El domingo 22 de marzo de 2026, hackers desviaron aproximadamente R$ 100 millones (cerca de US$ 16,4 millones) del BTG Pactual, el mayor banco de inversión independiente de América Latina, utilizando el sistema de pagos instantáneos de Brasil, conocido como Pix. El Banco Central de Brasil detectó movimientos atípicos a partir de las 6 de la mañana. El BTG suspendió las operaciones de Pix de forma preventiva. El lunes 23, comenzó a restablecer el servicio. Se recuperaron R$ 73 millones. Entre R$ 20 y R$ 40 millones siguen sin recuperarse.
Los fondos robados no salieron de cuentas de clientes. Eran recursos propios del BTG, mantenidos en el Banco Central para la liquidación de transacciones vía Pix. No se expusieron datos personales. Ninguna cuenta de inversor fue accedida. La falla fue interna.
Para cualquier persona que siga el sistema financiero brasileño, o que invierta en él, el episodio plantea una pregunta directa: ¿el Pix es realmente seguro?
Cronología del ataque al BTG Pactual
Los atacantes eligieron la ventana de menor supervisión: la madrugada de un domingo. Accedieron a la cuenta de liquidación que el BTG mantiene en el Banco Central y ejecutaron una serie de transferencias vía Pix hacia cuentas en diversas instituciones: Banco Inter, Banco do Brasil, Bradesco, Caixa Econômica Federal, PicPay, Itaú y Mercado Pago.
La Policía Federal de Brasil y el CyberGaeco (unidad especializada en cibercrimen) fueron convocados. Los investigadores examinan el posible uso de una credencial antigua, vinculada a una empresa de tecnología bancaria que prestó servicios al BTG. No se descarta la participación de funcionarios con acceso a las credenciales de la cuenta de reserva.
Tras dispersar los fondos en múltiples cuentas, los atacantes convirtieron parte de los valores en criptomonedas para dificultar el rastreo. Esta táctica no es nueva: es el patrón estándar de los grandes ataques al sistema financiero brasileño desde 2025.
| Evento | Fecha | Detalle |
|---|---|---|
| Detección por el Banco Central | Domingo 22/03, 6h | ~R$ 100 millones desviados |
| Suspensión del Pix por BTG | Domingo 22/03 | Medida preventiva |
| Inicio del restablecimiento | Lunes 23/03 | R$ 73 millones recuperados |
| Valores no recuperados | En investigación | R$ 20-40 millones |
Un patrón: de R$ 800 millones a R$ 100 millones
El ataque al BTG no fue un caso aislado. Desde 2025, el sistema financiero brasileño ha sufrido al menos tres grandes incidentes relacionados con el Pix, con pérdidas que superan los R$ 1.500 millones.
Julio de 2025: C&M Software (R$ 800 millones). Hackers penetraron C&M Software, un proveedor tecnológico que atiende a más de 8 instituciones financieras. El ataque resultó en el desvío de aproximadamente R$ 800 millones, el mayor incidente de la serie.
Septiembre de 2025: Sinqia (R$ 710 millones). La proveedora de tecnología Sinqia fue blanco de un ataque que desvió R$ 710 millones: R$ 669 millones asociados al HSBC y R$ 41 millones a la sociedad de crédito Artta. Gran parte de los recursos fueron bloqueados por el Banco Central.
Enero de 2026: Banco do Nordeste. El banco suspendió el Pix tras la invasión de un proveedor tercerizado. Fue el primer incidente de este tipo que afectó a la institución desde la creación del sistema.
El patrón es consistente: los ataques no apuntan al sistema Pix en sí, sino a los sistemas internos de las instituciones y, principalmente, a sus proveedores de tecnología. Credenciales obsoletas, accesos de terceros y fallos de gobernanza interna son los vectores de entrada.
Atención
Desde 2025, los ataques a proveedores de tecnología bancaria resultaron en pérdidas superiores a R$ 1.500 millones (aproximadamente US$ 250 millones). El eslabón más débil no es el Pix: son los sistemas intermediarios de las instituciones participantes.
El sistema Pix no fue comprometido
Esta es la distinción más importante: la infraestructura del Pix, operada por el Banco Central de Brasil, permanece intacta.
El Pix funciona como una autopista. Las transferencias circulan por esta autopista de forma segura, con encriptación de extremo a extremo, autenticación en múltiples capas y monitoreo en tiempo real por parte del Banco Central. Lo que fue comprometido en todos los ataques de 2025 y 2026 fueron los "vehículos" que transitan por esa autopista: los sistemas internos de los bancos y de sus proveedores.
En el caso del BTG, los hackers no quebraron ningún protocolo del Pix. Obtuvieron las credenciales que el banco utiliza para operar dentro del sistema. Es como clonar la llave de un auto en vez de romper la carretera por donde circula.
