IA Generativa em cibersegurança: quando a arma mais sofisticada do inimigo é também a nossa melhor esperança

Todos os dias somos bombardeados com “next-gen AI”, “machine learning autónomo” e plataformas que prometem erradicar ameaças antes de se materializarem. A verdade incómoda? Enquanto vendemos a IA como a nossa salvação, os atacantes já a transformaram na arma mais acessível e escalável que alguma vez tiveram.

O lado ofensivo

O uso ofensivo da IA Generativa não é um cenário teórico – está nos ataques que gerimos. E eles são múltiplos e de vários tipos.

Os ataques de phishing assistidos por IA Generativa são contextualmente perfeitos. Utilizam modelos de linguagem para analisar comunicações públicas de uma organização e geram mensagens que imitam com uma precisão perturbante os remetentes legítimos, passando todos os filtros de sensibilização, porque já não há “sinais de alerta” tradicionais para identificar.

Os deepfakes e o voice cloning deixaram de ser tecnologias experimentais. Basta uma reunião com o “CFO” a pedir uma transferência urgente: voz idêntica, contexto credível, pedido urgente. Se a identidade é o novo perímetro, e é, os deepfakes são o cavalo de Tróia da era da IA.

O verdadeiro impacto operacional está na aceleração brutal da janela entre o disclosure de uma vulnerabilidade e a sua exploração ativa. Antes, um CVE era publicado, investigadores analisavam, alguém desenvolvia um PoC e, semanas ou meses depois, começávamos a ver exploração em escala. Hoje, com modelos open source, qualquer atacante consegue analisar informação pública, correlacionar documentação, gerar código e construir um exploit funcional em poucas horas. A maioria dos processos de patch e vulnerability management foi desenhada para um mundo que já não existe.

O conceito de malware polimórfico não é novo, mas a IA Generativa elevou-o a um novo patamar. Cada instância de malware pode ser única, de forma a evadir assinaturas, alterar comportamentos e adaptar-se ao ambiente onde opera.

Soluções baseadas em assinaturas estáticas deixaram de ser suficientes, pois foram concebidas para um mundo onde os ataques tinham padrões reconhecíveis.

A IA Generativa democratizou capacidades que antes eram exclusivas. Hoje, um operador sem grande conhecimento técnico pode alugar ferramentas que automatizam toda a cadeia de ataque. Não lutamos contra hackers, mas contra uma indústria.

O lado defensivo

Se a IA é a arma mais sofisticada dos atacantes, é também a nossa melhor defesa. O problema? A distância entre a teoria e a prática é enorme.

As soluções de EDR baseadas em machine learning são, provavelmente, a aplicação mais madura e comprovada de IA na defesa. Ao estabelecer baselines de comportamento normal, conseguem identificar desvios mesmo quando o atacante utiliza credenciais legítimas e ferramentas nativas do sistema.

Num SOC bem operado, a IA no SOAR liberta os analistas das 80% de tarefas repetitivas para que se concentrem nos 20% que exigem intuição, contexto de negócio e decisão estratégica.

A capacidade de processar e correlacionar volumes massivos de informação é onde a IA entrega valor inegável. Nenhuma equipa humana consegue processar centenas de milhares de IoCs diariamente e contextualizá-los para o ambiente específico de cada cliente.

Onde a IA defensiva falha

Uma percentagem significativa das soluções vendidas como “AI-powered” são, na realidade, ferramentas tradicionais com uma camada superficial de machine learning. Se retirarem a palavra “IA” do material de marketing, a funcionalidade do produto muda?

A grande promessa da IA na deteção era a redução de falsos positivos. E, em alguns cenários, funciona. Mas se os dados de treino do modelo não representam o ambiente do cliente, a baseline foi construída sobre dados incompletos – não há um ciclo contínuo de refinamento e a IA produz o mesmo volume de alertas inúteis. E falsos positivos com alta confiança são muito mais perigosos.

Além disso, a maioria dos artigos sobre IA em Cibersegurança não menciona o custo operacional. Executar modelos de IA à escala empresarial exige infraestrutura computacional significativa. O Total Cost of Ownership real de uma solução é elevado e a maioria das organizações já só descobre isto em produção.

Nem apocalipse, nem salvação estratégica

A IA Generativa transformou o panorama da Cibersegurança. A diferença entre quem se defende bem e quem se defende mal não está na tecnologia, mas na qualidade da implementação, na competência das equipas e na maturidade dos processos.

Uma mensagem para os CISOs que estão a avaliar investimentos: o problema não é a tecnologia, é o modelo operacional.

Adicionar IA a um SOC tradicional não é suficiente quando o ataque opera em ciclos automáticos e a defesa ainda opera em silos. Vamos precisar de operações verdadeiramente integradas – SOC, SOAR, MDR, CTI, Attack Surface Management e GRC – a funcionar como um ecossistema coerente, acelerado por IA, mas com governação e contexto humano onde realmente importa.

O futuro da Cibersegurança não pertence a quem tiver a melhor IA. Pertence a quem conseguir operar à velocidade do ataque. A pergunta não é "que IA devo comprar?"; é: "estou preparado para repensar completamente como opero?”.

Conteúdo co-produzido pela MediaNext e pela Claranet Portugal