Os ataques cibernéticos não começam mais com malware ou explorações de força bruta;
Eles começam com identidades roubadas. À medida que as empresas despejam dados críticos em plataformas SaaS, os invasores recorrem à inteligência artificial (IA) para se passar por usuários legítimos, contornar os controles de segurança e operar furtivamente em ambientes confiáveis.
Pesquisador principal de segurança da AppOmni.
De acordo com o Relatório SaaS Security 2025 da AppOmni, 75% das organizações experimentaram um incidente relacionado a SaaS no ano passado, mais comumente credenciais comprometidas ou políticas de acesso mal configuradas.
No entanto, 91% expressaram confiança na sua postura de segurança. A visibilidade pode ser elevada, mas o controlo está atrasado.
A identidade é o novo perímetro e os invasores sabem disso
Os atores malignos sempre buscaram o caminho de menor resistência. No mundo SaaS, esse caminho muitas vezes leva diretamente a identidades roubadas. Senhas, chaves de API, tokens OAuth e códigos de autenticação multifator (MFA) — qualquer material de credenciamento que desbloqueie o acesso agora é o foco principal.
Embora muitas organizações ainda tratem a identidade como um ponto de verificação, para os invasores ela se tornou a própria superfície de ataque. Nas aplicações SaaS, a identidade não é apenas uma limitação; muitas vezes é a única barreira consistente entre os usuários e seus dados mais críticos.
Pense nisso: quase todas as empresas dependem de plataformas SaaS para comunicação, RH, finanças e até mesmo desenvolvimento de código.
Esses sistemas não compartilham um perímetro físico como fazem as redes locais tradicionais. Isto significa que proteger o acesso é fundamental: especificamente, garantir a legitimidade de cada identidade que tenta aceder a estes sistemas. Se um invasor comprometer uma conta válida, ele herdará os mesmos privilégios do usuário legítimo.
É isso que torna os ataques de identidade tão eficazes. Firewalls, proteção de endpoint e quase todas as camadas de segurança tradicionais que monitoram a atividade da nuvem ou bloqueiam o acesso não autorizado a dados ou o uso de aplicativos são contornadas em arquiteturas baseadas em rede.
E é precisamente aqui que a IA entra na briga. Os agentes de ameaças estão adotando rapidamente a IA para turbinar todos os aspectos de seus ataques, desde a criação de sinais de phishing irresistíveis até o aperfeiçoamento de técnicas de evasão comportamental.
Os pesquisadores documentaram um aumento significativo em campanhas de phishing de alto volume e linguisticamente sofisticadas, sugerindo fortemente que grandes modelos de linguagem (LLMs) estão sendo usados para criar e-mails e mensagens que imitam perfeitamente dialetos locais, tons corporativos e até mesmo estilos de escrita individuais.
Não se trata apenas de malware. A arma escolhida é a identidade: a senha, o token e a autorização OAuth que desbloqueia um aplicativo em nuvem.
Os cibercriminosos estão usando a IA como arma para comprometer ambientes SaaS por meio de identidades roubadas de diversas maneiras: descoberta acelerada, exploração direcionada de credenciais, identidades sintéticas amplas e execução automatizada de ataques.
Identificando identidades: a vantagem da IA
Antes que um invasor tente fazer login, ele precisa de contexto: quais são os nomes dos funcionários? Quem se reporta a quem? Como são os fluxos de aprovação? Que relacionamentos com terceiros existem? Os criminosos estão aproveitando modelos de IA para automatizar esta fase de conhecimento.
Em um caso documentado, um ator de ameaça inseriu suas táticas, técnicas e procedimentos (TTP) favoritos em um arquivo chamado CLAUDE.md, instruindo efetivamente a IA do Código Claude a realizar operações de descoberta de forma autônoma. A IA então examinou milhares de pontos de acesso VPN, mapeou meticulosamente a infraestrutura exposta e até classificou alvos por setor e país, tudo sem supervisão manual.
No contexto do SaaS, isso significa que os adversários podem identificar rapidamente os inquilinos, coletar formatos de e-mail dos funcionários e testar portais de login em grande escala.
