Como é que as violações baseadas na identidade diferem das intrusões de rede tradicionais?

Em vez de romper uma firewall, os atacantes comprometem credenciais ou tokens para obter um acesso com aparência legítima, tornando a deteção mais lenta e a remediação mais complexa.

Quais são alguns exemplos recentes do mundo real de violações causadas por identidades comprometidas?

A violação da Alert 360 expôs 2,5 milhões de registos e a violação da Zara afetou quase 200.000 clientes através de um fornecedor terceiro, ambas decorrentes de credenciais de acesso comprometidas.

Por que razão as identidades não humanas, como chaves de API e agentes de IA, estão a tornar-se alvos principais?

São frequentemente mal geridas, com permissões excessivamente amplas, raramente rotacionadas e monitorizadas de forma inconsistente, tornando-as alvos de alto valor que podem persistir sem serem notados.

O que torna as chaves de API em repositórios de código especialmente arriscadas?

Uma chave de API incorporada num repositório pode conceder acesso aos atacantes sem a devida gestão do ciclo de vida, uma vez que estas identidades não humanas muitas vezes carecem de rotação e monitorização regulares.

Sophos: 71% das Empresas Atingidas por Violações de Identidade em 2025

Um importante novo relatório da Sophos colocou um número impressionante em um problema sobre o qual os profissionais de segurança alertam há anos: 71% das organizações em todo o mundo sofreram pelo menos uma violação de segurança relacionada à identidade no último ano. As conclusões chegam num momento em que os ataques baseados em identidade já não são uma ameaça de nicho, mas o método dominante pelo qual os atacantes ganham posição dentro dos ambientes corporativos. Para empresas e indivíduos, os dados são um sinal claro de que a higiene de identidade já não pode ser tratada como uma preocupação secundária.

O Que os Dados da Sophos Revelam Sobre a Frequência e o Alcance das Violações de Identidade

A escala dos resultados da Sophos é difícil de ignorar. Quase três em cada quatro organizações, em todos os setores e geografias, sofreram um comprometimento relacionado à identidade num único ano. Isto não é uma história sobre um punhado de alvos de alto perfil; reflete uma vulnerabilidade sistémica e generalizada na forma como as organizações gerem quem, e o quê, tem acesso aos seus sistemas.

As violações relacionadas com a identidade diferem das intrusões de rede tradicionais de uma forma importante. Em vez de atravessar uma firewall, os atacantes comprometem credenciais ou tokens que lhes conferem um acesso com aparência legítima. Uma vez lá dentro, podem mover-se lateralmente, escalar privilégios e exfiltrar dados enquanto aparentam, pelo menos inicialmente, ser um utilizador autorizado. Isto torna a deteção mais lenta e a remediação mais complexa.

As consequências reais das falhas de identidade já encheram as manchetes em 2025. A violação da Alert 360 expondo 2,5 milhões de registos e a violação da Zara afetando quase 200.000 clientes através de um fornecedor terceiro ilustram como as credenciais de acesso comprometidas, seja através de ataques diretos ou da exposição na cadeia de fornecimento, podem resultar em perdas massivas de dados.

Como as Identidades Não Humanas e as Chaves de API se Estão a Tornar Alvos Principais

Uma das conclusões mais prospetivas do relatório da Sophos é a atenção dada às identidades não humanas. Esta categoria inclui chaves de API, contas de serviço, scripts de automação e, cada vez mais, agentes de IA que recebem acesso a sistemas para realizar tarefas de forma autónoma.

À medida que as organizações adotam ferramentas baseadas em IA e automatizam mais os seus fluxos de trabalho, estão a criar um inventário crescente de atores não humanos que detêm credenciais e permissões. O problema é que estas identidades são frequentemente mal geridas: as permissões são excessivamente amplas, as credenciais raramente são rotacionadas e a monitorização de comportamentos anómalos é, no melhor dos casos, inconsistente.

Uma chave de API incorporada num repositório de código, ou um agente de IA com acesso de escrita a uma base de dados de produção, representa um alvo de alto valor para os atacantes. Ao contrário das contas de utilizador humano, as identidades não humanas muitas vezes carecem da mesma gestão do ciclo de vida, o que significa que podem persistir muito depois de serem necessárias e passar despercebidas quando comprometidas. O relatório da Sophos identifica esta má gestão como um dos principais vetores de ataque que impulsionam o valor de 71%.