El Banco Central confirmó que el Sistema de Pagos Instantáneos (SPI) no fue violado. Lo que falló fue la gestión de credenciales de una institución participante.
Para dimensionar el contexto: el Pix procesa más de 200 millones de transacciones diarias en todo Brasil. La arquitectura central del sistema, mantenida por el Banco Central, nunca ha sido directamente vulnerada desde su lanzamiento en noviembre de 2020.
Información
El Banco Central monitorea todas las transacciones Pix en tiempo real. Fue este monitoreo el que detectó los movimientos atípicos del BTG a las 6h del domingo, permitiendo una intervención rápida.
Criptomonedas como ruta de escape
En todos los grandes ataques desde 2025, los fondos robados siguieron el mismo camino: dispersión en múltiples cuentas bancarias y posterior conversión a criptomonedas.
La lógica es directa. Las transferencias bancarias son rastreables: cada transacción Pix lleva el número de identificación fiscal del emisor y del receptor. Las criptomonedas, aunque registradas en blockchain, permiten movimientos entre billeteras pseudónimas que dificultan significativamente la identificación de los beneficiarios finales.
En el ataque al BTG, los fondos fueron dispersados en al menos 7 instituciones diferentes antes de ser parcialmente convertidos en cripto. La Policía Federal recuperó R$ 73 millones, pero la porción convertida en activos digitales representa el mayor desafío de la investigación.
Este patrón está acelerando un debate que ya estaba en curso en Brasil y en toda América Latina: la regulación del mercado cripto. La capacidad de rastrear operaciones y de identificar beneficiarios finales es esencial para que las autoridades puedan responder con eficacia a este tipo de delitos financieros.
Cómo proteger tu dinero
Los ataques de 2025 y 2026 fueron dirigidos a infraestructuras institucionales, no a cuentas individuales. Pero eso no significa que las precauciones personales sean innecesarias, especialmente para el uso cotidiano del Pix.
Configura límites de transferencia. Todos los bancos brasileños permiten ajustar el límite de Pix por transacción y por período. Reduce el límite nocturno (entre las 20h y las 6h) a valores bajos o cero. La mayoría de los ataques a personas ocurren por coerción, y los límites bajos reducen el daño potencial.
Activa la autenticación en dos pasos (2FA). Biometría, token o confirmación por dispositivo secundario. Cada capa adicional de autenticación dificulta el acceso no autorizado.
Usa claves aleatorias. Prefiere claves Pix aleatorias en vez de las vinculadas a tu CPF (identificación fiscal), email o teléfono. Las claves vinculadas a datos personales facilitan intentos de ingeniería social.
Evita redes Wi-Fi públicas para transacciones financieras. Las redes abiertas son vectores conocidos de interceptación. Usa tu red móvil o una VPN confiable.
Conoce el MED (Mecanismo Especial de Devolución). Si eres víctima de fraude vía Pix, tienes hasta 80 días para solicitar a tu banco la devolución de los valores a través del MED. El banco debe notificar a la institución receptora en hasta 30 minutos para congelar los recursos. Cuanto más rápido reportes, mayores son las probabilidades de recuperación.
Consejo
Configura ahora el límite nocturno de tu Pix. La mayoría de los bancos permite reducirlo a R$ 0 entre las 20h y las 6h, con cambios que entran en vigor en 24 a 48 horas como medida de seguridad.
Qué significa esto para los inversores
La seguridad del sistema financiero es un tema que interesa directamente a cualquier inversor. Los ataques de 2025 y 2026 no comprometieron el Pix como infraestructura, pero expusieron la necesidad urgente de que las instituciones financieras inviertan continuamente en ciberseguridad, gobernanza de credenciales y auditoría de proveedores tercerizados.
Para el inversor individual, la lección es doble: el sistema central es robusto, pero la seguridad personal depende de las propias prácticas del usuario. Límites configurados, autenticación reforzada y atención a intentos de ingeniería social siguen siendo las mejores defensas.
En Royal Binary, la seguridad de los fondos de los inversores es una prioridad operativa. Con operaciones gestionadas por el equipo de Sidnei Oliveira, con más de 6 años de experiencia en el mercado financiero, y con total transparencia operativa (CNPJ 64.020.950/0001-60, Avenida Paulista 807, Sao Paulo, Brasil), nuestro modelo busca mitigar el riesgo en cada etapa del proceso.
Los retornos en el mercado financiero son renta variable. Los resultados pasados no garantizan resultados futuros.
Consejo
¿Quieres entender cómo funciona la operación gestionada de Royal Binary? Conoce nuestros planes y el historial de operaciones en app.royalbinary.io.