Segurança digital: áudios falsos revelam vulnerabilidades corporativas

O fator humano esteve presente em 68% das violações analisadas globalmente, segundo o Data Breach Investigations Report 2025, da Verizon. O levantamento confirma que engenharia social e uso de credenciais válidas continuam entre os principais vetores de ataque.

No ambiente corporativo brasileiro, simulações internas têm revelado um padrão adicional de risco: mensagens e áudios enviados com tom de autoridade e urgência conseguem induzir colaboradores a liberar portas, sistemas e privilégios sem a validação adequada.

Igor Moura especialista em cibersegurança gestão de riscos e continuidade operacional e COO da Under Protection empresa especializada em segurança digital e proteção de ambientes corporativos afirma que o problema ultrapassa a camada tecnológica e atinge a estrutura decisória das empresas. Segundo ele quando a hierarquia se sobrepõe ao processo formal controles deixam de funcionar. “Um áudio com tom de urgência pode derrubar barreiras físicas e digitais em poucos minutos. Se a cultura interna desencorajar a checagem o risco se multiplica”, diz.

A convergência entre segurança física e digital ampliou esse cenário. Portarias conectadas à rede, sistemas de controle de acesso integrados a diretórios corporativos e liberações remotas de credenciais encurtam a distância entre uma ordem informal e uma ação crítica. Em testes conduzidos pela empresa, solicitações feitas por aplicativos de mensagem conseguiram contornar fluxos previstos em política interna. “O invasor não precisa violar um firewall se alguém abre a porta por receio de contrariar um superior”, afirma.

O executivo sustenta que o risco de “derrubar processo por hierarquia e medo” cresce quando não há definição clara de quem valida o quê e por qual canal. Ordens emitidas fora do fluxo oficial passam a ser aceitas com base na posição de quem solicita, não na regra estabelecida. “Processo existe para proteger a organização inclusive sob pressão. Se a urgência vira justificativa automática, o controle deixa de existir”, acrescenta.

O especialista aponta cinco medidas para impedir que áudios e pressão hierárquica liberem acessos indevidos

Processos bem estruturados reduzem o risco de que decisões tomadas sob pressão resultem na liberação indevida de acessos físicos e digitais. Regras claras de validação e controle de exceções são fundamentais para evitar que a hierarquia se sobreponha às normas internas.

- Definição formal de canais de validação
Pedidos sensíveis devem ser confirmados exclusivamente por canais institucionais previamente definidos e auditáveis. Áudios ou mensagens enviadas por aplicativos pessoais não podem substituir fluxos oficiais.

- Dupla checagem para acessos críticos
Liberação de privilégios administrativos, abertura de áreas restritas fora do horário padrão ou alteração de permissões sistêmicas deve exigir validação de dois responsáveis independentes.

- Separação entre autoridade hierárquica e técnica
Nem todo gestor possui competência formal para autorizar mudanças em sistemas ou acessos físicos. Limites e responsabilidades precisam estar documentados.

- Treinamento orientado à cultura de confirmação
Colaboradores devem ser treinados para confirmar solicitações incomuns, mesmo quando partem de cargos elevados. “Questionar uma ordem fora do padrão não é desrespeito. É proteção ao negócio”, afirma Moura.

- Auditoria recorrente de exceções
Liberações emergenciais precisam ser registradas e revisadas periodicamente. A análise das exceções revela fragilidades estruturais e permite ajustes preventivos.

Além da revisão interna, o especialista recomenda critérios técnicos na contratação de empresas de segurança. Avaliar certificações, metodologia de análise de risco e capacidade de integrar pessoas, processos e tecnologia reduz a chance de soluções fragmentadas. Modelos restritos a ferramentas tendem a falhar quando o ataque explora comportamento humano.

Entre os benefícios de um desenho robusto estão a redução de fraudes, menor exposição a paralisações operacionais e maior previsibilidade para auditorias e exigências regulatórias. A clareza na cadeia de validação também diminui conflitos internos e reforça a governança.

Para o executivo, ignorar a interseção entre segurança física e digital representa risco estratégico. “A empresa que depende apenas da boa intenção das pessoas está vulnerável. Segurança eficaz é aquela que continua funcionando mesmo quando alguém tenta acelerar o caminho”, afirma.

Ele conclui que maturidade organizacional passa por disciplina processual. “Hierarquia não pode ser atalho para quebrar regra. Quando o processo é respeitado, a organização ganha resiliência e evita que um simples áudio se transforme em crise.”

Sobre Igor Moura

Igor Moura é sócio fundador da Under Protection e atua como COO, responsável pela retaguarda operacional das principais torres da empresa, incluindo SOC, MSSP, NG LISA e processos internos. Auditor líder das ISOs 22301, 27001 e 9001, contribuiu diretamente para a evolução técnica e organizacional da companhia desde 2001, apoiando o crescimento contínuo e a consolidação dos padrões de segurança aplicados pela empresa. Também liderou projetos em diferentes mercados, incluindo operações internacionais no Chile, fortalecendo a capacidade da Under Protection de atender ambientes complexos e de alta criticidade.

Sobre a Under Protection

Com mais de 20 anos de atuação, a Under Protection é especializada em cibersegurança e continuidade operacional. Criadora das metodologias LISA e NG LISA, combina monitoramento em tempo real, resposta imediata e análise integrada de pessoas, processos e tecnologia. Atua com planos priorizados e clareza executiva para proteger ambientes digitais com eficiência e resiliência.

A empresa também opera um centro de operações de segurança (NG SOC) que monitora ambientes 24/7, processando eventos em tempo real e executando ações automatizadas para contenção de ameaças. Com presença nacional e atuação em diversos setores, a Under Protection é reconhecida por sua abordagem estratégica e capacidade de adaptação às necessidades específicas de cada organização.

Para mais informações, acesse o site underprotection.

Fontes de pesquisa
Verizon – Data Breach Investigations Report 2025
IBM – Cost of a Data Breach Report 2025
Sophos – The State of Ransomware 2025