Simular o inimigo numa era de inteligência artificial: porque o TIBER e o TLPT nunca foram tão relevantes

Mas há um problema estrutural neste raciocínio. E se estivermos a testar bem… coisas irrelevantes?

Foi precisamente para responder a esta limitação que surgiu o TIBER-EU, impulsionado pelo European Central Bank. Mais do que substituir o modelo tradicional de pentesting, o TIBER surge como um complemento, cobrindo um ângulo até aqui pouco explorado: a validação da capacidade de resistir a um adversário realista em cenários orientados a impacto. A pergunta deixa de ser “onde estão as vulnerabilidades?” e passa a ser “se um adversário real nos atacasse, conseguiria atingir o que realmente importa?”. Esta diferença, aparentemente subtil, altera profundamente a forma como pensamos na segurança.

O TIBER não é apenas um exercício técnico, mas sim um exercício estratégico que combina duas disciplinas que durante muito tempo viveram separadas: a Threat Intelligence, que procura compreender quem são os adversários relevantes, como operam e o que procuram, e a Red Team, que materializa esse comportamento em ataques realistas. O valor não está em cada uma destas componentes isoladamente, mas na forma como se articulam. Já não se trata de simular um atacante genérico, mas sim de reproduzir um adversário concreto, com motivações, restrições e um modo de operação plausível.

Esta abordagem não é apenas teórica — está já refletida ao nível regulatório. O DORA introduz requisitos de testes avançados de resiliência, nomeadamente através de exercícios de Threat-Led Penetration Testing (TLPT). Para esse efeito, a framework TIBER-EU foi adotada como referência, formalizando esta transição de testes centrados em vulnerabilidades para avaliações centradas na capacidade de resistir a adversários reais.

Se esta mudança de perspetiva já era relevante, torna-se agora crítica à luz de uma transformação ainda mais profunda: o impacto da inteligência artificial na descoberta de vulnerabilidades. Durante décadas, encontrar falhas complexas foi um processo exigente, lento e altamente dependente de talento especializado. Hoje, essa realidade está a mudar. Sistemas baseados em IA começam a demonstrar capacidade para identificar vulnerabilidades — incluindo falhas desconhecidas — a uma escala e velocidade sem precedentes. Um exemplo recente é o Mythos Preview, desenvolvido pela Anthropic, que demonstrou como sistemas de inteligência artificial conseguem identificar e explorar vulnerabilidades profundas, algumas presentes há anos e que passaram despercebidas a bug hunters e developers “humanos”, tornando evidente que a descoberta de falhas está a entrar numa nova escala.

Mais do que o detalhe técnico, o que este tipo de evolução revela é algo mais estrutural: encontrar vulnerabilidades deixa de ser o principal fator limitador. E isso tem uma consequência inevitável. Se a identificação de falhas se torna mais rápida, mais acessível e menos dependente de especialização rara, então a probabilidade de compromisso aumenta. Não porque as organizações estejam necessariamente menos seguras, mas porque o custo de atacar diminui em paralelo com o aumento de probabilidade de sucesso. E quando o custo diminui, a frequência aumenta.

Mas há ainda uma outra dimensão que torna este cenário mais exigente. Não estamos apenas perante uma evolução tecnológica, mas também perante um contexto geopolítico em transformação. Num mundo cada vez mais multipolar, onde potências emergentes procuram afirmar a sua influência, o conflito deixou de ser exclusivamente militar. Tornou-se difuso, distribuído e muitas vezes invisível. A chamada guerra híbrida combina operações cibernéticas, desinformação, pressão económica e exploração de dependências críticas, procurando desestabilizar o adversário sem cruzar o limiar de um conflito aberto.

Neste contexto, o ciberespaço assume um papel central. Permite atuar à distância, manter um grau de negação plausível e atingir infraestruturas críticas com custos relativamente baixos. E talvez mais importante, muitas destas operações não têm como objetivo roubar dados, mas sim interromper serviços, degradar operações ou minar a confiança. Setores como o financeiro, a energia, as comunicações ou a logística tornam-se alvos naturais, precisamente porque o impacto de uma disrupção se propaga rapidamente.

