O próximo grande ataque à cibersegurança da sua empresa pode não precisar de um malware sofisticado. Pode começar com a ajuda de um colaborador financeiramente vulnerável. Ou ser feito por alguém insatisfeito com a liderança. Ou, simplesmente, partir de um funcionário mentalmente exausto. Invasões com credenciais legítimas confirmam um pesadelo antigo da cibersegurança: o elo mais fraco não é a tecnologia, é o humano. E essa vulnerabilidade é invisível aos modelos tradicionais de defesa. Porque nenhum firewall bloqueia vulnerabilidade emocional. E nenhum SIEM (Security Information and Event Management) detecta ressentimento. Pelo menos não até agora
“O atacante não precisa arrombar a porta, porque ele pode ter permissão legítima de acesso aos sistemas da empresa, e aí o problema deixa de ser tecnológico e passa a ser comportamental”, alerta Milton Lima, pesquisador líder em Cyber Threat Intelligence no Centro Integrado de Segurança em Sistemas Avançados (CISSA), o Centro de Competência Embrapii em cibersegurança operado pelo CESAR.
A chave está no comportamento
Isso nos tira do campo dos códigos de programação para entrar no terreno da psicologia, comportamento organizacional, engenharia social e cooptação de pessoas, e nos leva à conclusão de que zero trust é inevitável. O recrutamento de colaboradores por grupos de cibercrime está crescendo. E, em alguns casos, conecta-se a dinâmicas geopolíticas mais amplas. Há países que utilizam o cibercrime como instrumento econômico e estratégico, explorando exatamente essas brechas humanas dentro das organizações.
Essa dinâmica implode o antigo modelo do “Castelo e Fosso”: muros altos por fora, circulação livre por dentro. Em um ambiente de nuvem e trabalho híbrido, a gestão de acessos tornou-se a nova fronteira física da empresa — e essa fronteira é invisível. O desafio para as empresas é identificar esse risco sem criar um ambiente de vigilância tóxica que destrua a confiança dos colaboradores. Milton atua nesse território, em um grupo de pesquisa no CISSA que desenvolve o “Cyber MOHO” um sistema adaptativo de análise e prevenção de atividades anômalas a partir da estimativa de risco e degradação do comportamento humano.
Em um cenário de nuvem e trabalho híbrido, a gestão de acessos se tornou a nova ‘fronteira física’ da empresa, exigindo um outro tipo de estratégia e investimento, como a microssegmentação por análise de comportamento, que é invisível. Para Milton, a segurança moderna precisa incorporar variáveis que vão além da tecnologia. “Firewall não bloqueia motivação”, resume. “Quando a credencial é legítima, a ferramenta tradicional não vê o ataque.”
Os dados de mercado provam a tese
Pesquisas recentes mostram como o fator humano continua no centro do risco cibernético: 77% das empresas relataram perda de dados ligada a incidentes internos nos últimos 18 meses, frequentemente associada a erro humano ou uso indevido de IA generativa. E 97% dos profissionais de segurança afirmam estar preocupados com ameaças internas, negligentes ou maliciosas, enquanto 73% dos líderes de segurança apontam colaboradores descuidados ou mal informados como principal preocupação.
A sofisticação tecnológica não eliminou o fator humano — ela o tornou mais estratégico. A Inteligência Artificial Generativa reduziu drasticamente o tempo de criação de iscas de phishing, industrializando a engenharia social. O atacante ganhou escala infinita para clonar identidades, simular lideranças e reproduzir contextos corporativos com precisão. Nesse cenário, confiar apenas em treinamentos de *security awareness* tornou-se insuficiente.
O desafio, como destaca Milton nessa entrevista à The Shift, é equilibrar proteção e confiança. “Se a organização exagera no controle, destrói o ambiente. Se ignora os sinais, se expõe ao risco.” O monitoramento comportamental levanta questões jurídicas e éticas — LGPD, privacidade, transparência — mas ignorar o problema não o elimina. Há um alerta que atravessa toda a conversa: se a empresa investir milhões em tecnologia e não prestar atenção às pessoas, continuará vulnerável. “Não é só tecnologia”, diz Milton. “Segurança hoje é multidisciplinar. Sem entender pessoas, não existe defesa robusta.”
