Um ficheiro enviado para a pessoa errada. Uma palavra-passe demasiado simples. Um clique apressado numa ligação suspeita. Uma configuração incorreta. Pequenos gestos, aparentemente inofensivos, podem ter consequências significativas.
Todos os dias usamos aplicações, ligamo-nos a redes Wi-Fi, fazemos compras online, consultamos contas bancárias e partilhamos informação pessoal sem pensar muito nisso. A tecnologia tornou-se tão natural que quase desapareceu do nosso campo de visão. Esperamos que funcione. E, na maioria das vezes, funciona.
É precisamente aí que reside uma das maiores ilusões da era digital: confundimos funcionamento com segurança.
Uma aplicação pode abrir sem problemas e, ainda assim, estar vulnerável. Um site pode responder rapidamente e não ser seguro. E o facto de nunca termos sido vítimas de um ataque não significa que não estejamos expostos.
Na verdade, o risco começa muito antes do ataque.
Quando se fala em cibersegurança, imaginam-se hackers, malware ou fugas de informação. Mas os incidentes não começam quando alguém invade um sistema. Começam quando há algo valioso para proteger, uma ameaça interessada nesse ativo e uma vulnerabilidade capaz de abrir caminho ao ataque.
A segurança digital assenta em três princípios simples: garantir que a informação é acedida apenas por quem tem autorização, que não é alterada indevidamente e que permanece disponível quando necessária. Sempre que um destes pilares falha, existe um problema.
Nem todas as ameaças, porém, têm origem em cibercriminosos.
Algumas são tão antigas quanto a própria humanidade: um incêndio pode destruir infraestruturas críticas, uma inundação pode interromper serviços essenciais, uma tempestade pode deixar organizações inteiras sem energia ou comunicações.
Outras ameaças estão muito mais próximas: nós próprios.
Um ficheiro enviado para a pessoa errada. Uma palavra-passe demasiado simples. Um clique apressado numa ligação suspeita. Uma configuração incorreta. Pequenos gestos, aparentemente inofensivos, podem ter consequências significativas.
Na maioria dos casos não há intenção maliciosa, apenas distração, desconhecimento ou excesso de confiança.
Existem também ameaças internas, associadas a colaboradores negligentes ou descontentes, e as ameaças externas, protagonizadas por indivíduos ou grupos que procuram obter ganhos financeiros, roubar informação ou causar perturbação.
Apesar das suas diferentes origens, todas têm algo em comum: procuram/podem atingir aquilo que tem valor.
E é por isso que os ataques acontecem.
Uma base de dados de clientes, credenciais de acesso, informação financeira ou até a reputação de uma organização representam oportunidades. Em cibersegurança, chamamos ativos a tudo o que possui valor. E onde há valor, há quase sempre alguém interessado em apropriá-lo.
É aqui que entra um dos conceitos centrais: a vulnerabilidade.
Uma vulnerabilidade é, simplesmente, uma fraqueza. Algo mal configurado, esquecido, desatualizado ou um erro que ninguém detetou a tempo.
Pode esconder-se em quase qualquer lugar: numa aplicação mal desenvolvida, num router com credenciais de fábrica ou num equipamento cujo software nunca mais foi atualizado desde a instalação.
Cada uma destas situações é uma oportunidade. E quanto mais oportunidades existirem, maior será a chamada superfície de ataque: o conjunto de portas de entrada que podem ser exploradas.
E, no entanto, a vulnerabilidade mais crítica pode nem estar nas máquinas. Está nas pessoas.
Durante décadas, investiram-se milhões em firewalls, antivírus e sistemas de monitorização. Ainda assim, muitos dos ataques mais eficazes continuam a começar da forma mais simples: um email convincente, um telefonema inesperado ou uma mensagem aparentemente legítima numa rede social.
A engenharia social permanece uma das armas preferidas dos cibercriminosos porque explora algo que nenhuma tecnologia consegue corrigir totalmente: o comportamento humano. Explora a curiosidade, a confiança, o medo, a urgência e até a vontade genuína de ajudar. Em vez de falhas técnicas, explora falhas humanas.
Muitos dos incidentes mais mediáticos dos últimos anos começaram assim. Não com técnicas dignas de um filme de Hollywood, mas com alguém que abriu uma mensagem, carregou numa ligação ou confiou em quem não devia.
Felizmente, os sistemas não são estáticos. Os fabricantes procuram identificar problemas e corrigi-los, o que explica a frequência das atualizações. Embora muitas vezes vistas como um incómodo, estas atualizações são essenciais. Os chamados patches de segurança corrigem falhas antes que possam ser exploradas.
Mas há uma limitação inevitável: só se corrige o que se conhece. Quando uma vulnerabilidade ainda não foi identificada e não existe correção disponível, estamos perante uma vulnerabilidade zero-day. O nome é claro: o fabricante teve zero dias para resolver o problema.
Nestes casos, a falha pode já estar a ser explorada sem que quem a deveria corrigir tenha sequer conhecimento da sua existência. Não é por acaso que estas vulnerabilidades estão entre os recursos mais valiosos do submundo digital.
No fundo, tudo converge para a mesma palavra: risco.Este surge quando coexistem três elementos: um ativo com valor, uma ameaça interessada em atingi-lo e uma vulnerabilidade que torne esse ataque possível. Sem valor, não há motivo. Sem ameaça, não há agressor. Sem vulnerabilidade, não há entrada.
É a combinação destes fatores que determina o nível de exposição de uma organização ou de um utilizador. Por isso, o objetivo da cibersegurança não é eliminar totalmente o risco, algo praticamente impossível, mas reduzi-lo para níveis aceitáveis.
Por fim, um último conceito: o exploit. Imagine uma casa com várias janelas. Algumas estão ao alcance de um escadote; outras, não. A altura da janela representa a vulnerabilidade. O escadote representa o exploit. E o atacante é quem o utiliza para tentar entrar. Tal como não existe um único escadote capaz de chegar a todas as janelas, também não existe um exploit universal. Cada vulnerabilidade exige uma forma específica de exploração.
Compreender estes conceitos ajuda a perceber uma realidade simples: os ataques não surgem do nada. Antes de um incidente, existe quase sempre uma vulnerabilidade. Antes de uma vulnerabilidade explorada, existe alguém à procura dela. O problema dos ataques não é começarem de repente. É começarem muito antes de darmos por isso.
E talvez seja por isso que a atualização que continua a adiar seja exatamente aquela que um atacante está à espera.