Iturama e o Padrão que se Repete: Anatomia Técnica dos Ataques Cibernéticos às Prefeituras Mineiras (2025–2026)

O Padrão que se Repete: Da Primeira Onda a Iturama

Entre julho e agosto de 2025, cinco municípios mineiros — Carmópolis de Minas, Serro, Ribeirão Vermelho, Presidente Juscelino e Luz — registraram desvios de recursos públicos de suas contas na Caixa Econômica Federal, com prejuízo acumulado de R$ 5,863 milhões, conforme dados da Associação Mineira de Municípios (AMM, setembro de 2025). Em outubro de 2025, Monte Sião foi incluído no rol de vítimas, elevando o total para mais de R$ 12,5 milhões, conforme relatado na audiência pública da Assembleia Legislativa de Minas Gerais em 30 de outubro de 2025. Em dezembro de 2025, São João da Ponte registrou incidente de natureza distinta — ransomware com criptografia de dados — que, embora não tenha resultado em desvio financeiro imediato, demonstrou a amplitude da superfície de ataque nos municípios mineiros. Em 16 de abril de 2026, Iturama foi o alvo mais recente.

Nota Introdutória

Em novembro de 2025, publiquei análise sobre os ataques cibernéticos que resultaram no desvio de mais de R$ 12,5 milhões de prefeituras mineiras, com foco no vetor humano como superfície de ataque primária e na responsabilidade normativa dos municípios pela gestão de credenciais e ambientes computacionais. Aquele artigo foi produzido com base nos dados disponíveis até a audiência pública da Assembleia Legislativa de Minas Gerais realizada em 30 de outubro de 2025.

O presente artigo constitui sequência técnica daquele trabalho. Não o contradiz — aprofunda-o. O episódio registrado em 16 de abril de 2026 no município de Iturama, Triângulo Mineiro, representa a terceira onda identificada nesta série de incidentes e introduz elementos de análise que exigem um mapa técnico mais completo dos vetores plausíveis. A Operação Fallax, deflagrada pela Polícia Federal em 25 de março de 2026 contra esquema de fraudes com foco na Caixa Econômica Federal, oferece adicionalmente um modelo analítico comparativo de alto valor forense.

Este artigo destrincha cada vetor de ataque tecnicamente viável, sem afirmar o que as investigações ainda não confirmaram, fundamenta-se em fontes técnicas, normativas e jornalísticas verificáveis, e conclui com uma proposta concreta de solução estrutural — não apenas para os municípios já atingidos, mas para os centenas de entes municipais brasileiros que apresentam o mesmo perfil de vulnerabilidade e ainda não foram atacados.

A persistência temporal desta série — spanning aproximadamente nove meses em pelo menos três ondas distintas — é, por si só, um dado analítico relevante. Ataques de oportunidade tendem a ser episódicos. Uma série com esta duração, afetando municípios geograficamente dispersos mas operacionalmente homogêneos, sugere um agente persistente, um método replicável com baixa barreira técnica de entrada, ou ambos.

O perfil comum dos municípios afetados é preciso: todos mantêm contas operacionais na Caixa Econômica Federal; todos são entes de pequeno porte com população entre 3.000 e 25.000 habitantes; todos dependem majoritariamente do Fundo de Participação dos Municípios como fonte de receita; e todos apresentavam, à época dos incidentes, ausência documentada de políticas formais de segurança da informação. Este perfil não define apenas a vítima típica — define a superfície de ataque que o agente malicioso identificou e passou a explorar de forma sistemática.

2. Mapeamento Técnico dos Vetores de Ataque Plausíveis

A ausência de laudos forenses públicos sobre os incidentes impõe metodologia de análise baseada em evidências indiretas, comportamento observado das transações e comparação com padrões documentados na literatura especializada de cibersegurança. Esta seção não afirma o mecanismo utilizado em cada caso específico — mapeia o conjunto de vetores tecnicamente viáveis, ordenados por probabilidade relativa à luz dos dados disponíveis.

