Ataques em maior quantidade, mais sofisticados, mais perfeitos e mais impercetíveis: este é o retrato dos ciberataques com Inteligência Artificial que já estão a ser feitos. À Forbes Portugal, Rui Dias, Fundador e CEO da Porbite, fala, em detalhe, das ameaças cibernéticas atuais e futuras que surgem com a IA, considerando que a probabilidade de cada vez mais pessoas esclarecidas serem enganadas é maior. Neste contexto, este especialista entende que agora, mais do que nunca, “ter um parceiro informático de confiança faz toda a diferença. Não como um luxo, mas como uma necessidade. Alguém que garanta que os sistemas são atualizados, que as configurações estão corretas e que exista uma resposta rápida quando algo corre mal”.
Os dados da Fortinet apontam para um aumento de 389% no número de vítimas de ransomware num único ano. Até que ponto a Inteligência Artificial explica esta escalada?
Sem dúvida que a Inteligência Artificial explica uma parte significativa deste aumento registado pela Fortinet. Do lado dos hackers, a IA generativa transformou totalmente o phishing já que hoje é possível produzir mensagens de e-mail mais convicentes, personalizadas e sem quaisquer erros em milhares de variantes simultâneas, com um esforço mínimo. A automação também comprimiu o ciclo de ataque: o que demorava dias, demora apenas horas. E o malware atual reconfigura-se para não ser detetado às proteções tradicionais. Mas além da IA, não nos podemos esquecer que continuam a existir outros fatores para justificar este aumento. Ainda antes da IA Generativa, o modelo Ransomware já estava a ajudar a democratizar o cibercrime. No fundo a IA não criou o problema, apenas o acelerou de forma estrutural. Atacar ficou mais barato e acessível e defender continua caro e complexo.
“Atacar ficou mais barato e acessível e defender continua caro e complexo”
A IA está a aumentar apenas a eficácia dos ataques ou também o número de atacantes ativos?
As duas coisas. A IA tornou os ataques mais eficazes, sim. Mas o impacto maior pode estar noutro lado. Está a trazer para o cibercrime pessoas que antes não tinham capacidade técnica para entrar. Ferramentas de IA generativas e kits de ransomware cada vez mais automatizados eliminaram a barreira de conhecimento que durante anos limitou o número de hackers. É o mesmo efeito que as redes sociais tiveram na desinformação. Não foram só os profissionais que ficaram mais eficazes, foi o universo de quem consegue participar que explodiu.
O resultado é um ecossistema com mais hackers, mais ataques e cada ataque individualmente mais difícil de travar.
“A IA está a trazer para o cibercrime pessoas que antes não tinham capacidade técnica para entrar”
Quando se fala em IA aplicada ao cibercrime, do que estamos efetivamente a falar?
No fundo estamos a falar de uma mudança de escala e de acessibilidade. Concretamente, a IA está a ser usada para escrever e-mails de phishing perfeitos em segundos, para automatizar a identificação de sistemas vulneráveis, para criar malware que se recofigura sozinho e escapa aos antivírus, e até para clonar vozes a autorizar transferências bancárias fraudulentas. O que une isto é a mesma lógica: A IA deu aos hackers mais velocidade, mais escala e menos necessidade de conhecimento técnico. Não é ficção científica. São ferramentas já em uso, hoje.
“A IA deu aos hackers mais velocidade, mais escala e menos necessidade de conhecimento técnico”
Como evoluíram os ataques de phishing com a chegada dos modelos generativos?
Durante anos, o phishing tinha sinais de alerta reconhecíveis, como erros ortográficos, linguagem estranha, mensagens genéricas. Era imperfeito porque exigia tempo humano e competências que muitos hackers simplesmente não tinham. Com os modelos generativos isso acabou. Hoje um hacker consegue produzir em segundos um e-mail escrito num português perfeito, com o tom certo, referindo o nome do destinatário, a empresa onde trabalha, até o nome do seu superior hierárquico. A mensagem parece legítima porque, linguisticamente, é indistinguível de uma comunicação real. Mas o mais preocupante não é a qualidade, é a escala. Antes, uma campanha de phishing direcionada exigia esforço e era limitada em volume. Hoje é possível enviar milhares de ataques personalizados em simultâneo, praticamente a custo zero.
