Senhas e acessos internos se tornam principal porta para ataques cibernéticos

Dados da indústria de cibersegurança indicam que parte relevante dos grandes incidentes recentes ocorreu sem a exploração direta de falhas técnicas. Relatórios da Verizon e da IBM mostram que o uso indevido de credenciais válidas está entre os principais vetores de violações, cenário que se intensificou com a expansão do trabalho remoto e a adoção massiva de serviços em nuvem, ampliando a superfície de exposição das empresas.

Herson Hori, sócio e diretor de Risk Assessment da Under Protection, avalia que o risco mais recorrente hoje não está necessariamente na invasão técnica tradicional, mas na forma como os acessos legítimos são administrados dentro das organizações. “Quando alguém entra com login e senha corretos, os sistemas entendem que aquilo é normal. É nesse ponto que muitos ataques começam, sem levantar qualquer alerta”, afirma.

A consolidação do home office ajudou a ampliar esse cenário. A separação menos clara entre ambiente pessoal e corporativo levou ao aumento do uso de dispositivos próprios, redes domésticas e aplicações em nuvem sem governança definida, o que dificulta o controle centralizado dos acessos e amplia a chance de uso inadequado de permissões.

Com o trabalho remoto incorporado à rotina corporativa, colaboradores passaram a ocupar um papel central na exposição ao risco, não por má-fé, mas por hábitos cotidianos que fragilizam controles de segurança. Entre eles, o compartilhamento de senhas segue como uma das práticas mais comuns e, ao mesmo tempo, mais perigosas. “Uma senha enviada por mensagem ou reutilizada em vários sistemas invalida qualquer política formal de segurança”, observa o especialista.

Outro ponto sensível é a diferença entre invasão técnica e impersonificação, conceito que ainda gera confusão fora do círculo especializado. No primeiro caso, há a exploração direta de uma vulnerabilidade em sistemas ou aplicações. No segundo, o atacante se passa por um usuário autorizado, utilizando credenciais legítimas para circular livremente pelo ambiente corporativo. “Do ponto de vista do sistema, tudo parece correto. É por isso que esse tipo de ataque costuma ser descoberto tarde”, explica.

Estudos da IBM indicam que incidentes envolvendo identidade e acesso legítimo tendem a levar mais tempo para serem detectados e geram custos mais elevados, justamente por não acionarem alarmes imediatos. Além do impacto financeiro, há riscos relevantes para a reputação e para a continuidade das operações, especialmente em setores regulados ou altamente dependentes de dados sensíveis.

Para reduzir essa exposição, o especialista defende que o primeiro passo não é tecnológico, mas estratégico. “Sem clareza sobre quem acessa o quê, de onde e por qual motivo, qualquer investimento vira tentativa”, afirma. A análise estruturada de riscos, baseada em frameworks internacionais e na avaliação integrada de pessoas, processos e tecnologia, permite revelar vulnerabilidades que não aparecem em diagnósticos pontuais, especialmente aquelas relacionadas ao uso legítimo de credenciais no dia a dia corporativo.

Além da identificação, autenticação e autorização, cresce a necessidade de monitorar a motivação por trás de cada acesso. Ter permissão formal não significa, necessariamente, que o uso seja adequado ao contexto operacional. Um profissional com cargo estratégico e acesso a bases sensíveis, por exemplo, pode não ter justificativa legítima para extrair grandes volumes de dados de uma única vez, ainda que o sistema permita. “A pessoa pode estar identificada, autenticada e autorizada, mas isso é o mínimo. É preciso avaliar se a motivação daquele acesso é compatível com a função exercida. Quando o comportamento foge do padrão esperado, o risco já existe”, afirma.

