Ministério Publico do Estado de Mato Grosso
Centros de Apoio Operacional > CAO CIBER >

Fraude em Baltimore e o ponto cego das cadeias de fornecedores: como mitigar riscos antes que seja tarde

terça-feira, 02 de setembro de 2025, 15h21

Em fevereiro e março de 2025, a prefeitura de Baltimore realizou dois pagamentos fraudulentos que somaram mais de US$ 1,5 milhão, resultado de falhas na gestão da cadeia de terceiros que permitiram a atuação de um golpista se passando por fornecedor legítimo

 

O golpe envolveu um criminoso que se passou por um fornecedor legítimo e conseguiu alterar os dados bancários no sistema de pagamentos da cidade. No entanto, o caso só veio a público meses depois, com a divulgação do relatório da Inspetoria Geral. Esse intervalo entre o ocorrido e a revelação oficial expõe um problema recorrente: a lentidão na resposta institucional e na transparência diante de fraudes envolvendo terceiros.

Segundo o portal The Record“o fraudador conseguiu enganar os funcionários da cidade ao se passar por um fornecedor e alterar os dados bancários sem que houvesse verificação adequada”. A afirmação reforça o que o relatório oficial detalha: não houve validação cruzada, nem contato direto com o fornecedor, e os controles internos falharam em detectar a fraude antes que os pagamentos fossem realizados.

 

Esse tipo de ataque, conhecido como vendor impersonation, escancara uma vulnerabilidade crítica: a falta de controle sobre terceiros. E Baltimore não está sozinha. Em 2013, a Target — gigante do varejo americano — sofreu uma das maiores violações de dados da década. O vetor foi um fornecedor de serviços de refrigeração com credenciais fracas. A diferença entre os dois casos é clara: Baltimore foi enganada por um humano; a Target foi invadida por um sistema mal protegido. Mas o elo fraco é o mesmo: a cadeia de terceiros.

 

O ponto cego corporativo

 

Empresas e governos investem em firewalls, criptografia e autenticação multifator, mas muitas vezes negligenciam o que está fora do perímetro direto: os fornecedores. É nesse ponto cego que os riscos se escondem — e é ali que os ataques acontecem.

 

Duas frentes para proteger a cadeia de terceiros

 

A gestão da cadeia de terceiros é hoje uma das áreas mais vulneráveis da segurança digital. Casos como o de Baltimore mostram que o risco não está apenas nos sistemas internos, mas nas conexões externas — fornecedores, parceiros e prestadores de serviço. Para mitigar esses riscos, duas frentes estratégicas se destacam: controle de identidade e acesso e gestão de riscos cibernéticos de terceiros.

 

1. Controle de identidade e acesso

 

Garantir que apenas pessoas autorizadas tenham acesso aos sistemas e dados da organização é o primeiro passo. No contexto da cadeia de terceiros, isso significa:

 

- Gerenciar identidades externas com segurança

 

- Controlar acessos temporários ou condicionais para fornecedores

 

- Monitorar atividades suspeitas e revogar acessos em tempo real

 

- Integrar autenticação multifator e políticas de privilégio mínimo

 

Esse controle reduz significativamente o risco de acessos indevidos, especialmente em ambientes onde múltiplos terceiros interagem com sistemas críticos.

 

2. Gestão de riscos cibernéticos de terceiros (TPRM/TPCRM)

 

A segunda frente é voltada para o monitoramento e controle dos riscos que vêm de fora. Estamos falando de TPRM (Third-Party Risk Management) e TPCRM (Third-Party Cyber Risk Management).

 

TPRM (Third-Party Risk Management) é a prática de identificar, avaliar e mitigar os riscos associados a terceiros que mantêm algum tipo de relação com a organização — como fornecedores, prestadores de serviço, parceiros comerciais ou consultores. Esses riscos podem ser operacionais, financeiros, legais, reputacionais ou de conformidade. O objetivo do TPRM é garantir que esses terceiros não comprometam a integridade, a segurança ou a continuidade dos negócios.

 

TPCRM (Third-Party Cyber Risk Management) é uma vertente específica do TPRM voltada para os riscos cibernéticos que surgem na cadeia de terceiros. Envolve o monitoramento da postura de segurança digital dos fornecedores, a análise de vulnerabilidades externas, o controle de acessos remotos e a detecção de comportamentos suspeitos que possam indicar tentativas de ataque ou fraude.