O resultado é que as regras que ensinávamos aos utilizadores para se protegerem, “desconfie de erros, de mensagens genéricas, de urgência excessiva”, estão progressivamente a deixar de funcionar. O phishing ficou perfeito com a IA para ser detetado a olho nu.
“As regras que ensinávamos aos utilizadores para se protegerem, “desconfie de erros, de mensagens genéricas, de urgência excessiva”, estão progressivamente a deixar de funcionar”
A IA está também a democratizar o cibercrime, permitindo que atacantes menos especializados realizem operações que antes exigiam equipas altamente qualificadas?
Completamente. E é talvez a mudança mais profunda que a IA trouxe ao cibercrime. Há uns anos, um ataque de ransomware sofisticado exigia uma equipa com competências técnicas avançadas, tempo de preparação e recursos. Era um grupo restrito. Hoje qualquer pessoa com intenção maliciosa consegue aceder a ferramentas que fazem o trabalho pesado por si. Os kits de ransomware já existiam antes, mas a IA tornou-os exponencialmente mais fáceis de usar e mais eficazes. É quase como ter um consultor técnico disponível a qualquer hora, sem restrições e sem barreiras éticas. A comparação que faço é com a fotografia. Durante décadas, tirar uma boa foto exigia equipamento caro e conhecimento técnico. Hoje em dia, um smartphone democratizou isso tudo. A IA está a fazer o mesmo com o cibercrime, com consequências muito mais graves.
“Durante décadas, tirar uma boa foto exigia equipamento caro e conhecimento técnico. Hoje em dia, um smartphone democratizou isso tudo. A IA está a fazer o mesmo com o cibercrime, com consequências muito mais graves”
Os ciberataques estão a tornar-se mais difíceis de detetar devido à utilização de IA?
Sim. E é uma das dimensões mais preocupantes desta evolução. Tradicionalmente, os sistemas de segurança funcionam por reconhecimento de padrões. Aprendem a identificar comportamentos suspeitos porque já os viram antes. O problema é que a IA permite criar malware que muda constantemente a sua forma para não ser reconhecido, o chamado malware polimórfico. É como tentar apanhar alguém que muda de rosto cada vez que passa por uma câmara.
Mas há outro nível ainda mais sofisticado. A IA permite que os hackers imitem comportamentos legítimos dentro das rede informáticas, e de forma lenta e silenciosa, sem acionar alarmes. Muitas vezes, a intrusão só é descoberta semanas ou meses depois, quando o ataque já foi executado. O problema é que quanto mais tarde se deteta, maior é o impacto. E é precisamente aí que a IA está a fazer a diferença, não só a entrar mais facilmente, mas a permanecer em silêncio por muito mais tempo.
“A IA permite que os hackers imitem comportamentos legítimos dentro das rede informáticas, e de forma lenta e silenciosa, sem acionar alarmes”
Os tradicionais sinais de alerta – erros ortográficos, mensagens mal escritas ou comunicações pouco credíveis – estão a desaparecer?
Estão a desaparecer rapidamente, e isso é um problema sério. Durante anos, a primeira linha de defesa foi a educação dos utilizadores. Ensinávamos as pessoas a desconfiar de erros ortográficos, de mensagens com linguagem estranha, de pedidos fora do contexto. Este manual está a tornar-se obsoleto. Com a IA generativa, um e-mail fraudulento é hoje linguisticamente irrepreensível. Pode estar escrito num português perfeito, com o tom adequado ao contexto profissional da vítima, com referências reais à empresa ou ao setor. O que torna isto ainda mais perigoso é que as pessoas continuam a confiar nos sinais que aprenderam a reconhecer. Não veem erros, não desconfiam. É é precisamente aí que o ataque funciona. Não significa que a formação deixe de ser importante, mas significa que já não chega ensinar as pessoas a identificar imperfeições. Temos de as preparar para um phishing que, na superfície, parece perfeito.
