Texto adaptado de smartcitiesdive.com
A inteligência artificial promete aumentar eficiência no trabalho. Mas também está tornando outra atividade muito mais eficiente: ataques cibernéticos.
Nos Estados Unidos, as redes de governos locais viram aumento de 42% em ataques cibernéticos em 2025, segundo análise da Motorola Solutions. O salto foi atribuído diretamente à proliferação de IA.
“Antigamente, atacantes tinham que usar a cabeça para criar e desenvolver sistemas de ataque”, disse David Utzke, especialista em segurança cibernética. “Com tecnologia de inteligência artificial, isso está sendo feito para eles”.
Utzke, ex-tecnólogo de crimes cibernéticos do Departamento do Tesouro dos EUA e atual CEO e CTO da MyKey Technologies, afirma que alguns dos maiores desenvolvedores de IA negligenciaram instalar proteções que impediriam usuários de explorar vulnerabilidades de redes.
O problema do acesso excessivo
Ao mesmo tempo, governos frequentemente concedem a funcionários acesso a extensos arquivos de dados muito além do escopo de suas funções imediatas. Isso significa que uma única conta comprometida pode abrir inúmeras portas adicionais para um atacante.
“Esse é um dos maiores problemas no governo”, afirmou Utzke.
Exemplo prático
Funcionário do RH tem acesso a:
- Dados pessoais de todos os servidores (CPF, endereço, salário)
- Sistema de folha de pagamento
- Cadastros de beneficiários de programas sociais
- Atas de reuniões confidenciais do prefeito
Por quê? Porque sistema nunca foi configurado para restringir acesso.
Consequência: Hacker invade conta desse funcionário, ganha acesso a tudo isso.
MFA não é mais seguro
Processos de autenticação multifator (MFA) usados por governos também são vulneráveis, segundo Utzke.
MFA funciona enviando aos usuários um texto com código ou passando por aplicativo de segurança. Mas “se seu sistema está comprometido, [o atacante tem] acesso a tudo isso”, disse Utzke.
Como hackers burlam o MFA
Método 1: SIM Swapping Atacante convence operadora de telefonia a transferir número da vítima para chip controlado por ele. Códigos SMS vão para hacker.
Método 2: Malware no Celular Aplicativo malicioso intercepta SMS antes de usuário ver.
Método 3: Phishing de App Autenticador Hacker cria site falso idêntico ao real, captura código que usuário digita.
Método 4: Engenharia Social Hacker liga fingindo ser suporte técnico, convence vítima a passar código.
Captcha está com os dias contados
Captcha, medida de segurança para eliminar bots usando imagens ou quebra-cabeças, também está amplamente comprometido porque IA consegue ler imagens, segundo Utzke.
Como a IA quebra o captcha
Captcha de texto distorcido: IA de reconhecimento óptico de caracteres (OCR) resolve em milissegundos.
Captcha de imagens (“clique em todas as faixas de pedestres”): IA de visão computacional identifica com 95%+ de precisão.
reCAPTCHA do Google (analisa comportamento): Bots avançados simulam movimentos de mouse humanos.
Captcha de áudio: IA de reconhecimento de fala transcreve.
“Todas essas coisas estão quebradas, o que torna identificação [ID] uma das maiores vulnerabilidades para entrar em sistemas atualmente”, disse Utzke.
O que costumava proteger e não protege mais
1. Senhas complexas IA testa bilhões de combinações por segundo.
2. Perguntas de segurança IA vasculha redes sociais, encontra respostas (nome de solteira da mãe, primeiro animal de estimação, cidade natal).
3. Captcha IA resolve.
4. MFA via SMS SIM swapping ou malware burla.
5. Biometria facial IA gera deepfakes convincentes.
Caso Stryker: credenciais roubadas
Utzke apontou ataque cibernético recente à empresa de tecnologia médica Stryker, que ele disse ter sido possibilitado por credenciais de funcionários roubadas.
Anatomia do ataque
Passo 1: Hacker obtém login/senha de funcionário (phishing, malware, vazamento de dados).
Passo 2: Acessa sistema interno da empresa.
Passo 3: Navega lateralmente (explora acesso excessivo, encontra servidores de dados sensíveis).
Passo 4: Exfiltra dados (prontuários médicos, informações de pacientes, propriedade intelectual).
Passo 5: Exige resgate (ransomware) ou vende dados na dark web.
Custo para Stryker: Milhões de dólares em remediação, multas regulatórias, processos judiciais, danos à reputação.
Solução é arquitetura zero-trust
Utzke disse que a proteção mais impactante que governos locais podem implementar é arquitetura zero-trust (confiança zero), que limita o escopo de acesso de funcionários a arquivos e dados.
O que é zero-trust?
Princípio: “Nunca confie, sempre verifique”.
Modelo tradicional (perímetro):
- Dentro da rede corporativa = confiável
- Fora = não confiável
Problema: Se hacker entra, tem acesso a tudo.
Modelo zero-trust:
- Ninguém é confiável por padrão
- Todo acesso é verificado
- Mínimo privilégio: Funcionário só acessa o que precisa para função específica
Como funciona na prática
1. Segmentação de Rede Dividir rede em zonas isoladas. Invasão em uma zona não compromete outras.
2. Acesso Baseado em Função (RBAC)
- RH acessa apenas sistemas de RH
- Educação acessa apenas sistemas de educação
- Saúde acessa apenas sistemas de saúde
3. Autenticação Contínua Não basta logar uma vez. Sistema verifica identidade constantemente:
- Localização mudou subitamente (estava em São Paulo, 5 minutos depois em Pequim)? Bloqueia.
- Comportamento anômalo (acessando arquivos que nunca acessou)? Alerta.
- Tentativa de transferência de dados incomum? Interrompe.
4. Microssegmentação Não apenas dividir rede em zonas grandes, mas em microsegmentos. Cada aplicação, cada servidor, cada banco de dados tem política de acesso própria.
5. Criptografia Ponta a Ponta Dados são criptografados em trânsito e em repouso. Mesmo se hacker intercepta, não consegue ler.
