Apesar de décadas de investimento na conscientização cibernética, as organizações continuam a enfrentar falhas decorrentes de erros técnicos, mas de comportamento humano previsível sob pressão.
Durante anos, as estratégias de segurança concentraram-se na construção de um perímetro digital forte. Firewalls, sistemas de prevenção de intrusões e proteção ponta a ponta foram projetados para criar limites defensáveis. No entanto, hoje em dia, os atacantes raramente precisam de violar estas defesas. Muitas vezes, tudo o que precisam fazer agora é solicitar acesso.
Vice-presidente de vendas globais da SecurEnvoy.
Com plataformas em nuvem e ferramentas SaaS no centro da maioria das empresas, a ideia de uma borda de rede fixa desapareceu. O novo perímetro está nas plataformas de identidade, nas ferramentas de colaboração e, sobretudo, nas decisões do dia a dia dos colaboradores.
O artigo continua abaixo
Crucialmente, estes trabalhadores experimentam lapsos de julgamento e concentração. Num dia normal, os funcionários enfrentam distrações, interrupções e demandas urgentes que os puxam em todas as direções. As pessoas confiam em atalhos mentais para lidar com a complexidade e a sobrecarga cognitiva.
O psicólogo Daniel Kahnemann descreveu isto como um pensamento rápido, essencial para as exigências e o ritmo da nossa carga de trabalho digital. As pessoas agem rapidamente para ajudar, respondem às mensagens para manter o trabalho em andamento, confiam em nomes familiares, solicitações urgentes e ferramentas nas quais confiam todos os dias.
Para os atores de ameaças, é algo pelo qual orar. Os engenheiros sociais sabem que podem explorar com sucesso estas características humanas, sequestrando a confiança e o sentido de urgência que as pessoas demonstram naturalmente.
E eles estão fazendo isso com grande sucesso. A M&S, por exemplo, declarou publicamente que o ataque cibernético que sofreu no ano passado, que custou ao retalhista cerca de 300 milhões de libras, foi o resultado de “erro humano”.
1% dos usuários aceitam solicitações simples de MFA na primeira tentativa
No futuro, espera-se que a ameaça de invasores que exploram o comportamento humano aumente. No seu Global Cybersecurity Outlook 2026, o Fórum Económico Mundial (WEF) afirma que os cibercriminosos estão a transformar modelos de IA em armas para manipular de forma mais eficaz a confiança humana, num esforço para obter acesso aos sistemas das vítimas.
Além disso, o relatório do WEF afirma que estas capacidades representam uma evolução significativa no cenário de ameaças, exigindo mecanismos de defesa mais avançados e adaptativos.
Não há dúvida de que a autenticação multifator (MFA) se tornou um requisito básico de segurança nesse mix, complementando o modelo de nome de usuário e senha com fatores adicionais para identificar usuários reais.
Tradicionalmente, a MFA envolve o envio de um prompt a um dispositivo de propriedade exclusiva de um usuário específico, como um telefone celular. À medida que os actores da ameaça continuam a procurar o caminho de menor resistência, os bombardeamentos do MFA tornaram-se prolíficos, nos quais os alertas do MFA são enviados repetidamente para enganar ou incomodar as vítimas para que lhes dêem acesso às contas.
É um método de ataque que mais uma vez procura explorar a psicologia humana em vez de vulnerabilidades técnicas. Depois de obter o nome de usuário e a senha da vítima por meio de métodos como phishing ou compra de credenciais vazadas na dark web, ferramentas automatizadas são usadas para inundar as solicitações de aprovação de MFA.
Alarmados, cansados ou frustrados com essas notificações push, os usuários podem aceitar imediatamente ou eventualmente a solicitação, independentemente de ela ser genuína.
Uma única aprovação de MFA (um clique) poderia abrir a porta para dados de clientes, detalhes de pagamento e sistemas operacionais críticos, deixando as vítimas expostas a demandas de ransomware, interrupções online, perda de vendas, reputação prejudicada e multas regulatórias.
Lidando com o erro humano
No entanto, mesmo com as defesas técnicas mais fortes, os seres humanos continuam a ser um factor crítico na segurança cibernética.
