Hackers exploram o lado humano para atacar e empresas precisam reagir do mesmo jeito

Na 35ª edição da Febraban Tech, realizada neste mês, um alerta reverberou entre painéis, estandes e demonstrações práticas: a principal vulnerabilidade da segurança digital não está somente nos sistemas, mas também nas pessoas.

No centro dessa discussão, o estande da Minsait, empresa do grupo Indra especializada em cibersegurança, trouxe uma abordagem direta sobre o fator humano como elo mais frágil da cadeia digital. E os números confirmam: mais de 98% dos ataques cibernéticos envolvem engenharia social, segundo dados da Purplesec. Essa prática consiste na manipulação intencional do comportamento humano para obter acesso a sistemas, informações sensíveis ou cometer fraudes, explorando hábitos, emoções e até distrações das vítimas.

Mais dados que confirmam isso:

• 68% dos ataques cibernéticos envolvem falhas humanas, de acordo com o relatório Data Breach Investigations Report (DBIR) 2024, da Verizon.
• O custo médio de um ataque baseado em engenharia social gira em torno de US$ 130 mil, segundo a Secureframe.
• Mais de 90% dos ataques cibernéticos têm como porta de entrada o comportamento humano, seja por phishing, vishing, pretexting ou engenharia reversa.

Em outras palavras: a maioria dos ataques bem-sucedidos não depende da falha de um sistema, mas da ação (ou inação) de alguém.

Cibersegurança não é só tecnologia, é comportamento

Durante entrevista com o Carlos Rust, diretor de Cibersegurança da Minsait Brasil, ele foi enfático:

“Hackers não atacam sistemas. Eles estudam o comportamento das pessoas.”

Rust relembrou que desde 2009, a Minsait já atua com treinamento comportamental de segurança cibernética, inicialmente em parceria com as Forças Armadas. A empresa foi uma das pioneiras no Brasil a tratar cibersegurança não como um pacote de ferramentas, mas como um processo contínuo de aculturamento organizacional.

Leia mais: Cyber Horizon Group planeja investir R$ 5 milhões para crescer no Brasil

Segundo ele, apenas implantar normas como a ISO 27001 só pela nome não é suficiente. “Você pode entregar um manual. Mas quem lê? Quem lembra? As pessoas mudam de cargo, saem, entram, esquecem. É preciso treinar reações”, explica. O modelo defendido pela Minsait é semelhante aos simulados de evacuação em incêndios. Quando o alarme soa, o corpo já sabe o que fazer. A segurança digital, segundo Rust, precisa seguir o mesmo caminho: automatizar a reação através da repetição.

Hoje, o próprio Banco Central já exige treinamentos periódicos em cibersegurança para instituições financeiras, um reflexo direto da importância do fator humano na defesa digital.

Capture the Flag: segurança na prática

Para mostrar como isso funciona na prática, a Minsait promoveu durante a Febraban Tech o torneio Capture the Flag (CTF) — um dos destaques mais interativos do evento. O desafio reuniu desenvolvedores de sete instituições financeiras: Sicoob, Banco do Brasil, Santander, Itaú, XP, Bradesco e Banco Pan.

O torneio simulou ataques cibernéticos em um ambiente controlado, onde os participantes tinham que detectar, mitigar e reagir a ameaças em tempo real. O objetivo? Treinar a mente sob pressão, desenvolver pensamento estratégico e preparar as equipes para situações reais. Mais do que testar conhecimento técnico, o CTF serviu como um laboratório de resposta humana.

Engenharia social: o golpe silencioso

Engenharia social é a arte de manipular. De acordo com a Secureframe, os métodos mais comuns são:

• Phishing: e-mails ou mensagens fraudulentas com links ou anexos maliciosos.
• Vishing: ligações telefônicas que fingem ser de instituições confiáveis.
• Pretexting: criação de cenários falsos para induzir a vítima a revelar dados confidenciais.
• Impersonation + IA: uso de deepfakes, voz sintética e linguagem natural para simular pessoas reais com perfeição crescente.

Com o avanço da inteligência artificial generativa, os golpes têm se tornado mais sofisticados. Hackers já utilizam IA para criar mensagens altamente personalizadas, com linguagem local, vocabulário adaptado e até simulações de sotaques. Isso torna o fator emocional ainda mais crítico e o erro humano, ainda mais provável. A resposta: cultura, simulação e continuidade

A principal lição deixada pela Minsait na Febraban Tech é clara: a tecnologia não é suficiente se a cultura da empresa não for resiliente. Investir em sistemas de defesa é necessário. Mas criar uma cultura onde cada colaborador, de qualquer área, saiba reagir a um e-mail suspeito, reconhecer uma fraude ou interromper um ataque é essencial.

Por isso, a abordagem da Minsait combina tecnologia, simulações gamificadas e treinamentos contínuos com foco em comportamento especialmente voltados a executivos e equipes estratégicas. A ideia é simples e poderosa:

Enquanto os hackers estudam o comportamento humano para atacar, as empresas precisam estudar o comportamento humano para se proteger.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!