Prefeituras de Minas Gerais Fraude Eletrônica
Defesa Cibernética

Cofres Públicos de Minas Gerais na Mira: Por Que o Verdadeiro Alvo dos Hackers Nunca Foi a CEF — e Sim o Servidor Público que Entregou a Chave

Fonte oficial: Assembleia Legislativa de Minas Gerais
Por Vilmo Júnior
CEFDefesa CibernéticaHackersMinas GeraisPrefeituras

Análise técnica sobre os R$ 12,5 milhões desviados de prefeituras mineiras via Caixa Econômica Federal, o princípio constitucional da eficiência que explica os limites abertos, e por que a responsabilidade recai sobre a gestão municipal — não sobre o banco

Quando notícias sobre “ataques hackers” a prefeituras de Minas Gerais tomaram conta da imprensa em 2025, a narrativa pública convergiu rapidamente para uma leitura sedutora — porém tecnicamente equivocada: a de que criminosos especializados haviam penetrado os sistemas da Caixa Econômica Federal e saqueado os cofres municipais. A realidade, exposta com precisão cirúrgica na audiência pública da Assembleia Legislativa de Minas Gerais em 30 de outubro de 2025, é ao mesmo tempo mais simples e mais perturbadora: nenhum servidor da CEF foi invadido. O que os criminosos invadiram foi a confiança de um servidor público sem treinamento em segurança da informação.

1. O que realmente aconteceu: quando o ataque é humano

O Superintendente Regional da Caixa, José Antônio da Silva, foi enfático na audiência da ALMG: o sistema do banco não foi violado em nenhum dos golpes. Esta declaração, longe de ser evasiva, é a síntese técnica de todo o fenômeno. Invadir a infraestrutura da CEF — seus servidores de autenticação, domínios, bases de dados e sistemas de transferência — exigiria capacidade técnica equivalente à de grupos de ameaça persistente avançada (APT — Advanced Persistent Threat), com recursos de inteligência estatal. Deixaria rastros forenses detectáveis em múltiplos pontos de log simultaneamente. Não foi o que ocorreu.

“Todos nós somos responsáveis pela nossa segurança. E a segurança de nossas senhas, que devem ser intransferíveis e pessoais.” — José Antônio da Silva, Superintendente Regional da CEF, Audiência Pública ALMG, 30/10/2025

O caso mais documentado é o de Luz, em julho de 2024: um criminoso ligou para uma servidora municipal, apresentou-se como técnico de empresa terceirizada da Caixa e solicitou a “atualização do sistema”. A servidora forneceu as credenciais. Fim do golpe — antes mesmo de qualquer linha de código malicioso ser executada. Trata-se de vishing (voice phishing), uma das técnicas mais antigas do arsenal da engenharia social, descrita em qualquer manual introdutório de segurança da informação e inteiramente evitável com treinamento básico de servidores.

Em Monte Sião, o caso mais impactante financeiramente — R$ 5,7 milhões em 54 transferências TED realizadas com intervalo de segundos entre cada uma —, a execução pressupõe tecnicamente que os criminosos já possuíam as credenciais de acesso antes de iniciar as operações. Não há outra explicação para a velocidade e precisão das transações. As credenciais foram obtidas previamente, muito provavelmente por phishing, por malware do tipo keylogger instalado em computador corporativo, ou pelo comprometimento de dispositivo pessoal de servidor conectado à rede da prefeitura.

“O atacante mais sofisticado do mundo não precisa de zero-day se o servidor público entrega a senha por telefone. A superfície de ataque mais crítica de qualquer organização é aquela que usa crachá e toma café na copa.” — Vilmo Oliveira de Paula Júnior, CEH · CNDA · Diretor-Geral da Agência Federal

1.1 As superfícies de ataque que os municípios deixaram expostas

O conceito de superfície de ataque (attack surface) refere-se ao conjunto de todos os vetores pelos quais um agente malicioso pode tentar obter acesso não autorizado a um sistema. Quanto maior e menos gerenciada essa superfície, maior o risco. As prefeituras afetadas apresentavam brechas críticas em pelo menos quatro dimensões.

A primeira é o BYOD sem controle. É prática corriqueira em prefeituras de pequeno porte que servidores utilizem smartphones e computadores pessoais para acessar sistemas institucionais, incluindo o portal da CEF. Dispositivos pessoais raramente possuem software de segurança empresarial, controle de patch, políticas de MDM (Mobile Device Management) ou isolamento de rede. Um único dispositivo infectado com malware do tipo infostealer, conectado à rede da prefeitura, é suficiente para capturar credenciais de todos os sistemas acessados — silenciosamente, sem que a vítima perceba coisa alguma.

