Vivemos sob uma perigosa ilusão de segurança. Enquanto se fortalecem os sistemas com firewalls e antivírus, um inimigo silencioso não tenta mais arrombar a porta; ele simplesmente entra com a chave. O roubo de credenciais, a mais traiçoeira das ameaças digitais, tornou-se uma arma para cibercriminosos. É hora de admitir que as estratégias atuais estão falhando e repensar como proteger o ativo mais valioso: a identidade digital.

Dados da Autoridade Nacional de Proteção de Dados (ANPD) revelam que, em 2024, o roubo de credenciais foi o tipo de incidente de segurança mais recorrente no Brasil, com 56 registros formais. A tendência de agravamento é clara. Somente nos primeiros quatro meses de 2025, 71,43% dos incidentes ocorreram no setor privado.

Ignorar esses sinais é um erro de cálculo com consequências financeiras e reputacionais. E os casos recentes no Brasil deveriam servir como um alerta. O recente ataque à C&M Software, que resultou em perdas estimadas entre R$ 541 milhões e R$ 3 bilhões, não foi fruto de uma falha em um software, mas sim do uso indevido de credenciais legítimas. Da mesma forma, as invasões ao Banco do Brasil entre 2023 e 2024, que somaram R$ 40 milhões em prejuízos, combinaram o uso de dispositivos clandestinos com o comprometimento de credenciais.

A fronteira entre o pessoal e o profissional, antes nítida, se dissolveu, criando novos e perigosos vetores de ataque. O massivo vazamento de 7 milhões de contas de serviços de streaming como Netflix e Disney+ é um exemplo perfeito. Esses ataques, muitas vezes realizados por meio de infostealers (malware ladrão de informações) alojados nos dispositivos pessoais dos funcionários, coletam senhas reutilizadas em ambientes corporativos. A senha do streaming, fraca e repetida, torna-se a chave para o cofre da empresa.

Diante dessa realidade, a abordagem tradicional de segurança, baseada em um perímetro de rede bem definido, está obsoleta. O novo perímetro é a identidade de cada usuário. A estratégia de "confiar, mas verificar" deve ser substituída por uma filosofia de Confiança Zero (Zero Trust), cujo lema é "nunca confie, sempre verifique". Cada acesso, solicitação, de qualquer lugar, por qualquer pessoa, deve ser tratado como potencialmente hostil até que se prove o contrário.

Fortalecer a segurança na era do roubo de credenciais exige uma mudança de mentalidade, não apenas de tecnologia. A Autenticação Multifator (MFA) não pode mais ser vista como opcional; é a linha de base, o novo padrão mínimo de segurança para qualquer acesso, seja ele de um funcionário, um fornecedor ou um cliente. É a barreira mais eficaz e simples contra o uso de senhas roubadas.

Além disso, as empresas precisam investir em monitoramento contínuo e análise de comportamento do usuário (UBA). Se uma credencial legítima de um gerente financeiro é usada para acessar dados de engenharia às 3 da manhã de um domingo, o sistema deve ser capaz de identificar essa anomalia e soar o alarme. Precisamos de vigias que não apenas chequem quem entra, mas o que fazem depois de entrar.

Por fim, a tecnologia sozinha é insuficiente. É imperativo criar uma cultura de segurança robusta, capacitando os colaboradores a serem a primeira linha de defesa. Treinamentos contínuos sobre phishing, engenharia social e higiene de senhas são fundamentais para mitigar o risco humano, que continua sendo o elo mais fraco.

O tempo da tolerância acabou. Proteger credenciais não é mais um problema exclusivo do departamento de TI; é uma questão estratégica de sobrevivência, continuidade e confiança do negócio. As empresas que não compreenderem a urgência de proteger a identidade digital como seu bem mais precioso não serão apenas vítimas do próximo grande vazamento de dados, serão cúmplices de sua própria queda.