Madrugada de sábado: o celular dispara com o alarme de “Alerta Extremo” da Defesa Civil. Você acorda assustado, olha para a tela esperando um aviso de enchente ou tempestade severa e lê sobre… “misantropia” e “ataques alienígenas”.
A internet, claro, transformou o episódio em meme em questão de minutos. Mas para nós, que vivemos a cibersegurança diariamente, a piada perdeu a graça muito rápido. O que aconteceu com o sistema Defesa Civil Alerta não é um roteiro de ficção científica; é um retrato perigosamente real da vulnerabilidade das nossas infraestruturas críticas.
Como o nosso CTO, Ricardo Dastis, pontuou em sua recente entrevista para o Estadão, a hipótese mais provável para esse vexame nacional é velha conhecida do mercado corporativo: o uso de credenciais comprometidas.
Esqueça a imagem do hacker quebrando firewalls em uma tela preta com letras verdes. O cibercrime moderno é pragmático. O hacker de hoje não invade sistemas. Ele simplesmente faz login.
Apenas em 2025, o Cyber Defense Center (CDC) da Scunna teve acesso a impressionantes 2,86 bilhões de credenciais vazadas globalmente. É justamente por isso que a monitoração contínua de ameaças é a mais eficaz forma de descobrir que a sua “chave” foi roubada antes que o invasor a coloque na fechadura.
Mas e quando esse monitoramento não existe? Se o sistema que tem o poder de colocar milhões de brasileiros em pânico no meio da noite depende apenas de um usuário e senha vazados para ser acionado, nós temos um problema muito maior do que a tecnologia. Nós temos uma falha de governança.
Chega a ser absurdo que um sistema de missão crítica permita que um único usuário, com um único clique, dispare um alerta nacional. Onde estava a segregação de funções? Onde estava a aprovação múltipla? Deixar um “botão vermelho” desses sem camadas de validação humana e técnica é o equivalente a trancar a porta de um cofre de banco e deixar a chave debaixo do capacho.
A grande verdade, e é aqui que a ferida dói no mundo corporativo, é que sistemas de alerta, plantas industriais, redes de energia (o que chamamos de ambientes CPS, Sistemas Ciber-Físicos) muitas vezes não nasceram com a segurança no seu DNA. Eles foram feitos por engenheiros para nunca pararem de funcionar. O resultado? A gestão de identidades e acessos nesses ambientes de tecnologia operacional (OT) frequentemente está anos atrás da TI tradicional.
O incidente da Defesa Civil é um alerta para governos e empresas. Não importa quantos milhões são investidos em proteção de perímetro se você não consegue garantir que a pessoa que está acessando o coração do seu negócio é, de fato, quem ela diz ser.
O meme passa e a vulnerabilidade fica. A pergunta que deixamos para os líderes de tecnologia e segurança é: se o seu sistema operacional mais crítico fosse alvo de um teste com as senhas vazadas da sua equipe hoje… quem acordaria com o alarme soando de madrugada?
