Recentemente grave ataque cibernético com inteligência artificial gerou prejuízo superior a R$ 1 bilhão para a prestadora de serviços C&M, colocando em alerta o setor financeiro.
O incidente afetou a empresa BMP, especializada em soluções de Banking as a Service, após um invasor explorar vulnerabilidades na infraestrutura da C&M.
O criminoso teve acesso a diversas contas no sistema financeiro, evidenciando como a inteligência artificial pode ser usada de forma maliciosa.
Inteligência artificial se torna arma nas mãos dos cibercriminosos
O caso recente ilustra como o chamado “ataque cibernético com inteligência artificial” está se tornando cada vez mais sofisticado. Esse fenômeno é explicado por um paradoxo: a mesma tecnologia que protege empresas é utilizada por hackers para violar sistemas.
A chegada dos agentes de IA — que conseguem planejar, executar e adaptar estratégias de forma autônoma — amplia os riscos. Esses agentes são capazes de realizar ações como agendar reuniões, alterar configurações de segurança e até controlar dispositivos remotamente.
Ao contrário das empresas, que enfrentam regras e regulamentações, os criminosos não têm limitações. Isso lhes permite agir com rapidez e criatividade, dificultando a defesa por parte das instituições.
Em meio a esse cenário, as corporações precisam adotar abordagens de segurança mais robustas e dinâmicas.
Especialista destaca falhas e propõe Zero Trust
Edison Fontes, CISO da NAVA e especialista com mais de três décadas de experiência, alerta que os modelos tradicionais de segurança já não são suficientes para conter um ataque cibernético com inteligência artificial.
Segundo ele, muitas organizações ainda baseiam decisões de segurança apenas no custo, ignorando os impactos financeiros, legais e operacionais de um possível incidente.
Ele ressalta a importância da arquitetura de segurança bem definida, da gestão de riscos e da implementação do conceito Zero Trust — que assume que nenhuma entidade é confiável por padrão, exigindo validação constante.
Implementação do conceito Zero Trust, “não confiar para sempre e validar a todo momento” é fundamental para o mundo atual. O controle comportamental e impedimentos para situações não comuns são controles simples, mas que impedem grandes fraudes, afirma Edson Fontes
Além disso, controles comportamentais simples, como limites de transações e verificação de padrões, podem ser extremamente eficazes na prevenção de fraudes sofisticadas.
Fontes afirma que o ataque à C&M envolveu o uso de credenciais legítimas e só foi identificado por um comportamento fora do padrão. Isso sugere falhas nos mecanismos de detecção baseados em comportamento, uma das linhas de defesa mais críticas no combate a esse tipo de ameaça.
Prevenção também é responsabilidade dos usuários
Embora esse tenha sido um ataque cibernético com inteligência artificial em escala empresarial, os usuários comuns também devem estar atentos.
Edison recomenda que cada cidadão revise os limites de transferência (TED ou PIX) definidos em seus bancos, pois muitas vezes os valores são desproporcionais ao seu padrão de uso.
Ser proativo na proteção cibernética é essencial em um ambiente digital cada vez mais vulnerável.
Com um histórico extenso em empresas renomadas e autor de diversos livros sobre segurança da informação, Edison Fontes reforça que “estamos em uma sociedade de informação líquida”, onde os dados circulam com rapidez e os riscos aumentam na mesma proporção. Assim, a proteção precisa evoluir continuamente.