O que antes demorava semanas laboriosas, as investigações manuais por operadores humanos podem agora ser realizadas em poucas horas por uma IA, reduzindo significativamente o tempo e o esforço necessários para se preparar para ataques direcionados.
Roubo de identidade: garimpando ouro com IA
Obter acesso muitas vezes envolve examinar grandes quantidades de informações comprometidas. Registros de ladrões de informações, despejos de senhas de violações anteriores e fóruns da dark web são fontes ricas de material de credenciais.
No entanto, determinar quais dessas credenciais são realmente úteis e valiosas para um ataque subsequente é demorado. Isso também se tornou uma tarefa assistida por IA.
Os criminosos estão usando IA, especificamente por meio do protocolo de contexto do modelo Claude, para analisar automaticamente enormes conjuntos de dados de credenciais roubadas. A IA analisa os arquivos de log detalhados dos ladrões, incluindo históricos de navegador e dados de domínio, para criar perfis de vítimas e priorizar quais são mais valiosos para ataques subsequentes.
Em vez de perder tempo tentando explorar milhares de logins de baixo valor, os agentes de ameaças podem concentrar seus esforços em alvos altamente privilegiados, como administradores, gerentes financeiros, desenvolvedores e outros usuários de alta autoridade em ambientes SaaS críticos. Este foco do laser aumenta drasticamente suas chances de sucesso.
Dos deepfakes ao acesso profundo: identidades sintéticas em escala
Um dos desenvolvimentos mais preocupantes é a produção em massa de identidades roubadas ou completamente sintéticas utilizando sistemas de IA. A pesquisa detalhou vastas comunidades online em plataformas como Telegram e Discord, onde os criminosos estão aproveitando a IA para automatizar quase todas as etapas da fraude online.
Por exemplo, um grande bot do Telegram com mais de 80.000 membros usa IA para gerar resultados realistas segundos após um simples prompt. Isso inclui selfies geradas por IA e fotos trocadas de rosto, projetadas para se passar por pessoas reais ou criar pessoas completamente falsas.
Essas imagens fabricadas podem construir uma narrativa verossímil, retratando alguém como se estivesse em um hospital, em um local remoto no exterior, ou simplesmente posando para uma selfie ocasional.
Outras ferramentas de IA nestas comunidades são utilizadas para traduzir mensagens, gerar respostas emocionalmente inteligentes e manter identidades consistentes em conversas em vários idiomas.
O resultado é uma forma nova e insidiosa de fraude de identidade digital, em que todas as imagens, vozes e conversas podem ser criadas por máquinas, tornando incrivelmente difícil para os humanos distinguir a verdade da fabricação.
Essas ferramentas alimentadas por IA capacitam até mesmo criminosos não qualificados a fabricar personas altamente convincentes, passar em verificações básicas de antecedentes e manter comunicação de longo prazo com seus alvos.
Quando um agente de IA consegue gerar rostos, vozes e conversas simples sob demanda, o custo de fabricação de uma nova identidade digital torna-se quase insignificante, aumentando drasticamente o potencial de fraude e infiltração.
Esta dinâmica também está a ocorrer numa escala patrocinada pelo Estado. Foram descobertos extensos esquemas de trabalhadores de TI na Coreia do Norte, onde os agentes usaram IA para fabricar currículos, criar fotos profissionais e comunicar facilmente em inglês enquanto se candidatavam a empregos remotos de engenharia de software em empresas de tecnologia ocidentais.
Muitos destes trabalhadores, muitas vezes sem competências técnicas ou linguísticas reais, confiaram fortemente em modelos criativos de IA para escrever códigos, depurar projetos e gerir a correspondência quotidiana, ao mesmo tempo que se faziam passar por funcionários legítimos.
Esta mistura de operadores humanos e identidades alimentadas por IA destaca como as personas sintéticas evoluíram de simples fraudes românticas ou financeiras para sofisticados programas de infiltração industrial e espionagem.
