O problema não é mais o acesso legítimo, é não saber quando ele foi comprometido

 Os ataques estão mais rápidos, mas esse não é o principal problema. 

 O principal problema é que eles estão acontecendo com acesso válido. 

 Hoje, uma parcela relevante dos incidentes começa sem exploração técnica sofisticada.

Começa com credenciais legítimas, sessões já abertas ou fluxos de autenticação que o próprio ambiente reconhece como confiáveis. Em muitos casos, o atacante não precisa invadir. Ele só precisa operar dentro do que já está autorizado. 

Relatórios recentes mostram esse deslocamento com clareza. O uso de credenciais comprometidas continua entre os vetores mais recorrentes em violações, enquanto técnicas sem malware, que deixam menos rastro, já dominam grande parte das detecções.

Em paralelo, ataques de engenharia social evoluíram: não dependem mais apenas de e-mail, mas de interações em tempo real, como ligações para help desk e manipulação de processos internos. 

Isso muda completamente a lógica da defesa. 

Porque o problema deixa de ser bloquear o acesso, e passa a ser entender o que acontece depois que ele é concedido. 

A falha não está na entrada 

Durante muito tempo, a segurança foi construída para responder uma pergunta objetiva: quem conseguiu entrar no ambiente? 

Hoje, essa pergunta é insuficiente. 

Se o acesso foi obtido com credenciais válidas, roubadas, reutilizadas ou concedidas por engano, o sistema não vê anomalia. Ele vê um usuário autenticado. Se o fluxo de login seguiu um caminho esperado, se o token é reconhecido, se a sessão é legítima, tudo funciona como deveria. 

E é exatamente esse o problema. 

O atacante não precisa mais quebrar o sistema. Ele se encaixa nele. 

Em campanhas recentes, fluxos legítimos de autenticação, como OAuth, vêm sendo manipulados para conduzir usuários por jornadas que começam em domínios confiáveis e terminam em ambientes comprometidos. Não há necessariamente um “link suspeito” evidente. O processo parece correto. O sistema valida. O usuário confia. 

O erro não está na execução. 

Está no uso do que foi confiado. 

O ataque que não gera fricção 

Um dos dados mais incômodos dos relatórios recentes é a velocidade com que o ataque evolui depois do acesso inicial. 

Em alguns cenários, o tempo entre o primeiro acesso e a movimentação lateral é medido em minutos, não em dias. Isso significa que, quando a organização percebe algo estranho, o atacante já não está mais no ponto de entrada. Ele já está dentro, explorando permissões, acessos herdados e integrações. 

Isso cria um paradoxo: quanto mais “normal” parece o comportamento, maior pode ser o risco. 

Porque não há fricção. 

Não há erro. 

Não há quebra evidente. 

Identidade deixou de ser só usuário 

Outro ponto crítico, e ainda subestimado, é que o problema não está restrito a usuários humanos. 

Ambientes corporativos hoje operam com um volume crescente de identidades não humanas: contas de serviço, integrações com terceiros, pipelines automatizados, chaves de API, aplicações conectadas, bots e, mais recentemente, agentes que executam tarefas entre sistemas. 

Essas identidades frequentemente têm acesso amplo, operam sem supervisão direta e acumulam permissões ao longo do tempo. 

E, na prática, são menos monitoradas. 

Quando uma credencial humana é comprometida, há pelo menos a possibilidade de comportamento anômalo perceptível. Quando uma identidade não humana é explorada, o comportamento tende a parecer ainda mais legítimo, porque já era automatizado desde o início. 

O risco aqui não é só invasão. 

É uma continuidade silenciosa. 

O excesso de confiança nos logs 

Diante desse cenário, muitas organizações investem em mais visibilidade. Mais logs, mais alertas, mais ferramentas, mas o problema não é falta de dados. 

É a interpretação. 

Se um acesso é válido, o log confirma que ele aconteceu. Se uma ação foi executada com permissão correta, o sistema registra como operação legítima, mas isso não responde a pergunta principal: aquilo deveria estar acontecendo? 

Sem contexto (padrão de uso, escopo esperado, comportamento histórico) o dado técnico não é evidência. Ele é apenas registro. 

E é justamente nesse espaço que o ataque moderno se sustenta. 

Ele não depende de ocultar totalmente suas ações. 

Ele depende de não parecer fora do normal. 

O que não está sendo testado 

Se o ataque hoje se apoia em identidade legítima, a validação precisa evoluir junto. 

• Até onde vai uma conta comprometida? 

• Quais permissões permitem movimentação lateral sem alerta? 

• Quais integrações ampliam o alcance de um acesso inicial? 

• Quais fluxos de autenticação podem ser manipulados sem bloqueio? 

Essas não são perguntas teóricas. 

São exatamente as perguntas que definem o impacto real de um incidente. 

E, na maioria dos ambientes, elas não são testadas com frequência. 

O novo risco não é acesso, é confiança 

A identidade continua sendo um dos pilares mais importantes da segurança, mas ela também se tornou uma das superfícies mais exploráveis. 

Porque ela carrega confiança. 

E confiança, quando não é validada continuamente, se transforma em ponto cego. 

O cenário atual não é mais sobre impedir que alguém entre. 

É sobre conseguir perceber quando alguém está operando como se fosse legítimo, e não deveria estar. 

Esse é o tipo de falha que não aparece em checklist. 

E, quando aparece na prática, já costuma ser tarde demais. 

Fontes 

Microsoft Security Blog. OAuth redirection abuse enables phishing and malware delivery. 2 mar. 2026. 

Microsoft Security Blog. Four priorities for AI-powered identity and network access security in 2026. 20 jan. 2026. 

Mandiant / Google Cloud. M-Trends 2026 Executive Edition. 2026. 

Google Cloud. Cybersecurity Forecast 2026. 2026. 

Verizon. 2025 Data Breach Investigations Report. 2025. 

World Economic Forum. Global Cybersecurity Outlook 2026. jan. 2026. 

CISA / NIST. Protecting Tokens and Assertions from Forgery, Theft, and Misuse. 

Google Cloud. M-Trends 2026 Report. 2026.