A segunda é a ausência de política de senhas e gestão de credenciais. Credenciais compartilhadas entre servidores — prática implícita no relato do deputado Rodrigo Lopes, que observou que “nenhum prefeito usa a própria senha” para fazer pagamentos — violam o princípio fundamental de não-repúdio e responsabilização individual. Quando múltiplos servidores operam com a mesma credencial, o comprometimento de qualquer um deles compromete o acesso de todos.

“Credencial compartilhada não é credencial — é uma porta aberta com placa de ‘entre sem bater’. No momento em que dois servidores conhecem a mesma senha, a responsabilidade pelo acesso indevido deixa de ser rastreável e a segurança vira teatro.” — Vilmo Oliveira de Paula Júnior, CNDA · Agência Federal de Segurança, Tecnologia e Fiscalização

A terceira é a falta de segmentação de rede. Em ambientes corporativos seguros, o acesso a sistemas financeiros críticos é realizado em estações de trabalho dedicadas, em segmento de rede isolado (VLAN financeira), com controle de acesso baseado em papéis (RBAC) e monitoramento de sessão ativo. Em prefeituras de pequeno porte, é comum que o mesmo computador usado para navegar em redes sociais e abrir e-mails de origem desconhecida seja utilizado para autorizar transferências de milhões de reais. Esta é uma falha arquitetural grave, com consequências previsíveis e documentadas pela literatura de cibersegurança.

A quarta é o insider threat. A velocidade das transações em Monte Sião — 54 TEDs em intervalos de segundos, todas no valor exato de R$ 100.000,00, respeitando precisamente os limites configurados no contrato bancário da prefeitura — sugere fortemente que os criminosos tinham conhecimento prévio dos parâmetros operacionais da conta municipal. Este nível de conhecimento aponta para a possível participação de um insider: servidor atual, ex-servidor, ou alguém com acesso à documentação interna do ente municipal. O insider threat é reconhecido pela literatura especializada como o vetor mais perigoso e mais difícil de detectar, precisamente porque opera com credenciais legítimas.

“Insider threats represent one of the most significant cybersecurity challenges faced by organizations today. Unlike external attackers, malicious insiders already have authorized access to systems, making detection exponentially more difficult.” — CISA, Insider Threat Mitigation Guide, 2020

2. O princípio da eficiência e os limites abertos: por que a CEF não pode ser culpada por isso

Um dos argumentos recorrentes na audiência da ALMG foi a crítica aos limites de transferência das contas municipais: como 54 TEDs de R$ 100.000,00 não foram bloqueadas automaticamente? A resposta exige compreensão de um pilar constitucional da Administração Pública frequentemente esquecido neste debate.

O artigo 37 da Constituição Federal elenca a eficiência como princípio fundamental da Administração Pública. Na prática financeira de um município, este princípio tem consequências diretas e objetivas: prefeituras movimentam folha de pagamento de servidores, contratos de fornecedores, repasses do SUS, recursos do FUNDEB, convênios federais e estaduais — frequentemente em múltiplas transações diárias de alto valor, dentro de janelas de tempo específicas. Configurar limites transacionais restritivos nesse contexto implicaria paralisação operacional: a cada transferência acima do limite, a prefeitura precisaria solicitar liberação à Caixa, aguardar análise, receber autorização e então executar o pagamento. Isso contraria frontalmente o mandamento constitucional de eficiência, compromete a continuidade dos serviços públicos e cria gargalos burocráticos incompatíveis com a dinâmica da gestão municipal.

Os limites abertos, portanto, não são negligência da Caixa nem do município — são uma necessidade administrativa legítima, reconhecida e estrutural. O raciocínio correto não é “a CEF deveria ter bloqueado”, mas sim: “o município deveria ter implementado controles compensatórios que preservassem a eficiência operacional sem abrir mão da segurança”. Esses controles existem e são tecnicamente viáveis: aprovação dupla para transações acima de determinado valor, alertas em tempo real por SMS e e-mail, restrição de horário para movimentações noturnas e de fim de semana sem afetar o horário comercial, e autenticação multifatorial configurada como camada adicional. Nenhum desses controles exige solicitação à Caixa para cada transação. Todos estão disponíveis na plataforma. Nenhum foi ativado pelos municípios afetados.

“Eficiência administrativa e segurança cibernética não são antagônicas — são complementares. Um município que abre mão de limites transacionais por necessidade operacional legítima precisa, exatamente por isso, compensar com controles de autenticação e monitoramento mais rigorosos. Segurança não é uma opção; é uma contrapartida constitucional.” — Vilmo Oliveira de Paula Júnior, CEH · Especialista em Segurança Pública e Cibernética

3. O arcabouço normativo: o que os municípios eram obrigados a fazer e não fizeram

A imagem de vítima passiva, sem obrigações específicas de segurança cibernética, não encontra sustentação no ordenamento jurídico brasileiro. O quadro normativo é robusto, exigível e foi sistematicamente ignorado pelos municípios afetados.

