OutlierReport
Os 5 atalhos de cibersegurança que saem caro no trabalho

Os 5 atalhos de cibersegurança que saem caro no trabalho

·5 min de leituraSegurança e Privacidade
Arthur Roschildt
Escrito porArthur Roschildt
Neste artigo

Voce usa a mesma senha no banco, no e-mail e naquele app de entrega que instalou há dois anos. Quase todo mundo faz isso. Segundo uma análise da Cybernews com 19 bilhões de senhas expostas, 94% das credenciais vazadas já eram reutilizadas. Só 6% eram únicas. O restante seguia padrões previsíveis e podia ser quebrado em menos de um segundo.

Parece um atalho inocente, quase um jeitinho digital para ganhar tempo. Só que, somado a outros hábitos cotidianos, ele ajuda a explicar por que um incidente provocado por phishing custa em média cerca de R$ 6,7 milhões para as empresas, considerando o dado de US$ 1,29 milhão por violação guiada por phishing e o câmbio recente. No Brasil, onde fraudes via PIX e golpes por WhatsApp já fazem parte do cotidiano, isso deixa de ser um problema abstrato.

O atalho parece pequeno, o prejuízo não

A pessoa comum administra algo em torno de 191 contas online. Memorizar uma senha realmente única para cada uma parece inviável, e é aí que o improviso entra. Uma pesquisa da Bitwarden, citada pela CinchOps, mostra que 85% dos usuários no mundo reutilizam senhas em múltiplos sites, e mais da metade usa informações fáceis de adivinhar, como nome do pet ou aniversário.

No Brasil, esse comportamento encontra um ambiente especialmente sensível. O CERT.br monitora páginas falsas que imitam bancos, e-commerce, webmail e até acessos corporativos, enquanto a ANPD reforçou em 2024 as regras para comunicação de incidentes de segurança. Em outras palavras: a cultura regulatória está amadurecendo, mas o hábito do usuário continua atrasado.

Senha repetida é convite para efeito dominó

O problema da senha reaproveitada é que ela multiplica o alcance de uma única falha. Quando a Dropbox sofreu uma violação, 60 milhões de credenciais foram expostas porque um funcionário reutilizou a senha de trabalho. O invasor nem precisou “hackear a empresa” no sentido cinematográfico da palavra. Bastou cruzar uma credencial reaproveitada com um vazamento já disponível.

Esse é o ponto que muita equipe ainda subestima. O elo fraco não é só a senha fraca, mas a senha que circula demais. E, se voce ainda acha que só o gerenciador de senhas resolve isso, vale olhar para outra camada do problema: hoje o sequestro de sessão já consegue contornar credenciais armazenadas.

O clique de 21 segundos que vira incidente

Phishing funciona porque explora pressa, contexto e confiança. Segundo pesquisa da Proofpoint citada pela Bright Defense, a mediana entre receber um e-mail malicioso e clicar no link é de 21 segundos. É menos tempo do que muita gente leva para ler um alerta inteiro na tela.

Os dados da KnowBe4 ajudam a dimensionar isso: 33,1% dos funcionários são suscetíveis a phishing e engenharia social, em uma amostra de 14,5 milhões de usuários distribuídos por 62.400 organizações. Na saúde, esse índice sobe para 41,9%. E como 82,6% dos e-mails de phishing já incorporam conteúdo gerado por IA, a sensação de legitimidade só aumenta.

MFA adiada é porta aberta

A autenticação multifator bloqueia 99% dos comprometimentos de conta relacionados a phishing. Ainda assim, 76% das organizações atingidas por fraude de e-mail corporativo, aquela que drena contas bancárias e aprova pagamentos falsos, não haviam implementado MFA resistente a phishing.

A lógica do adiamento é sedutora: ativa-se depois, quando sobrar tempo. Só que o atacante trabalha justamente com esse atraso. Pior, nem toda MFA oferece o mesmo nível de proteção. Ataques do tipo adversary-in-the-middle, que roubam cookies de sessão, cresceram 146% em 2024. É por isso que ataques com IA já correm mais do que seu time de segurança em menos de 30 minutos. Chaves físicas de segurança, no padrão FIDO2, ainda são a defesa mais sólida contra esse tipo de técnica.

Quando o dispositivo pessoal vira entrada lateral

O trabalho híbrido transformou notebook, celular e tablet em extensão da rede corporativa. O problema é que “traga seu próprio dispositivo” quase sempre também significa “traga sua própria vulnerabilidade”. Entre profissionais de cibersegurança, 28% apontam o uso de senhas fracas em aparelhos pessoais como o pior hábito de segurança no trabalho remoto.

Em boa parte dos casos, esses dispositivos não têm detecção de ameaças, armazenamento criptografado nem atualização automática consistente. Circulam por Wi-Fi público, emparelham com acessórios desconhecidos e misturam vida pessoal com acesso profissional. Em um país em que a fricção dos golpes digitais já aparece no dia a dia, isso funciona como uma porta lateral permanentemente entreaberta.

Compartilhar login corrói o controle que a empresa criou

“Me manda o login rapidinho” talvez seja a frase mais cara do Slack corporativo. Até 30% das violações de dados em organizações resultam de compartilhamento de senhas, reutilização de credenciais ou phishing. Quando o acesso circula por chat, e-mail ou papel colado no monitor, ele escapa de praticamente todos os controles desenhados pela área de segurança.

A correção não é sofisticada: acesso baseado em função, login único e permissões temporárias reduzem a necessidade de compartilhar senha. O custo real está em continuar aceitando o atalho como norma. Globalmente, uma violação de dados sai em torno de R$ 23,2 milhões quando se converte o valor médio de US$ 4,44 milhões. Em contrapartida, empresas que simulam phishing todo mês, exigem MFA em hardware e adotam autenticação com passkeys veem a suscetibilidade cair de 33% para 4,1% em 12 meses, segundo a KnowBe4. A questão, no fim, não é se seus funcionários tomam esses atalhos. Eles tomam. A questão é se o sistema vai continuar premiando isso até o próximo clique de 21 segundos.

Fontes e Referências

  1. Cybernews
  2. KnowBe4
  3. Bright Defense / Proofpoint
  4. CinchOps / Bitwarden

Conheça nossos padrões editoriais

Talvez você goste de: