Não existe segurança cibernética sem um controle de identidades. Raramente a gente fala de ataques supertecnológicos, com o envolvimento de inteligência artificial.sando de US$ 959,6 bilhões em 2023 para impressionantes US$ 1,8 trilhão em 2028. 

Os ataques recentes a contas de reserva de instituições financeiras, que atingiram as provedoras de serviços de tecnologia da informação (PSTIs) C&M Software e Sinqia, expuseram uma fragilidade conhecida. Especialistas ouvidos pelo Valor apontam que o elo mais fraco da segurança digital continua sendo o controle de credenciais e acessos.

Em resposta aos incidentes, o Banco Central (BC) anunciou nesta sexta-feira novas medidas de segurança para o sistema de pagamentos. Entre elas, está a ampliação dos requerimentos de governança e gestão de riscos aplicáveis às PSTIs — pontos que ainda não foram detalhados pela autoridade.

Segundo Ricardo Dastis, diretor de tecnologia da Scunna, as credenciais estão no centro de praticamente todos os casos de crimes cibernéticos. “Uma estatística que se usava muito, na verdade se usa até hoje, é que 80% dos ataques cibernéticos exploram alguma credencial de acesso. Eu brinco com esse número. Para mim é 100%. Às vezes não como início do ataque, mas em algum momento do ataque”, disse.

Tanto no caso da C&M quanto no da Sinqia, os ataques foram realizados com o uso de credenciais legítimas para acessar os sistemas. No episódio da C&M, um funcionário vendeu seu acesso a criminosos por R$ 15 mil, o que resultou no desvio estimado de R$ 1 bilhão das contas reservas de instituições financeiras clientes da provedora. No caso da Sinqia, o prejuízo foi de aproximadamente R$ 710 milhões.

A gente vê todos os dias: identidades fracas, baseadas em certificados autoassinados. A gente construiu muralhas tecnológicas do lado de fora, mas deixou a porta principal abertante, eram excluídas dos benefícios da conectividade 2023 para impressionantes US$ 1,8 trilhão em 2028.


Para Luiza Dias, presidente da GlobalSign Brasil, a raiz do problema está no controle de identidades. “Não existe segurança cibernética sem um controle de identidades. Raramente a gente fala de ataques supertecnológicos, com o envolvimento de inteligência artificial. A constância continua mostrando que a gente está patinando no ‘arroz com feijão’, no básico, que são os controles das identidades”, afirmou.

Ela compara certificados digitais a crachás. “Se eu construo um crachá na minha casa, basta uma pessoa mal-intencionada ter a mesma impressora que eu, que ele vai passar nos padrões de segurança. É o que a gente vê todos os dias: identidades fracas, baseadas em certificados autoassinados. A gente construiu muralhas tecnológicas do lado de fora, mas deixou a porta principal aberta”, disse.

O fator humano também pesa. “Não vi nenhum caso desses expressivos que tenha uma fraude, que tenha um crime envolvido com altos montantes, que não tenha tido alguém em algum momento facilitando”, disse Dastis.

O perito em crimes digitais Wanderson Castilho reforça que a repetição de falhas é ainda mais preocupante. “Nós devemos pensar assim: as fintechs normalmente usam sempre as mesmas plataformas, não os mesmos nomes, mas as mesmas construções. Ou seja, se foi encontrada uma vulnerabilidade na questão de desvio interno, encontrou uma e encontrou em todas”, disse.

Castilho disse que nos últimos quatro meses atuou em casos de ataques hackers de pelo menos 20 fintechs. Segundo ele, muitas vezes a segurança implementada é mínima. “Tinha senhas superfáceis e ainda sem trocar, e mais de dez pessoas tinham a mesma senha. Não tinha registro de IPs, nem logs de acesso. Era uma coisa muito assustadora”, disse. Ele lembra ainda que facções criminosas já exploram essa vulnerabilidade.

Para Dias, identidades robustas podem limitar acessos de acordo com o nível de cada funcionário. “É mais ou menos como se eu tivesse um elevador que, quando você põe o crachá, ele te dá direito só de ir até o andar dois; o seu gerente até o andar quatro, e assim por diante. Hoje, funcionários comuns de TI têm acesso igual a diretores”, disse.
Castilho também alerta que, enquanto as empresas falham no básico, os criminosos não precisam de grandes conhecimentos. “O que engana é pensar que eles têm capacidade extraordinária de tecnologia. Não, eles são medíocres. O problema é que as empresas estão tão vulneráveis que o crime migrou do físico para o digital, e com pouco conhecimento eles conseguem valores absurdos”, afirmou.

As soluções, segundo os especialistas, passam por práticas simples e conhecidas: gestão de acessos privilegiados, cofres de senhas, autenticação multifatorial robusta, certificação de máquinas e monitoramento constante. “O cimento da fundação é a parte mais barata da construção. Com identidades é a mesma coisa”, disse Dias.
Castilho ainda defende uma política pública de conscientização digital. “Nós não temos estatísticas oficiais de crimes digitais. O Estado precisa tratar segurança cibernética como segurança pública”, afirmou. “Não é mais uma questão de ‘se’, é uma questão de ‘quando’. A gente tem que aceitar que nem tudo vai ser evitado. Então a gente tem que monitorar”, disse Dastis

matéria originalmente publicada no Valor Econômico

Autor: Mariana Guedes
Publicação: 5 de September de 2025
Com as tags , , ,