Com o crescimento de 42% no uso de credenciais roubadas e casos recentes no Brasil, nosso CTO, Tiago Martinelli, conversou com Rogério Silveira, CTO da Cronix, sobre como prevenir incidentes de cibersegurança e quais lições podemos aprender com eles.
Diante do aumento expressivo dos ataques cibernéticos, tendência apontada em diversos relatórios especializados, como o publicado pela TechRadar que destaca um crescimento de 42% no uso de credenciais roubadas em 2025, o setor financeiro tem acompanhado casos preocupantes no Brasil. Entre eles, está o vazamento de credenciais que atingiram um PSTI (Provedor de Serviços de Tecnologia da Informação homologado pelo Banco Central).
Este é um momento oportuno para discutirmos a segurança em nosso setor, e nada melhor do que contar com um especialista para aprofundar o tema. Convidei um parceiro de profissão, Rogério Silveira, CTO da Cronix, especialista em cibersegurança com 20 anos de experiência, para comentar sobre o incidente.
Rogério Silveira - Esse caso mostra que a fragilidade não está apenas na tecnologia, mas também na forma como cuidamos das identidades digitais e dos processos. O vazamento de credenciais continua sendo uma das principais portas de entrada e, quando isso acontece até em um prestador homologado pelo Banco Central, fica claro que ter um selo ou certificação não significam, por si só, estar realmente protegido.
O grande aprendizado é que segurança precisa ser constante: revisar acessos, controlar privilégios e monitorar em tempo real. O lado humano também pesa muito — as pessoas só viram fragilidade quando faltam processos claros, regras bem definidas e treinamento adequado.
Segurança não pode ser encarada como um simples carimbo de auditoria, e sim como um trabalho contínuo que une tecnologia, pessoas e governança para manter as instituições resilientes.
Rogério Silveira - Os erros mais comuns que vejo nesse tipo de vazamento quase sempre começam pelo básico. O primeiro é a prática de reciclar ou usar senhas fracas, algo que infelizmente ainda acontece muito. Outro ponto é a falta de processos claros para controlar quem tem acesso a quê — fornecedores e terceiros muitas vezes continuam com privilégios que já nem deveriam existir.
Vejo também um excesso de confiança na tecnologia, sem monitoramento contínuo ou testes regulares de segurança. Nesse cenário, a empresa só descobre a falha depois que o atacante já explorou. E não podemos esquecer o fator humano: sem treinamento consistente, colaboradores e parceiros continuam vulneráveis a phishing, engenharia social e até algo ainda pouco discutido, que é o aliciamento de pessoas por criminosos. Será que as empresas já se preocuparam em treinar suas equipes para identificar esse tipo de risco?
A grande questão é que o erro não está em um único ponto. O verdadeiro problema é não enxergar a segurança como um ciclo que conecta pessoas, processos e tecnologia de forma contínua.
Rogério Silveira - Eu falei recentemente no Fórum SAB CISO (evento focado em cibersegurança), em um painel onde debatemos justamente a importância de ter processos bem definidos para mitigar incidentes. Esse ponto vale da mesma forma quando falamos em resposta: são esses processos que funcionam como a bússola na hora mais crítica, a war room do incidente. Sem esse roteiro claro, a resposta vira improviso, no famoso ‘chutômetro’. E nesse tempo perdido o atacante ganha espaço para avançar, comprometer mais máquinas e tornar a contenção cada vez mais difícil. Isso não vale só para o setor financeiro, mas para qualquer empresa.
Na prática, quando um vazamento é detectado, o processo precisa entrar em ação imediatamente: conter acessos comprometidos, resetar credenciais e isolar os sistemas afetados, garantindo que apenas quem deve ter acesso mantenha esse acesso.
A partir daí, entra a remediação: corrigir vulnerabilidades exploradas, revisar acessos privilegiados, reforçar hardening e restabelecer os serviços de forma segura. Um ponto essencial nesse momento é a análise forense, porque é ela que vai mostrar como o vazamento aconteceu — se foi falha de processo, de ferramenta, algo intencional ou até não intencional. Só entendendo a causa raiz é possível evitar que o problema se repita.
Cada incidente também precisa deixar aprendizado. Isso significa atualizar playbooks, melhorar controles e treinar a equipe. No fim das contas, o que define se um incidente vai ser controlado ou virar um desastre não é apenas a tecnologia, mas a maturidade de ter processos claros, testados e seguidos com disciplina dentro da war room.
Rogério Silveira - Veja, prevenir vazamento não é só sair comprando ferramenta. Antes de tudo, eu preciso ter uma estratégia clara: conhecer bem o ambiente, mapear vulnerabilidades, definir prioridades e orquestrar pessoas, processos e tecnologia. É como ter um maestro regendo a orquestra — os processos precisam estar homologados, testados e servir de bússola para a hora da crise.
No lado humano, eu acredito muito em conscientização. Treinamento não pode ser só palestra de phishing uma vez por ano. É preparar as pessoas para reconhecer riscos de engenharia social, uso indevido de credenciais e até tentativas de aliciamento. Quando o time entende seu papel, ele deixa de ser fragilidade e passa a ser parte ativa da defesa.
