Uma Contribuição ao Mês da Conscientização em Cibersegurança

Outubro é reconhecido mundialmente como o Mês da Conscientização em Cibersegurança, uma iniciativa global, capitaneada desde 2004 pela  CISA – Cybersecurity and Infrastructure Agency (CISA) e pela  National Cybersecurity Alliance Org. Em contribuição a este movimento essencial, nossos especialistas da iTProtect criaram esta série de artigos. Nosso objetivo é democratizar o conhecimento em segurança, proteção e resiliência digital, oferecendo a você, sua família e sua empresa ferramentas práticas para navegar no mundo conectado com mais confiança.

O Paradoxo da Cibersegurança no Brasil

Vivemos em uma era de contradições digitais, e o Brasil exemplifica perfeitamente esse cenário. Por um lado, o país se posiciona como uma potência em inovação e investimento no setor tecnológico. Em 2024, o Brasil alcançou o 12º lugar no Mercado de Segurança Cibernética Global, um reflexo do volume significativo de capital direcionado para proteger infraestruturas digitais. Projeções indicam que os investimentos na área alcançarão a marca de R$ 104,6 bilhões entre 2025 e 2028, demonstrando um claro reconhecimento da importância da cibersegurança por parte de empresas e do governo.

Contudo, por outro lado, emerge um paradoxo preocupante: enquanto as defesas tecnológicas se fortalecem, o conhecimento da população sobre segurança e privacidade digital está em declínio. Um estudo global recente revelou que o Brasil registrou uma queda em quase todos os indicadores de cibersegurança, atingindo um score geral de 54 pontos, três abaixo da média mundial de 57. Essa regressão é ainda mais visível na distribuição dos perfis de conhecimento: apenas 8% dos brasileiros são classificados como “Cyber Stars”, indivíduos com alto nível de conhecimento e práticas consistentes de segurança. Em contrapartida, o grupo de “Cyber Tourists”, que possuem apenas noções superficiais, cresceu de 22% para 29% em um ano, um número alarmantemente acima da média global.

Essa disparidade cria o que pode ser chamado de “Gap de Conscientização”. As organizações estão investindo em muralhas digitais cada vez mais altas e sofisticadas, mas os adversários cibernéticos, cientes dessa tendência, redirecionam seus esforços. Eles sabem que é mais eficiente e menos custoso enganar o guarda do que tentar derrubar o muro. A constatação de que mais de 80% dos ataques cibernéticos bem-sucedidos exploram falhas humanas valida essa estratégia. Portanto, o principal campo de batalha da cibersegurança moderna no Brasil não está nas tecnologias mais avançadas – que já são realidade na maior parte dos ambientes corporativos maduros -, mas na mente de cada usuário.

Este primeiro artigo da nossa série especial para o Mês da Concientização em Cibersegurança irá desvendar as ameaças mais prementes que exploram essa vulnerabilidade, estabelecendo a base de conhecimento necessária para que todos possam se proteger de forma eficaz.

Desconstruindo as Ameaças Modernas: Mais do que Nomes, Estratégias

Para construir uma defesa robusta, é preciso primeiro entender as táticas do adversário. As ameaças cibernéticas evoluíram de ataques genéricos para operações sofisticadas e personalizadas, muitas vezes combinando tecnologia de ponta com manipulação psicológica. A seguir, detalhamos as principais ameaças que definem o cenário de risco atual no Brasil.

Phishing e Engenharia Social na Era da IA

O phishing, a prática de usar e-mails e mensagens fraudulentas para roubar informações, não é uma ameaça nova, mas sua escala e sofisticação atingiram níveis sem precedentes. Um levantamento recente revelou um crescimento alarmante de 617% nas tentativas de phishing no Brasil em apenas 12 meses, totalizando mais de 134 milhões de tentativas de golpe.³ Esse aumento explosivo é impulsionado por dois fatores principais: a retomada da atividade econômica, que aumenta o volume de transações digitais, e, de forma mais impactante, o avanço da Inteligência Artificial (IA) generativa.

No passado, e-mails de phishing eram frequentemente identificáveis por erros de português, formatação estranha ou endereços de remetente suspeitos, como aponta o checklist tradicional de segurança. Hoje, a IA permite que criminosos criem mensagens perfeitamente redigidas, contextualizadas e personalizadas em escala massiva. Ferramentas de IA podem analisar perfis de redes sociais para criar iscas sob medida, tornando a detecção baseada em sinais de alerta antigos praticamente obsoleta. O ataque não é mais um e-mail genérico sobre um prêmio de loteria; é uma mensagem específica sobre uma entrega que você realmente espera ou um problema com um serviço que você de fato utiliza.

Como se proteger (dicas iniciais):

• Desconfie da urgência: Sempre que uma mensagem exigir uma ação imediata, pare e pense.
• Verifique por outro canal: Recebeu um pedido suspeito do seu chefe por e-mail? Ligue para ele. O banco enviou um alerta? Acesse o site oficial digitando o endereço no navegador, nunca pelo link recebido.
• Não clique, digite: Em vez de clicar em links, digite o endereço do site oficial diretamente no seu navegador.

Aprofundaremos essas e outras estratégias de defesa nos próximos artigos desta série.

Ransomware: O Sequestro Digital que Paralisa Negócios

O ransomware, um tipo de malware que criptografa os dados da vítima e exige um resgate para liberá-los, evoluiu de um problema individual para uma ameaça sistêmica capaz de paralisar empresas e infraestruturas críticas. A escala do impacto financeiro mudou drasticamente: enquanto o custo médio de um vazamento de dados em 2024 era de R$ 5,8 milhões, um único grande incidente de ransomware em 2025 pode gerar prejuízos de até R$ 670 milhões.