Zero trust deixa de ser um conceito técnico para assumir o papel de estratégia organizacional. Confira, na entrevista completa abaixo, porque o futuro da cibersegurança exige algo que muitas empresas ainda evitam enfrentar: olhar para dentro.
A psicologia humana continua sendo o “exploit” mais eficaz — mesmo na era da IA e das defesas milionárias?
“Sem dúvida. E esse é justamente o ponto mais desconfortável. Quando falamos de ataques com credenciais legítimas, deixamos de discutir apenas tecnologia. Entramos em um território que envolve psicologia, comportamento organizacional, direito trabalhista, privacidade de dados e, cada vez mais, geopolítica. O termo “insider” costuma suavizar a discussão. Mas estamos falando de indivíduos de confiança que, por diferentes razões, podem praticar atos prejudiciais usando acesso legítimo.
Os “insiders” podem ser pessoas:
- Cooptadas pelo Crime Organizado: Indivíduos aliciados por grandes redes criminosas, muitas vezes com apoio de nações que se beneficiam do cibercrime.
- Descontentes: Funcionários insatisfeitos ou revoltados com a organização.
- Vulneráveis: Pessoas em situação de vulnerabilidade financeira ou pessoal (doença grave na família, estresse, burnout), que recebem uma oferta de ajuda de cibercriminosos em troca de credenciais. E isso pode ser identificado pelos cibercriminosos via redes sociais, por exemplo.
- Inadvertidas: Aquelas que caem em phishing ou outras armadilhas por imperícia.
E existe ainda uma camada mais ampla: o uso estratégico do cibercrime por Estados. Hoje há países que, direta ou indiretamente, se beneficiam de operações cibernéticas como forma de geração de receita ou como instrumento de guerra híbrida. Em economias altamente fechadas, com sanções internacionais, o cibercrime passa a ser vetor econômico. Isso significa que o colaborador cooptado dentro de uma organização não é apenas um problema local. Ele pode estar conectado a estruturas transnacionais sofisticadas.
E quando uma credencial legítima é utilizada para um ataque, nenhuma ferramenta tradicional detecta isso de imediato. Firewall não bloqueia intenção. SIEM não bloqueia motivação. O risco deixa de ser técnico. Passa a ser humano.
O que você está dizendo é que o modelo de segurança “castelo e fosso” perdeu relevância, porque o perímetro mudou, e o comportamento também?
“Completamente. A lógica de perímetro partia do pressuposto de que o inimigo estava fora. Hoje, ele pode estar dentro — ou pode entrar com convite. E muitas vezes o vetor não é um malware sofisticado. É um telefonema. É uma proposta financeira de criminosos feita a alguém em situação vulnerável. É uma mensagem personalizada gerada por IA que pode enganar uma pessoa inadvertidamente.
Mas existe um ponto ainda mais sensível: a degradação de comportamento. Vou usar um exemplo industrial. Imagine uma operadora que executa a mesma tarefa por 20 anos. Ao longo do tempo, seu padrão muda — por cansaço, excesso de confiança ou estresse. O ciclo de desempenho oscila. No ambiente corporativo, algo semelhante acontece. Mudanças pequenas — horários, acessos, padrão de navegação, rotinas — podem indicar degradação. Por exemplo, uma pessoa que trabalha há anos na empresa, cumprindo seus horários e que, de repente, começa a chegar todos os dias meia hora mais cedo. Esse é um caso real: essa pessoa estava usando esse tempo para roubar informações dos servidores da empresa.
O problema é que segurança tradicional trabalha com workflow: sequência previsível de eventos. O comportamento humano não segue workflow. Ele é declarativo, errático. Eu posso pegar o mesmo ônibus todos os dias. Mas um dia desço antes para tomar um sorvete. Não há regra fixa que antecipe isso. Por isso, precisamos trabalhar com inferência probabilística de risco — não com regras determinísticas.”
É nesse contexto que surge o projeto Cyber MOHO?
“Sim. Estamos desenvolvendo o Cyber MOHO (Modelagem de Ocupação Humana) aplicado à cibersegurança. A proposta é criar um modelo de alerta para a organização, não punitivo, baseado em mudança de comportamento humano. Ele visa identificar degradação do comportamento (queda de desempenho ou atenção devido a cansaço, excesso de confiança) e comportamentos anômalos (alterações significativas na rotina, acesso a sites incomuns, etc.).
