Por décadas, a cibersegurança foi uma corrida relativamente previsível entre criminosos que descobriam vulnerabilidades e empresas que erguiam proteção, monitoramento e resposta. Havia desequilíbrios, mas um fator era comum aos dois lados: o tempo humano. A nova geração de inteligência artificial elimina essa premissa. A IA de fronteira (frontier AI), capaz de analisar sistemas complexos, escrever código e decidir de forma autônoma, reduz drasticamente o tempo para encontrar brechas, construir mecanismos de exploração e executar ataques. O resultado é um aumento considerável do risco, e uma realidade para a qual as organizações precisam se preparar. Ferramentas de IA já conseguem identificar, sozinhas, milhares de vulnerabilidades críticas em sistemas operacionais, navegadores e infraestruturas. Falhas que existiam há décadas, invisíveis a pesquisadores humanos, apareceram em minutos. “Empresas que antes divulgavam cinco ou dez vulnerabilidades por semana, passaram a divulgar centenas depois de utilizar essas tecnologias para revisar seus sistemas”, afirma Thales Cyrino, head de Cybersegurança Brasil e diretor de Vendas de Cybersegurança LATAM da NTT DATA. A transformação central não é a sofisticação dos ataques, mas a compressão dos ciclos. “Sempre existiu uma corrida entre ataque e defesa”, diz Fernando Galdino, head de Consultoria em Cybersegurança da NTT DATA. “A diferença é que, agora, os modelos conseguem identificar vulnerabilidades, analisar sistemas complexos e aprender de forma autônoma, numa velocidade muito superior à capacidade humana.” Os ataques apoiados em IA passam a somar quatro atributos ao mesmo tempo: mais contextualização, mais velocidade, mais profundidade e mais escala — investidas sob medida para cada alvo, difíceis de detectar e disparadas em volume. Os modelos de fronteira vão além: operam com autonomia e expõem vulnerabilidades que permaneciam fora do radar, encadeando reconhecimento e exploração sem depender de um operador humano a cada passo. A economia do cibercrime se inverte Fernando Galdino, head de Consultoria em Cybersegurança da NTT DATA: "Cyber não é mais um problema técnico. É um risco de negócio operacional, financeiro, reputacional e regulatório" — Foto: Divulgação Até pouco tempo, ataques complexos exigiam equipes especializadas, meses de preparação e grandes investimentos. Com a IA, a barreira de entrada cai. “O custo para atacar está diminuindo drasticamente”, afirma Galdino. “Isso amplia o universo de alvos. Empresas que acreditavam estar fora do radar passam a fazer parte da equação.” O efeito lembra o da industrialização: em vez de selecionar os alvos mais rentáveis, criminosos passam a disparar milhares de ataques simultâneos — e ataques autônomos de ponta a ponta, que encadeiam reconhecimento, exploração e movimentação sem intervenção humana, encurtam ainda mais o relógio. Cyrino cita uma transportadora de pequeno porte atingida por ransomware. O objetivo não era roubar dados ou dinheiro: ao parar a logística, os criminosos afetaram toda a cadeia conectada à empresa. “O ataque não atingiu apenas quem foi invadido. Afetou empresas maiores que dependiam daquele parceiro para continuar operando.” Para ele, o episódio mostra que a meta deixou de ser apenas impedir invasões e passou a ser a resiliência operacional. “Antes, falávamos em capacidade de recuperação”, diz Galdino. “Agora, precisamos falar sobre capacidade de continuar operando mesmo sob ataque ou com partes dos sistemas comprometidas.” Inovar sem correr mais rápido que a proteção Há um segundo relógio acelerando em paralelo: a própria pressa das empresas em adotar IA. Sob o medo de ficar para trás, áreas de negócio implementam copilotos e agentes numa velocidade que a segurança raramente acompanha. É o chamado shadow AI, ou o uso de ferramentas sem aval da área de tecnologia. Pesquisas recentes do setor indicam que perto de seis em cada dez líderes de segurança suspeitam de uso não autorizado de IA, e estudos do setor associam a IA não governada a cerca de um em cada cinco vazamentos, com custo adicional relevante por incidente. A leitura executiva é de que a inovação não pode correr mais rápido do que a capacidade de protegê-la. Bloquear costuma empurrar a adoção para a clandestinidade; o caminho que ganha tração é dar visibilidade ao uso, sancionar ferramentas e estabelecer guardrails que deixem a empresa avançar com confiança. A IA agêntica criou ainda uma classe de risco recente: as identidades não humanas. Cada agente, automação ou integração precisa de credenciais próprias — chaves de API, tokens, contas de serviço — para acessar sistemas sem qualquer intervenção humana. Em ambientes corporativos, essas identidades de máquina já superam as humanas em proporções que vão de dezenas a mais de cem para uma, com crescimento anual expressivo. A maioria opera com privilégios excessivos, sem dono claro e sem expiração. Os controles tradicionais de acesso foram desenhados para pessoas, não para milhares de agentes que nascem e somem em minutos, e uma credencial de máquina esquecida é exatamente a porta que um atacante automatizado encontra em segundos. A mesma IA que escreve código malicioso, fabrica vozes, vídeos e identidades convincentes, e parte do crime migrou da invasão técnica para a fraude. Um caso de referência envolveu um funcionário de uma multinacional de engenharia em Hong Kong, que autorizou transferências somando cerca de US$ 25 milhões após uma videoconferência em que todos os “colegas” presentes eram deepfakes. A fraude também se industrializou: plataformas de fraud-as-a-service vendem, por assinaturas a partir de poucas dezenas de dólares, kits de phishing profissionais e ferramentas de identidade sintética. Estudos apontam que quase nenhum usuário distingue de forma confiável conteúdo real de conteúdo gerado por IA, e relatórios de defesa digital já registram falsificações boas o bastante para vencer verificações faciais. Para o conselho, a fronteira entre incidente de TI e perda financeira direta praticamente desapareceu. Não dá para proteger tudo igual Se encontrar falhas se tornou trivial, o gargalo migrou para o outro lado: remediar. Diante de um mar de vulnerabilidades que afloram de uma só vez, o desafio executivo deixou de ser apenas detectar e passou a ser corrigir em ritmo compatível e erguer camadas de proteção capazes de dar conta desse volume. Cada remediação exige estratégia própria, que pode ser monitorar mais, isolar sistemas e criar camadas adicionais. É preciso decidir quais operações podem parar, quanto custa uma interrupção e que riscos aceitar. “Não é possível proteger tudo com o mesmo nível de investimento”, resume Galdino. Um dos dilemas é concentrar ou não a operação em um único sistema. A vantagem é a agilidade de reação e a visibilidade ponta a ponta; a fraqueza é a mesma agilidade do lado do ataque. “Se uma companhia aérea usa o mesmo elemento de proteção para todos os seus dispositivos, um problema naquele software vai parar tudo”, diz Cyrino. “Algumas empresas decidem deixar metade da operação de um jeito e metade de outro. No entanto, isso aumenta o custo operacional. Vale a pena esse investimento versus o risco?” Por isso a segurança subiu do departamento de tecnologia para os conselhos de administração e comitês executivos. “Cyber não é mais um problema técnico. É um risco de negócio”, afirma Galdino. “Estamos falando de risco operacional, financeiro, reputacional e regulatório.” A defesa também em tempo de máquina Se o ataque opera em segundos, a defesa precisa responder no mesmo relógio. Ganha força a segurança preditiva, que envolve usar inteligência artificial para correlacionar sinais dispersos, detectar anomalias e automatizar as primeiras respostas antes que o ataque se complete. Em centros de operações de segurança, agentes de IA assumem monitoramento, investigação e triagem de alertas, enquanto profissionais humanos atuam como supervisores, curadores e tomadores de decisão. “A função humana está migrando da execução para a inteligência”, resume Galdino.