Inteligência Artificial: avanços na cibersegurança e novos riscos digitais

Por isso, torna-se essencial criar estratégias que tanto empresas como cidadãos possam adotar, de forma a estarmos todos melhor preparados para esta nova realidade.

Durante anos, celebrámos a IA como motor de inovação. Contudo, ela tornou-se uma faca de dois gumes. Se, por um lado, fortalece a proteção de redes e sistemas — através da deteção precoce de padrões anómalos, da resposta automatizada a incidentes ou da análise em tempo real de grandes volumes de dados —, por outro, multiplica a capacidade ofensiva dos cibercriminosos, permitindo ataques mais rápidos, personalizados e difíceis de detetar.

A diferença em relação às técnicas tradicionais está na escala e sofisticação que a IA proporciona: o phishing rudimentar, antes fácil de identificar por erros ortográficos ou inconsistências, evoluiu para mensagens sem qualquer “defeito”, adaptadas ao perfil da vítima e capazes de enganar até utilizadores experientes. Em paralelo, deepfakes de voz e vídeo estão a ser usados para imitar executivos com precisão quase perfeita, originando fraudes milionárias em ataques do tipo Business Email Compromise (BEC).

O problema, no entanto, não se limita à engenharia social. Já existem formas de malware inteligente, com capacidade de se infiltrar em sistemas, aprender com o ambiente, ajustar o comportamento e permanecer “invisíveis” às diversas camadas de defesa. Plataformas como WormGPT ou FraudGPT permitem a qualquer pessoa, mesmo sem conhecimentos técnicos, criar campanhas de ataque bastante sofisticadas.

O impacto ultrapassa a dimensão tecnológica: é também psicológico, social e empresarial. A confiança — pilar essencial das relações digitais, profissionais e até institucionais — está a ser posta em causa. Quando já não conseguimos distinguir entre o que é humano ou artificial, legítimo ou manipulado, enfrentamos uma verdadeira mudança de paradigma. Além disso, os ataques com IA devem ser vistos como risco estratégico, com impacto direto na continuidade do negócio, na reputação da marca e na relação com clientes e parceiros. A gestão deste risco precisa de ser integrada nos sistemas de gestão corporativos, e tratada ao nível da gestão de topo (e não apenas na equipa de IT).

Como reagir perante esta nova Era?

Não existem respostas simples, mas há caminhos claros que devem ser considerados pelas organizações:

1. Literacia Digital e Sensibilização Contínua – O fator humano continua a ser a superfície de ataque mais explorada. É fundamental investir em programas de awareness contínuos com simulações realistas de phishing, ajustadas ao contexto organizacional e pessoal. Esses exercícios devem incluir cenários com deepfakes de voz e vídeo, reforçando o pensamento baseado em risco: desconfiar de mensagens urgentes, com carga emocional ou pressão de tempo.
2. Zero Trust Architecture (ZTA) – O paradigma atual exige abandonar a confiança implícita. O princípio de “never trust, always verify” deve ser aplicado em todos os níveis: cada acesso precisa de autenticação forte, validação contínua e apenas ao estritamente necessário (least privilege).
3. Verificação Multicanal de Transações e Ordens Críticas – Processos financeiros e operacionais críticos devem seguir a two-man rule: nenhuma decisão sensível deve depender de uma única pessoa. Além disso, a validação deve ser feita através de canais de comunicação independentes (por exemplo, confirmar um pedido via chamada telefónica quando este chega por e-mail).
4. Tecnologia Defensiva Baseada em IA – Tal como os atacantes recorrem à IA, os defensores devem explorar ferramentas de deteção de anomalias potenciadas por IA. Plataformas capazes de correlacionar eventos de múltiplas origens (endpoint, rede, cloud) e enriquecidas com Threat Intelligence — incluindo dados da DarkWeb — permitem identificar padrões suspeitos e antecipar comportamentos anómalos.
5. Proteção contra Manipulação de Modelos de IA – Organizações que já utilizam IA nos seus processos internos enfrentam riscos específicos, como o data poisoning. É imperativo validar os conjuntos de treino, proteger pipelines de dados e monitorizar continuamente as API, para detetar manipulação de modelos.
6. Modelo de Governação e Regulação Interna – Os modelos de governo do uso da IA deve assentar em políticas claras que definam onde e como os modelos podem ser aplicados. Este alinhamento deve ainda considerar o enquadramento regulatório internacional — como a diretiva NIS2, o AI Act Europeu, ou normas emergentes como a ISO/IEC 42001 — que definem requisitos de segurança, transparência e responsabilidade. Auditorias periódicas a algoritmos, datasets e processos de decisão são essenciais para garantir conformidade e reforçar a confiança.
7. Resposta e Recuperação – A prevenção é crítica, mas a capacidade de reação é vital. Os Planos de Resposta a Incidentes devem contemplar cenários específicos de ataques baseados em IA: campanhas massivas de phishing automatizado, uso de deepfakes para manipulação de decisões ou adulteração de dados em sistemas críticos.

Os AI-Powered Cyberattacks já não pertencem ao domínio da ficção científica: são uma realidade presente e em rápida evolução. Sendo a IA uma tecnologia neutra, que tanto pode fortalecer a “defesa” como ampliar a capacidade de “ataque”, cabe-nos a nós equilibrar a balança. O desafio para governos, empresas, e cidadãos é claro: usar a mesma inteligência artificial que alimenta as ameaças para reforçar a proteção, construir resiliência e garantir a confiança no ecossistema digital.

Conteúdo co-produzido pela MediaNext e pela Divultec