“Já não chega ensinar as pessoas a identificar imperfeições. Temos de as preparar para um phishing que, na superfície, parece perfeito”
Quais são as vulnerabilidades mais comuns que continuam a ser exploradas pelos atacantes?
As vulnerabilidades continuam a ser, na grande maioria, as mesmas de sempre. E isso diz muito sobre o estado da cibersegurança. O erro humano continua no topo. O phishing é ainda o principal ponto de entrada, mesmo com todos os alertas de sensibilização. As pessoas continuam a clicar, continuam a partilhar credenciais, continuam a ser o elo mais fraco. Depois há o problema das atualizações. Uma grande parte significativa dos ataques bem sucedidos explora vulnerabilidades conhecidas, com correções já disponíveis, em sistemas que simplesmente nunca foram atualizados. É como deixar a porta destrancada e ficar surpreendido com o assalto. As passwords fracas e a ausência de autenticação de dois fatores continuam também a abrir portas que deviam estar fechadas. E com IA, testar milhões de combinações de passwords em segundos tornou-se trivial.
Por fim, o trabalho remoto e a proliferação de dispositivos ligados criou uma superfície de ataque enorme, muitas vezes mal protegida. Cada dispositivo mal configurado é mais uma potencial entrada. O paradoxo é este: enquanto os ataques ficam mais sofisticados, muitas entradas continuam a ser as mais básicas e evitáveis. E é aqui que ter um parceiro informático de confiança faz toda a diferença. Não como um luxo, mas como uma necessidade. Alguém que garanta que os sistemas são atualizados, que as configurações estão corretas e que exista uma resposta rápida quando algo corre mal. A sofisticação do ataque nem sempre é necessária quando a defesa tem falhas tão elementares, e essas falhas evitam-se com acompanhamento especializado e contínuo.
“Com IA, testar milhões de combinações de passwords em segundos tornou-se trivial”
Estamos a caminhar para uma realidade em que qualquer colaborador pode ser enganado por uma mensagem praticamente indistinguível de uma comunicação legítima?
Já estamos nessa realidade. E o problema não é só técnico, é psicológico. Estamos programados para confiar no que parece verdadeiro. Um email bem escrito, com o nome certo, o tom certo e o contexto certo desativa naturalmente a desconfiança. É assim que o cérebro humano funciona, e os hackers sabem isso.
Com a IA, conseguem agora replicar essa credibilidade de forma quase perfeita. Já existem casos documentados de colaboradores que receberam chamadas com a voz clonada do seu diretor financeiro a autorizar transferências bancárias. Não havia nada que sugerisse que era falso. O que isto significa na prática é que a responsabilidade não pode continuar a recair só sobre o colaborador. Não é razoável pedir a uma pessoa que detete algo que foi desenhado especificamente para enganar. As organizações têm de construir processos e sistemas que não dependam exclusivamente do julgamento humano, validações adicionais, autenticações reforçadas, protocolos de confirmação para operações sensíveis.
A formação continua a ser importante, mas o paradigma tem de mudar. De “ensinar as pessoas a não serem enganadas” para “construir sistemas que resistam mesmo quando as pessoas são enganadas.”
“Já existem casos documentados de colaboradores que receberam chamadas com a voz clonada do seu diretor financeiro a autorizar transferências bancárias”
Que erros vê repetidamente nas empresas portuguesas quando aborda temas de cibersegurança?
O erro mais comum é achar que o problema acontece só aos outros. Há uma tendência muito enraizada nas empresas portuguesas, especialmente nas PME, de considerar que os hackers não vão perder tempo com elas. “Somos pequenos, não temos nada que interesse.” É uma ideia perigosa e completamente errada. Os ataques automatizados não escolhem alvos pelo tamanho, escolhem-nos pela vulnerabilidade. Depois há a questão do investimento. A cibersegurança ainda é vista por muitos gestores como um custo e não como um investimento. Só se torna prioridade depois de um ataque/incidente. E aí já é tarde. E aqui faço sempre o mesmo paralelo: um gestor que não hesita em assinar um contrato de renting para o carro da empresa, que paga o seguro sem questionar, esse mesmo gestor questiona se vale a pena investir em cibersegurança. Um carro avariado paralisa uma pessoa. Um ataque de ransomware pode paralisar uma empresa inteira durante semanas, destruir a sua reputação e em casos extremos levar ao encerramento definitivo. O custo de recuperação é incomparavelmente superior ao custo de prevenção. É como recusar pagar o seguro e depois ter de reconstruir a casa do próprio bolso.
Outro erro recorrente é a ausência de processos básicos. Passwords partilhadas entre colaboradores, sistemas sem atualizações há meses, ausência de cópias de segurança testadas e funcionais. Não são problemas sofisticados, são lacunas elementares que persistem por falta de acompanhamento. E por fim, a formação. Quando existe, tende a ser um módulo anual obrigatório que ninguém leva muito a sério. A cibersegurança precisa de ser uma cultura contínua, não um momento pontual no calendário. O denominador comum de quase tudo isto é a ausência de um parceiro informático de confiança que acompanhe a organização de forma permanente. Não para resolver problemas quando aparecem, mas para garantir que não aparecem. E não basta instalar soluções técnicas. É preciso mudar a forma como os decisores encaram a segurança, de obrigação chata para pilar estratégico do negócio.
Há uma tendência muito enraizada nas empresas portuguesas, especialmente nas PME, de considerar que os hackers não vão perder tempo com elas. ‘Somos pequenos, não temos nada que interesse’. É uma ideia perigosa e completamente errada”
Que tipo de ataques acredita que veremos crescer nos próximos três a cinco anos?
Os próximos anos vão trazer ataques mais personalizados, mais convincentes e mais difíceis de atribuir. Os ataques com deepfakes vão crescer de forma significativa. De casos de voz clonada passaremos para videochamadas falsas em tempo real com rostos e vozes sintéticas indistinguíveis dos reais. Vai tornar-se cada vez mais difícil confiar numa chamada ou numa reunião por vídeo. A inteligência artificial vai também permitir ataques completamente autónomos, sem intervenção humana. Sistemas que identificam alvos, exploram vulnerabilidades, executam o ataque e gerem a negociação do resgate de forma automática. O hacker passa a ser apenas quem liga o sistema.
“De casos de voz clonada passaremos para videochamadas falsas em tempo real com rostos e vozes sintéticas indistinguíveis dos reais. Vai tornar-se cada vez mais difícil confiar numa chamada ou numa reunião por vídeo”
Outra tendência preocupante é o ataque às infraestruturas críticas. Energia, água, saúde, transportes. Setores que durante anos ficaram relativamente protegidos pela sua complexidade técnica vão tornar-se alvos mais acessíveis à medida que as ferramentas de ataque se democratizam. E há um vetor que me preocupa particularmente: a cadeia de fornecimento. Em vez de atacar diretamente uma grande empresa bem protegida, os hackers vão cada vez mais atacar os seus fornecedores mais pequenos e menos protegidos para entrar pela porta de trás. Uma PME portuguesa pode ser a porta de entrada para um cliente seu que é uma multinacional. É por isso que a cibersegurança deixou de ser um problema individual. É um problema de ecossistema.
“Os hackers vão cada vez mais atacar os seus fornecedores mais pequenos e menos protegidos para entrar pela porta de trás. Uma PME portuguesa pode ser a porta de entrada para um cliente seu que é uma multinacional”
