Os especialistas da Check Point Software afirmam que senhas deixaram de ser um mecanismo confiável de proteção em um cenário em que ataques digitais são automatizados, personalizados e vendidos como serviço em mercados clandestinos. Nesse contexto, a segurança passa a depender menos de combinações de caracteres e mais da identificação de comportamentos suspeitos em tempo real.

Não quer perder as últimas notícias de tecnologia? Siga o perfil do 33Giga no Instagram e no Bluesky

No Dia Mundial da Senha – celebrado sempre na primeira quinta-feira de maio –, a empresa chama atenção para o fato de que até credenciais longas e complexas podem ser capturadas por programas maliciosos ou exploradas após vazamentos em larga escala, muitas vezes sem que o usuário perceba a violação.

Segundo os especialistas da Check Point, os cibercriminosos não precisam mais quebrar senhas. Eles usam credenciais roubadas para acessar sistemas diretamente. Esse modelo é sustentado por um mercado global de crime digital como serviço (Cybercrime-as-a-Service ou CaaS), com uso de inteligência artificial (IA) e atuação em canais privados, principalmente no Telegram.

Dados de mercado utilizados pela Check Point indicam variação no valor de credenciais conforme o tipo de conta. Perfis de e-mail como Gmail são vendidos por cerca de US$ 65. Informações financeiras podem passar de US$ 1 mil em contas de maior valor. Já acessos corporativos, considerados os mais valiosos, podem superar US$ 100 mil quando permitem entrada direta em redes corporativas.

Esse ecossistema também é sustentado por softwares maliciosos vendidos por assinatura mensal, com valores entre US$ 100 e pouco mais de US$ 1 mil, o que reduz a barreira de entrada e amplia o volume de roubo automatizado de credenciais.

Mudança de comportamento dos usuários

O problema é agravado pelo comportamento dos usuários. Levantamentos do setor apontam que 94% das senhas são reutilizadas em mais de uma conta. Em paralelo, estudos indicam que uma parcela mínima segue padrões de segurança recomendados. Na prática, isso permite que um único vazamento seja usado em ataques automatizados para acessar diferentes serviços.

No ambiente corporativo, o risco se amplia com o uso de ferramentas de IA. Pesquisas indicam que quase metade dos profissionais já utiliza essas plataformas no trabalho e que a maioria copia e cola informações diretamente em prompts, incluindo dados sensíveis. Em testes conduzidos pela Check Point, uma em cada 28 interações com ferramentas de IA em ambientes corporativos apresentou risco elevado de vazamento de dados, com impacto em grande parte das organizações que utilizam essas soluções.

Os especialistas também apontam aumento de ataques de phishing com apoio de IA. Kits de fraude são vendidos em canais clandestinos por valores baixos e permitem a criação de mensagens sem erros e com alto grau de personalização. Esse fator elevou a taxa de sucesso desses ataques em comparação com campanhas tradicionais.

O uso de deepfakes também cresceu. Relatórios do setor indicam aumento superior a 3.000% no uso de imagens e vozes sintéticas nos últimos anos. Em muitos casos, esse tipo de tecnologia é usada para simular comunicações de executivos ou equipes internas. Há registros de fraudes em que reuniões por vídeo foram utilizadas como parte do golpe, com perdas financeiras relevantes.

Ransomware acelerado

A Check Point também ressalta que o intervalo entre o vazamento de uma senha e a implantação de um ataque de ransomware está diminuindo rapidamente. Segundo a Beazley Security, no terceiro trimestre de 2025, 48% dos ataques de ransomware utilizaram credenciais de VPN roubadas como vetor inicial de acesso. Já o relatório Cost of a Data Breach 2025, da IBM, aponta que violações baseadas em credenciais levam, em média, 246 dias para serem identificadas e contidas.

Em contraste, operadores de ransomware atuam em ritmo muito mais acelerado. Nesse cenário, quando uma empresa leva semanas para identificar o uso indevido de uma credencial, o ataque já pode estar em estágio avançado.

Diante dessa situação, a Check Point defende mudanças na forma de autenticação e proteção de identidade, com adoção de métodos sem senha, modelos de segurança baseados em comportamento, controle do uso de inteligência artificial em ambientes corporativos e monitoramento contínuo de mercados clandestinos de credenciais.

A avaliação dos especialistas é que a segurança digital passou a depender menos de senhas e mais da capacidade de identificar e responder a padrões de comportamento em tempo real em um ambiente de ataques contínuos e automatizados.

Quer ficar por dentro do mundo da tecnologia e ainda baixar gratuitamente nosso e-book Manual de Segurança na Internet? Clique aqui e assine a newsletter do 33Giga