Por Danny Kabiljo, cofundador e CEO da FullFace.
O Brasil segue entre os países mais afetados por vazamentos de dados. Levantamento da Surfshark mostra que, em 2024, o país ficou na 7ª posição global, com 84,6 milhões de contas expostas, um salto de 24 vezes em relação a 2023. É um retrato duro do nosso risco digital, e não um caso isolado.
No pano de fundo desse cenário, os vetores que exploram o comportamento humano continuam dominando.
O relatório IBM Cost of a Data Breach 2025 aponta que as violações seguem fortemente associadas a ataques que começam por phishing e abuso de credenciais, enquanto recomenda a adoção de métodos resistentes a phishing (como MFA robusto e passkeys).
Em 2025, o phishing aparece como o vetor nº 1 em participação nas violações reportadas, superando o uso direto de credenciais roubadas observado no ano anterior, uma mudança de rótulo do “primeiro passo” do ataque, não da essência do problema: contas comprometidas.
Há tecnologia madura em praticamente todas as camadas, antivírus, firewalls, criptografia, segmentação. Mesmo assim, o elo vulnerável costuma ser gente.
Não por descuido intrínseco, mas porque engenharia social é feita para capturar atenção, confiança e tempo, bens escassos no dia a dia.
Um único clique pode abrir a porta para malware de roubo de credenciais e movimentos laterais silenciosos. O caso recente dos 16 bilhões de logins expostos em bases agregadas a partir de infostealers ilustra a escala industrial desse mercado de credenciais.
Se a ameaça mira pessoas, a resposta precisa combinar processo, cultura e controle técnico. De um lado, formar usuários para reconhecer armadilhas (campanhas contínuas, simulações realistas e políticas claras).
De outro, reduzir a dependência de segredos frágeis (senhas, códigos de uso único) e fechar a janela entre um “login válido” e o uso indevido subsequente, com autenticação multifator resistente a phishing e mecanismos que confirmem quem está efetivamente usando a sessão.
É a direção sinalizada por estudos recentes e por boas práticas adotadas nos setores mais regulados.
Tecnologias biométricas têm ganhado espaço neste esforço por um motivo simples: senhas podem ser esquecidas, vazadas ou compartilhadas; pessoas, não.
Quando bem implementada, a biometria reduz atrito na entrada, eleva a rastreabilidade de quem acessa e dificulta o “empréstimo” de identidade, sempre dentro de marcos de privacidade e auditoria.
Não é bala de prata, mas é um contrapeso concreto ao modelo baseado apenas em “o que sabemos” e “o que temos”.
No fim, nenhuma ferramenta substitui um colaborador preparado, e nenhum treinamento, sozinho, compensa controles insuficientes. A maturidade vem do encontro das duas frentes: gente consciente e controles que assumem a falibilidade humana.
Em tempos de hiperconectividade e automação do crime (inclusive com IA turbinando campanhas de phishing), essa combinação deixa de ser diferencial e passa a ser pré-requisito.