AtalaiaSec Pedir proposta
← Blog

Identidades Comprometidas: o ataque silencioso que PMEs não percebem

William ·

O roubo que ninguém nota até ser tarde demais

Uma senha vazada. Um cookie de sessão roubado. Um acesso legítimo usado por quem não deveria. Identidades comprometidas são o vetor de ataque número um no mundo — e a maioria das PMEs nem sabe que já foi alvo.

O relatório Verizon DBIR 2025 aponta que 22% das invasões confirmadas começam com credenciais roubadas. Nos ataques a aplicações web, esse número sobe para 88%. A IBM estima que uma violação originada por credenciais custa, em média, US$ 4,67 milhões — com 246 dias entre a invasão e a detecção.

Resumo: - Credenciais roubadas são o principal ponto de entrada em invasões corporativas - Bilhões de senhas circulam em fóruns criminosos, muitas com cookies de sessão ativos - PMEs têm menos proteção e mais chance de serem o alvo inicial - Proteger identidades custa menos do que remedir uma violação

O que são identidades comprometidas?

Pense na sua conta de e-mail como a chave da porta da frente da empresa. Se alguém copiar essa chave sem que você perceba, entra quando quiser, com todos os seus privilégios. É isso que chamamos de identidade comprometida.

Existem três formas principais de roubo:

  • Phishing: o atacante envia um e-mail falso persuasivo. O colaborador clica, digita a senha num site fraudulento. Pronto — a chave foi copiada.
  • Malware em endpoints: um stealer (programa específico para roubo de dados) infecta o computador e extrai senhas salvas no navegador, cookies de sessão e tokens. O SpyCloud recapturou 8,6 bilhões de cookies de sessão em 2025 só de infecções por infostealers.
  • Reutilização de senhas: a mesma senha usada em três sites diferentes. Um deles sofre vazamento. Os atacantes testam essa combinação em outros serviços — chamam isso de credential stuffing.

Por que PMEs são o alvo preferencial

Grandes corporações investem milhões em proteção de identidade. PMEs, na maioria, usam senhas fracas, sem autenticação multifator (MFA), sem monitoramento de acessos e sem políticas de senha.

Os números de 2025 são claros:

Dado Fonte Ano
22% das invasões começam com credenciais roubadas Verizon DBIR 2025
97% dos ataques a identidades são ataques de senha Microsoft 2025
65,7 bilhões de registros de identidade recapturados SpyCloud 2026
1,96 bilhão de e-mails únicos vazados em um único corpus HaveIBeenPwned 2025

Para o atacante, uma PME com credenciais fracas é a porta de entrada para a cadeia de fornecimento inteira. Não é coincidência — é estratégia.

Como funciona na prática com Wazuh e Velociraptor

Monitorar identidades comprometidas não exige licenças caras. Com a stack open-source da Atalaia, você pode detectar, investigar e responder:

Detecção com Wazuh

O Wazuh integra feeds de inteligência de ameaças que incluem listas de credenciais vazadas. Quando um login usa uma senha que aparece nessas listas, um alerta é gerado automaticamente. Além disso, o Wazuh monitora:

  • Logins fora do horário habitual do colaborador
  • Logins de IPs geograficamente impossíveis (Brasil e Portugal no mesmo minuto)
  • Múltiplas falhas de autenticação seguidas de sucesso
  • Criação de novas contas com privilégios elevados

Investigação com Velociraptor

Se o Wazuh disparar um alerta de acesso suspeito, o Velociraptor permite investigar o endpoint remoto sem deslocar ninguém. É possível coletar:

  • Histórico de navegação e senhas salvas no navegador
  • Cookies ativos (que podem bypassar MFA)
  • Processos em execução originados de acessos suspeitos
  • Arquivos baixados durante a sessão comprometida

Resposta com TheHive

O caso é aberto no TheHive, com a evidência coletada ligada ao ticket. O analista decide: bloquear a conta, forçar troca de senha, invalidar sessões ativas, escalar para isolamento do endpoint.

Conexão com LGPD e NIS2

A LGPD (Art. 46) exige medidas técnicas adequadas para proteger dados pessoais. Uma identidade comprometida que expõe dados de clientes é exatamente o tipo de falha que a ANPD fiscaliza — e pune.

A NIS2, que entra em vigor em outubro de 2025 para Portugal e 2026 para o Brasil, classifica gestão de identidades como controle essencial. Empresas que operam na cadeia de fornecimento europeia precisam demonstrar que monitoram acessos e respondem a comprometimentos.

Ter um CSOC que monitora identidades 24x7 não é luxo — é requisito regulatório.

Perguntas frequentes

Minha empresa é pequena demais para ser alvo? Não. Atacantes automatizados não escolhem pelo tamanho — escolhem pela vulnerabilidade. PMEs são usadas como trampolim para alcançar clientes maiores na cadeia de fornecimento.

MFA resolve o problema? Resolve grande parte, mas não tudo. Em 2025, 80% das violações que bypassaram MFA usaram roubo de cookies de sessão (ataques AiTM). MFA é essencial, mas precisa vir com monitoramento de endpoints.

Quanto tempo minha empresa tem entre a invasão e a detecção? A média global é de 246 dias (IBM, 2025). Sem monitoramento contínuo, o atacante age livre por meses. Com um CSOC operacional, esse tempo cai para horas.