Overview
A JD Consultores, principal Provedora de Serviços de Tecnologia da Informação (PSTI) do mercado financeiro brasileiro, com aproximadamente 58% de participação no segmento, foi alvo de um incidente de segurança cibernética que expôs certificados digitais utilizados para acesso a contas de reserva de instituições financeiras junto ao sistema Pix. O incidente teve origem em uma intrusão aos ativos digitais da JD Consultores combinada com falha de governança por parte de um de seus clientes. O Banco do Nordeste (BNB) foi a primeira instituição a identificar o impacto, reportando o incidente na infraestrutura de transações Pix em 26 de janeiro de 2026, o que levou à suspensão temporária do serviço.
Conforme comunicado interno da JD Consultores distribuído a seus clientes — ao qual veículos da imprensa especializada tiveram acesso —, a análise forense revelou que o vazamento dos certificados partiu de uma base histórica mantida pela empresa em conformidade com requisitos regulatórios de armazenamento de dados. A instituição afetada havia migrado para infraestrutura própria em setembro de 2025, mas não realizou a troca dos certificados de conexão (PIC) e assinatura (PIA), nem desativou os certificados antigos junto ao Banco Central. Essa falha permitiu que pessoas não autorizadas operassem transações Pix utilizando credenciais ainda válidas. Diferentemente do SPB, onde a atualização de um certificado desativa automaticamente o anterior, no Pix múltiplos certificados podem estar ativos simultaneamente, sendo necessária uma operação manual de desativação.
Na noite de 13 de fevereiro, em decorrência de novos desdobramentos do incidente, o Banco Central determinou a suspensão temporária do serviço Pix para instituições vinculadas à JD Consultores que não haviam regularizado seus certificados digitais — o PSTI em si continuou operando normalmente para clientes já regularizados e com infraestrutura própria. A decisão de restringir o serviço durante o feriado de Carnaval teve como objetivo evitar a ampliação dos impactos do incidente. O BC também alertou que instituições que são ou já foram clientes da JD podem sofrer novas invasões caso não substituam os certificados digitais. Este é o terceiro ataque bem-sucedido contra uma PSTI em período recente, após os incidentes envolvendo a C&M Software (junho de 2025) e a Sinqia.
A SEK está acompanhando ativamente este incidente e seus desdobramentos junto às fontes oficiais. Por se tratar de um caso ainda em evolução, eventuais atualizações relevantes serão comunicadas.
Recomendações
A SEK recomenda que organizações avaliem as lições deste incidente para fortalecer seus próprios controles de segurança:
- Organizações que atuam como instituições financeiras participantes do Pix e que mantêm ou mantiveram relação com a JD Consultores devem seguir as orientações vigentes do Banco Central quanto à substituição de certificados digitais e eventuais restrições operacionais
- Avaliar a segurança da cadeia de fornecedores de tecnologia (supply chain), exigindo evidências de conformidade com controles de segurança cibernética, especialmente no que diz respeito à gestão de credenciais e proteção de bases de dados históricas
- Revisar processos internos de gestão do ciclo de vida de credenciais e certificados digitais, garantindo que a revogação de acessos antigos faça parte dos procedimentos padrão em migrações de infraestrutura ou troca de fornecedores
- Implementar monitoramento contínuo de transações e operações críticas com alertas para comportamentos atípicos, especialmente fora do horário comercial
Fontes
- CISO Advisor - Ataque ao PIX teve intrusão e falha de governança (16/02/2026)
- O Bastidor - O risco é maior (14/02/2026)
- O Bastidor - Novo ataque ao sistema financeiro (14/02/2026)
- CISO Advisor - Intrusão atinge o maior dos operadores do PIX (14/02/2026)
- Security Leaders - Caso JD reacende debate sobre Segurança dos provedores de TI ligados ao Pix (18/02/2026)
- Agência Brasil - Banco do Nordeste suspende Pix após sofrer ataque hacker (27/01/2026)
- Convergência Digital - Banco do Nordeste suspende operações do Pix depois de ataque hacker (27/01/2026)
Overview
JD Consultores, Brazil's leading Information Technology Service Provider (PSTI) for the financial market, with approximately 58% market share in the segment, was the target of a cybersecurity incident that exposed digital certificates used to access financial institutions' reserve accounts within the Pix instant payment system. The incident originated from an intrusion into JD Consultores' digital assets combined with a governance failure on the part of one of its clients. Banco do Nordeste (BNB) was the first institution to identify the impact, reporting the incident in its Pix transaction infrastructure on January 26, 2026, which led to a temporary suspension of the service.
According to an internal communication from JD Consultores distributed to its clients — which specialized media outlets gained access to —, the forensic analysis revealed that the certificate leak originated from a historical database maintained by the company in compliance with regulatory data retention requirements. The affected institution had migrated to its own infrastructure in September 2025 but did not replace its connection (PIC) and signing (PIA) certificates, nor did it deactivate the old certificates with the Central Bank. This failure allowed unauthorized individuals to operate Pix transactions using credentials that were still valid. Unlike the Brazilian Payment System (SPB), where updating a certificate automatically deactivates the previous one, in Pix multiple certificates can be active simultaneously, requiring a manual deactivation operation.
On the evening of February 13, as a result of new developments in the incident, the Central Bank ordered the temporary suspension of the Pix service for institutions linked to JD Consultores that had not regularized their digital certificates — the PSTI itself continued to operate normally for already regularized clients and those with their own infrastructure. The decision to restrict the service during the Carnival holiday aimed to prevent the expansion of the incident's impacts. The Central Bank also warned that institutions that are or were clients of JD may face new intrusions if they do not replace their digital certificates. This is the third successful attack against a PSTI in recent times, following the incidents involving C&M Software (June 2025) and Sinqia.
SEK is actively monitoring this incident and its developments through official sources. As this is a still-evolving case, relevant updates will be communicated.
Recommendations
SEK recommends that organizations assess the lessons from this incident to strengthen their own security controls:
- Organizations operating as financial institutions participating in Pix that maintain or have maintained a relationship with JD Consultores should follow the Central Bank's current guidelines regarding digital certificate replacement and any operational restrictions
- Assess the security of the technology supply chain, requiring evidence of compliance with cybersecurity controls, especially regarding credential management and protection of historical databases
- Review internal processes for credential and digital certificate lifecycle management, ensuring that revocation of old access credentials is part of standard procedures during infrastructure migrations or vendor changes
- Implement continuous monitoring of critical transactions and operations with alerts for atypical behavior, especially outside business hours
Sources
- CISO Advisor - Ataque ao PIX teve intrusão e falha de governança (02/16/2026)
- O Bastidor - O risco é maior (02/14/2026)
- O Bastidor - Novo ataque ao sistema financeiro (02/14/2026)
- CISO Advisor - Intrusão atinge o maior dos operadores do PIX (02/14/2026)
- Security Leaders - Caso JD reacende debate sobre Segurança dos provedores de TI ligados ao Pix (02/18/2026)
- Agência Brasil - Banco do Nordeste suspende Pix após sofrer ataque hacker (01/27/2026)
- Convergência Digital - Banco do Nordeste suspende operações do Pix depois de ataque hacker (01/27/2026)
Overview
JD Consultores, el principal Proveedor de Servicios de Tecnología de la Información (PSTI) del mercado financiero brasileño, con aproximadamente un 58% de participación en el segmento, fue objeto de un incidente de seguridad cibernética que expuso certificados digitales utilizados para acceder a cuentas de reserva de instituciones financieras en el sistema de pagos instantáneos Pix. El incidente tuvo origen en una intrusión a los activos digitales de JD Consultores combinada con una falla de gobernanza por parte de uno de sus clientes. El Banco do Nordeste (BNB) fue la primera institución en identificar el impacto, reportando el incidente en su infraestructura de transacciones Pix el 26 de enero de 2026, lo que llevó a la suspensión temporal del servicio.
