O evangelista de cibersegurança da Trend Micro, Udo Schneider, avalia o panorama atual da cibercriminalidade, com destaque para os desafios de segurança das redes 5G e da inteligência artificial.
Por Francisca Domínguez Zubicoa
A Trend Micro, multinacional japonesa de cibersegurança, tem um braço académico e de investigação chamado Trend Research, que se dedica a analisar os desafios e oportunidades tecnológicas que surgirão dentro de cinco a dez anos. Um dos seus relatórios, publicado no ano passado, revelou que os cibercriminosos se têm vindo a especializar por setores (por exemplo, uns visam a indústria, outros as instituições financeiras, etc.).
“Se eu estiver a infetar o seu PC e não fizer ideia do que se passa na indústria, posso revender [o acesso ao] seu PC a alguém que saiba do setor, que decidirá quais os ficheiros interessantes a encriptar, para maximizar o impacto negativo. A partir da infeção inicial, podem passar-se semanas antes de se ver realmente alguma coisa, porque o atacante pode decidir atacar outros sistemas da empresa, pelo que não é apenas um PC encriptado, mas 20, incluindo o servidor ou o correio eletrónico, ou pode usurpar o seu endereço de correio eletrónico para escrever aos seus fornecedores ou clientes”, detalha Schneider. “Apenas tomam uma decisão comercial: o que é mais eficiente do ponto de vista comercial, encriptar os dados e extorquir com base nisso, ou faz mais sentido apenas roubar os dados e revendê-los a alguém que esteja mais interessado?”
A 5G é mais segura?
O 5G é uma realidade. A sua implantação irá, por sua vez, impulsionar novas tecnologias como a IoT, as cidades inteligentes e os carros autónomos, graças a uma nova geração de conectividade mais rápida e segura. “Do ponto de vista operacional, da rede de rádio, o 5G é muito mais seguro do que o 4G e o 3G”, confirma Schneider.
No entanto, adverte que “do ponto de vista das TI, nem por isso”. Para o evangelista da Trend Micro, o problema é que as empresas que estão a começar a implementar o 5G estão a fazê-lo como uma prova de conceito (PoC), sem integrar a segurança desde o início. “O que temos visto é que muitos desses PoCs passam gradualmente para a produção, sem que a segurança seja adicionada posteriormente e, uma vez em produção, ninguém quer tocar no sistema, porque qualquer tipo de controlo de segurança pode colocar a disponibilidade em risco. O que é interessante aqui é que, de uma perspetiva de risco, não importa realmente se tem vulnerabilidades nos seus sistemas de TI, OT ou no seu ambiente 5G: tudo isto representa um risco para a sua cadeia de valor, pelo que tem de a proteger.”
O outro desafio atual: IA
A chegada da inteligência artificial e das ferramentas de IA generativas ao quotidiano das pessoas significou que os problemas de segurança que já existiam (como o phishing, os deepfakes, a extorsão com imagens falsas) tornaram-se mais generalizados. “Não se pode realmente confiar na exatidão das informações visuais de áudio ou vídeo. Esta é uma grande mudança”, diz Schneider. Para muitas empresas, como as financeiras ou de seguros, que estavam a integrar sistemas de verificação de identidade por vídeo ou fotografia após a pandemia, isto tornou-se um problema. “A confiança implícita que tínhamos nas imagens, nos rostos, mesmo na comunicação por vídeo, com o advento da IA, já não funciona. Já não se pode confiar”, afirma.
Do outro lado da moeda está a forma como os cibercriminosos estão a otimizar os seus ataques graças à inteligência artificial. Por exemplo, muitos atacantes estão a utilizar tecnologias como o ChatGPT para escrever e-mails de phishing e testar a sua eficácia com testes A/B. “Começa-se com 10 variações do e-mail feitas pelo ChatGPT e mede-se simplesmente a eficácia de um texto específico, selecionando depois os dois textos que funcionam melhor. Isto já foi feito no passado, mas era um processo manual”, explica.
Há também estudos que mostram que o ChatGPT não só é melhor e mais rápido do que os humanos a encontrar vulnerabilidades nos sistemas, como também a criar exploits para as explorar. “Portanto, todo o trabalho árduo de pegar em informações sobre vulnerabilidades e transformá-las numa plataforma de ataque pode ser totalmente automatizado nesta altura”, diz Schneider. “Portanto, estamos a olhar para diferentes lados da IA. Podemos ter algumas reservas éticas sobre a forma como estamos a utilizar a IA. Não tenho intenção de criar uma vídeo de sexo a partir da fotografia da minha mulher, não tenho intenção de cometer uma fraude utilizando o deepfake numa videochamada. Sou contra essa ideia, mas os cibercriminosos não são. E acho que temos de nos lembrar disso: tudo o que eles estão a fazer em grande escala é otimizar os seus processos de negócio para ganhar mais dinheiro, e se uma tecnologia como a IA aparecer e lhes permitir simplificar os seus processos de negócio, não têm qualquer constrangimento moral para o fazer. Já o fazem