Segurança para DTVMs e Distribuidoras de Títulos: contendo ordens fraudulentas e protegendo a liquidação

Por que uma DTVM é um alvo de altíssimo valor

Uma Distribuidora de Títulos e Valores Mobiliários ocupa um lugar peculiar na infraestrutura do mercado financeiro brasileiro: ela não é apenas um intermediário de varejo, é um nó conectado de forma direta ou quase direta às engrenagens de liquidação do país. Ordens de compra e venda de títulos públicos roteiam para o Selic; operações com ativos privados e ações tocam a B3 e suas câmaras; posições de clientes ficam sob custódia que precisa reconciliar diariamente; mesas de câmbio movimentam volumes que afetam o caixa da própria instituição. Cada uma dessas pontes é, ao mesmo tempo, uma função de negócio e uma superfície de ataque.

O atacante que entende esse desenho não busca derrubar o site. Ele busca uma sessão. Mais especificamente, a sessão de um operador de mesa ou de um back-office com poder de lançar, aprovar ou roteаr ordens. Porque uma ordem emitida a partir de uma sessão legítima carrega toda a autoridade daquela credencial: ela atravessa os controles de borda, passa pelo sistema de roteamento e chega aos sistemas de liquidação como uma instrução válida. O fraude não está em quebrar a criptografia da B3; está em fazer o sistema acreditar que quem manda a ordem é o operador de sempre.

Há ainda um agravante temporal que torna o setor distinto. Mercados têm janelas. Há horário de pregão, há ciclos de liquidação (o mercado brasileiro de ações opera em ciclo D+2, por exemplo), há cortes de fim de dia para reconciliação. Um atacante que controla uma sessão dentro da janela operacional tem um intervalo finito mas suficiente para causar dano antes que a reconciliação de fechamento acuse divergência. A defesa, portanto, não pode ser de fim de dia. Tem que ser em tempo real, na própria emissão da ordem.

Anatomia do account takeover de operador

O account takeover de um operador raramente começa com sofisticação técnica. Começa com engenharia social bem pesquisada. O atacante mapeia a estrutura da distribuidora — quem opera, quem aprova, quem está no back-office — usando LinkedIn, vazamentos antigos de credenciais e a própria comunicação pública da instituição. Em seguida, monta um e-mail ou mensagem que parece interna: uma falsa notificação de expiração de senha do sistema de ordens, um aviso da área de compliance, um link para um portal de treinamento obrigatório. A página de destino é um clone pixel a pixel da tela de login real.

Quando a DTVM usa apenas senha mais um segundo fator fraco — SMS ou um código TOTP digitado manualmente — o golpe se completa em tempo real. O operador digita a senha e o código no site falso; o atacante, do outro lado, repassa imediatamente essas credenciais para o sistema verdadeiro e captura a sessão. Esse é o padrão de adversary-in-the-middle, e é exatamente por isso que segundo fator baseado em código compartilhável não resolve o problema: o código pode ser interceptado e reutilizado dentro da sua janela de validade.

Uma vez de posse da sessão, o atacante tem dois caminhos. O barulhento: emitir ordens grandes e rápidas para uma contraparte controlada, aceitando que será detectado mas apostando que a liquidação acontece antes da reação. E o silencioso: ficar dias observando o ritmo do operador, aprendendo seus horários, suas contrapartes habituais, seus volumes típicos, para então emitir ordens fraudulentas que se camuflam dentro do padrão normal. O segundo é muito mais perigoso e só é detectável com modelagem comportamental — saber que aquela ordem, embora válida e dentro do limite, é anômala para aquele operador naquele horário com aquela contraparte.

