Uso de credenciais válidas respondeu por 25% dos vetores de entrada em incidentes de segurança investigados globalmente pela Kaspersky em 2025; especialistas explicam como esse tipo de acesso pode viabilizar ataques
O sistema de alertas extremos da Defesa Civil, utilizado para avisar a população sobre emergências climáticas iminentes, como chuvas fortes e alagamentos, foi alvo de um disparo não autorizado na madrugada do último sábado (20). Moradores de pelo menos sete estados relataram ter sido surpreendidos por avisos sonoros e mensagens de texto contendo a palavra “misantropia”.
O incidente causou surpresa e confusão, além de acender o alerta sobre a segurança digital de plataformas de utilidade pública no país. O caso já está em investigação pela Polícia Federal, e há suspeitas de que credenciais comprometidas tenham possibilitado o acesso à plataforma por terceiros. Com base em dados de investigações de incidentes reais, especialistas da Kaspersky explicam caminhos comuns para este tipo de ocorrência.
Dados do relatório “Anatomia de um Mundo Cibernético”, da Kaspersky Security Services, mostram que, em 2025, o uso de credenciais de acesso válidas (logins e senhas reais) respondeu por 25% dos vetores de entrada em incidentes de segurança identificados pela Kaspersky mundialmente. Ao obter um acesso oficial e válido, o invasor entra “pela porta da frente” do sistema, burlando soluções tradicionais de segurança sem precisar de técnicas complexas de invasão. Esse vetor fica atrás apenas da exploração de aplicações expostas na internet, responsáveis por 44% dos casos iniciais de incidentes.
Para conseguir acesso a contas válidas, os cibercriminosos utilizam amplamente os infostealers,pragas especializadas em roubar silenciosamente senhas corporativas e cookies de sessão salvos em navegadores. Essa ciberameaça está em forte crescimento no país. Em 2025, as soluções de endpoint da Kaspersky registraram mais de 43.000 bloqueios relacionados a infostealers no Brasil, um aumento de 25% em comparação com as 34.500 tentativas de infecção bloqueadas em 2024.
Quando esse programa malicioso obtém sucesso, os dados abastecem mercados de venda de acessos e vazamentos massivos de dados corporativos. Em 2024, mais de 37 milhões de registros de brasileiros foram publicados na dark web por essa via, sendo 5,6 milhões de contas ligadas diretamente a funcionários públicos, de acordo com o monitoramento da Kaspersky Digital Footprint Intelligence (DFI).
Muitas invasões ocorrem de maneira indireta, quando cibercriminosos atacam parceiros comerciais, fornecedores ou prestadores de serviços terceirizados, como empresas de TI ou suporte técnico, que possuem permissões de acesso integradas à rede principal da vítima. Esse modelo de invasão, conhecido como relação confiável, respondeu por 16% das invasões investigadas globalmente pela Kaspersky.
O vetor acende o alerta para falhas na cadeia de suprimentos, reforçando a importância de monitorar e exigir os mesmos padrões de segurança digital de todos os parceiros de negócios que tenham acesso aos sistemas da organização.
“Ainda que não haja confirmação oficial de como os invasores acessaram o sistema da Defesa Civil, o roubo de credenciais de colaboradores por meio de infostealers é uma das hipóteses mais prováveis, especialmente se houver uso de dispositivos pessoais desprotegidos para acessar sistemas corporativos. Os criminosos não precisam quebrar defesas complexas quando conseguem simplesmente entrar usando login e senha válidos comprados na dark web”, afirma Fabio Assolini, pesquisador líder de segurança da Kaspersky.
Para evitar o comprometimento de acessos e mitigar o impacto de vazamentos de credenciais, as organizações públicas e privadas precisam adotar medidas de proteção de forma contínua e integrada em seus processos cotidianos:
- Autenticação Multifator (MFA) obrigatória: Exigir múltiplos fatores de confirmação (como biometria ou tokens físicos) para acesso a painéis administrativos e sistemas de disparo de mensagens.
- Monitoramento da darkweb: Utilizar serviços de inteligência de ameaças para rastrear se credenciais e domínios da organização foram expostos em logs de infostealers à venda no mercado negro.
- Higiene de senhas corporativas: Proibir o armazenamento de senhas de trabalho em navegadores pessoais e restringir o acesso a sistemas críticos a partir de dispositivos que não tenham soluções de segurança gerenciadas pela organização.
- Treinamento de conscientização: Capacitar os colaboradores para que saibam reconhecer golpes de engenharia social e phishing, que são as principais portas de entrada para infecções por malware.
