O Paradoxo da Cibersegurança: Quanto Mais Você Protege, Mais Superfície Você Expõe
Adriano Oliveira
Head de Cybersecurity | CISO | Segurança da Informação & Resiliência Cibernética | Governança, Threat Intelligence, IAM/PAM, SOC & Cloud Security | ISO 27001, NIST, CIS
Estamos vivendo um dos maiores paradoxos da história da tecnologia. Nunca as empresas investiram tanto em cibersegurança e, ao mesmo tempo, nunca os incidentes tiveram impactos tão relevantes. O mercado global de cibersegurança deve ultrapassar os 300 bilhões de dólares até 2026 (Gartner), mas o custo médio de uma violação de dados já alcança mais de 5 milhões de dólares por incidente.
Se as ferramentas estão melhores e os orçamentos são maiores, por que as manchetes continuam expondo gigantes?
A resposta é incômoda: cada camada de proteção que você adiciona cria uma nova superfície de ataque. Cada ferramenta precisa de uma conta de serviço. Cada integração abre uma API. Cada agente instalado amplia o perímetro que você precisa defender. Você não está apenas protegendo a empresa, está expandindo o território que o adversário pode explorar.
Nas últimas semanas, o Brasil e o mundo assistiram a uma sequência de incidentes que ilustram exatamente esse padrão: ataques impactando concursos da FGV, invasões a sistemas de hotéis de luxo, vulnerabilidades em dispositivos Fortigate e vazamentos envolvendo aplicativos de shoppings e clubes de futebol como o Flamengo.
O denominador comum não foi falta de tecnologia. Foi o excesso dela, mal governado.
A HISTÓRIA: O COLAPSO DA CIBERSEGURANÇA POR CAMADAS
Em 2003, o worm Slammer derrubou 75 mil servidores em 10 minutos explorando uma única vulnerabilidade não corrigida. A resposta do mercado foi comprar mais ferramentas.
Vinte anos depois, a lógica não mudou. Mudou só o tamanho da fatura.
O problema nunca foi a qualidade individual de cada solução. Um firewall de última geração faz o que promete. O EDR detecta o que foi programado para detectar. O SIEM consolida o que recebe.
O colapso acontece no espaço entre eles.
Cada ferramenta opera com seu próprio modelo de dados, seu próprio tempo de resposta, sua própria definição do que é uma ameaça. Quando o atacante se move de uma camada para outra, ele não enfrenta um sistema integrado. Ele enfrenta silos que não conversam na velocidade que o ataque exige.
A arquitetura em camadas foi desenhada para um adversário que bate na porta da frente. O adversário atual entra pela janela que você abriu quando instalou a última solução de proteção.
O Caso dos Hotéis e do Vishing: Quando o Hacker Apenas Faz Login
Um dos ataques mais emblemáticos desse período envolveu hotéis de luxo. O método não foi técnico. Foi uma ligação.
O atacante se passou por funcionário, ligou para o help desk e pediu um reset de senha. O suporte atendeu. Com o acesso concedido, ele alterou o sistema de pagamento para cobrar um centavo por transação, operando silenciosamente por tempo suficiente para causar dano real.
O firewall não foi tocado. O antivírus não disparou nenhum alerta. A criptografia permaneceu intacta.
A identidade foi o vetor. E ela estava completamente desprotegida porque ninguém imaginou que o elo mais fraco era o processo de suporte, não a tecnologia.
Em uma arquitetura Identity-First, esse ataque não chegaria ao segundo passo. Um reset de senha exigiria verificação fora de banda, uma segunda confirmação que o suporte telefônico simplesmente não consegue fornecer. O atacante saberia disso antes de ligar, e escolheria outro alvo.
A superfície explorada não estava no stack de segurança. Estava no processo que o stack ignorou.
O Paradoxo da Telemetria: Ver Não Significa Impedir
Existe uma cena que se repete em salas de operação de cibersegurança no mundo inteiro: o analista abre o dashboard, vê exatamente o caminho que o atacante percorreu, os sistemas que tocou, os dados que acessou, e o horário preciso de cada movimento.
