“O crime digital virou negócio.” Essa afirmação é do perito criminal federal, Rodrigo Lange, que participou recentemente do 1º Painel Eskive – Desafios e Estratégias contra o Cibercrime no Brasil. Uma percepção que não é apenas notória, mas passível de ser comprovada — dados do Fórum Brasileiro de Segurança Pública dos últimos anos apontam que o cibercrime movimenta mais de 180 bilhões de reais anualmente no Brasil.
De acordo com Lange, esses números podem ser ainda maiores daqui pra frente, já que o cibercrime entrou em uma fase de industrialização, marcada por ataques automatizados com Inteligência Artificial (IA), terceirização de serviços e uma cadeia profissionalizada de fornecedores ilícitos. “O crime digital virou negócio, com divisão de tarefas, suporte técnico e até planos de assinatura para kits completos de invasão”, afirma.
Lange explica que o ponto mais crítico hoje não é apenas a sofisticação das técnicas, mas a velocidade com que os criminosos adotam automação e IA para aprimorar engenharia social, descobrir vulnerabilidades e escalar ataques. “Antes, o criminoso precisava desenvolver suas próprias ferramentas. Agora, ele compra o pacote pronto, com atualizações semanais e suporte especializado”, complementa.
Além da evolução tecnológica, os alvos também mudaram. Ambientes que antes eram negligenciados passaram a ser portas de entrada, como APIs expostas, integrações mal configuradas e dispositivos de Internet das Coisas (IoT). Para o perito, a defesa exige investimentos contínuos em inventário de ativos, autenticação forte, monitoramento e, acima de tudo, educação do usuário e dos times internos.
“Criminosos estão comprando acessos privilegiados dentro das empresas”
Outro movimento preocupante na prevenção de crimes digitais, segundo Lange, é o recrutamento de funcionários com acessos privilegiados. “Em grupos de Telegram e em redes sociais, criminosos têm oferecido quantias altíssimas para colaboradores dispostos a facilitar invasões. Os criminosos perceberam que, muitas vezes, é mais fácil comprar o acesso do que invadir”, diz.
Essa visão é compartilhada por Juliana D’Addio, Security Culture Strategist no Santander Brasil, que afirma com veemência que os atacantes já entenderam que têm mais chances de sucesso visando o fator humano, e não tecnológico. “Hoje, o cenário da segurança digital está muito mais centrado no uso massivo de engenharia social e aliciamento — os atacantes perceberam que é mais fácil hackear pessoas do que sistemas. Isso evidencia a necessidade de incluir as pessoas no centro dessa conversa”, pontua a executiva.
Juliana, que também participou do 1º Painel Eskive, lembra que uma pesquisa recente da CompTIA mostra que 81% das organizações classificam a cibersegurança como alta prioridade e 68% acreditam ter alta capacidade para lidar com o tema. No entanto, apenas 49% afirmam que é fácil obter financiamento para essas iniciativas.
“Estamos, sim, avançando em direção a uma cultura de segurança digital que vai além das ações de compliance ou dos treinamentos pontuais. Ainda assim, falta transformar essa prioridade declarada em prática concreta — especialmente quando se trata de investir no fator humano, o elo mais explorado pelos atacantes”, finaliza.
Fornecedores viram o ‘atalho’ do crime digital
O ataque à cadeia de suprimentos se tornou outro dos vetores mais explorados no cenário atual. “Para atingir uma empresa grande, basta atacar o pequeno fornecedor. O criminoso não precisa escalar o castelo se o parceiro já deixou um portão meio aberto”, destaca Lange.
A confiança excessiva em integrações e terceirizações, sem verificação contínua, cria brechas significativas. A recomendação geral é de que os contratos passem a incluir requisitos mínimos de segurança, segmentação de acessos e monitoramento permanente dos terceiros conectados ao ambiente corporativo.
Para Priscila Meyer, CEO da Eskive e especialista em segurança da informação e redução do risco humano, que mediou o evento online, muitos incidentes de grande porte que vimos recentemente na mídia poderiam ser evitados com algumas práticas simples, como diligências prévias e obrigações contratuais de que o fornecedor tenha no mínimo a mesma infraestrutura de cibersegurança que a empresa que o está contratando.
“É necessário lembrar que as third-parties estão intimamente relacionadas ao seu negócio, muitas vezes armazenando e processando dados de seus clientes e parceiros. É essencial garantir que elas sigam frameworks respeitados no mercado e, é claro, também invistam na conscientização do fator humano”, explica. “De nada adianta você construir um castelo e anexá-lo a uma pequena casa que não possui proteção alguma”.
“Sem preservação correta de logs e metadados, investigação se torna inviável”
Segundo Lange, muitas empresas ainda pecam na preservação de evidências digitais, como logs, versões de arquivos, metadados e hashes. “Sem esses dados, a investigação fica incompleta, como um quebra-cabeça sem metade das peças.”
Ele lembra que desde 2019 a cadeia de custódia digital é exigência legal no Brasil, prevista no Código de Processo Penal. Isso significa que qualquer evidência deve seguir um caminho formal de coleta, armazenamento, registro de responsáveis e controle de acesso. “Sem cadeia de custódia, qualquer prova pode ser questionada. Não por má-fé, mas porque não é possível comprovar que permaneceu íntegra”, explica.
Lange recomenda que empresas adotem processos formais, geração de hash, trilhas imutáveis de log e que sigam normas de referência, como a NIST SP 800-86, que orienta a integração de técnicas forenses na resposta a incidentes.
