Cinco falhas cotidianas que abrem caminho para ataques cibernéticos

27/10/2025 mindsecblog Artigos, Notícias 0

Mês da cibersegurança: cinco falhas cotidianas que abrem caminho para ataques cibernéticos

Empresas brasileiras destacam riscos comuns e ainda ignorados, como senhas fracas, dispositivos IoT vulneráveis e redes desprotegidas; mês da cibersegurança ocorre em outubro

Em outubro, o Mês da Cibersegurança chama a atenção para a importância da proteção digital no dia a dia. A campanha internacional busca ampliar a conscientização de usuários e organizações sobre práticas básicas que reduzem riscos e fortalecem a integridade de sistemas conectados. No Brasil, especialistas da Huge Networks, empresa de cibersegurança especializada em proteção contra ataques DDoS; e do Grupo OSTEC, ecossistema de soluções de cibersegurança, apontam que a maior parte dos incidentes ainda têm origem em falhas triviais — muitas vezes ignoradas por parecerem inofensivas. A ausência de uma cultura de segurança consistente, tanto em ambientes domésticos quanto corporativos, segue como obstáculo central.

Veja a seguir cinco práticas cotidianas que ampliam a exposição a ataques e comprometem redes, dados e dispositivos:

Engenharia social como vetor de ataque

Ataques baseados em engenharia social estão entre os mais comuns no ambiente digital. A prática consiste em manipular o comportamento da vítima para obter acesso a dados ou sistemas, por meio de interações que simulam comunicações legítimas. “É comum que golpistas se passem por bancos, empresas ou serviços conhecidos, criando um senso de urgência para induzir ao erro”, explica Erick Nascimento, CEO da Huge Networks. Em um dos formatos mais frequentes, criminosos ligam para a vítima alegando ter identificado uma compra ou outras movimentações suspeitas, como forma de coletar informações pessoais. Já em redes sociais, a exposição excessiva também amplia o risco: recentemente, uma influenciadora teve a conta invadida após anunciar que embarcaria em um voo, o que indicava que estaria offline e não poderia se proteger. A recomendação é não fornecer dados por telefone, verificar a origem das comunicações e adotar autenticação multifator sempre que possível.

Dispositivos conectados sem proteção

Câmeras de segurança, roteadores domésticos e assistentes virtuais são exemplos de dispositivos IoT frequentemente esquecidos nas estratégias de proteção. Erick explica que sem atualizações ou alterações nas configurações padrão, esses aparelhos se tornam alvos fáceis. “Em muitos casos, servem de porta de entrada para a rede, permitindo movimentação lateral de invasores até alcançar sistemas mais críticos e o risco aumenta com o crescimento do número de dispositivos conectados por residência”, conta. A recomendação é revisar configurações, trocar senhas padrão e manter os firmwares atualizados.

Falta de atualização de sistemas e softwares

Atualizações de segurança são frequentemente negligenciadas, tanto por usuários quanto por empresas. No entanto, elas corrigem vulnerabilidades conhecidas que podem ser exploradas por atacantes. “A postergação dessas atualizações mantém brechas abertas mesmo após sua divulgação pública, o que amplia a janela de oportunidade para ações maliciosas”, explica o CEO da Huge Networks. Sistemas operacionais, navegadores, aplicativos e firmwares devem ser mantidos em dia. “A automação dessas tarefas, quando possível, ajuda a garantir a continuidade da proteção”, finaliza.

Falta de autenticação de dois fatores (2FA)

Para contornar a falta de prevenção por parte dos usuários, empresas têm cada vez mais adotado o uso obrigatório de autenticação de dois fatores para garantir a oferta do serviço, produto de forma segura. Esse formato exige uma segunda forma de verificação além da senha, como um código temporário ou biometria. Segundo Cassio Brodbeck, CEO da OSTEC, o uso de softwares piratas e outros que são instalados a partir de lojas ou sites não oficiais normalmente são utilizados para roubar credenciais, que mais tarde são utilizadas em ataques. “Como o 2FA normalmente opera em um mecanismo de OTP (one time password), fica mais complexo em ataques convencionais (não direcionados) comprometer também o dispositivo utilizado para 2FA. Por conta disso, é recomendado que o mecanismo de 2FA não seja um e-mail ou SMS, pois estas duas plataformas são mais facilmente comprometidas. A boa prática é utilizar aplicativos específicos para essa finalidade, como por exemplo o Microsoft Authenticator”, destaca.

Acesso a redes públicas sem proteção

O uso de Wi-Fi aberto em cafés, aeroportos ou espaços públicos expõe dados pessoais e corporativos a interceptações. Mesmo com criptografia adequada, criminosos podem simular nomes de redes de estabelecimentos, ou até mesmo sequestrá-las, para realizar ataques chamados de MiTM (Man in The Middle), onde todo o tráfego passa pelo criminoso e ali tudo é interceptado. Por isso, segundo Brodbeck, é recomendado evitar o máximo possível o uso de redes públicas para acessos autenticados (redes sociais, bancos, sites com áreas logadas, e-mail, etc), limitando-se somente ao uso de navegação em sites e similares.

“O uso de um celular próprio como hotspot para outro dispositivo é a forma mais adequada, e cada vez mais acessível, tendo em vista o barateamento dos planos de dados nas operadoras de celular”, recomenda o CEO da OSTEC. Para empresas e dispositivos corporativos, o recomendado é proibir a conexão em redes não previamente cadastradas. “Outro ponto importante é, mesmo que tenha senha, não significa que é seguro, até porque normalmente a senha pode ser obtida de forma facilitada perguntando ao estabelecimento, o que o criminoso também pode fazer”, completa