Abuso de identidades: estruturas de ataque com origem em IA
Além de atos individuais de engano, armas de IA estão sendo usadas para automatizar todo o ciclo de vida do ataque. O surgimento de estruturas com origem na IA, como o Villager, o sucessor do Cobalt Strike desenvolvido na China, mostra que a intrusão autónoma está a tornar-se dominante.
Ao contrário das estruturas tradicionais de equipe vermelha que exigem operadores qualificados para escrever e executar ataques manualmente, o Villager integra LLMs diretamente em sua estrutura de comando. Seus agentes autônomos podem realizar ações de conhecimento, exploração e pós-exploração por meio do raciocínio em linguagem natural.
Os operadores podem emitir comandos em linguagem simples e o sistema traduz sequências de ataques técnicos complexos, dando um passo significativo em direção a campanhas de intrusão totalmente automatizadas, alimentadas por IA.
Ainda mais preocupante é que esses pacotes estão disponíveis publicamente em repositórios como o PyPI, que registrou aproximadamente 10 mil downloads em dois meses. O resultado é uma economia subterrânea alimentada por IA, onde os ataques cibernéticos podem ser lançados, replicados e dimensionados sem a experiência humana.
O que antes exigia domínio técnico agora pode ser alcançado com um simples prompt assistido por IA, abrindo a porta para que cibercriminosos amadores e atores de ameaças organizados lancem ataques altamente automatizados e baseados em identidade em grande escala.
Enfrentando o risco em um mundo movido pela IA
O antigo paradigma de segurança não irá protegê-lo destas novas ameaças.
As organizações devem adaptar as suas estratégias, tendo a personalidade como foco de defesa:
Trate a identidade como sua base de segurança: Cada login, autorização e sessão devem ser avaliados continuamente quanto à confiança, não apenas no ponto de entrada. Implemente contexto comportamental avançado e sinais de risco, como impressão digital de dispositivos, consistência geográfica, e identifique padrões de atividades incomuns para detectar desvios sutis do comportamento normal do usuário.
Estenda o Zero Trust além da TI: Help desk, RH e portais de fornecedores tornaram-se alvos populares de engenharia social e fraudes de trabalhadores remotos. Estenda o mesmo rigor de verificação usado em sistemas de TI a todas as equipes voltadas para o negócio, verificando cada solicitação e sessão de acesso, independentemente da origem.
Reconhecer a identidade sintética como um novo risco cibernético: As empresas e os reguladores devem tratar a criação de identidade sintética baseada na IA como um risco cibernético distinto e grave. Isto requer regras de divulgação mais claras, padrões sólidos de gestão de identidade e uma melhor partilha de informações entre indústrias para combater a contrafacção sofisticada.
Solicite detecção de anomalias incorporada de provedores de SaaS: Os provedores de SaaS devem incorporar a detecção avançada de anomalias diretamente em seus fluxos de autenticação e processos de autorização OAuth, interrompendo proativamente a automação maliciosa e os ataques de identidade sintética antes que o acesso seja concedido.
Use IA para defesa: Invista em modelos de IA que possam reconhecer características de textos, rostos e comportamentos gerados por máquina. Estas defesas alimentadas por IA constituirão cada vez mais a espinha dorsal da garantia de identidade eficaz, ajudando a distinguir entre reais e falsos em tempo real.
Protegendo SaaS na era da IA
Phishing, roubo de credenciais e fraude de identidade tornaram-se mais rápidos, mais baratos e menos preocupantes, tudo graças à IA. Mas a mesma inteligência que permite estes ataques também pode fortalecer as nossas defesas.
O sucesso nos próximos anos dependerá menos da construção cada vez mais alta e mais do desenvolvimento de sistemas inteligentes que possam distinguir instantaneamente entre o real e o sintético.
A IA pode ter confundido a linha entre um usuário legítimo e um impostor, mas com um design bem pensado, estratégias proativas e inovação colaborativa, as organizações podem redefinir essa linha para que a confiança, e não a tecnologia, defina quem terá acesso.
Confira nossa lista dos melhores firewalls para pequenas empresas.
