Companhias trocam cartilhas tradicionais por testes em tempo real e dinâmicas de pontuação para reduzir o risco humano Vinicius Perallis: “A tecnologia não adianta se o usuário é o mais explorado” — Foto: Divulgação Uma transferência de R$ 750 mil para uma conta-corrente falsa, decorrente de um golpe, levou à criação da Hacker Rangers por Vinicius Perallis, em 2018. O caso, relatado em seu livro “Gamificação em Cibersegurança: Implemente um Programa de Conscientização - Da Teoria à Prática” (Editora Império, 2025), descreve como o gerente financeiro de uma fábrica de bolachas foi induzido por mensagem eletrônica enganosa embasado em dados reais, obtidos no servidor de e-mail da companhia, que ajudaram o criminoso a se passar por um fornecedor de máquinas. A Hacker Rangers concentra sua atuação na redução de risco humano. “A tecnologia não adianta se o usuário é o mais explorado”, diz Perallis. A empresa oferece treinamento com base em gamificação e fatura cerca de R$ 15 milhões ao ano com mais de 500 clientes em 21 países. A metodologia usa elementos de jogos - como rankings, barras de progresso e recompensas imediatas - para incentivar as pessoas a adotarem hábitos de segurança digital, como o uso de cofres de senhas e a ativação da autenticação em duas etapas. Essa evolução nos treinamentos é uma resposta direta ao avanço dos crimes virtuais, que dependem cada vez mais de “iscas” para enganar os usuários. É o chamado phishing, espécie de pescaria digital em que os criminosos fingem ser pessoas ou instituições confiáveis - como bancos e marcas - para roubar dados. O problema é grave: um relatório recém-divulgado pela BugHunt aponta que o phishing disparou no Brasil nos últimos cinco anos, passando de 28%, em 2021, para 58% de todos os ataques cibernéticos em 2026. O diretor de segurança da informação (CISO) do Grupo Protege, Ivan Burti, observa que simulações periódicas desse tipo de ataque já fazem parte da rotina de treinamentos dos funcionários. Para manter a equipe atenta, a empresa aposta em conteúdos atualizados, dinâmicas de jogos e lições personalizadas para o perfil de cada área. Além disso, o sucesso do programa não é medido apenas pelo número de pessoas que assistiram às aulas, mas pela redução real das vulnerabilidades da companhia. “Alavancamos a comunicação com conteúdos baseados em vídeos e seriados e reservamos comunicados estáticos para alertas como Black Friday”, detalha Burti. A estratégia levou em conta a popularização da inteligência artificial (IA), que aumentou a escala, a personalização e a credibilidade dos golpes, com mensagens e interações realistas que combinam informações contextualizadas com uso de diferentes canais. “O cenário exige treinamentos práticos, recorrentes e próximos das situações enfrentadas por clientes, funcionários e sociedade”, diz Leandro Granja, CISO do Santander. Granja ressalta que cartilhas, manuais e e-mails de orientação continuam existindo como base de regras da empresa, mas deixaram de ser suficientes. A resposta ao crime digital agora exige postura ativa e contínua, focada no comportamento. Na prática, isso significa criar treinamentos específicos para o nível de risco de cada funcionário, realizar simulações surpresa de ataques e emitir alertas educativos bem no momento em que o usuário está prestes a tomar uma decisão financeira. As ferramentas que permitem a criminosos sem conhecimento de tecnologia criarem mensagens hiper-realistas de texto, imagem, vídeo ou voz, além de dossiês falsos com dados públicos para montar contextos enganosos, a partir de solicitações em linguagem natural (prompts), também são usadas em treinamentos. “Fazemos igual, só muda a intenção”, afirma Pedro Ivo Lima, CEO e cofundador da PhishX, com atuação em mais de 100 países e 5 mil empresa. Esse modelo “em cima da hora” (just in time) simula ataques em canais como e-mail, WhatsApp e Teams. Se o usuário clica no link falso, recebe na hora um alerta educativo, aproveitando o momento em que o cérebro está focado no erro. “Nenhuma simulação teve menos de 10% de usuários fisgados”, revela Lima. Nesses treinamentos, as equipes aprendem a desconfiar de pedidos incomuns, um hábito simples que ajuda a eliminar boa part dos riscos trazidos pelas mensagens customizadas.