2.1 Engenharia Social Direta: Vishing e Pretexting

O vetor com maior nível de confirmação documental nos incidentes de 2025 é o vishing — voice phishing — conforme relatado no caso de Luz em julho de 2024, onde um agente externo apresentou-se por telefone como técnico de empresa terceirizada e obteve credenciais de acesso diretamente de servidora municipal. O superintendente regional da Caixa, José Antônio da Silva, foi categórico na audiência da ALMG: “Todos nós somos responsáveis pela nossa segurança. E a segurança de nossas senhas, que devem ser intransferíveis e pessoais.” Esta declaração sintetiza, tecnicamente, a natureza do vetor: o sistema do banco não foi violado. O que foi violado foi a confiança de um servidor público sem treinamento adequado.

Do ponto de vista técnico, o vishing é o vetor de menor custo e maior eficácia contra organizações com baixo índice de conscientização em segurança. Não exige capacidade técnica de intrusão, não deixa artefatos detectáveis nos sistemas da instituição financeira, e tem taxa de sucesso documentada superior a 90% contra alvos sem treinamento específico, conforme dados do Social Engineering Capture the Flag (SECTF) da conferência DEF CON. A variante pretexting — onde o atacante utiliza informações públicas sobre o município, nomes de fornecedores reais e referências à rotina operacional — eleva ainda mais a eficácia ao tornar a narrativa do atacante verificável e crível para a vítima.

Indicadores forenses compatíveis com este vetor: acesso originado de IP não habitual para o perfil histórico da conta; login em horário atípico; ausência de artefatos de malware nos dispositivos da prefeitura; depoimento da vítima confirmando contato telefônico prévio ao incidente.

2.2 Phishing com Payload de Infostealer e RAT Bancário

O segundo vetor em probabilidade relativa envolve o comprometimento do dispositivo utilizado para acesso ao portal bancário por meio de malware do tipo infostealer ou Remote Access Trojan (RAT). Este vetor ganhou relevância técnica substancial com a documentação, em maio de 2024, do trojan bancário denominado AllaSenha pela empresa francesa HarfangLab e, de forma independente, pela Cisco Talos — variante customizada do AllaKore RAT especificamente desenvolvida para comprometimento de contas bancárias brasileiras, com alvo documentado incluindo a Caixa Econômica Federal (HarfangLab, AllaSenha: Targeting Brazilian Banking Credentials, maio de 2024).

O vetor de entrada inicial do AllaSenha é um arquivo LNK disfarçado como documento PDF — tipicamente nomeado “NotaFiscal.pdf.lnk” — distribuído por phishing. Uma vez executado no computador da vítima, o malware injeta código no processo legítimo mshta.exe e opera com capacidade de: capturar credenciais de sessão em navegadores; registrar teclas digitadas via keylogger; exibir janelas de sobreposição (overlay attack) para interceptar códigos de autenticação de dois fatores em tempo real; e — capacidade particularmente crítica — capturar o momento em que a vítima escaneia QR Code para autorizar transações, substituindo o payload do QR Code por um gerado em tempo real pelo servidor de comando e controle operado pelo atacante.

Esta última capacidade tem implicação técnica direta sobre os mecanismos de proteção disponíveis no portal bancário da Caixa. A autenticação multifatorial, quando o endpoint está comprometido por malware com capacidade de overlay, deixa de ser uma camada efetiva de proteção — porque a sobreposição ocorre entre a interface legítima e a percepção da vítima, que autentica o que acredita ser uma operação legítima enquanto, na realidade, está autorizando a transação fraudulenta. A proteção do segundo fator é ineficaz quando o primeiro fator — o dispositivo — já foi comprometido.

Indicadores forenses compatíveis com este vetor: presença de arquivo LNK em histórico de downloads ou pasta temporária; registro de execução de mshta.exe fora do padrão habitual; conexões de saída para infraestrutura de nuvem não pertencente à Caixa; ausência de percepção de anomalia pela vítima durante o incidente.

