Qual porcentagem de líderes empresariais se sente preparada para as ameaças modernas de cibersegurança?

82% dos 3.500 líderes empresariais pesquisados se sentem preparados para as ameaças modernas, apesar dos ataques baseados em IA evoluírem mais rápido do que suas defesas.

Quanto áudio é necessário para clonar a voz de alguém de forma convincente?

Ferramentas disponíveis comercialmente conseguem replicar a voz de alguém com apenas alguns segundos de áudio, de forma convincente o suficiente para enganar familiares, colegas ou instituições financeiras.

Por que filtros de spam ou scanners de e-mail não conseguem detectar ataques de clonagem de voz?

A clonagem de voz opera por meio de chamadas telefônicas, e não por e-mail, tornando-se uma capacidade de engenharia social que nenhum filtro de spam ou scanner de e-mail foi desenvolvido para detectar.

Como o phishing gerado por IA difere do phishing tradicional?

Ao contrário do phishing tradicional, que frequentemente continha erros gramaticais e saudações genéricas, o phishing gerado por IA utiliza grandes modelos de linguagem para produzir mensagens altamente personalizadas que fazem referência a detalhes reais sobre o alvo.

A autenticação multifator pode proteger contra ataques de engenharia social baseados em IA?

Até mesmo a autenticação multifator pode ser contornada quando um alvo é enganado e entrega um código de uso único durante uma chamada de clonagem de voz.

Phishing com IA e Deepfakes Superam as Defesas Corporativas em Pesquisa de 2025

Uma nova pesquisa com 3.500 líderes empresariais revela um quadro contraditório da cibersegurança corporativa: 82% dos entrevistados se sentem preparados para as ameaças modernas, mas ataques baseados em IA — incluindo clonagem de voz, imagens deepfake e phishing gerado por IA — evoluem mais rápido do que as organizações criadas para detê-los. A lacuna entre a prontidão percebida e a exposição real é exatamente onde os invasores prosperam, e os indivíduos estão cada vez mais no meio do fogo cruzado.

Para os usuários comuns, os resultados da pesquisa são um aviso prático. Quando as defesas de nível empresarial têm dificuldade em acompanhar o phishing com IA e a engenharia social baseada em deepfakes, os indivíduos que usam dispositivos pessoais, redes domésticas e contas de e-mail para consumidores enfrentam as mesmas ameaças com muito menos proteções disponíveis.

Como o Phishing Gerado por IA e a Clonagem de Voz Agem Contra Usuários Comuns

O phishing tradicional dependia de sinais óbvios: erros gramaticais, endereços de remetentes suspeitos e saudações genéricas. O phishing gerado por IA elimina a maioria dessas pistas. Utilizando grandes modelos de linguagem, os invasores agora conseguem produzir mensagens altamente personalizadas que fazem referência a detalhes reais sobre o alvo — seu empregador, compras recentes ou atividades publicamente visíveis —, tudo coletado e montado automaticamente.

A clonagem de voz acrescenta mais uma camada. Com apenas alguns segundos de áudio, ferramentas disponíveis comercialmente conseguem replicar a voz de alguém de forma convincente o suficiente para enganar familiares, colegas ou instituições financeiras. Uma ligação falsa que parece ser de um executivo da empresa pedindo a um funcionário que transfira fundos, ou uma voz clonada de um familiar alegando estar em apuros, representa uma capacidade de engenharia social que nenhum filtro de spam ou scanner de e-mail foi desenvolvido para detectar.

Deepfakes de vídeo extremamente convincentes seguem a mesma lógica. Eles são usados para se passar por figuras de autoridade em videochamadas, fabricar evidências de eventos que nunca ocorreram e manipular alvos para que divulguem credenciais ou autorizem acessos. Juntas, essas técnicas representam uma mudança do phishing oportunista para a coleta de credenciais com precisão cirúrgica.

Por Que as Ferramentas de Segurança Tradicionais Têm Dificuldade em Deter a Engenharia Social Baseada em IA

A maioria das ferramentas de segurança corporativa foi projetada em torno de um modelo de ameaça diferente: arquivos maliciosos, URLs comprometidas e invasões de rede. A engenharia social baseada em IA contorna todos os três. Não há anexo de malware para sinalizar, nenhum domínio suspeito para bloquear e nenhuma anomalia de rede para detectar. O ataque vive inteiramente na percepção humana.

Esse é o motivo central pelo qual as defesas corporativas estão enfrentando dificuldades mesmo quando os orçamentos de segurança são substanciais. O treinamento de conscientização em segurança ensina os funcionários a procurar os sinais de alerta tradicionais que os ataques gerados por IA agora evitam de forma confiável. Até mesmo controles técnicos como a autenticação multifator, embora ainda valiosos, podem ser contornados quando um alvo é enganado e entrega um código de uso único durante uma chamada de clonagem de voz.

