O fator humano, a primeira linha de defesa em cibersegurança

Pode parecer que um ciberataque começa com um hack sofisticado, mas a realidade é que um dos vetores mais utilizados continua sendo o mesmo: o fator humano, por meio de descuidos, pressa ou validações incorretas.

Um exemplo muito claro disso foi o caso da MGM Resorts em 2023. Nesse incidente, os atacantes não precisaram explorar uma falha complexa para entrar: conseguiram acesso por meio de engenharia social, passando-se por um funcionário e entrando em contato com o serviço de suporte para recuperar credenciais.

A seguir, apresenta-se uma cronologia simplificada do incidente:

Cronologia do ciberataque à MGM Resorts (2023).

A partir desse acesso inicial, o ataque escalou rapidamente e acabou gerando um impacto direto nas operações da empresa, demonstrando algo que se repete diversas vezes em cibersegurança: quando um atacante consegue que alguém “abra a porta”, o resto costuma ser apenas questão de tempo.

Esse tipo de ataque é especialmente perigoso porque não se baseia em “quebrar” um sistema, mas em aproveitar situações comuns em qualquer organização: solicitações urgentes, pressão para resolver incidentes rapidamente ou pedidos que parecem legítimos.

Em questão de minutos, uma conta comprometida pode se transformar em uma porta de entrada para ferramentas internas, e-mails, documentação sensível ou até mesmo para a falsificação de identidade de funcionários a fim de atacar outros colegas.

A chave está em entender que, em muitos casos, o risco não começa na tecnologia, mas no processo: como as identidades são validadas, como as recuperações de acesso são gerenciadas e como reagimos a solicitações inesperadas. E é por isso que a engenharia social continua sendo tão eficaz: porque explora urgência, confiança e contexto, fazendo com que a organização baixe a guarda exatamente quando não deveria.