*Por Nivancir Naville
Na era digital, a principal ameaça para qualquer negócio já não é mais o hacker altamente sofisticado capaz de romper firewalls é o atacante que simplesmente faz o login usando credenciais legítimas. Com o phishing alimentado por inteligência artificial (IA), deepfakes, engenharia social e personificação em escala industrial (uso massivo e sistemático de técnicas avançadas para se passar por outra pessoa ou entidade), a porta de entrada das organizações está diretamente ligada à como as pessoas acessam sistemas. Esses acessos tornaram-se o ponto mais vulnerável: o fator humano.
A cibersegurança ainda sofre com a confusão entre identificação e autenticação. Em 1988, o arquiteto da internet Dr. David Clark já destacava a necessidade de manter esses conceitos separados. No entanto, as bases das vulnerabilidades atuais já haviam sido lançadas na década de 1960, quando a segurança por senha passou a fundir identificação e autenticação. Os avanços tecnológicos em gestão de acessos, em vez de solucionar, só aprofundaram a confusão.
Soluções tradicionais, como IAM (Identity and Access Management), PAM (Privileged Access Management) e SSO (Single Sign-On), centram-se na verificação de identidade, mas frequentemente falham em validar ou restringir adequadamente os direitos de acesso. Essa lacuna entre identificação e autenticação abre brechas exploradas pela grande maioria dos ataques modernos.
O comportamento humano agrava o problema: segundo levantamento recente, cerca de 78% dos usuários ainda reutilizam senhas em múltiplos sistemas, mesclando acessos pessoais e profissionais. Isso significa que um único vazamento pode comprometer diferentes áreas e multiplicar o risco de ataques direcionados e infiltração na rede.
Casos recentes: ataques em 2025 expõem a fragilidade das credenciais
· Em abril de 2025, a Marks & Spencer, gigante varejista do Reino Unido, sofreu um ataque cibernético de grandes proporções. Hackers exploraram credenciais roubadas para acessar dados sensíveis de clientes, forçando a empresa a suspender pedidos online e ocasionando perdas estimadas em cerca de US$ 400 milhões, além de danos significativos à reputação e confiança da marca.
· Uma das maiores corretoras de dados dos EUA, a LexisNexis Risk Solutions, revelou em maio de 2025 que hackers acessaram informações pessoais de mais de 364 mil pessoas após uma violação dos sistemas internos.
· No Brasil, a empresa de tecnologia Sinqia, fundamental para operações financeiras e integração com o Pix, revelou que neste mês de setembro sofreu um ataque baseado na exploração de credenciais de fornecedores legítimos, permitindo um desvio superior a R$ 700 milhões do sistema. O incidente impactou profundamente bancos e fintechs, além de comprometer parte da confiança nos sistemas de transação instantânea brasileiros.globo+1
Esses casos ilustram uma tendência: mais de 90% das violações em 2025 originam-se por roubos de credenciais ou golpes de phishing, e não por explorações técnicas de sistemas — o elo mais fraco é o ser humano, em um cenário onde IA gera ataques hiper personalizados, imita vozes e estilos de comunicação e cria campanhas praticamente indistinguíveis das legítimas.
Mudança estratégica: de “phishable” para “unphishable”
Na MyCena®, entendemos que não basta intensificar treinamentos ou alertas. É preciso uma mudança estrutural: tornar a empresa inatacável (“unphishable”) por design.
Nivancir Naville – Country Manager – MyCena Security Solutions
Aviso: A opinião apresentada neste artigo é de responsabilidade de seu autor e não da ABES – Associação Brasileira das Empresas de Software
PT 
EN 