O conceito de "shadow AI" agrava ainda mais esse problema. Funcionários que utilizam ferramentas de IA não autorizadas dentro de ambientes corporativos criam riscos de exposição de dados que as equipes de segurança frequentemente não conseguem monitorar ou conter. Documentos sensíveis inseridos em assistentes de IA pessoais, por exemplo, podem inadvertidamente construir os próprios conjuntos de dados que tornam o phishing direcionado mais convincente.

Compreender como a IA já está sendo usada para traçar perfis e direcionar ataques a indivíduos é um ponto de partida fundamental. O guia Vigilância Potencializada por IA: O Que Você Precisa Saber em 2026 oferece um contexto importante sobre como a agregação de dados pessoais viabiliza o tipo de direcionamento preciso que torna esses ataques tão eficazes.

Onde VPNs e Criptografia se Encaixam na Sua Defesa Contra o Roubo de Credenciais

VPNs e criptografia não impedem que um vídeo deepfake seja convincente. O que elas fazem é reduzir a superfície de ataque que alimenta o processo de direcionamento e proteger suas credenciais caso um ataque seja parcialmente bem-sucedido.

Os ataques de coleta de credenciais geralmente começam com a coleta passiva de dados: interceptação de tráfego não criptografado em redes públicas ou domésticas, captura de sessões de login em conexões não seguras ou monitoramento do comportamento de navegação para identificar quais serviços o alvo utiliza. Uma VPN criptografa o tráfego entre seu dispositivo e a internet, eliminando os pontos de interceptação mais fáceis dessa cadeia.

A criptografia também importa para dados em repouso. Gerenciadores de senhas com criptografia robusta garantem que, mesmo que um ataque de phishing capture uma credencial, isso não se propague em acesso a todos os serviços que você utiliza. Combinado com a autenticação multifator em contas que oferecem suporte a ela, o armazenamento criptografado de credenciais eleva consideravelmente o custo de um ataque bem-sucedido.

Para trabalhadores remotos que se conectam a sistemas corporativos, o uso de VPN é ainda mais diretamente relevante. Muitas campanhas de coleta de credenciais têm como alvo o momento da autenticação, e um túnel criptografado torna esse momento muito mais difícil de monitorar externamente.

Medidas Práticas que Usuários Preocupados com Privacidade Podem Tomar Agora

Os resultados da pesquisa sugerem que aguardar as organizações resolverem esse problema de cima para baixo não é uma estratégia confiável. Veja as medidas concretas que os indivíduos podem tomar:

Verifique quais dados seus estão publicamente acessíveis. O phishing gerado por IA se baseia em fontes públicas: perfis em redes sociais, diretórios profissionais e bancos de dados de corretores de dados. Reduzir sua pegada pública limita o material bruto disponível para ataques personalizados. Revise suas configurações de privacidade nas plataformas sociais e considere enviar solicitações de exclusão para os principais sites de corretores de dados.

Desconfie de urgências inesperadas em qualquer canal. Ataques de clonagem de voz e deepfake quase sempre criam pressão de tempo: um executivo que precisa de uma transferência bancária agora, um familiar que precisa de ajuda imediatamente. Estabeleça um protocolo pessoal de verificação — como ligar de volta para um número que você já tem salvo — em vez de confiar no número ou canal que iniciou o contato.

Use uma VPN em todas as redes, não apenas em Wi-Fi público. As redes domésticas estão cada vez mais no alvo, pois o trabalho remoto as tornou um ponto de entrada plausível para sistemas corporativos. Criptografar seu tráfego de forma consistente elimina um vetor de interceptação que a maioria dos usuários deixa aberto.

Ative a autenticação resistente a phishing sempre que disponível. Chaves de segurança de hardware e passkeys são significativamente mais difíceis de superar por meio de engenharia social do que os códigos de uso único tradicionais, pois não geram um valor que um invasor possa retransmitir em tempo real.

Mantenha-se informado sobre como o rastreamento de perfil por IA funciona. Quanto mais você compreende como seu comportamento digital é agregado e analisado, mais preparado você está para reconhecer quando algo projetado para parecer pessoal e urgente pode ter sido construído algoritmicamente. O guia de Vigilância Potencializada por IA é um recurso prático para desenvolver essa compreensão.

Os dados da pesquisa de 2025 são um lembrete de que a lacuna de confiança em cibersegurança não é apenas um problema corporativo. Quando os ataques de phishing com IA e deepfakes evoluem mais rápido do que as defesas empresariais, os indivíduos precisam ser participantes ativos na própria segurança, e não beneficiários passivos de sistemas que, pelas evidências, estão com dificuldades para acompanhar o ritmo. Auditar sua exposição pessoal a ameaças agora — antes que uma ligação convincente ou uma mensagem perfeitamente redigida teste suas defesas — é a medida mais eficaz que você pode tomar.