Os seres humanos são frequentemente considerados a primeira linha de defesa e o elo mais fraco na segurança cibernética por uma razão: no Relatório de Investigações de Violações de Dados 2025 (DBIR) da Verizon, o comportamento humano (como engenharia social, uso indevido de credenciais e ações não intencionais) esteve envolvido em 60% das violações, mostrando que as pessoas ainda desempenham um papel importante nas violações.
Portanto, a cibersegurança já não é, em muitos aspectos, apenas um caso de proteção do sistema, mas de informar decisões.
Portanto, é fundamental mitigar o potencial destes erros, lapsos de julgamento ou omissões, e isso começa com educação, formação e sensibilização adequadas, garantindo que os funcionários estejam conscientes das ameaças associadas à MFA.
Todo funcionário deve estar ciente dos riscos de aceitar solicitações de login suspeitas – se você receber uma solicitação inesperada, recuse-a e notifique seu departamento de TI imediatamente.
Implementando controles aprimorados de MFA
Dito isto, é impossível para as organizações eliminarem completamente o erro humano. Portanto, pode ser necessário implementar uma autenticação mais capaz para reduzir a possibilidade de o bombardeio do MFA causar violações.
No ano passado, várias organizações nacionais e internacionais de segurança cibernética emitiram um comunicado conjunto defendendo a adoção ampla, destacando a necessidade de as organizações irem além dos controles básicos e adotarem a MFA anti-phishing.
Portanto, as vulnerabilidades relacionadas às solicitações “clique para aceitar” ou “insira seu PIN para aceitar” que são suscetíveis ao bombardeio e fadiga do MFA podem ser eliminadas.
Especificamente, os controles de acesso baseados em contexto são usados para analisar fatores adicionais sobre uma tentativa de login. Isto pode incluir a localização das tentativas de login; o dispositivo, sistema operacional e navegador utilizado; e comportamento típico do usuário, como o tempo que leva para o usuário se autenticar.
Ao combinar vários pontos de prova de autenticação, o MFA aprimorado pode tomar decisões de autenticação inteligentes, sinalizar logins suspeitos e garantir que os logins de baixo risco prossigam sem verificação adicional.
Além disso, adicionar segurança FIDO2 ou controles biométricos pode proteger ainda mais contra ataques de MFA. Usar um método de autenticação vinculado a dispositivos e resistente a phishing pode impedir que criminosos cibernéticos roubem ou interceptem credenciais de login, mesmo que um funcionário seja induzido a entrar em um site fraudulento.
Um exemplo disso é o link original. Isso vincula as credenciais a um domínio de site específico (por exemplo, seuwebsite.com). Se um funcionário tentar fazer login em uma variação fraudulenta do site (como your-website.com), a verificação criptográfica falhará automaticamente e suas credenciais não poderão ser usadas.
Certifique-se de que as soluções que você adota sejam fáceis de usar
Em última análise, esses recursos aprimorados de MFA são projetados para oferecer suporte ao comportamento seguro do usuário.
Ao adotar e implantar MFA aprimorado e resistente a phishing, as organizações podem adicionar uma camada de atrito entre humanos e engenharia social, tornando muito mais fácil para os atores de ameaças explorarem o pensamento rápido e as respostas instintivas e para os usuários agirem com segurança.
Quando um único clique pode custar milhões a uma empresa, hoje vale a pena investir em segurança comportamental. No entanto, é importante escolher as ferramentas certas para o trabalho.
Como qualquer medida de segurança, os protocolos MFA aprimorados não devem atrasar as pessoas. Na verdade, se aderi-los for complicado, complexo ou demorado, os funcionários procurarão rapidamente formas de evitá-los.
Com isto em mente, as empresas precisam adotar soluções de MFA aprimoradas que sejam fáceis de instalar, fáceis de usar e altamente seguras. Obtenha essa combinação e você estará no caminho certo para proteger seus sistemas, dados e operações de negócios contra a crescente ameaça de bombardeio de MFA e ataques baseados em acesso.
Apresentamos o melhor software de criptografia.
Este artigo foi produzido como parte do canal Expert Insights da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes da indústria de tecnologia atualmente. As opiniões expressas aqui são de responsabilidade do autor e não necessariamente da TechRadarPro ou Future plc. Caso tenha interesse em participar, mais informações aqui:
