O recente ataque que expôs falhas críticas no sistema de pagamentos instantâneos brasileiro escancarou algo que, até então, permanecia à sombra da cibersegurança corporativa: o fator humano como ponto de ruptura silencioso. O caso, que envolveu o desvio de mais de R$ 1 bilhão por meio do PIX, teve como vetor inicial o comprometimento de credenciais por um funcionário de uma empresa de tecnologia que prestava serviços à instituições ligadas ao Banco Central. Não houve uma vulnerabilidade técnica sofisticada, nem um malware de última geração. Houve, sim, um elo frágil entre acesso e confiança.

Em tempos em que se fala tanto em inteligência artificial, segurança em nuvem e criptografia avançada, é quase desconcertante lembrar que uma senha entregue manualmente foi o gatilho para um dos maiores incidentes financeiros dos últimos anos. E isso nos obriga a refletir: será que estamos olhando para o lado certo quando falamos em segurança?

A maioria dos investimentos ainda está concentrada em barreiras externas, como firewalls, EDRs e criptografia. Mas cada vez mais, os ataques exploram portas internas, onde a permissão já existe, onde o acesso já foi concedido. O modelo tradicional de segurança, baseado na suposição de que quem está “dentro” é confiável, simplesmente não faz mais sentido. A confiança precisa deixar de ser presumida e passar a ser continuamente verificada.

O conceito de Zero Trust, tão debatido no setor, parte justamente dessa premissa: nunca confiar, sempre verificar. Mas transformá-lo em prática exige mais do que tecnologia. É necessário rever como a empresa atribui acessos, como monitora seus usuários e, principalmente, como treina e conscientiza seus colaboradores sobre segurança da informação. A engenharia social, essa arte de observar comportamentos e manipular pessoas para acessar sistemas, continua sendo uma das táticas mais eficazes para cibercriminosos. E a verdade é que ninguém está imune.

Um estudo global da Microsoft, publicado no Digital Defense Report 2024, aponta que mais de 99% dos ataques de comprometimento de credenciais envolvem o uso indevido de senhas legítimas. A maioria deles ocorre sem alertas ou detecção, justamente por se parecer com um uso normal do sistema. Ou seja, a ameaça já está logada, silenciosa, dentro da estrutura.

Nesse cenário, torna-se urgente repensar a relação entre confiança e identidade digital. Senhas não podem mais ser tratadas como instrumentos neutros. Cada credencial representa uma porta que, uma vez aberta, pode comprometer a integridade de toda uma organização. A autenticação precisa ser multifatorial, contextual, adaptativa, e isso deve andar junto com auditorias recorrentes, políticas de rotação e visibilidade contínua sobre o que cada perfil acessa, quando e por quê.

Mais do que adotar ferramentas, é preciso adotar uma nova cultura. O tripé: Tecnologia, Processos e Pessoas nunca ganhou tanto holofote: a segurança não é apenas responsabilidade da TI, mas de todos os envolvidos de uma organização. Cada indivíduo precisa ter a consciência que proteger o seu acesso é proteger o negócio. No mundo digital, confiança não é um ponto de partida, é uma conquista diária, construída sobre vigilância, clareza e responsabilidade. Porque no fim das contas, o maior risco da empresa pode não estar somente do lado de fora. Ele pode estar logado agora, com permissão total, e apenas esperando o momento certo para agir.

*Adelino Lopes de Oliveira é Engenheiro de Contas da Adistec Brasil