Exposição digital: Quando os dados da empresa deixam de ser secretos

Os dados mostram bem a dimensão deste desafio: só no ano passado, mais de 26 milhões de dispositivos Windows em todo o mundo foram infetados com malware concebido para roubar informação sensível. Este tipo de malware, conhecido como infostealer, instala-se de forma silenciosa nos dispositivos através de downloads infetados, campanhas de phishing ou extensões maliciosas, sendo capaz de extrair credenciais de acesso, cookies, dados financeiros e acessos a serviços na cloud.

O mais preocupante é que a informação roubada não desaparece. É, eventualmente, colocada em fóruns da Darknet, bases de dados de fugas de informação e canais de mensagens como o Telegram, muitas vezes sem que a empresa afetada se aperceba. Isto cria um fenómeno a que podemos chamar “Invisibilidade Digital”: dados da organização expostos publicamente sem que esta tenha consciência disso, abrindo caminho a novos ataques e fraudes.

Muitas empresas continuam a subestimar a importância de saber que informação sobre si circula no ecossistema digital. Não se trata apenas de proteger a infraestrutura interna, mas também de compreender a exposição externa e de que forma os atacantes a podem explorar.

Num ambiente digital cada vez mais complexo, a verdadeira defesa não passa apenas por adicionar mais ferramentas de proteção. A chave está em saber que informação e que pegadas digitais a empresa está a deixar na Internet — e quem as poderá utilizar. Só com esta visibilidade é possível antecipar ataques antes de estes se concretizarem.

Por outras palavras, não basta olhar “para dentro”, é igualmente essencial olhar “para fora”. O que é que se sabe sobre uma empresa no ambiente digital? Que tipo de criminosos se poderiam interessar por ela e que sinais deixariam antes de atacar?

Visibilidade: um grande aliado

Para muitas empresas, uma infeção não é detetada de imediato. Frequentemente ocorre em dispositivos de colaboradores, parceiros ou fornecedores externos, que estão fora do controlo direto do departamento de TI. Ainda assim, dados de acesso como nomes de domínio, endereços IP internos ou contas administrativas acabam por circular no ambiente digital e, muitas vezes, permanecem por detetar durante meses.

Para colocar esta realidade em perspetiva: no ano passado, foram identificados mais de 2,3 milhões de registos de cartões bancários roubados, muitos deles resultantes de infostealers em dispositivos pessoais e não de ataques diretos a plataformas corporativas. Isto significa que até hábitos aparentemente inofensivos dos colaboradores, como reutilizar a mesma password em serviços pessoais e profissionais, podem colocar em risco a segurança de toda a empresa. 

Se, um desses dispositivos infetados se ligar à rede corporativa, uma simples conta de streaming pode transformar-se numa potencial porta de entrada para um atacante. Através dessas credenciais roubadas, os atacantes conseguem lançar ataques dirigidos sem necessidade de explorar qualquer vulnerabilidade técnica. 

Entre os métodos mais comuns estão:

• Credential stuffing em portais web, VPNs e ferramentas SaaS, que consiste na utilização massiva de combinações de utilizador e password roubadas para tentar aceder a contas;
• Sequestro de sessão através de cookies roubados, permitindo assumir o controlo de uma sessão ativa sem necessidade de palavra-passe;
• Phishing a partir de remetentes legítimos, em que os atacantes enviam mensagens aparentemente fiáveis para enganar as vítimas;
• Roubo de identidade e Business Email Compromise (BEC), técnicas destinadas a suplantar identidades ou comprometer contas de correio eletrónico corporativas para fins de fraude;
• Acesso a contas privilegiadas através da reutilização de palavras-passe, facilitando a movimentação lateral dentro dos sistemas.

Estes métodos são extremamente difíceis de detetar porque recorrem a identidades reais. Não precisam de vulnerabilidades para entrar — apenas das credenciais certas. Cada credencial comprometida torna-se um recurso explorável, multiplicando o risco e o impacto ao nível corporativo.

Estando conscientes destes riscos, as empresas devem investir numa abordagem proativa de prevenção, sabendo exatamente que informação sobre a empresa é que está disponível e que pode ser usada num futuro ataque. Num mundo em que os atacantes não esperam por falhas técnicas e exploram informação já exposta, a capacidade de detetar e reagir a essa exposição pode ser a diferença entre sofrer um incidente grave e garantir a continuidade do negócio.