O Brasil tem sido um alvo frequente e de alto perfil. Em 2024, ataques de ransomware comprometeram operações de instituições vitais, como o Instituto Nacional do Câncer (INCA), que teve que suspender tratamentos; a operadora Oi, que teve suas operações paralisadas por dias; e até mesmo uma tentativa de invasão ao Banco do Brasil. Esses exemplos demonstram que o objetivo do ransomware moderno não é apenas sequestrar arquivos de um computador, mas interromper a continuidade dos negócios, muitas vezes explorando vulnerabilidades na cadeia de suprimentos para maximizar o dano e a pressão pelo pagamento do resgate.

Como se proteger (dicas iniciais):

• Backup é fundamental: Mantenha cópias de segurança regulares dos seus arquivos importantes em um local separado (HD externo ou na nuvem).
• Cuidado com downloads: Evite baixar softwares de fontes não confiáveis ou piratas.
• Mantenha tudo atualizado: Atualizações de sistema e aplicativos corrigem falhas de segurança que podem ser exploradas.

A Ascensão da Fraude por Deepfake: Quando “Ver para Crer” se Torna um Risco

A tecnologia deepfake, que utiliza IA para criar vídeos e áudios falsos e ultrarrealistas, emergiu como a próxima fronteira da engenharia social. O Brasil registrou um crescimento de 830% em crimes envolvendo essa tecnologia entre 2022 e 2023, sinalizando uma rápida adoção por parte de agentes maliciosos.

Essa ameaça já se manifesta de formas concretas. Um dos golpes mais sofisticados é a fraude de CEO. Em um caso real ocorrido em 2023, um funcionário de uma empresa em Hong Kong foi enganado em uma videochamada. Utilizando tecnologia deepfake, os criminosos recriaram a imagem e a voz do diretor financeiro da empresa, que instruiu o funcionário a realizar múltiplas transferências urgentes. A falsificação era tão convincente que o funcionário transferiu o equivalente a US$ 26 milhões para os golpistas, que só descobriram a fraude após o dinheiro ter desaparecido.

No Brasil, criminosos já utilizaram vídeos falsos simulando a imagem de figuras públicas para promover golpes financeiros e aplicar fraudes pela internet. O perigo do deepfake reside em sua capacidade de minar a confiança naquilo que vemos e ouvimos.

Como se proteger (dicas iniciais):

• Crie uma “palavra de segurança”: Combine com familiares e colegas de trabalho uma palavra-chave secreta para ser usada em comunicações de áudio ou vídeo que envolvam pedidos urgentes de dinheiro ou informações.
• Questione a qualidade: Fique atento a movimentos estranhos, falta de sincronia labial ou iluminação inconsistente no vídeo.
• Verificação por outro meio: Assim como no phishing, se receber um pedido financeiro urgente por vídeo ou áudio, desligue e confirme a solicitação por outro canal, como uma ligação para o número que você já tem salvo.

Vazamentos de Dados: Sua Identidade no Mercado Clandestino

Vazamentos de dados, seja por ataques diretos ou falhas de segurança, expõem informações pessoais e corporativas que se tornam matéria-prima para uma vasta gama de crimes cibernéticos. Uma vez que dados como e-mails e senhas são comprometidos, eles são frequentemente compilados e vendidos em mercados clandestinos.

É fundamental que cada indivíduo adote uma abordagem proativa para monitorar sua própria exposição digital. A principal ferramenta para essa verificação é o serviço (https://haveibeenpwned.com/) (HIBP). Criado pelo especialista em segurança Troy Hunt, o HIBP é um banco de dados que agrega informações de centenas de vazamentos conhecidos.

O que fazer se seu e-mail foi vazado?

1. Acesse o site do HIBP e digite seu endereço de e-mail. O site informará em quais vazamentos conhecidos seu e-mail apareceu.
2. Mude sua senha imediatamente: A primeira ação é trocar a senha da conta associada ao vazamento.
3. Troque senhas reutilizadas: Se você usava essa mesma senha em outros serviços, troque-a em todos Este é o maior risco de um vazamento.
4. Ative a autenticação multifator (MFA): Adicione essa camada extra de segurança em todas as contas que oferecem o recurso.

Como verificar se suas senhas vazaram?

O HIBP também possui uma seção segura para verificar senhas. A ferramenta utiliza um método chamado k-anonimato, que garante que sua senha completa nunca seja enviada ao site. Você digita a senha, e seu navegador envia apenas os primeiros cinco caracteres do “hash” (uma representação criptográfica) dela. O site retorna uma lista de todos os hashes que começam com esses caracteres, e seu navegador verifica localmente se a sua senha está na lista, garantindo sua privacidade durante a consulta. Se sua senha for encontrada, pare de usá-la imediatamente.

Conclusão: O Primeiro Passo é a Consciência

O cenário de cibersegurança no Brasil é complexo e desafiador. Os investimentos em tecnologia são vitais, mas se mostram insuficientes diante de um adversário que foca sua estratégia na exploração do fator humano. A sofisticação de ameaças como phishing com IA, ransomware sistêmico e fraudes por deepfake exige uma nova mentalidade. A segurança digital não começa com a compra de um software, mas com a aquisição de conhecimento. Entender os riscos, as táticas dos criminosos e as ferramentas disponíveis para se defender é o primeiro e mais importante passo para transformar a vulnerabilidade em resiliência. Nos próximos artigos desta série, aprofundaremos as estratégias de defesa, fornecendo um arsenal de hábitos e ferramentas para proteger sua vida digital, sua família e seus negócios