Especialistas da Check Point Software alertam que os ataques baseados em credenciais atingiram níveis epidêmicos. O relatório de investigações de vazamento de dados de 2025 da Verizon (DBIR) mostra que 22% das violações de dados agora têm início com credenciais comprometidas. Já a equipe da divisão Check Point External Risk Management identificou que o volume de credenciais vazadas cresceu 160% neste ano em relação ao ano de 2024.
CONTEÚDO RELACIONADO: Ataques cibernéticos são o principal risco reputacional às empresas, aponta pesquisa
O cenário reflete uma mudança clara no comportamento dos cibercriminosos, que preferem “fazer login” em vez de “invadir”, explorando senhas, chaves de API e tokens expostos em violações e vazamentos da Dark Web.
A Check Point explica que os atacantes exploram chaves de API, tokens OAuth, chaves SSH e tokens de serviços em nuvem, muitos deles resistentes a autenticação de múltiplos fatores (MFA) e persistentes mesmo após redefinições de senha.
Eles ainda usam malwares para capturar essas informações de navegadores e tokens de sessão em massa, como Lumma, RedLine e StealC que cresceram 58% em 2024, segundo números da Check Point Research (CPR). O phishing também é outra arma, explorando ferramentas de IA generativa para produzir campanhas de e-mails perfeitos, portais falsos e até chamadas com voz clonada.
Por que as defesas falham
Segundo os especialistas da Check Point Software, a fragmentação entre ferramentas de segurança é um dos maiores facilitadores desses ataques:
- Visibilidade em silos: Provedores de identidades (IdPs – Identity Providers) registram logins, firewalls monitoram tráfego e endpoints detectam malware, mas sem correlação de dados, e logins suspeitos passam despercebidos.
- Políticas inconsistentes: Adoção desigual de MFA em VPNs e SaaS, e uso de chaves estáticas em nuvem, criam brechas exploráveis — como demonstrado na violação da Snowflake em 2024.
- Compartilhamento lento de ameaças: Alertas de endpoints muitas vezes não chegam a tempo a provedores de identidade ou SaaS, permitindo que atacantes reutilizem credenciais roubadas antes da resposta.
Hybrid Mesh Architecture: um novo modelo de defesa
Para superar a fragmentação, a Check Point Software propõe a Hybrid Mesh Architecture ou Arquitetura de Malha Híbrida que unifica identidade, políticas e inteligência de ameaças em todos os ambientes híbridos. O modelo combina:
- Cybersecurity Mesh Architecture (CSMA) do Gartner: controles distribuídos com inteligência unificada.
- Zero Trust do NIST dos Estados Unidos (SP 800-207): verificação contínua, menor privilégio e acesso adaptativo.
- Hybrid Mesh Firewalls (HMF): execução em hardware, virtual e nativo da nuvem, sob uma camada de política única.
Na prática, a identidade se torna o elo central: uma anomalia de login detectada em um sistema se propaga automaticamente para endpoints, firewalls e aplicações SaaS. Com suporte de IA, a arquitetura de malha híbrida reduz tanto o tempo médio para detectar (Mean Time to Detect – MTTD) quanto o tempo médio para responder (Mean Time to Respond – MTTR).
Como a Hybrid Mesh neutraliza ataques de credenciais
A malha híbrida não é apenas um conceito de arquitetura, ela impede ativamente o abuso de credenciais. Ao combinar prevenção, remediação e resposta rápida, é possível interromper todas as etapas do ciclo de vida do ataque. A prevenção em uma malha híbrida significa que nenhuma ferramenta funciona sozinha. Uma detecção em uma camada aciona imediatamente a proteção em todas as outras:
- Prevenção distribuída: um phishing detectado no e-mail bloqueia automaticamente acessos em endpoints, firewalls e SaaS; o malware do tipo infostealer detectado em um endpoint aciona automaticamente políticas de proteção em toda a malha.
- Remediação proativa: integrações com External Risk Management (ERM) permitem identificar e revogar em tempo real chaves AWS expostas no GitHub, tokens OAuth à venda na Dark Web ou credenciais de serviços comprometidos em violações.
- Resposta coordenada: mesmo em casos de intrusão, a arquitetura isola dispositivos infectados, aplica microssegmentação de rede, revoga tokens comprometidos e restringe contas privilegiadas com acesso na hora certa (just-in-time). Segundo o IBM Cost of a Data Breach Report 2025, empresas que automatizam a contenção economizam até 98 dias no processo, reduzindo milhões em custos.
Um caso real: violação da cadeia de suprimentos da Nx em agosto de 2025
Cibercriminosos roubaram um software de token de publicação do sistema de compilação da Nx e o usaram para liberar pacotes comprometidos. Com isso, mais de 2.300 credenciais e segredos de desenvolvedores foram coletados, comprometendo centenas de repositórios privados. O incidente demonstra como um único token pode desencadear uma violação em cadeia de suprimentos — e reforça a necessidade de arquiteturas que detectem credenciais expostas precocemente e as revoguem de forma automatizada.
Diante disso, os especialistas da Check Point Software ressaltam que o abuso de credenciais vai continuar sendo a principal arma dos cibercriminosos, mas que é necessário abandonar defesas fragmentadas e adotar arquiteturas integradas, centradas na identidade e orientadas por automação para prevenir tais ciberataques.
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn e X (Twitter).