O problema é que essa cena acontece depois.
O CrowdStrike Global Threat Report de 2024 registrou que o tempo médio para movimento lateral após o primeiro acesso caiu para menos de 10 minutos. A maioria dos pipelines de alerta não responde nessa janela. O analista ainda está abrindo o ticket quando o adversário já está no segundo sistema.
Construímos infraestruturas de observação extraordinárias. Coletamos telemetria de endpoints, redes, identidades e aplicações. Consolidamos tudo em SIEMs que processam milhões de eventos por dia. E depois esperamos que um humano, com contexto incompleto e fila de chamados aberta, decida o que fazer.
Visibilidade sem automação de resposta não é defesa. É documentação forense.
A Explosão das Identidades Não-Humanas
Quando um CISO/CCYO pensa em identidade, pensa em funcionários. Pensa em senha, em MFA, em privilégio mínimo. É o que os frameworks ensinam, é o que os auditores checam.
Mas a sua infraestrutura não é mais majoritariamente humana.
Para cada pessoa na sua folha de pagamento, existem cerca de 144 identidades não-humanas operando em paralelo: contas de serviço, bots de automação, APIs, pipelines de dados, agentes de monitoramento (Entro Security, 2025). Elas autenticam, acessam, movem dados e escalam privilégios, sem nenhuma pessoa do outro lado tomando uma decisão.
A invasão de mais de 600 dispositivos Fortigate não foi uma surpresa para quem entende esse cenário. O atacante não foi atrás dos usuários. Foi atrás das máquinas que gerenciam os usuários. Dominar uma conta de serviço com privilégio excessivo é mais valioso do que comprometer dez senhas de colaboradores, porque ela opera 24 horas por dia, raramente é auditada e quase nunca é desativada quando alguém sai da empresa.
Quando o adversário controla uma identidade não-humana, ele não precisa mais se mover. A infraestrutura se move por ele.
Chaos Engineering: A Resiliência Testada
O incidente vai acontecer. A única variável é se a sua arquitetura já ensaiou o colapso antes do atacante provocá-lo.
A Netflix entendeu isso antes da maioria. O programa Chaos Monkey derrubava servidores em produção deliberadamente, não para encontrar problemas, mas para garantir que a arquitetura sobrevivesse a eles sem depender de intervenção humana. A lógica era simples: se a falha vai acontecer de qualquer forma, é melhor que aconteça quando você está no controle.
Cibersegurança chegou tarde a essa conclusão.
Security Chaos Engineering não é simulação de phishing nem tabletop exercise com PowerPoint. É introduzir falha real, medir resposta real e expor as decisões que a sua arquitetura ainda delega para humanos em momentos de pressão. Cada dependência manual que o teste revela é uma fragilidade que o atacante vai encontrar antes do seu time.
A pergunta que o SCE responde não é “estamos protegidos?”. É “quanto tempo levamos para perceber que não estávamos, e o que fizemos nos primeiros dez minutos?”
Maturidade em cibersegurança não se mede em número de soluções no stack. Se mede em quantas decisões críticas a arquitetura toma sozinha quando o ambiente colapsa, e quantas ainda dependem de alguém disponível, lúcido e com acesso ao sistema certo, no momento exato em que o problema aparece.
Quanto mais você terceiriza essa decisão para um humano, mais você está apostando que o atacante vai errar o horário.
A pergunta final é simples: A superfície que você expõe ao se proteger é menor do que a superfície que você elimina, ou você está pagando para ficar mais vulnerável?
Se esse conteúdo foi relevante para você, compartilhe com um colega que está preparando a próxima apresentação para a Diretoria. A conversa sobre linguagem executiva em cibersegurança precisa acontecer com mais frequência no mercado brasileiro.
No meu webinar Sala Secreta 2026, vamos dissecar esse paradoxo e mostrar como construir uma Defesa Estratégica que realmente protege o seu faturamento.
Garanta sua vaga: adrianocyber.com.br/webinar-2026/
Até a próxima edição do Radar Cyber.
Adriano Oliveira Head de Cybersecurity | CISO/CCYO