Quando combinamos este contexto geopolítico com o avanço da inteligência artificial, o efeito é multiplicador. A IA reduz o custo técnico de atacar, enquanto a guerra híbrida fornece a motivação estratégica e a seleção de alvos com impacto sistémico. O resultado é um aumento não apenas no número de ataques, mas também na sua persistência e direcionamento.

Perante esta realidade, cai por terra uma ilusão confortável que durante anos acompanhou muitas organizações. A ideia de que, apesar de existirem riscos, a probabilidade de um ataque sério era relativamente baixa e que os controlos existentes seriam, em princípio, suficientes. Na prática, muitas capacidades críticas — deteção, resposta, coordenação — nunca foram verdadeiramente testadas sob condições realistas.

É neste ponto que a mudança de foco se torna inevitável. A questão deixa de ser se conseguimos evitar todos os ataques e passa a ser se conseguimos lidar com eles quando acontecem. A segurança deixa de ser apenas uma questão de prevenção e passa a ser uma questão de resiliência. Conseguimos detetar um ataque suficientemente cedo? Conseguimos responder de forma eficaz? Conseguimos manter o negócio a funcionar mesmo sob pressão?

Para quem participa diretamente em exercícios TIBER, esta mudança não é teórica — é evidente. Do lado da Threat Intelligence, o desafio está em construir uma narrativa credível, identificando adversários relevantes e caminhos de ataque plausíveis. Do lado da Red Team, o desafio é ainda mais exigente: não se trata de usar todas as técnicas disponíveis, mas de agir com disciplina, respeitando o perfil do adversário e privilegiando o realismo em detrimento de demonstração técnica. Muitas vezes, isso implica aceitar caminhos mais lentos, menos diretos e até momentos de espera, porque num ataque real o tempo é também uma variável estratégica.

Num mundo onde as vulnerabilidades são mais fáceis de descobrir, os ataques mais frequentes e os adversários mais motivados, testar controlos de forma isolada deixa de ser suficiente. O que se torna crítico é perceber se a organização, como um todo, consegue resistir. É precisamente isso que o TIBER permite: testar não apenas sistemas, mas capacidades operacionais e funções críticas sob condições realistas. E, talvez mais importante, expor assunções que nunca foram verdadeiramente validadas.

Poder-se-ia argumentar que, num mundo onde a inteligência artificial facilita a descoberta de vulnerabilidades 0-days, o valor do pentesting tradicional diminui. Mas essa leitura ignora um princípio básico: os atacantes seguem o caminho mais fácil. Se uma organização expõe vulnerabilidades conhecidas, mal configuradas ou facilmente exploráveis, é por aí que o ataque vai começar — não por cadeias complexas de 0-days. Nesse sentido, o pentesting tradicional continua a ser uma peça fundamental da segurança, permitindo identificar e corrigir o maior número possível de falhas acessíveis e reduzindo significativamente a superfície de ataque. Esta realidade é, aliás, refletida no DORA, que não substitui estas práticas, mas exige um programa abrangente de testes que combina avaliações tradicionais — como testes web, mobile, cloud, revisões de código e vulnerability scanning — com exercícios mais avançados como o TLPT. O objetivo não é escolher entre abordagens, mas sim garantir cobertura em profundidade, desde as falhas mais evidentes até aos cenários mais sofisticados.

Estamos a entrar numa nova fase da cibersegurança. Uma fase onde as falhas são inevitáveis, os ataques são mais prováveis e o impacto é o verdadeiro risco. Neste contexto, a segurança deixa de ser definida pela ausência de vulnerabilidades e passa a ser definida pela capacidade de lidar com elas, quando são exploradas por um adversário.

No final, tudo se resume a uma pergunta simples — e desconfortável: se isto fosse a sério… estaríamos preparados?