A janela de liquidação como campo de batalha

Manipular a liquidação não significa, na prática, invadir o Selic ou a B3 — esses ambientes têm controles próprios robustos e múltiplas camadas de validação. O risco real, do ponto de vista da DTVM, é manipular o que sai dela em direção a esses sistemas. Uma ordem fraudulenta roteada corretamente, com a instrução de liquidação apontando para uma conta ou contraparte controlada pelo atacante, é tecnicamente uma operação válida que a câmara processará. O ponto de falha está dentro da distribuidora, no momento entre a emissão da ordem e o envio ao sistema de liquidação.

Por isso a segmentação de rede é um controle de primeira ordem aqui, não um detalhe de infraestrutura. Os hosts que se comunicam com B3, Selic e custodiantes precisam viver em uma zona isolada, com saída de rede explicitamente controlada e inspecionada, sem rota direta a partir das estações de trabalho da mesa ou da rede corporativa geral. Se a estação de um operador é comprometida, ela não pode se tornar um pivô que alcança diretamente o gateway de liquidação. O comprometimento precisa ser contido na estação, e a comunicação com a liquidação precisa exigir uma camada adicional de autorização que a estação sozinha não consegue forjar.

Os sistemas de roteamento de ordens (OMS) e o home broker são, portanto, alvos prioritários de teste. Um pentest competente desses sistemas vai além de buscar SQL injection na tela de login. Ele questiona se é possível forjar ou adulterar uma ordem em trânsito, se os controles de limite por operador são realmente aplicados no servidor e não apenas no front-end, se há validação de integridade entre o que o operador vê e o que efetivamente é enviado à liquidação, e se a separação de funções — quem lança versus quem aprova — sobrevive a manipulações de API. Muitas falhas críticas de OMS são lógicas, não técnicas: o limite existe mas pode ser contornado, a aprovação existe mas pode ser pulada.

Dados de investidores qualificados e a mesa de câmbio

A carteira de uma DTVM concentra um tipo de dado especialmente sensível: posições, patrimônio e estratégias de investidores qualificados e profissionais, além de fundos e clientes institucionais. Esse conjunto é valioso por dois motivos. Primeiro, porque expõe diretamente o cliente a ataques direcionados — saber quanto alguém tem e onde aplicou é munição para fraude e extorsão. Segundo, porque a fuga desses dados configura incidente sob a Lei Geral de Proteção de Dados, com dever de comunicação à ANPD e aos titulares quando houver risco relevante, além de dano reputacional difícil de reverter em um setor que vive de confiança.

A mesa de câmbio adiciona uma frente própria. Operações de câmbio envolvem cotação, contraparte e instruções de pagamento internacional ou liquidação em moeda estrangeira. A fraude clássica aqui mistura comprometimento de e-mail corporativo com manipulação de instrução: um atacante que controla a comunicação consegue inserir uma contraparte forjada ou alterar dados de liquidação de uma operação legítima. É o BEC — business email compromise — aplicado ao contexto de câmbio, onde os valores por operação são altos e a reversão, uma vez liquidada a operação, é praticamente impossível.

O elo comum entre proteger a carteira e blindar o câmbio é o mesmo princípio: nenhuma ação de alto impacto deve depender de um único canal ou de uma única credencial. Alterar a conta de liquidação de uma operação, exportar a base de clientes qualificados, aprovar uma transferência de câmbio acima de um limiar — tudo isso precisa de uma segunda confirmação por um caminho que o atacante não controla mesmo tendo sequestrado a sessão.

O papel do SOC 24x7 na detecção de ordens anômalas

Um SOC genérico monitora logs de firewall e alerta sobre malware. Um SOC útil para uma DTVM entende a semântica do negócio: ele sabe o que é uma ordem, conhece o padrão de cada operador, reconhece a janela de pregão e correlaciona eventos de autenticação com eventos de mercado. A diferença é entre receber um alerta de 'login suspeito' e receber um alerta de 'operador X autenticou de um ASN incomum e, três minutos depois, emitiu uma ordem de volume atípico para uma contraparte nunca usada — sessão isolada para análise'.

