasil têm recursos financeiros suficientes para implementar as mais sofisticadas ferramentas de monitoração e detecção de fraudes, onde, talvez, o maior gargalo seja recursos humanos.

O PIX cria a possibilidade de entrada de um grande número de provedores de serviços de pagamento, tanto para iniciar uma transação de pagamento como para prover o acesso a infraestrutura única do Banco Central para a liquidação LBTR (liquidação pelo valor bruto em tempo real) pelo SPI (sistema de pagamentos instantâneos) que autoriza um participante do sistema a concluir a transação de transferência de valor. A comunicação entre os provedores de serviços e o PIX é realizada pela Rede do Sistema Financeiro Nacional (RSFN).

Os provedores de serviços se conectam ao PIX, exclusivamente, através de APIs usando o protocolo HTTP versão 1.1 com criptografia TLS 1.2 ou superior, com autenticação mútua obrigatória quando do estabelecimento da conexão, usando a Cipher Suite ECDHE-RSA-AES-128-GCM-SHA256 (0xc02f). Tanto o Banco Central como os provedores de serviços devem utilizar certificados ICP-Brasil no padrão SPB.

O padrão de assinatura digital do PIX é o XMLDSig. Todas as mensagens trafegadas devem ser assinadas digitalmente pelo emissor. As mensagens seguem o padrão ISO 20.022. O processo de assinatura digital, passo a passo, é descrito nas especificações do PIX.

A infraestrutura do Banco Central autentica todas as transações, garantindo a confiabilidade do sistema, através da identificações de todos os atores envolvidos na transação, evitando o não-repudio, sendo, juridicamente, aceito para confirmar transações comerciais.

Dentro de uma linha cartesiana, o sistema funciona de forma perfeita. Entretanto, o fator desestabilizar é a ação de hackers, principalmente, os profissionais para burlar e tirar proveito das vulnerabilidades do sistema.

Independentemente, de outros riscos técnicos que possam ser explorados, o maior risco é o de engenharia social, onde o usuário é a peça mais vulnerável no sistema. As técnicas atuais para trapacear com os usuários estão cada vez mais sofisticada, e muitos são caem nas armadilhas, mesmo aqueles mais atentos e conhecedores das trapaças digitais, como o phishing. Um dos objetivos dos hackers será o roubo da chave-privada dos usuários. Com a posse da chave-privada os hackers poderão comercializá-la na deep web, como forma de proteção de sua identidade, ou aplicar golpes de transferência de fundos.

Outra forma de fraude, já utilizada, que pode aumentar com o PIX é através da técnica de SIM Swap, que transfere a linha do chip de um usuário para um chip em branco, permite que a conta do WhatsApp seja acessada pelo hacker. Com o número do telefone e o e-mail do usuário o hacker consegue recuperar o backup das conversas do WhatsApp e se em algum momento o usuário foi descuidado em deixar a senha, o estrago assumirá grandes proporções.

Como o PIX admite o uso de número de telefone como chave de acesso, caso um usuário utilize seu número de telefone e tenha que substitui-lo no futuro, o antigo número poderá ser utilizado para fraudes no PIX, caso ele tenha esquecido de comunicar ou durante o tempo de reação do provedor de serviço.  

Outro ataque que explora o descuido dos usuários é o “man-in-the-middle”, onde o hacker configura um acesso público de Internet em locais onde existem Wi-Fi gratuito, como shopping centers, e interceptam e-mails, histórico de navegação e mídias sociais para direcionar seus dados e cometer atos criminosos.

Algumas técnicas preditivas sofisticadas utilizadas pelas instituições financeiras estão perdendo efeito com o uso de inteligência artificial pelos hackers. Uma destas técnicas, utilizada pelas instituições financeiras, consiste em analisar o perfil de cada cliente, identificando suas atividades comportamentais e ações cognitivas tomadas pelo usuário que podem ser utilizadas para fraudes. Com esta técnica, qualquer desvio dos padrões normais de comportamento físico e cognitivo de um usuário emite um sinal de alerta, assim como a detecção da presença de engenharia social. Sabendo disso, os hackers capturam o perfil comportamento da vítima e simula seu comportamento, evitando ser detectado pelas ferramentas de análise.

Um risco que percebemos olhando de fora, é a plataforma única do Banco Central para o PIX, configurando-se um ponto único de falha. Este fato é comum nas instituições financeiras, porém quando de acontece uma indisponibilidade, apenas os clientes daquela instituição são afetados, ao contrário do PIX, que se em caso de indisponibilidade do PIX todo o serviço de transferência instantânea de pagamentos será afetado. Por exemplo, um ataque de negação de serviço (DDoS) pode interromper os serviços.

Uma alternativa para evitar um ponto único de falha é o uso de Blockchain no PIX, onde poderia ser construída uma rede de autenticadores de transações e com isto evitar indisponibilidade dos serviços.

Os serviços de pagamentos instantâneos estão crescendo no mundo. No Reino Unido, o Faster Payment Service (FPS) foi lançado em 2008 com o objetivo de apenas de atender transações B2C, porém rapidamente integrou transações B2C. Entre 2008 e 2015 o volume de transações do FPS aumentou de 82 milhões para 1,2 bilhão, com uma estimativa de mais de 1,8 bilhão de transações até 2025. Como sempre, enfrentamos o dilema da facilidade versus segurança. No caso do PIX, acredito que as vantagens superarão os problemas de fraudes digitais que continuaram a serem defendidas por cada vez mais técnicas e ferramentas especializadas, agora com o apoio de inteligência artificial.