 

A gestão de terceiros eficaz envolve: Avaliação contínua da postura de segurança dos fornecedores; Verificação automatizada de identidade e dados bancários; Auditoria de alterações sensíveis com validação cruzada; Treinamento interno para detectar engenharia social e Classificação de fornecedores por nível de risco e criticidade

 

Em conjunto, essas práticas formam a espinha dorsal da segurança moderna em ambientes interconectados, onde os riscos não estão apenas dentro da empresa, mas também nas conexões que ela mantém com o mundo externo.

 

Essa abordagem amplia a visibilidade sobre a cadeia de terceiros e permite agir preventivamente — antes que o golpe aconteça. Mais do que tecnologia, essas ferramentas trazem governança e visibilidade — dois pilares que faltaram em Baltimore.

 

Quando o alerta vem tarde demais

 

O relatório da Inspetoria Geral revela que, mesmo após fraudes anteriores em 2019 e 2022, os controles prometidos não foram plenamente implementados. O diretor de contas a pagar reconheceu que os procedimentos “não estavam institucionalizados”. Em outras palavras, sabiam o que fazer — mas não fizeram.

 

Esse tipo de vulnerabilidade não é técnica, é estrutural. E é aí que entra a importância de soluções que atuam preventivamente, com foco em gestão de terceiros e identidade. Se Baltimore tivesse adotado esse tipo de abordagem, o golpe talvez nem tivesse acontecido — ou teria sido detectado antes do segundo pagamento.

 

O tempo entre o golpe e a resposta

 

Embora o golpe tenha ocorrido entre fevereiro e março de 2025, o caso só veio à tona publicamente meses depois, com a publicação do relatório oficial da Inspetoria Geral de Baltimore. Até então, a investigação estava em curso — e como é comum em casos envolvendo órgãos públicos, há um intervalo entre o ocorrido, a apuração interna e a divulgação oficial.

 

Esse tipo de atraso não é incomum. Muitas vezes, os órgãos só se manifestam após concluir auditorias, validar os fatos e preparar medidas corretivas. No caso de Baltimore, o relatório revela que o departamento de contas a pagar já havia falhado em fraudes anteriores, e só agora admitiu publicamente que os controles não estavam institucionalizados.

 

A lição é clara: a gestão de terceiros não pode esperar pelo próximo relatório. Ela precisa ser tratada como uma frente estratégica, com ferramentas que atuem antes do dano — e não apenas depois da manchete.

 

IAM: Segurança que vai além do acesso

 

O Crypto ID, referência editorial em tecnologia e segurança digital, mantém uma coluna especializada em IAM – Identity and Access Management (Gerenciamento de Identidade e Acesso). Mais do que apresentar soluções, nossa curadoria mergulha nas múltiplas vertentes dessa disciplina essencial — como IAGPAMCIAMCIEMMFASSORBACABAC, entre outras variações que compõem o ecossistema de identidade digital.

 

Voltada para profissionais que estão estudando ou implementando essas estratégias, a coluna oferece uma visão técnica, confiável e abrangente, sempre alinhada às melhores práticas do mercado. O foco é claro: interoperabilidade, maturidade e adequação às necessidades reais de cada ambiente corporativo.

 

Fonte: Crypto ID.

31/10/2025 STJ: Ronda virtual contra pornografia infantil não requer ordem judicial

31/10/2025 Anatel participa de painel do Brasil Ciberseguro 2025

31/10/2025 SaferNet Brasil e CNMP firmam acordo para fortalecer a proteção de direitos humanos no ambiente digital

31/10/2025 Cliente é condenado à detenção por difamar advogada em grupo de WhatsApp

30/10/2025 Mapeamento da SaferNet identifica deepfakes sexuais em escolas em 10 dos 27 estados brasileiros

30/10/2025 Em audiência pública, ministro Salomão defende inclusão de Direito Digital no Código Civil

30/10/2025 Repercussão nas redes sociais de trote universitário com linguagem vulgar não gera dano moral coletivo

30/10/2025 Maior ataque hacker do país foi feito a partir de quarto de hotel em Brasília, próximo ao Alvorada

29/10/2025 Saiba como Europa vem regulando o trabalho em plataformas digitais

29/10/2025 Banco deve indenizar cliente após golpe da falsa central, decide STJ

topo