Em 2020, a necessidade de migrar todos os funcionários para o regime de home office revelou que muitas empresas não estavam preparadas para esse novo modelo de trabalho. O acesso remoto permitiu a abertura de vulnerabilidades em diversas instituições, desencadeando ataques de ransomware e inúmeros vazamentos de dados. Para se ter ideia do tamanho do potencial prejuízo, o Brasil teve mais de 3,4 bilhões de ataques virtuais entre janeiro e setembro de 2020, segundo a consultoria Fortinet.

O trabalho remoto continua sendo uma realidade em 2021 e pode colocar a cibersegurança como a principal tendência dos próximos meses. Redes corporativas estão sendo acessadas por meio de redes domésticas por seus colaboradores. Esse tipo de acesso gera riscos diretos às redes corporativas, visto que os ataques de phishing estão em ascensão. Muitas empresas utilizam sistemas e soluções defasadas, ou com falta de atualizações de segurança, e também não possuem políticas e procedimentos internos de segurança.

As principais vulnerabilidades encontradas nas instituições têm sido aquelas que envolvem dados pessoais e vazamento de informações - sejam elas tecnológicas ou fragilidades humanas. Outra falha é a Cross-site Scripting (XSS), em que o cibercriminoso consegue injetar um código em um site, sendo possível executar algumas ações no browser do cliente. Não existe um alvo específico, mas podemos generalizar em empresas que possuam aplicações rodando em servidores desatualizados, aplicações escritas em linguagens desatualizadas, e que não possuam controles de segurança.

Fraudes financeiras

Denis Riviello, Head de Cibersegurança da Compugraf, provedora de soluções de segurança da informação e privacidade de dados das principais empresas brasileiras, alerta que as principais falhas estão na ponta do usuário, com fraudes relacionadas ao setor financeiro, como no PIX. “Ameaças direcionadas a dispositivos móveis cresceram vertiginosamente durante a pandemia, e isso deve continuar”, destaca. “A ferramenta mais forte dos hackers atualmente é a Engenharia social, que pode criar excelentes conteúdos de phishing, smishing, entre outros. Também houve um tipo de ataque que acabou sendo impulsionado pela pandemia: o Vishing. Nele, os atacantes ligam para as vítimas se passando por alguma empresa, a fim de obter lucros altos com essas ações”, pontua.

Denis explica que as falhas que envolvem vazamento de dados afetam as empresas diretamente na LGPD, podendo ser aplicadas sanções pela ANPD (Agência Nacional de Proteção de Dados) e também gerando prejuízos à imagem das instituições, já que os clientes podem ter seus dados vazados e compartilhados com outras pessoas.

Para o especialista da Compugraf, mesmo diante de todos os ataques, é possível observar que, com a pandemia, muitas empresas evoluíram, em meses, trabalhos que levariam anos, como a criação de arquiteturas para suportar o acesso remoto de todos os colaboradores. “O Brasil não tem um nível baixo de segurança, visto que temos excelentes profissionais da área, falta somente mais amadurecimento dos processos. Um grande ponto positivo também é que as empresas que não sofreram ataques no ano passado puderam observar o quanto isso pode ser prejudicial e já criaram, ou estão criando, um plano de segurança da informação”, finaliza Riviello.