Porque é Que o Erro Humano Continua a Ser o Elo Mais Fraco na Segurança de Identidade

A par do aumento dos riscos das identidades não humanas, os resultados da Sophos confirmam que o erro humano continua a minar mesmo os programas de segurança mais bem financiados. O phishing continua a ser notavelmente eficaz. A reutilização de credenciais entre contas pessoais e profissionais cria vias para os atacantes passarem de uma violação de consumo para um ambiente corporativo. E as contas com privilégios excessivos, criadas por conveniência e nunca devidamente limitadas, dão aos atacantes mais acesso do que alguma vez deveriam poder alcançar.

O elemento humano também é evidente na rapidez com que as violações aumentam assim que o acesso inicial é obtido. Uma única conta comprometida utilizada por alguém com amplos direitos administrativos pode expor milhares de registos em poucas horas. O setor da saúde tem-se revelado particularmente vulnerável, como visto em incidentes como a violação do NYC Health que afetou 1,8 milhões de indivíduos, onde a má gestão de identidade a qualquer nível de um sistema complexo pode ter consequências desproporcionadas.

Os programas de formação e sensibilização ajudam, mas não são suficientes por si só. Os dados da Sophos sugerem que as organizações precisam de controlos estruturais que reduzam o raio de impacto dos erros humanos, e não apenas de políticas que dependam de os funcionários fazerem o correto em todas as ocasiões.

Defesa em Profundidade: Onde as VPNs e as Ferramentas de Privacidade se Enquadram na Proteção de Identidade

Nenhuma ferramenta única resolve o problema da segurança de identidade, e é precisamente esse o ponto. O conceito de defesa em profundidade, sobrepondo vários controlos de segurança para que uma falha num não signifique automaticamente um comprometimento total, é o quadro que as conclusões da Sophos defendem, mesmo que implicitamente.

As VPNs desempenham um papel específico e importante nesta pilha. Ao encriptar o tráfego de rede e ao ocultar os metadados da ligação, uma VPN reduz o risco de as credenciais ou tokens de sessão serem intercetados em trânsito, particularmente em redes não confiáveis. Para trabalhadores remotos que acedem a recursos corporativos a partir de hotéis, aeroportos ou espaços de trabalho partilhados, uma VPN é um controlo básico mas significativo que fecha uma janela que de outra forma estaria aberta.

Para além das VPNs, uma estratégia de proteção de identidade em camadas inclui autenticação multifator em todas as contas, o princípio do menor privilégio para identidades humanas e não humanas, auditoria regular de credenciais e chaves de API ativas, e monitorização de padrões de início de sessão anómalos. Os dados da Sophos reforçam que estes não são extras opcionais para grandes empresas; as organizações de todas as dimensões estão a ser visadas.

O Que Isto Significa Para Si

Quer faça a gestão de TI para uma empresa, quer seja apenas um indivíduo a tentar proteger as suas contas, o relatório da Sophos transmite uma mensagem direta: a identidade é agora o perímetro, e precisa de ser defendida em conformidade.

Aqui estão passos concretos a tomar:

Audite as suas credenciais. Identifique quaisquer contas que utilizem palavras-passe reutilizadas ou fracas e atualize-as com alternativas únicas e complexas, guardadas num gestor de palavras-passe.
Ative a autenticação multifator em todo o lado. Dê prioridade às suas contas de e-mail, financeiras e de trabalho.
Reveja as permissões de aplicações e o acesso a APIs. Se gere projetos de software ou ferramentas empresariais, audite quais os serviços que detêm credenciais ativas e revogue tudo o que já não esteja a ser utilizado.
Utilize uma VPN em redes não confiáveis. Encriptar a sua ligação impede a interceção de credenciais quando está fora de ambientes seguros.
Mantenha-se informado sobre violações. Os serviços que o notificam quando o seu e-mail aparece num conjunto de dados de violações conhecido dão-lhe um aviso prévio para fazer a rotação das credenciais afetadas antes que os atacantes as possam explorar.

O valor de 71% da Sophos não é motivo de pânico, mas é um motivo para agir. As violações de segurança relacionadas com a identidade em 2025 não são riscos hipotéticos; estão a acontecer à maioria das organizações neste momento. Construir defesas em camadas, combinando práticas sólidas de identidade com proteções ao nível da rede, é a resposta prática que os dados exigem.