2.3 Comprometimento do Arquivo CNAB Antes da Transmissão

Este é o vetor de maior sofisticação técnica entre os mapeados e o que melhor explica, do ponto de vista operacional, desvios de valores elevados em única operação. Para compreendê-lo, é necessário entender o mecanismo de transmissão de arquivos do Internet Banking Caixa.

O sistema de Pagamentos em Lote e Transações em Lote da Caixa opera por meio do upload de arquivo remessa no padrão CNAB 240 ou CNAB 400 pelo operador da prefeitura (Caixa Econômica Federal, Manual de Transmissão de Arquivos da Cobrança Bancária no Internet Banking Caixa — SIGCB/IBC, 2016). Esse arquivo é gerado pelo sistema ERP municipal, salvo em diretório local do computador do operador, e submetido via upload ao portal da Caixa. A assinatura eletrônica — que constitui o mecanismo de autorização efetiva das transações — é aplicada ao lote como um todo, não linha a linha. O sistema aceita até 500 lançamentos por lote, todos autorizados por uma única assinatura eletrônica.

Um agente malicioso com acesso prévio ao computador do operador — obtido por qualquer dos vetores anteriores — pode interceptar o arquivo CNAB após sua geração pelo ERP e antes do upload ao portal, substituindo CNPJs de beneficiários legítimos por CNPJs de terceiros ou inserindo linhas adicionais com beneficiários fraudulentos, calibrados abaixo dos limiares de alerta, preservando a estrutura de header e trailer do CNAB para aprovação na pré-crítica automática do sistema. O operador realiza o upload do arquivo modificado e aplica a assinatura eletrônica ao lote, sem revisar o conteúdo transação por transação — comportamento inteiramente consistente com a rotina operacional de prefeituras que processam dezenas ou centenas de pagamentos por lote.

“O arquivo CNAB é o elo mais frágil de toda a cadeia de pagamentos municipais. Ele nasce no ERP, percorre o sistema operacional local, fica em um diretório de usuário, e só então chega ao banco. Cada um desses pontos é uma potencial superfície de intercepção. Quando assinamos um lote de 300 pagamentos com um único clique, estamos confiando que esse arquivo é exatamente o que o sistema gerou. Um endpoint comprometido quebra essa confiança silenciosamente.” — Vilmo Oliveira de Paula Júnior, CEH · CNDA · Computer Forensics (RIT)

Indicadores forenses compatíveis com este vetor: discrepância entre o arquivo CNAB gerado pelo ERP municipal (recuperável dos logs internos do sistema de gestão) e o arquivo efetivamente submetido ao portal da Caixa (recuperável nos logs de transmissão IBC); presença de CNPJs beneficiários não cadastrados previamente no sistema de fornecedores; data de constituição ou ativação dos CNPJs beneficiários próxima à data das transações fraudulentas.

2.4 Credential Stuffing com Credenciais Comprometidas

O credential stuffing consiste na tentativa automatizada de autenticação utilizando combinações de usuário e senha obtidas em vazamentos de dados de outros serviços, explorando a reutilização de senhas — prática amplamente documentada entre usuários sem formação em segurança da informação. Embora plausível como vetor inicial de reconhecimento da conta, o credential stuffing puro é tecnicamente insuficiente para explicar os valores envolvidos, especialmente em contextos onde transações de alto valor requerem autenticação adicional por dispositivo cadastrado. Sua relevância aumenta quando combinado com outros vetores — as credenciais obtidas por stuffing são utilizadas para reconhecimento inicial da conta, coleta de informações sobre limites e configurações, e posterior execução de engenharia social mais direcionada.

Indicadores forenses compatíveis: tentativas de login malsucedidas nos logs de acesso do portal da Caixa nos dias anteriores ao incidente; autenticação bem-sucedida a partir de IP não habitual; ausência de registro de novo dispositivo cadastrado no período.

