Intrusão aos ativos digitais da JD Consultores e falha de governança de um dos seus clientes estão entre as causas do ataque cibernético que resultou em operações ilegais com o PIX na semana passada: um comunicado da JD Consultores, ao qual o CISO Advisor teve acesso, e que foi distribuído aos clientes da empresa às 19h25 de ontem, informa que a falta de atualização dos certificados de conexão (PIC) e de assinatura (PIA) por parte do cliente permitiu que pessoas não autorizadas operassem transações PIX nesse mesmo cliente. Embora o nome da instituição não tenha sido revelado, a JD informa que “às 13:52 do dia 26/01/2026 uma Instituição Cliente JD com infraestrutura própria comunicou à JD atividade suspeita na operação por meio de chamado ao suporte helpdesk”. A data coincide com aquela em que o Banco do Nordeste “identificou um incidente de segurança cibernética na infraestrutura das transações PIX“.
Segundo o comunicado da JD, o cliente já não mais utilizava a infraestrutura de TI (PSTI) da JD: “(…) esta Instituição originalmente fazia parte do PSTI JD, tendo migrado para sua própria instalação em 16/09/25. Uma das principais recomendações técnicas e regulatórias na migração do PSTI para infra própria é a troca dos certificados PIC e PIA e a desativação dos certificados antigos junto ao Banco Central. Aprofundando as investigações, identificamos que a Instituição não havia realizado estes processos mencionados acima na mudança para sua infraestrutura e os certificados antigos ainda estavam válidos no Banco Central, o que se configurou como o maior vetor de vulnerabilidade na dinâmica do ataque.”
“Governança Cibernética não é uma opção mas sim, uma condição crítica para o sucesso das operações. Cabe aos agentes de governança assegurar a supervisão e monitoramento so processo”, comentou Wilson Mendes Lauria, CEO da consultoria GRCIBER.
Finalizando a explicação da causa, o comunicado da JD diz: “Abrimos uma análise forense para identificar a origem dos certificados vazados, que poderia ter ocorrido na JD ou no Cliente. Constatamos que o vazamento partiu de uma base histórica do PSTI JD, que ficou mantida em função da obrigatoriedade regulatória de armazenamento dos dados históricos pelo período de 5 anos, em conformidade com o Manual de Segurança do Pix”.
Uma fonte consultada pelo CISO Advisor confirma que a explicação indica uma intrusão aos sistemas para que fossem obtidos certificados válidos. A mesma fonte alerta para o fato de que o Banco Central ainda não controla se o certificado apresentado na solicitação dessa transação pertence ao suposto solicitante.
Ao explicar o processo de troca de certificados, a JD explica no comunicado o seguinte: “Vale mencionar, que o processo de desativação dos certificados no Banco Central é diferente no Pix e no SPB, módulo que diversos clientes JD também possuem, o que pode ter gerado confusão para as Instituições. No SPB, uma vez que o certificado é atualizado, o antigo é automaticamente desativado. Já no Pix, múltiplos certificados podem estar ativos simultaneamente, sendo necessário realizar uma operação para desativar o certificado antigo, via BC CORREIO. A JD não tem nenhum controle sobre o processo de emissão, guarda, vencimento e desativação dos certificados, sendo o mesmo de total responsabilidade da Instituição”.
Segundo ainda o comunicado, em reunião com a JD Consultores o Banco Central “decidiu impor uma medida cautelar exclusivamente para as Instituições clientes do Pix PSTI JD que não renovaram e/ou desativaram e/ou migraram o certificado PIA para sua própria infraestrutura. A medida consiste em limitar as transações de débito Pix a dias com expediente bancários, no período de 06h30 às 18h30 e foi direcionada para as Instituições e não para o PSTI JD, que continuou operando normalmente sem qualquer impacto para os clientes regularizados, assim como os clientes com infraestrutura própria. Os clientes do SPB não foram impactados“.