Essa detecção comportamental se constrói a partir de uma linha de base. Para cada operador, o SOC aprende: horários típicos de atividade, faixa de volume das ordens, conjunto de ativos e contrapartes recorrentes, dispositivos e localizações habituais, ritmo de lançamento. Desvios significativos viram sinais. Nenhum sinal isolado prova fraude, mas a combinação de vários — login anômalo mais ordem fora de padrão mais tentativa de alterar dados de liquidação — eleva a confiança a um nível que justifica contenção imediata, antes mesmo de uma investigação completa.

O SOC 24x7 também resolve um problema estrutural do setor: o ataque não respeita o horário comercial. Operações de câmbio e mercados internacionais estendem a janela de risco para além do pregão local, e o atacante escolhe deliberadamente o momento de menor vigilância — madrugada, feriado, virada de turno. Monitoramento contínuo com analistas de plantão e capacidade de resposta imediata é o que transforma um alerta em contenção de fato, em vez de um e-mail que será lido na segunda-feira de manhã.

Conformidade CVM e Banco Central como controle técnico

DTVMs operam sob dupla supervisão regulatória: a Comissão de Valores Mobiliários no que toca à atividade de distribuição e intermediação de valores mobiliários, e o Banco Central enquanto instituição autorizada a funcionar. Ambos os reguladores avançaram em exigências de segurança cibernética e de continuidade de negócio, com expectativa explícita de política de segurança formalizada, gestão de risco cibernético, controles de acesso, gestão de incidentes com capacidade de resposta e comunicação, e governança sobre prestadores de serviço relevantes, incluindo computação em nuvem.

A Decripte traduz essas exigências em controles auditáveis em vez de documentos parados. Uma política de segurança vira regra de acesso aplicada; a gestão de incidentes vira um runbook executável com SLA de contenção; o monitoramento exigido vira um SOC com trilha de evidências que sustenta a comunicação ao regulador quando necessário. Frameworks como ISO 27001 organizam o sistema de gestão; quando há contato com dados de cartão na operação, PCI-DSS entra como exigência específica; e a LGPD permeia todo o tratamento de dados pessoais de investidores, com a ANPD como autoridade para notificação de incidentes relevantes.

Vale a precisão: não existe um número mágico de norma que, cumprido, garanta segurança. O que os reguladores cobram é capacidade demonstrável — que a instituição saiba o que tem, monitore, detecte, responda e aprenda. Auditoria de conformidade sem capacidade operacional de resposta é fachada; capacidade operacional sem governança documentada é frágil sob escrutínio. A Decripte costura as duas pontas.

Como começar: do diagnóstico gratuito à mesa blindada

O caminho de entrada é deliberadamente sem atrito. A Gestão de Ameaças gratuita da Decripte, em decripte.io/free, faz um diagnóstico da sua superfície de exposição usando inteligência de fontes abertas: credenciais de operadores e domínios da distribuidora que apareçam em vazamentos, ativos expostos à internet que não deveriam estar, domínios parecidos com o seu que podem servir a phishing direcionado contra a mesa. É o mesmo reconhecimento que um atacante faria — só que a favor da sua defesa, antes do golpe.

A partir do retrato de risco, a evolução é natural e sob seu controle. Quem precisa de monitoramento contínuo ativa o SOC 24x7. Quem precisa validar o sistema de ordens contrata o Pentest. Quem precisa fechar lacunas conhecidas adota a Gestão de Vulnerabilidades. Quem está sob pressão regulatória estrutura a Conformidade. E quem está vivendo um incidente aciona a Resposta a Incidentes com SLA de contenção em até uma hora. Nenhum passo exige formulário ou espera: o diagnóstico começa em decripte.io/free e os planos pagos estão em /planos.

Cenário ilustrativo: ordens não autorizadas após phishing de operador em uma distribuidora

Como a Decripte responde a um incidente em uma DTVM

Resposta a incidente em uma distribuidora é uma corrida contra a janela de liquidação. Cada passo é desenhado para conter primeiro, preservar a evidência e investigar sem que a fraude chegue a liquidar. O SLA de contenção é de até 1 hora.