2.5 Insider Threat: A Ameaça que Vem de Dentro

O vetor de ameaça interna é o mais difícil de detectar, o mais difícil de provar sem investigação forense dedicada, e o que apresenta maior impacto financeiro médio por incidente segundo a literatura especializada. O CISA — Cybersecurity and Infrastructure Security Agency — define insider threat como “the potential for an insider to use their authorized access or understanding of an organization to harm that organization” (Insider Threat Mitigation Guide, CISA, 2020).

Dois elementos sustentam a plausibilidade técnica deste vetor no contexto analisado. O primeiro é a precisão operacional das transações em Monte Sião: 54 TEDs de exatamente R$ 100.000,00, realizadas em intervalos de segundos, todas respeitando o limite contratual da conta municipal. Transações desta natureza — com conhecimento exato do valor-limite, do número máximo de operações por lote e da janela de processamento — são consistentes com acesso privilegiado à documentação interna ou com participação de alguém familiarizado com a rotina financeira do ente municipal. O segundo elemento é contextual: ambientes institucionais em crise política — como o documentado em Iturama, onde o MPMG deflagrou em dezembro de 2025 a Operação Votum Venale investigando suspeitas de corrupção envolvendo agentes políticos locais (Regionalzão Notícias, dezembro de 2025) — tendem a apresentar redução de controles internos, circulação de informações sensíveis além dos limites operacionais esperados e maior vulnerabilidade a motivações de ordem pessoal entre colaboradores.

Indicadores forenses compatíveis: acesso ao portal bancário a partir de dispositivo reconhecido em horário incomum; ausência de qualquer anomalia técnica no endpoint; conhecimento operacional excessivamente preciso sobre parâmetros da conta; comportamento financeiro pessoal atípico do servidor nos meses subsequentes ao incidente.

3. A Operação Fallax e o Princípio da Inserção Legítima

Em 25 de março de 2026, a Polícia Federal deflagrou a Operação Fallax, desarticulando organização criminosa que causou prejuízos superiores a R$ 500 milhões à Caixa Econômica Federal e a outras instituições financeiras. A PF apurou que o grupo utilizava a cooptação de agentes internos para inserção de dados falsos dentro dos próprios sistemas bancários, com os mecanismos automatizados das instituições realizando a validação das operações fraudulentas como se fossem legítimas — porque tecnicamente o eram, do ponto de vista dos sistemas de controle (Agência Brasil, PF faz operação contra fraudes na Caixa Econômica Federal, 25 de março de 2026).

A relevância da Operação Fallax para esta análise não é de conexão direta com os ataques às prefeituras — não há nenhuma evidência pública estabelecendo tal conexão. A relevância é metodológica: ela documenta, com confirmação judicial, que o princípio da inserção legítima — operações fraudulentas que passam pelos controles automatizados precisamente porque estão tecnicamente corretas — é um vetor real, ativo e eficaz contra instituições financeiras de grande porte. O mesmo princípio, aplicado ao nível do endpoint municipal — comprometimento do arquivo CNAB antes da submissão ao banco — é tecnicamente mais simples de executar e mais difícil de detectar, porque não exige acesso aos sistemas internos da instituição financeira.

“A distinção crítica que a Operação Fallax traz para nossa análise é esta: não existe sistema de controle automatizado que distinga uma instrução legítima de uma instrução fraudulenta quando ambas são tecnicamente idênticas. A segurança não está no processamento — está no ponto de origem. E o ponto de origem, nos casos das prefeituras, é um computador que pode estar comprometido.” — Vilmo Oliveira de Paula Júnior, CEH · CNDA · Security+

4. Análise do Padrão Transacional como Evidência Indireta

O comportamento das transações fraudulentas, mesmo sem acesso a logs completos, permite inferências técnicas sobre o vetor mais provável em cada caso.

Em Monte Sião, 54 TEDs de R$ 100.000,00 com intervalo de segundos entre cada uma indicam automação — nenhum ser humano executa 54 transferências manualmente em segundos num portal bancário web. Esta é a assinatura técnica de script automatizado ou de sessão controlada por RAT com automação de interface. A precisão no valor e no número de operações indica conhecimento prévio dos parâmetros contratuais da conta.