A Resolução CMN nº 4.893/2021 e a Resolução BCB nº 85/2021 estabelecem que correntistas institucionais de alto volume têm responsabilidade contratual pela proteção de credenciais e pela manutenção de ambiente computacional seguro. A política de segurança cibernética não é exclusividade das instituições financeiras — ela permeia toda a cadeia do ecossistema de pagamentos.

A Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018) aplica-se integralmente ao setor público. Seu artigo 46 impõe expressamente a adoção de “medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”. A Autoridade Nacional de Proteção de Dados (ANPD) publicou guia orientativo específico para agentes de pequeno porte com obrigações expressas de política de senhas, controle de acesso e treinamento periódico de equipes — controles que, se implementados, teriam impedido ou drasticamente limitado os golpes em análise.

O Decreto nº 10.748/2021 instituiu a Rede Federal de Gestão de Incidentes Cibernéticos e o CTIR Gov como ponto central de resposta a incidentes. Prefeituras que identificassem sinais de comprometimento poderiam — e deveriam — ter acionado preventivamente este mecanismo, gratuito e disponível.

As Resoluções BCB nº 538/2025 e CMN nº 5.274/2025, publicadas em dezembro de 2025, consolidam o paradigma de que segurança cibernética é responsabilidade compartilhada de toda a cadeia financeira, exigindo autenticação multifatorial, monitoramento comportamental e testes de penetração anuais como requisitos mínimos do ecossistema — expectativas que se estendem, por derivação contratual e normativa, aos correntistas corporativos que movimentam grandes volumes de recursos públicos.

4. Por que a responsabilização integral da CEF é tecnicamente indefensável

A CEF protege seus servidores, sua infraestrutura, seus sistemas de autenticação e seus bancos de dados. O que ela não controla — e juridicamente não pode controlar — é o ambiente computacional do cliente. Quando um servidor público de uma prefeitura fornece sua senha por telefone a um desconhecido, ou quando um malware captura credenciais de um notebook pessoal conectado à rede municipal, as credenciais comprometidas não saem dos sistemas da Caixa. Saem do computador do servidor municipal. Do ponto de vista da CEF, a sessão que se inicia em seguida é autenticada, legítima e autorizada. O banco não tem como diferenciar o servidor municipal legítimo do criminoso que opera com suas credenciais — a menos que o comportamento da sessão seja suficientemente atípico para acionar os mecanismos de detecção de anomalia, o que, nos casos de Monte Sião, ocorreu após seis horas.

O prefeito de Ribeirão Vermelho, Welder Pereira, relatou na audiência que os ataques concentraram-se exclusivamente nas contas da Caixa, não nas do Banco do Brasil, Itaú ou Sicoob. Este dado, aparentemente condenatório para a CEF, revela na realidade o oposto: os criminosos direcionaram seus ataques de engenharia social especificamente sobre os operadores do sistema da Caixa nos municípios porque foi nesse ambiente que encontraram os servidores menos treinados, as credenciais mais acessíveis e os controles compensatórios ausentes. Se a mesma fragilidade humana existisse nos operadores dos demais bancos, o padrão de ataque se repetiria igualmente.

“Quando o ladrão escolhe uma fechadura para arrombar, ele não escolhe a mais sofisticada — escolhe a mais fraca. O fato de os ataques concentrarem-se nas contas da CEF não diz nada sobre a segurança do banco; diz tudo sobre a fragilidade do elo humano que operava o sistema da Caixa naquelas prefeituras.” — Vilmo Oliveira de Paula Júnior, CEH · CNDA · Security+ · Network+

5. O que municípios e câmaras precisam fazer agora — e por que precisam de ajuda especializada

A sequência de incidentes em Minas Gerais não é uma anomalia — é um sintoma estrutural da ausência de cultura de cibersegurança no setor público municipal. Prefeituras e câmaras municipais são alvos de alta atratividade para organizações criminosas: movimentam grandes volumes de recursos públicos, operam com servidores em geral sem formação técnica em segurança da informação, e historicamente negligenciam investimentos em proteção cibernética. A solução não é punir a instituição financeira — é profissionalizar a gestão de risco cibernético nos entes municipais.