Esse tipo de controle exige monitoramento contínuo e capacidade de resposta imediata. Centros de operações de segurança estruturados, como modelos de NG SOC, permitem correlacionar eventos em tempo real e identificar comportamentos incompatíveis com o padrão da função exercida, mesmo quando o acesso ocorre com credenciais válidas. Ao combinar análise de risco estruturada com operação ativa 24 horas por dia, torna-se possível detectar desvios antes que se transformem em incidentes silenciosos, reduzindo o tempo de exposição e o impacto financeiro, regulatório e reputacional.

A mudança também passa pela cultura organizacional. Treinamentos pontuais, realizados apenas para cumprir exigências formais, tendem a ter efeito limitado quando não estão conectados a uma leitura permanente do risco real da operação. Simulações recorrentes de engenharia social, associadas a monitoramento ativo do ambiente e resposta rápida a comportamentos anômalos, ajudam a transformar a segurança em responsabilidade compartilhada, e não apenas em atribuição da área de TI.

Na hora de contratar empresas especializadas, o alerta é para fugir de soluções genéricas ou projetos isolados. Avaliações contínuas baseadas em risco, monitoramento ativo e capacidade de resposta rápida costumam trazer resultados mais consistentes. “Não se trata de bloquear tudo, mas de garantir que cada acesso seja necessário, legítimo e acompanhado”, resume.

O especialista aponta cinco medidas para evitar que acessos legítimos virem porta de entrada para ataques

Antes de avançar para soluções mais sofisticadas, algumas ações básicas ajudam a eliminar vulnerabilidades evidentes e criar uma base mais sólida de segurança.

- Revisar políticas de acesso e eliminar o compartilhamento de senhas, com privilégios definidos estritamente por função.

- Adotar autenticação multifator em sistemas críticos e acessos remotos.

- Controlar o uso de dispositivos pessoais e aplicações em nuvem, com regras claras e monitoramento contínuo.

- Promover treinamentos frequentes e testes de engenharia social para conscientizar equipes.

- Monitorar o comportamento e a motivação dos acessos, identificando usos atípicos mesmo quando realizados por usuários autorizados.

A principal vantagem desse conjunto de medidas é a redução de incidentes silenciosos, aqueles que não interrompem sistemas de imediato, mas comprometem dados e decisões ao longo do tempo. “Hoje, o maior risco não é a invasão externa sofisticada, mas o uso inadequado de acessos legítimos. Muitas vezes, a própria empresa acaba criando a oportunidade sem perceber”, conclui.

Sobre Hesron Hori

Hesron Hori é sócio e diretor de Risk Assessment da Under Protection, especialista em gestão de riscos corporativos e segurança da informação. Atua há mais de uma década na avaliação de vulnerabilidades, governança digital e continuidade operacional, apoiando empresas na identificação e mitigação de riscos que afetam resultados, operações e reputação.

Formado em Segurança da Informação, possui MBA em Administração, Finanças e Geração de Valor pela Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS). Sua atuação integra tecnologia e estratégia de negócios, com foco em normas internacionais e boas práticas de segurança aplicadas ao ambiente corporativo.

Para mais informações, acesse linkedin.

Sobre a Under Protection

Com mais de 20 anos de atuação, a Under Protection é especializada em cibersegurança e continuidade operacional. Criadora das metodologias LISA e NG LISA, combina monitoramento em tempo real, resposta imediata e análise integrada de pessoas, processos e tecnologia. Atua com planos priorizados e clareza executiva para proteger ambientes digitais com eficiência e resiliência.

A empresa também opera um centro de operações de segurança (NG SOC) que monitora ambientes 24/7, processando eventos em tempo real e executando ações automatizadas para contenção de ameaças. Com presença nacional e atuação em diversos setores, a Under Protection é reconhecida por sua abordagem estratégica e capacidade de adaptação às necessidades específicas de cada organização.

Para mais informações, acesse o site underprotection.

Fontes de pesquisa

Verizon – Data Breach Investigations Report (DBIR)
IBM – Cost of a Data Breach Report
NIST – Digital Identity Guidelines (SP 800-63)
MITRE – ATT&CK Framework (Credential Access e Impersonation)