O modelo trabalha a partir de quatro conceitos-chave para a modelagem do comportamento humano:
- Volição — motivação, apatia, cinismo.
- Habituação — ruptura de rotinas protetoras.
- Capacidade de desempenho — degradação na qualidade das entregas.
- Ambiente — pressões organizacionais, mudanças estruturais, entropia setorial.
Combinamos isso com dados técnicos, como logs, padrões de acesso, mineração de processos, redes bayesianas, algoritmos genéticos adaptativos, para criar um sistema de alerta. Mas é importante reforçar: não estamos criando um modelo punitivo. Estamos construindo um sistema de alerta baseado em evidências agregadas. Ele indica níveis de risco — normal, degradado ou anômalo. A decisão sobre o que fazer com a informação continua sendo humana.”
Você comentou comigo que isso lembra o filme Minority Report, certo?
“Essa comparação é inevitável. No filme, você pune alguém antes do crime. Aqui não se trata disso. Trata-se de estimar risco com base em padrões comportamentais. E isso exige extremo cuidado jurídico e ético. Temos pesquisadoras trabalhando especificamente na camada trabalhista e de privacidade. Estamos alinhando o modelo à LGPD, GDPR e padrões internacionais.
A organização precisa se resguardar — mas não pode transformar o ambiente em vigilância tóxica. O colaborador precisa saber que existem mecanismos de monitoramento. Transparência é fundamental. Se a empresa exagera no controle, destrói confiança. Se ignora completamente, expõe-se ao risco. Esse é um equilíbrio delicado.”
A cooptação de pessoas via crime organizado é realmente frequente?
“Mais do que se imagina. Hoje, redes criminosas monitoram redes sociais em busca de vulnerabilidades humanas. Um colaborador com cargo estratégico publica que está passando por uma dificuldade financeira ou familiar. Isso pode ser suficiente para iniciar uma abordagem. Não é ficção. É realidade.
E não se trata apenas de dinheiro. Pode haver motivação ideológica, ressentimento organizacional ou exploração de conflitos internos. Por isso, a discussão não é apenas tecnológica. É cultural. Se a organização não presta atenção em sua equipe, se não há escuta ativa, se o ambiente é tóxico ou negligente, ela aumenta seu risco interno.”
A IA generativa agravou o problema?
“Sem dúvida. Phishing hiperpersonalizado, deepfake de voz, simulação de liderança. O tempo de criação de um ataque de engenharia social caiu drasticamente de horas para minutos, usando IA Generativa.
Mas a resposta não é abandonar a tecnologia. É usar IA contra IA — com abordagem híbrida. Não podemos depender exclusivamente de modelos automatizados. Há risco de falso positivo, viés e imprecisão. Além disso, há um ponto estratégico: quando desenvolvemos sistemas de defesa, seguimos padrões arquiteturais. O cibercriminoso não segue padrão algum. Ele pode usar um LLM para criar algo fora da curva, fora da arquitetura tradicional. Esse é um desafio estrutural.”
O novo cenário exige um outro modelo de equipe de cibersegurança e um outro comportamento das empresas?
“Exige mudança de mentalidade. Segurança não pode ser apenas operação de ferramenta. Precisa ser multidisciplinar. O profissional de cibersegurança precisa entender negócio, pessoas, processos, cadeia de suprimentos e direito.
Mas há algo ainda mais importante: Se a empresa investir milhões em tecnologia e ignorar as pessoas, continuará vulnerável. Prestando atenção genuína às equipes — bem-estar, pressão, degradação de desempenho, sinais de desgaste — a organização reduz risco e melhora cultura. O fator humano pode ser o elo mais fraco. Mas também pode ser a primeira linha de defesa — se for cuidado.”
Em última instância, qual é o alerta?
“O risco não está apenas fora. Ele pode nascer dentro. Não se trata de desconfiar das pessoas. Trata-se de entender que comportamento, motivação e ambiente organizacional fazem parte da superfície de ataque. Tecnologia é necessária. Mas tecnologia sem atenção ao indivíduo é incompleta. A defesa robusta é a combinação de tecnologia avançada, inteligência comportamental, arcabouço jurídico e cultura organizacional saudável.”