Según un comunicado interno de JD Consultores distribuido a sus clientes — al cual medios de prensa especializados tuvieron acceso —, el análisis forense reveló que la filtración de los certificados se originó en una base de datos histórica mantenida por la empresa en cumplimiento con requisitos regulatorios de almacenamiento de datos. La institución afectada había migrado a su propia infraestructura en septiembre de 2025, pero no realizó el cambio de los certificados de conexión (PIC) y firma (PIA), ni desactivó los certificados antiguos ante el Banco Central. Esta falla permitió que personas no autorizadas operaran transacciones Pix utilizando credenciales aún válidas. A diferencia del SPB, donde la actualización de un certificado desactiva automáticamente el anterior, en Pix múltiples certificados pueden estar activos simultáneamente, requiriendo una operación manual de desactivación.
En la noche del 13 de febrero, como consecuencia de nuevos desdoblamientos del incidente, el Banco Central determinó la suspensión temporal del servicio Pix para instituciones vinculadas a JD Consultores que no habían regularizado sus certificados digitales — el PSTI en sí continuó operando normalmente para clientes ya regularizados y con infraestructura propia. La decisión de restringir el servicio durante el feriado de Carnaval tuvo como objetivo evitar la ampliación de los impactos del incidente. El Banco Central también alertó que instituciones que son o fueron clientes de JD pueden sufrir nuevas intrusiones si no sustituyen los certificados digitales. Este es el tercer ataque exitoso contra un PSTI en un período reciente, tras los incidentes que involucraron a C&M Software (junio de 2025) y Sinqia.
SEK está monitoreando activamente este incidente y sus desdoblamientos a través de fuentes oficiales. Al tratarse de un caso aún en evolución, las actualizaciones relevantes serán comunicadas.
Recomendaciones
SEK recomienda que las organizaciones evalúen las lecciones de este incidente para fortalecer sus propios controles de seguridad:
- Organizaciones que actúan como instituciones financieras participantes del Pix y que mantienen o mantuvieron relación con JD Consultores deben seguir las orientaciones vigentes del Banco Central respecto a la sustitución de certificados digitales y eventuales restricciones operativas
- Evaluar la seguridad de la cadena de proveedores de tecnología (supply chain), exigiendo evidencias de cumplimiento con controles de seguridad cibernética, especialmente en lo que respecta a la gestión de credenciales y protección de bases de datos históricas
- Revisar los procesos internos de gestión del ciclo de vida de credenciales y certificados digitales, garantizando que la revocación de accesos antiguos forme parte de los procedimientos estándar en migraciones de infraestructura o cambio de proveedores
- Implementar monitoreo continuo de transacciones y operaciones críticas con alertas para comportamientos atípicos, especialmente fuera del horario comercial
Fuentes
- CISO Advisor - Ataque ao PIX teve intrusão e falha de governança (16/02/2026)
- O Bastidor - O risco é maior (14/02/2026)
- O Bastidor - Novo ataque ao sistema financeiro (14/02/2026)
- CISO Advisor - Intrusão atinge o maior dos operadores do PIX (14/02/2026)
- Security Leaders - Caso JD reacende debate sobre Segurança dos provedores de TI ligados ao Pix (18/02/2026)
- Agência Brasil - Banco do Nordeste suspende Pix após sofrer ataque hacker (27/01/2026)
- Convergência Digital - Banco do Nordeste suspende operações do Pix depois de ataque hacker (27/01/2026)
Central de Conteúdos SEK
Acesse nossa central de conteúdos e confira os mais recentes relatórios e notícias sobre cibersegurança.
Acessar Central de ConteúdosSEK Content Hub
Access our content hub and check out the latest reports and news on cybersecurity.
Access Content HubCentral de Contenidos SEK
Accede a nuestra central de contenidos y consulta los informes y noticias más recientes sobre ciberseguridad.
Acceder a la Central de Contenidos