Nuno Reis: “Se tivesse 30 minutos para atacar a vossa empresa, não começava pela infraestrutura” (com vídeo)

A cibersegurança continua a ser frequentemente associada à tecnologia, mas a abordagem apresentada por Nuno Reis, Cyber Security Officer de Bosch, no palco da edição de 2026 da IT Security Summit desloca esse foco para outro nível. Antes de qualquer ataque técnico, existe um trabalho prévio de recolha de informação que passa despercebido às equipas de segurança.

“Se eu tivesse 30 minutos para atacar a vossa empresa, não começava pela infraestrutura”, admitiu o responsável, ao considerar que a exposição pública das organizações é um ponto de entrada eficaz.

Informação pública como ponto de partida

O mapeamento de uma organização pode começar com ferramentas simples e acessíveis, sem recurso a técnicas intrusivas. “Podemos utilizar o Google, as redes sociais, os websites das empresas”, num processo que permite cruzar informação pública, identificar funções, relações internas e construir um retrato detalhado sem gerar alertas.

É neste contexto que o LinkedIn assume um papel central na recolha de informação, pela quantidade e qualidade dos dados que concentra sobre as pessoas e organizações. A plataforma, pensada para partilha de percursos profissionais e conquistas, acaba por expor detalhes relevantes sobre equipas, funções e projetos em curso. “É onde temos a tendência de partilhar projetos que temos dentro da empresa”, o que se cruza com publicações de entrada de novos colaboradores, mudanças de função e descrições de responsabilidades, permitindo, por sua vez, construir uma visão estruturada da organização a partir de informação aparentemente inofensiva.

Identificar pessoas e pontos de acesso

A análise dessa informação permite identificar rapidamente quem pode ser alvo de um ataque. A atenção recai sobre áreas críticas como administração, IT e equipas técnicas, mas também sobre funções com poder de decisão. “Quem faz pagamentos dentro das empresas pode ser um dos alvos apetecíveis”, apontou.

A vulnerabilidade não se limita à função e está também ligada ao contexto individual. Por exemplo, “quem entra recentemente na empresa” ou quem está sobrecarregado torna-se mais suscetível, sobretudo em situações onde o volume de trabalho e a pressão reduzem a capacidade de escrutínio, dando maior peso ao fator humano na exposição ao risco.

A exposição vai além das pessoas, uma vez que estruturas internas, relações entre equipas e fluxos de decisão acabam por ser revelados através de conteúdos aparentemente inofensivos. “Nós publicamos o nosso blueprint”, numa referência à forma como organogramas e interações internas podem ser reconstruídos com base em informação pública.

Muito além da sensibilização

A sensibilização continua a ter um papel importante, mas não é suficiente para responder a este tipo de exposição. “Não falo que seja uma questão de awareness, ela é importante e nós temos que consciencializar as pessoas, mas isto é mais do que uma parte de awareness, diria que é uma parte de governação”, uma vez que existe uma responsabilidade organizacional na forma como a informação é partilhada.

Essa responsabilidade traduz-se na definição de regras e orientação clara para os colaboradores. “Existe uma política da forma como nós vamos publicar a informação porque é importante as pessoas terem um guia”, explicou, apontando para a necessidade de estruturar esta prática dentro da organização.

Sem esse enquadramento, a exposição pode revelar riscos que passam despercebidos internamente, já que “uma publicação no LinkedIn pode dar a conhecer um risco que as próprias empresas não têm conhecimento”, o que coloca este tema no domínio da governação e da gestão de risco dentro das organizações.

Com base na informação recolhida, um atacante consegue estruturar um ataque direcionado. A lógica segue um conjunto de perguntas simples, identificar quem, como, com o quê e onde e, para o responsável, “se conseguirmos responder a todas, rapidamente temos um ataque direcionado”.

Este processo, salientou, acaba por decorrer “sem ruído e alertas”, num cenário em que as equipas de segurança não recebem qualquer notificação durante esta fase de levantamento e o atacante ganha vantagem.

Casos reais e impacto

A utilização de informação pública já teve consequências concretas, como no caso da partilha de dados de localização através de aplicações de fitness, que acabou por revelar a posição de um porta-aviões. “Foi um uso normal de uma aplicação”, um exemplo de como ações quotidianas podem ter impacto significativo sem que exista perceção do risco.

O mesmo padrão repete-se em contextos profissionais, onde contactos de recrutamento, mensagens aparentemente legítimas e links associados a ofertas de emprego são usados como ponto de entrada. A confiança construída ao longo do tempo facilita o acesso e leva a decisões precipitadas, num momento em que “recebem um link, esse mesmo link vai-vos levar para aquilo que vocês não querem”.

O elo mais vulnerável

A dimensão comportamental surge assim como elemento central neste tipo de ataques, já que, mesmo com tecnologias avançadas, o fator humano mantém um papel decisivo. “As tecnologias podem ser de topo, mas se as pessoas não têm essa perceção, são o elo mais fraco”, apontou.

Esse risco ganha expressão em situações concretas, como no caso de um novo colaborador na área financeira que publica a sua entrada na empresa enquanto um projeto crítico é divulgado internamente. A informação torna-se pública e é utilizada para construir um ataque credível, num cenário em que “demos toda a informação que era necessária” para comprometer credenciais.

Para Nuno Reis, o problema está na forma como as organizações encaram a segurança, já que “protegemos o que é visível, mas esquecemos o essencial”, chamando a atenção para a exposição de informação que continua fora do perímetro tradicional de proteção.