Em Carmópolis de Minas, com o maior prejuízo individual — R$ 2.092.000,00 em município de 18.000 habitantes — o volume sugere ou sessão de longa duração com múltiplas transações manuais, ou um único lote de pagamentos fraudulento assinado em bloco. A segunda hipótese é operacionalmente mais elegante: um arquivo CNAB modificado contendo dezenas de beneficiários fraudulentos, assinado com uma única autenticação eletrônica pelo operador municipal.

Nos casos de menor valor — Presidente Juscelino com R$ 441.000,00 e Ribeirão Vermelho com R$ 630.000,00 — o padrão é mais consistente com transferências manuais realizadas em sessão controlada, seja por vishing, seja por RAT com operador humano remoto.

Esta variação no padrão transacional é, ela própria, um dado relevante: sugere que diferentes casos da série podem ter utilizado vetores distintos, ou que o mesmo grupo adaptou a técnica ao perfil operacional de cada município-alvo.

5. A Responsabilidade Distribuída: Uma Análise Técnica e Normativa

5.1 A Posição Técnica da Caixa Econômica Federal

O sistema da CEF processou operações tecnicamente válidas — arquivos CNAB corretamente formatados, submetidos com credenciais legítimas, a partir de dispositivos cadastrados, dentro dos limites contratuais configurados. Esta é a definição operacional de uma transação legítima do ponto de vista dos sistemas de controle do banco. Não existe, até a data deste artigo, nenhum CVE registrado, nenhuma notícia de divulgação responsável de vulnerabilidade, e nenhum indicador de comprometimento publicado que aponte para falha técnica nos sistemas GovConta, Gerenciador Caixa ou IBC.

A declaração do advogado da CEF na audiência da ALMG — de que, se a culpa for exclusivamente do banco, o ressarcimento será integral, mas que a responsabilidade pode ser compartilhada — é, tecnicamente, a posição juridicamente correta enquanto investigações forenses não estão concluídas (AMM, AMM debate ataques cibernéticos aos municípios em audiência pública na ALMG, outubro de 2025). Responsabilizar integral e imediatamente a CEF por operações executadas com credenciais legítimas em dispositivos cadastrados, sem evidência de falha do lado do banco, seria tecnicamente indefensável e juridicamente frágil.

5.2 A Responsabilidade dos Municípios

As omissões críticas dos municípios têm base normativa específica e são exigíveis juridicamente. A ausência de Política de Segurança da Informação viola o artigo 46 da Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e as orientações da Autoridade Nacional de Proteção de Dados para entes públicos. A ausência de autenticação multifatorial contraria as melhores práticas estabelecidas pelas Resoluções BCB nº 85/2021 e nº 538/2025. Credenciais compartilhadas entre múltiplos servidores violam o princípio de responsabilização individual e não-repúdio. A ausência de aprovação dupla para transações de alto valor representa omissão de controle compensatório disponível na própria plataforma da Caixa, não configurado pelos municípios.

O deputado Rodrigo Lopes, ao observar na audiência da ALMG que “nenhum prefeito usa a própria senha para fazer pagamentos” (ALMG, audiência pública, 30 de outubro de 2025), descreveu inadvertidamente uma violação estrutural do princípio de não-repúdio que, por si só, inviabiliza qualquer atribuição forense precisa de responsabilidade individual nas operações comprometidas.

5.3 A Responsabilidade da Cadeia de Software Municipal

Sistemas de gestão pública municipal que processam e transmitem arquivos de pagamento são, na cadeia de proteção de dados, operadores de informações financeiras críticas. O artigo 46 da LGPD e o artigo 48, que trata da comunicação de incidentes, aplicam-se integralmente a estes fornecedores. A segurança da infraestrutura que hospeda estes sistemas — incluindo a proteção contra vulnerabilidades conhecidas de aplicações web — é responsabilidade contratual e legal dos fornecedores, independentemente de qualquer falha do usuário final.

“A cadeia de responsabilidade em segurança da informação não termina no contrato de licença de software. O fornecedor que hospeda dados financeiros de dezenas de municípios em infraestrutura compartilhada responde, perante a LGPD e perante seus clientes, pela segurança dessa infraestrutura. Isso não é opcional — é legal.” — Vilmo Oliveira de Paula Júnior, CEH · CNDA · Computer Forensics (RIT)

6. Defense in Depth: O Modelo que Poderia Ter Impedido os Ataques

O conceito de Defense in Depth — segurança em camadas ou segurança em profundidade — tem origem na estratégia militar e foi sistematicamente adaptado à segurança da informação pela National Security Agency (NSA) dos Estados Unidos no final da década de 1990, sendo hoje referência fundamental do NIST Cybersecurity Framework (CSF 2.0, 2024) e do framework ISO/IEC 27001:2022.

A premissa central é simples e poderosa: nenhuma camada de segurança isolada é infalível. Um atacante suficientemente motivado encontrará a forma de superar qualquer controle único. A Defense in Depth opera sob a hipótese de que quando uma camada falha — e em algum momento ela falhará — as camadas subsequentes devem ser capazes de detectar, conter e mitigar o ataque antes que cause dano irreversível.

Aplicada ao contexto das prefeituras mineiras, uma arquitetura de Defense in Depth adequada teria operado em pelo menos cinco camadas simultâneas. A primeira, de conscientização humana, compreende treinamento periódico anti-phishing e anti-vishing com simulações reais — segundo o SANS Institute, programas de treinamento bem implementados reduzem em até 70% a taxa de vitimização por engenharia social. A segunda, de proteção de endpoint, inclui antivírus corporativo com detecção comportamental atualizada, políticas de execução restritiva que impedem a execução de arquivos LNK e scripts PowerShell de origem externa, e proibição de BYOD não gerenciado em estações utilizadas para operações financeiras. A terceira, de controle de acesso, abrange autenticação multifatorial obrigatória para todos os sistemas financeiros, aprovação dupla para transações acima de valor definido pelo gestor, e segmentação de rede isolando as estações de pagamento do restante da infraestrutura municipal. A quarta, de monitoramento e detecção, compreende alertas em tempo real por SMS e e-mail para qualquer movimentação financeira, revisão manual obrigatória do arquivo CNAB antes de cada upload — inclusive com conferência de CNPJs beneficiários contra o cadastro de fornecedores ativo — e análise de anomalia comportamental nas sessões do portal bancário. A quinta, de resposta a incidentes, consiste em plano documentado com fluxo de notificação imediata à Polícia Federal, ao CTIR Gov e à Autoridade Nacional de Proteção de Dados, com designação prévia de responsáveis e simulações periódicas de acionamento.

“Defense in Depth não é sobre gastar mais em tecnologia. É sobre entender que segurança é um processo, não um produto. Cada camada que implementamos aumenta o custo e a complexidade do ataque para o adversário. Em algum momento, o ataque deixa de valer o esforço. Esse é o objetivo.” — Vilmo Oliveira de Paula Júnior, CEH · CNDA · Security+ (FBI)

Em todos os casos documentados nesta série, pelo menos três das cinco camadas descritas estavam completamente ausentes. Quando a primeira camada — a humana — falhou, como em Luz, não havia nenhuma camada subsequente para conter o ataque. Quando o endpoint foi comprometido, não havia detecção. Quando a transação fraudulenta foi executada, não havia monitoramento em tempo real que acionasse alerta imediato. O ataque percorreu todas as camadas sem encontrar resistência porque não havia camadas.

7. A Agência Federal como Solução Estrutural: O Convênio que Poderia Mudar o Desfecho

A análise técnica apresentada neste artigo converge para uma conclusão que vai além do diagnóstico: os municípios afetados — e os centenas de municípios brasileiros com perfil de vulnerabilidade idêntico — não têm capacidade técnica interna para estruturar, implementar e manter os controles descritos. Esta não é uma crítica aos servidores públicos municipais. É o reconhecimento de uma realidade estrutural: segurança cibernética é uma disciplina técnica especializada, em constante evolução, que exige formação certificada, experiência em resposta a incidentes e atualização permanente sobre o cenário de ameaças.

É neste contexto que o convênio com a Agência Federal de Segurança, Tecnologia e Fiscalização representa uma alternativa concreta, tecnicamente fundamentada e operacionalmente viável para os municípios que buscam saír do ciclo de vitimização recorrente.

A Agência Federal desenvolve, em caráter permanente, metodologias, políticas e soluções técnicas orientadas especificamente à proteção de instituições públicas de pequeno e médio porte. A atuação é estruturada em torno da implementação de Defense in Depth adaptada à realidade orçamentária e operacional municipal — porque a segurança que não cabe no orçamento não protege ninguém, e a segurança que o servidor não consegue operar gera falsa sensação de proteção.

“Um município que contrata limpeza, manutenção predial e advocacia, mas não contrata especialistas em segurança da informação, está gerenciando seu risco mais caro de forma amadora. O custo de um incidente bem prevenido é uma fração ínfima do custo de um incidente consumado. Prevenção não é custo — é a diferença entre administrar e remediar.” — Vilmo Oliveira de Paula Júnior, CEH · CNDA · Diretor-Geral, Agência Federal

No âmbito de um convênio, a Agência Federal atua em frentes complementares e integradas. Na dimensão de diagnóstico, realiza análise de vulnerabilidade do ambiente computacional municipal, mapeamento da superfície de ataque e revisão das políticas e controles existentes — ou documentação de sua ausência. Na dimensão de políticas, elabora a Política Formal de Segurança da Informação adaptada ao perfil do município, com procedimentos operacionais para gestão de credenciais, controle de acesso e resposta a incidentes, em conformidade com a LGPD, as Resoluções BCB e o NIST CSF. Na dimensão técnica, orienta a implementação de controles em cada uma das cinco camadas da Defense in Depth, incluindo configuração de MFA, segregação de rede, hardening de endpoints e configuração de alertas transacionais. Na dimensão humana, conduz treinamentos periódicos de conscientização com simulações de phishing e vishing calibradas ao perfil real de ameaça identificado no diagnóstico. Na dimensão de monitoramento, disponibiliza metodologias de acompanhamento contínuo e plano de resposta a incidentes com acionamento direto às autoridades competentes.

“Se algum desses municípios tivesse em vigor, antes dos ataques, um convênio com a Agência Federal e as políticas que desenvolvemos para situações exatamente como esta, o desfecho poderia ter sido fundamentalmente diferente. Não necessariamente porque impediríamos que um servidor recebesse uma ligação maliciosa — mas porque quando essa ligação chegasse, o servidor saberia o que fazer. E mesmo que não soubesse, as camadas seguintes estariam lá para conter o dano.” — Vilmo Oliveira de Paula Júnior, CEH · CNDA · Computer Forensics (RIT)

A Agência Federal também desenvolve soluções tecnológicas proprietárias com finalidade específica de proteção de instituições públicas — sistemas que automatizam parte dos controles de monitoramento, alertas e verificação de integridade de arquivos de pagamento, reduzindo a dependência do fator humano nas camadas técnicas de proteção. O fator humano não é eliminável — mas pode, com as ferramentas corretas, ser significativamente menos exposto.

O processo de convênio é administrativamente viável para municípios de qualquer porte, incluindo os de menor capacidade orçamentária. A formalização permite ao município documentar, para fins de auditoria e prestação de contas ao Tribunal de Contas do Estado, o cumprimento das obrigações normativas de segurança da informação impostas pela LGPD e pelas resoluções do Banco Central — obrigações que, conforme demonstrado neste artigo, os municípios afetados não estavam cumprindo à época dos incidentes.

8. Considerações Finais

Os ataques às prefeituras mineiras entre 2025 e 2026, de Luz a Iturama, compõem um fenômeno de cibersegurança com causas identificáveis, padrão replicável e, o que é mais relevante do ponto de vista da política pública, consequências inteiramente preveníveis.

Este artigo mapeou os cinco vetores tecnicamente plausíveis — engenharia social direta, malware bancário de endpoint, comprometimento do arquivo CNAB, credential stuffing e insider threat — sem afirmar o que as investigações em curso ainda não confirmaram. O que a análise permite afirmar com rigor técnico é que em nenhum dos casos documentados há evidência de violação dos sistemas da Caixa Econômica Federal. A superfície de ataque explorada foi, em todos os vetores analisados, o ambiente computacional e humano dos municípios.

O trojan AllaSenha, ativo desde março de 2024 e documentado com alvo explícito em instituições financeiras brasileiras incluindo a CEF, representa uma ameaça técnica real e específica ao perfil de operadores municipais que acessam portais bancários em endpoints sem gestão de segurança adequada. A Operação Fallax demonstrou que o princípio da inserção legítima — operações fraudulentas que passam pelos controles automatizados porque são tecnicamente corretas — é um vetor ativo e de alto impacto financeiro. E o padrão comportamental das transações em cada município analisado sugere que diferentes casos da série podem ter utilizado vetores distintos, adaptados ao perfil operacional de cada alvo.

A resposta estrutural exige que municípios e câmaras municipais de todo o Brasil deixem de tratar a segurança cibernética como custo dispensável e passem a encará-la como responsabilidade constitucional — derivada do princípio da eficiência e do dever de zelar pelo erário público. Esta transformação não ocorre espontaneamente. Ela requer diagnóstico técnico independente, políticas formais aprovadas e revisadas periodicamente, treinamento contínuo dos servidores, implementação de controles em múltiplas camadas e parceria com especialistas que compreendam tanto a complexidade técnica da segurança cibernética quanto a realidade operacional e orçamentária dos entes municipais de pequeno porte.

“A pergunta que todo prefeito deveria fazer hoje não é ‘o que fazemos se formos atacados’. É ‘o que fazemos para que, quando formos atacados, as camadas que construímos segurem o impacto’. Porque a questão não é se o ataque vai acontecer. É quando.” — Vilmo Oliveira de Paula Júnior, CEH · CNDA · Security+ (FBI) · Network+ (FBI)

Referências

HarfangLab. AllaSenha: Targeting Brazilian Banking Credentials. Maio de 2024. Disponível em: thehackernews.com.

Cisco Talos. CarnavalHeist: Brazilian Banking Trojan Analysis. Maio de 2024.

Polícia Federal. Operação Fallax — Nota Oficial. 25 de março de 2026.

Agência Brasil. PF faz operação contra fraudes na Caixa Econômica Federal. 25 de março de 2026.

Assembleia Legislativa de Minas Gerais. Audiência Pública — Ataques Cibernéticos a Prefeituras Mineiras. 30 de outubro de 2025.

Associação Mineira de Municípios (AMM). Contas de cinco prefeituras mineiras são alvos de ataques de hackers. Setembro de 2025.

Caixa Econômica Federal. Manual de Transmissão de Arquivos da Cobrança Bancária no Internet Banking Caixa — SIGCB/IBC. Janeiro de 2016.

CISA. Insider Threat Mitigation Guide. 2020.

Verizon. Data Breach Investigations Report (DBIR). 2022.

ANPD. Guia Orientativo para Agentes de Tratamento de Pequeno Porte. 2022.

Banco Central do Brasil. Resolução BCB nº 85/2021 — Política de Segurança Cibernética. 2021.

Banco Central do Brasil. Resolução BCB nº 538/2025. Dezembro de 2025.

NIST. Cybersecurity Framework (CSF) 2.0. 2024.

ISO/IEC 27001:2022. Information Security Management Systems — Requirements. 2022.

National Security Agency (NSA). Defense in Depth: A Practical Strategy for Achieving Information Assurance in Today’s Highly Networked Environments. 2001.

Regionalzão Notícias. MPMG mira vereadores e vice-prefeito de Iturama por suspeita de corrupção. Dezembro de 2025.

SANS Institute. Security Awareness Training Effectiveness. 2023.