1. Triagem e confirmação imediata: correlacionar o evento de autenticação suspeito com o comportamento das ordens (volume, contraparte, ativo, horário) para confirmar rapidamente se há sessão de operador sequestrada e abrir o incidente com a prioridade correta.
2. Contenção da sessão: encerrar à força a sessão comprometida, suspender a credencial do operador afetado e bloquear a origem do acesso, tudo dentro do SLA de até 1 hora, ainda dentro da janela operacional.
3. Retenção das ordens em risco: sinalizar para retenção e revisão as ordens emitidas pela sessão suspeita, evitando que cheguem aos sistemas de liquidação que tocam B3 e Selic antes da análise.
4. Isolamento e bloqueio de pivô: isolar a estação comprometida da rede, confirmando que a segmentação impediu acesso lateral à zona de integração com custodiantes e câmaras de liquidação.
5. Investigação do account takeover: reconstruir a linha do tempo do ataque — phishing, domínio clonado, adversary-in-the-middle — e medir o escopo: houve acesso à carteira de investidores, tentativa de alterar instruções de liquidação ou de contraparte na mesa de câmbio.
6. Erradicação: derrubar o domínio de phishing, rotacionar credenciais expostas e remover qualquer persistência, confirmando que o comprometimento ficou contido sem alcançar os sistemas de liquidação.
7. Recuperação assistida: cancelar com a operação as ordens fraudulentas retidas, reemitir credenciais já com MFA resistente a phishing e retomar a mesa com monitoramento reforçado sobre os ativos afetados.
8. Lições e endurecimento: registrar o incidente com evidência íntegra para prestação de contas a CVM e Banco Central, e converter o aprendizado em controles permanentes — FIDO2 na mesa, detecção comportamental calibrada e validação fora de banda.

Como a Decripte estrutura a segurança de uma distribuidora

Conter um incidente é necessário, mas o objetivo é tornar o account takeover inviável e a fraude de ordens detectável na origem. A estruturação se apoia em pilares que se reforçam mutuamente.

Planos recomendados para DTVMs e Distribuidoras

Perguntas frequentes

Termos do setor

DTVM

Distribuidora de Títulos e Valores Mobiliários: instituição autorizada a intermediar a distribuição e a negociação de valores mobiliários, títulos públicos e privados, câmbio e fundos, com integração à infraestrutura de mercado como B3 e Selic e a custodiantes.

Account takeover (ATO)

Sequestro de uma conta legítima por um atacante. No contexto de uma DTVM, refere-se ao comprometimento da sessão de um operador, geralmente via phishing, permitindo a emissão de ordens fraudulentas com a autoridade da credencial original.

MFA resistente a phishing (FIDO2/WebAuthn)

Autenticação multifator baseada em criptografia de chave pública vinculada ao domínio real e à presença física de um autenticador. Diferente de SMS ou código TOTP, a credencial não é um segredo compartilhável e não funciona em sites falsos, neutralizando o ataque de adversary-in-the-middle.

Adversary-in-the-middle

Técnica em que o atacante se posiciona entre o usuário e o site real, capturando senha e código de segundo fator em tempo real e repassando-os ao serviço legítimo para sequestrar a sessão. É o método central por trás do account takeover de operadores.

OMS (Order Management System)

Sistema de gestão e roteamento de ordens de uma distribuidora, responsável por receber, validar, aplicar limites e encaminhar instruções de compra e venda aos sistemas de liquidação. É um alvo prioritário de pentest por concentrar falhas de lógica de negócio.

Liquidação

Etapa em que uma operação de mercado é efetivamente compensada e finalizada, com transferência de ativos e recursos via câmaras e sistemas como B3 e Selic. A janela de liquidação é o intervalo crítico em que a contenção de uma ordem fraudulenta precisa acontecer.