El sistema de pagos brasileño mueve billones de reales al año. Pix, por sí solo, superó a los instrumentos tradicionales y se convirtió en la columna vertebral de las transacciones en el país. Detrás de esta infraestructura, operando tras bambalinas y a menudo invisibles para el usuario final, están los PSTIs: los Proveedores de Servicios de Tecnología de la Información que conectan bancos, fintechs y cooperativas a la Red del Sistema Financiero Nacional (Rede do Sistema Financeiro Nacional).

Durante años, este papel crítico se ejerció con una supervisión regulatoria moderada. El segundo semestre de 2025 cambió eso. Una serie de incidentes cibernéticos con gran impacto financiero, todos con puntos en común, reveló una verdad que el sector ya conocía en teoría: quien opera en la infraestructura crítica del sistema financiero es, por definición, un objetivo. Y los objetivos necesitan defensa activa, no solo buenas prácticas contractuales.

La Resolución BCB nº 498, publicada el 5 de septiembre de 2025, fue la respuesta regulatoria a esta constatación.

Lo que la norma exige, de hecho

La Resolución 498 es extensa. Cubre gobernanza corporativa, capital mínimo, gestión de continuidad, políticas de controles internos, auditoría externa anual y una serie de requisitos técnicos de seguridad esenciales. Para quienes aún no han leído el texto completo, el Art. 17 es el corazón de la norma desde el punto de vista de la ciberseguridad.

Es allí donde el Banco Central detalla lo que la política de seguridad de la información y cibernética de un PSTI debe contemplar, como mínimo. Son catorce elementos. El inciso XIV es lo que más distingue esta norma de todo lo que el regulador había publicado antes:

“acciones de inteligencia cibernética, incluyendo el monitoreo de información de interés (clientes, claves, credenciales, vulnerabilidades, etc.) en Internet, Deep y Dark Web, además de grupos privados de comunicación.”

Es la primera vez que el Banco Central utiliza el término “inteligencia cibernética” de forma literal y positiva en una resolución. Y no por casualidad: fue exactamente la ausencia de este tipo de monitoreo lo que permitió que las credenciales de empresas circularan libremente en entornos que nadie estaba observando, hasta que alguien las usara con éxito.

La IN 664/2025, que complementó la Resolución 498 con plazos de implementación, colocó las acciones de inteligencia cibernética en el grupo de requisitos prioritarios, con un plazo de adecuación de solo 15 días para PSTIs ya en operación. El BC no dejó dudas sobre la urgencia que atribuye al tema.

El problema que la norma deja abierto

La Resolución 498 dice lo que se debe hacer. No dice cómo.

Esto es absolutamente normal: las regulaciones definen requisitos, no metodología. Pero crea un desafío real para los PSTIs, especialmente los más pequeños. Un inciso en el Art. 17 que menciona “monitoreo de credenciales en la Deep y Dark Web y grupos privados de comunicación” plantea una pregunta práctica inmediata: ¿cómo estructura esta capacidad una empresa de tecnología del sistema financiero, que no es una empresa de seguridad?

Hay tres caminos. El primero es contratar una plataforma de threat intelligence lista para usar y creer que eso lo resuelve. El segundo es intentar armar un equipo interno capaz de operar en profundidad en la web superficial, deep y dark web, lo que puede ser costoso. El tercero es contratar una plataforma que cuente con un servicio especializado y analistas dedicados a su contexto.

La experiencia demuestra que la conformidad aparente no se traduce en protección real. Una plataforma lista para usar entrega datos. Los cuales pueden ser realmente útiles, pero no es lo mismo que tener gente luchando por usted. Es decir, analistas de verdad, interesados en el contexto de su operación.

Inteligencia son datos analizados por especialistas que entienden lo que ese dato significa para su organización, para su sector, en ese momento.

Lo que Resonant ofrece a los PSTIs

Resonant fue creado como un servicio de inteligencia de amenazas orientado por analistas, no por dashboards. El modelo parte de una premisa simple: el inciso XIV del Art. 17 de la Resolución 498 no puede cumplirse solamente con una suscripción de feed de datos. Exige monitoreo activo, contextualizado y capaz de generar acción.

Monitoreo de credenciales y datos de clientes en entornos externos

El vector de los ataques recientes ha sido el compromiso de credenciales y la cooptación de colaboradores (insiders). La Resolución 498 exige explícitamente el monitoreo de credenciales en Internet, Deep y Dark Web. Resonant mantiene cobertura activa en estos entornos, con capacidad de identificar cuando credenciales de un PSTI o de sus instituciones clientes aparecen en filtraciones, marketplaces clandestinos o foros especializados, antes de que sean utilizadas.

Monitoreo de grupos privados de comunicación

La norma menciona explícitamente “grupos privados de comunicación”, lo que incluye canales en Telegram, grupos en Discord y comunidades cerradas donde se planean ataques, se comercializan herramientas y se discuten objetivos. Este tipo de cobertura exige presencia y metodología específicas, además de una capacidad de navegar por el ecosistema del cibercrimen, dominando su propio lenguaje y sus matices, algo que no se puede automatizar.

Cobertura de claves Pix y activos del ecosistema de pagos

La Resolución 498 incluye “claves” entre los elementos de interés a ser monitoreados. Claves Pix, certificados digitales, dominios y otros activos críticos para la operación de un PSTI son elementos que pueden ser explotados como vectores de ataque. Resonant estructura el monitoreo en torno al perfil de activos específico de cada cliente.

Alertas accionables, no informes de conformidad

La diferencia entre un servicio de inteligencia y un producto listo para usar para fines de compliance es lo que sucede después de la detección. Una alerta genérica sobre una filtración de credenciales no ayuda a un PSTI a decidir qué hacer en los próximos treinta minutos. Un analista que conoce su infraestructura, su perfil de riesgo y las amenazas activas en su sector puede ayudar a traducir el hallazgo en una decisión.

Contexto sectorial: sistema financiero brasileño

El ecosistema de amenazas que afecta a los PSTIs en Brasil tiene características específicas. Grupos que operan contra el sistema financiero nacional, técnicas prevalentes en el contexto regional, patrones de campaña que se repiten en el sector. Esta inteligencia contextual no está disponible en feeds globales. Es construida por quienes monitorean el escenario de cerca, en el idioma correcto, con las fuentes adecuadas.

Qué sucede cuando la conformidad es aparente

Es tentador ver el inciso XIV del Art. 17 de la Resolución 498 como una casilla más a marcar en el proceso de acreditación. Contratar una plataforma descontextualizada que inundará a su equipo de ruido, generará evidencia de que hay algún monitoreo en curso y seguir adelante.

El riesgo de este enfoque no es solo regulatorio. Es operacional.

El Banco Central dejó claro, en el Art. 31 de la Resolución 498, que puede adoptar medidas cautelares en caso de incidentes de seguridad, incluida la suspensión total o parcial de la conexión a la RSFN. En un escenario de ataque exitoso, no tener un monitoreo activo y contextualizado de entornos externos no es solo una falla de compliance. Es la ausencia de la capacidad que puede evitar un incidente.

Y, en el contexto, después de los ataques difundidos en la prensa, nadie en el sistema financiero brasileño debería necesitar otro ejemplo para entender lo que eso significa.

Resonant fue construido para que el próximo objetivo no sea usted.

Hable con nuestro equipo.