Os controles mínimos exigíveis são tecnicamente claros. Uma Política Formal de Segurança da Informação (PSI), aprovada pelo gestor e revisada anualmente, é o ponto de partida obrigatório — sem ela, todos os demais controles ficam sem respaldo institucional. A autenticação multifatorial (MFA) para sistemas financeiros é o controle individual de maior impacto: mesmo que um criminoso obtenha a senha de um servidor por vishing ou keylogger, sem o segundo fator a autenticação é impossível. O treinamento periódico de conscientização (Security Awareness Training) com simulações de phishing e exercícios de vishing reduz em até 70% a taxa de vitimização, segundo o SANS Institute. A gestão de dispositivos com proibição de BYOD não gerenciado em sistemas críticos elimina uma das superfícies de ataque mais exploradas. A aprovação dupla para transferências acima de determinado valor garante que nenhum servidor individualmente possa consumar uma transação de alto risco. E um plano documentado de resposta a incidentes com contatos diretos à Polícia Federal e ao CTIR Gov define o que fazer nos primeiros minutos após a detecção de um comprometimento — quando cada segundo conta.

Contudo, o ponto mais delicado e mais negligenciado precisa ser dito com clareza: municípios e câmaras municipais raramente dispõem de equipe interna com competência técnica para estruturar políticas de cibersegurança, conduzir análises de vulnerabilidade, realizar testes de penetração ou treinar servidores contra engenharia social. Esta não é uma crítica aos servidores públicos — é o reconhecimento de uma realidade estrutural. Segurança cibernética é uma disciplina técnica especializada, em constante evolução, que exige formação específica, certificações reconhecidas e experiência prática em resposta a incidentes.

A contratação de empresas especializadas nesta área não é luxo nem preciosismo administrativo. É gestão responsável do erário público. O custo de uma consultoria de cibersegurança que implante políticas, treine servidores, segmente redes e configure controles adequados é uma fração ínfima dos milhões que podem ser desviados por um único incidente mal prevenido. Organizações como a Agência Federal de Segurança, Tecnologia e Fiscalização existem precisamente para suprir esta lacuna: traduzir a complexidade técnica da cibersegurança em políticas compreensíveis, práticas aplicáveis e controles auditáveis, adequados à realidade operacional e orçamentária dos entes públicos de pequeno e médio porte.

“Não existe política de segurança cibernética eficaz sem diagnóstico técnico independente. Um município que contrata serviço de limpeza, manutenção predial e advocacia, mas não contrata especialistas em segurança da informação, está gerenciando o risco mais caro de forma amadora. Os criminosos são profissionais — e a resposta precisa ser profissional.” — Vilmo Oliveira de Paula Júnior · Diretor-Geral, Agência Federal de Segurança, Tecnologia e Fiscalização

6. Conclusão

Os R$ 12,5 milhões desviados de prefeituras mineiras representam uma lição cara, mas inequívoca: em todos os casos documentados, o sistema da Caixa Econômica Federal funcionou exatamente como projetado. O que não funcionou foi a gestão de segurança da informação dos próprios municípios — servidores sem treinamento, credenciais compartilhadas, dispositivos pessoais sem controle, ausência de MFA e inexistência completa de políticas formais de cibersegurança. Culpar a CEF por não ter bloqueado sessões autenticadas com credenciais legítimas é o equivalente a culpar o banco pelo roubo quando o correntista entregou o cartão e a senha ao ladrão na calçada.

A resposta estrutural exige que prefeituras e câmaras municipais de todo o Brasil deixem de tratar cibersegurança como custo dispensável e passem a encará-la como responsabilidade constitucional — tão obrigatória quanto a licitação, a prestação de contas e o cumprimento da Lei de Responsabilidade Fiscal. O servidor público que opera sistemas financeiros municipais precisa ser treinado. A rede que ele usa precisa ser segmentada. Os dispositivos que ele utiliza precisam ser controlados. E os municípios que não têm capacidade técnica interna para isso têm obrigação moral, jurídica e fiscal de contratar quem tenha.

“The human element continues to be a key driver of 82% of breaches. Whether it is the use of stolen credentials, phishing, misuse, or simply an error, people play a very large role in incidents and breaches alike.” — Verizon Data Breach Investigations Report (DBIR), 2022

“Cibersegurança não é problema de TI — é problema de governança. E governança é responsabilidade do gestor público, não do banco onde ele guarda o dinheiro.” — Vilmo Oliveira de Paula Júnior · CEH · CNDA · Security+ · Network+ (FBI) · Computer Forensics (RIT)

Sobre o autor

Vilmo Oliveira de Paula Júnior é graduado em Engenharia de Software e Defesa Cibernética pela Universidade Estácio de Sá, com pós-graduações em Segurança Pública, Segurança da Informação, Docência em Armamento e Tiro e Computer Forensics pelo Rochester Institute of Technology. É Certified Ethical Hacker (CEH) e Certified Network Defender Architect (CNDA) pela EC-Council, além de certificado em Security+ e Network+ pelo Federal Bureau of Investigation (FBI). Atua como Diretor-Geral e Presidente do Conselho Superior da Agência Federal.