No lado tecnológico, eu destaco o controle de identidade e acesso com MFA e gestão de privilégios, a proteção de dados sensíveis com criptografia e DLP, e a visibilidade em tempo real com EDR ou XDR. E aqui tem um ponto essencial: tudo isso precisa estar debaixo de monitoramento constante, porque só assim você garante que os processos estão funcionando, que as pessoas estão seguindo as boas práticas e que a tecnologia realmente cumpre o que promete.
Rogério Silveira - Quando falamos de recursos sendo transferidos para carteiras pulverizadas, especialmente no mundo cripto, o desafio aumenta bastante. Diferente do sistema financeiro tradicional, onde existem trilhas de auditoria mais consolidadas, o universo das criptomoedas traz descentralização, anonimato e velocidade de transação. Isso significa que, uma vez que o dinheiro é movimentado, fica muito mais difícil rastrear e reverter.
Por isso, é essencial que a empresa tenha processos de resposta bem estruturados e já testados antes de um incidente acontecer. Isso significa contar com playbooks homologados, papéis e responsabilidades bem definidos e integração direta com órgãos de investigação, como polícia especializada e reguladores. Também é importante ter parceiros de tecnologia preparados para apoiar na análise forense, no rastreamento de transações em blockchain e no monitoramento de carteiras suspeitas.
No contexto de cripto, essa rede de colaboração faz toda a diferença. Uma fintech ou PSTI não consegue agir sozinha: precisa de ferramentas que identifiquem padrões de movimentação, de inteligência de ameaças que alerte sobre endereços maliciosos e de equipes externas que ajudem a acelerar a tomada de decisão. É justamente essa soma de processos bem definidos, colaboração e tecnologia especializada que aumenta as chances de conter ou reduzir o impacto de movimentações financeiras ilícitas em um cenário tão pulverizado.
Rogério Silveira - Eu sempre digo que a IA não serve só para encher conteúdo. O valor real está em aprender a usar a tecnologia para filtrar informações, separar o joio do trigo e apoiar a tomada de decisão. A IA precisa ser uma aliada de verdade, principalmente em cibersegurança, onde lidamos com um volume enorme de dados e alertas todos os dias.
Mas existe o outro lado da moeda: os atacantes também estão usando IA para criar golpes mais convincentes, automatizar varreduras de vulnerabilidades e até gerar phishing com qualidade quase humana. Isso torna o cenário mais perigoso porque aumenta a escala e a velocidade dos ataques.
É por isso que eu insisto: ainda não podemos confiar 100% na IA. Existem limitações, vieses e muito espaço para evolução. O ponto positivo é que, mesmo assim, já conseguimos extrair benefícios concretos, seja para identificar padrões anômalos em tempo real, acelerar análises forenses ou automatizar parte das respostas a incidentes.
Na prática, a IA já é uma peça importante dentro da cibersegurança, mas precisa ser usada com responsabilidade, alinhada a processos claros e sempre supervisionada por especialistas, justamente para equilibrar o uso do bem contra o uso do mal.
Tiago Martinelli - Investir em segurança é fundamental para garantir a consistência nas operações do mercado. Esses incidentes recentes devem acelerar a pressão regulatória e elevar a régua nas empresas do setor.
Fica um aprendizado valioso desse bate-papo com o Rogério: não basta contar apenas com as melhores ferramentas, elas ajudam, mas não resolvem sozinhas. É essencial cultivar uma cultura de monitoramento e segurança bem enraizada nas empresas. Muitas vezes, a maior brecha não está na tecnologia, mas em algo simples, como uma credencial sensível guardada em um arquivo de texto.
Desses infelizes incidentes, o que permanece são as lições e, com elas, projetos de segurança antes engavetados finalmente começam a sair do papel.
Sobre inteligência artificial, vemos um movimento enorme do mercado em utilizar diversas ferramentas para codificar suas demandas, evoluir sistemas, etc. Mas há quem consiga se aproveitar das vulnerabilidades desse processo também, como por exemplo instalar uma biblioteca maliciosa através da IA que rouba credenciais do seu projeto.
Minha dica é óbvia, mas as vezes postergada - Não deixe acontecer para correr atrás - Invista, mesmo que aos poucos, em práticas e ferramentas de segurança, converse sobre isso com os times da empresa, faça disso um tema constante no desenvolvimento de software.
A verdadeira revolução blockchain no mercado de capitais brasileiro virá da criação de novos paradigmas onde ativos nascem e vivem no ambiente digital, escreve Gabriel Braga, da VERT Capital.
.png){kind=small}
A primeira operação foi um CRA no valor de R$ 700 milhões e utiliza a XRP Ledger e a EVM Sidechain para registrar eventos on-chain com rastreabilidade próxima ao tempo real.
Rodrigo Cabernite, co-CEO e co-fundador da Gyra+, fala sobre os benefícios do Open Finance, tanto para quem concede o crédito quanto para quem solicita
