Em 2026, as credenciais roubadas já não são uma preocupação secundária: são uma prioridade estratégica para qualquer equipe de segurança. No entanto, há um paradoxo inquietante: muitas organizações reconhecem o risco, mas continuam a confiar em soluções de “cumplir com o básico” –controles que marcam casas – em vez de implantar programas dedicados e específicos para enfrentar os infostealers, essas famílias de malware projetadas para exfiltrar credenciais, cookies e tokens de sessão.
Os números ajudam a entender a magnitude do problema. Um inquérito recente encomendado pela Luar, plataforma de monitoramento da Webz.io, indica que a maioria das organizações considera as credenciais comprometidas como um risco alto ou muito alto, e para muitas das três principais prioridades de segurança. Ao mesmo tempo, os dados coletados pela indústria mostram enormes quantidades de credenciais em circulação: apenas em 2025 foram identificados milhares de milhões de registros comprometidos, um número que converte qualquer estimativa de custo em algo vertiginoso. Para colocar em perspectiva económica, o relatório anual sobre o custo dos vazamentos da IBM coloca o custo médio de uma lacuna envolvendo credenciais comprometidas em vários milhões de dólares por incidente ( IBM Cost of a Data Breach Report).
E apesar dessa consciência, muitas defesas continuam a ser ingénuas frente à realidade técnica dos ataques. Expressões como “tenemos MFA em todos os lados” ou “nosso EDR e arquitetura de zero trust já nos protegem” soam tranquilizadoras, mas não bastam. Quando um empregado inicia sessão em uma aplicação crítica de um dispositivo doméstico não gerenciado, as soluções tradicionais como EDR ou políticas de rede não detectam que o acesso provém de um token ou cookie roubado. Em outras palavras, os controles que protegem o perímetro e os endpoints não necessariamente cobrem a telemetria e o contexto que permitem detectar e responder a sessões usurpadas.
O comportamento dos infostealers explica por que. Essas famílias de malware não se limitam a coletar nomes de usuário e senhas; extraem cookies de sessão, tokens e outros artefatos que permitem a um atacante “entrar sem tocar na porta”: sem voltar a passar por um formulário de autenticação, sem provocar um desafio MFA e, muitas vezes, sem deixar impressões evidentes nos logs de autenticação. O resultado é que o ator malicioso pode se mover, explorar e exfiltrar dados com muita rapidez antes de os controles tradicionais mostrarem alertas relevantes. Para compreender a natureza do risco, convém rever material técnico sobre como funcionam os infostealers e quais informações costumam capturar ( Kaspersky - InfoStealers).
O ciclo de um ataque típico costuma ser impiedosamente eficiente. Primeiro, a vítima é infectada por vetores variados: desde campanhas de phishing e extensões de navegador maliciosas até software pirateado ou repositórios comprometidos. O infostealer raspa credenciais e cookies do navegador ou do sistema envia essas informações para um servidor controlado pelo atacante, e esses dados acabam agrupados em “logs” ou combolists que são comprados e vendidos em fóruns, chats privados e mercados clandestinos. Um comprador pode aproveitar imediatamente esses artefatos legítimos para acessar serviços corporativos com uma janela temporal surpreendentemente curta. Se as verificações de exposições forem realizadas uma vez por mês ou com fontes de dados obsoletas, a organização pode descobrir o incidente quando já é tarde demais.
As soluções genéricas falham onde a especialização é necessária. Muitas empresas aplicam monitoramento de lacunas de forma pontual ou baseiam sua detecção em listados públicos de senhas filtradas, sem capacidade forense ou contexto para reconstruir quais contas foram afetadas, quais dispositivos estavam comprometidos ou se foram roubados cookies e tokens. A falta de dados triangulados e normalizados converte qualquer alerta em ruído: não se sabe a quem notificar, o que restaurar ou como priorizar a resposta. Além disso, a latência na aquisição de dados de fontes criminosas e a ausência de integrações com fluxos de trabalho automatizados (SIEM, SOAR, IDP) impede uma reação rápida e coordenada.
Passar de uma abordagem reagente a um programa maduro de monitoramento de lacunas implica, entre outras coisas, continuidade na coleta de sinais e capacidade para as enriquecer com contexto útil. Isso significa incorporar dados de fontes diversas —registros de infostealers, combolists, mercados e canais de mensagens onde se comeciam credenciais — e normalizar essa informação para que não se repita nem se perca em ruído irrelevante. O objetivo é ter uma visão única e depurada das exposições que realmente afetam a organização.
A automação é chave para transformar alertas em ações. Não basta saber que um domínio empresarial aparece em uma lista filtrada; há que traduzir essa evidência em playbooks que automaticem passos concretos: invalidar sessões, forçar a restauração de credenciais, bloquear acessos no IDP e orquestrar as tarefas no SIEM ou SOAR para que os analistas não percam tempo em rotinas repetitivas. Quando estas peças estão conectadas, a janela que aproveita o atacante encurta dramaticamente.
Outro hándicap frequente é a falsa sensação de segurança por plataforma. Muitos equipamentos acreditam que o macOS oferece imunidade contra estes ataques, e no entanto surgiram famílias específicas para a Apple que roubam cookies e credenciais. Relatórios de diferentes actores do sector dão conta de como os infostealers foram sofisticados e diversificados para afectar múltiplos sistemas operacionais e ecossistemas de aplicações.
Implementar uma estratégia de monitoramento eficaz exige mudança de mentalidade. O monitoramento de credenciais deve deixar de ser um “produto pontual” e ver-se como um programa contínuo com responsabilidades claras, métricas e procedimentos definidos. Isso implica atribuir um responsável pelo domínio de infostealers, estabelecer a cadência de verificação baseada no risco real e desenhar playbooks que sejam executados automaticamente quando aparece uma evidência confirmada. Também requer investir em soluções que contribuam a telemetria forense que muitas vezes falta nas abordagens de “cumprir as normas”.
A boa notícia é que existem ferramentas e modelos operacionais que permitem esse salto. Plataformas que agregam e enriquecem dados do underground e que se integram com a pilha de segurança empresarial permitem transformar exposições em respostas automáticas e mensuráveis. A interoperabilidade com identidades, sistemas de orquestração e plataformas de gestão de incidentes é o que fecha o círculo entre detecção e remediação.
Não é exagero dizer que o custo de não se adaptar pode ser enorme. Desde perdas econômicas diretas até danos reputacionais e regulatórios, uma sessão tomada por um ator malicioso pode implicar acessos não autorizados a informações críticas. Por isso, recomenda-se que os equipamentos de segurança revejam suas práticas atuais, priorizem a detecção de tokens e cookies roubados, e não se conformem com controles que apenas mitiguem parcialmente o risco. Para aprofundar as boas práticas de gestão de sessões e segurança, os guias de OWASP são um bom recurso técnico ( OWASP Session Management).
Se você quer rever quais credenciais relacionadas com sua organização já circulam nos ecossistemas criminosos, há iniciativas que oferecem monitoramento acessível para organizações de todos os tamanhos, combinando cobertura e capacidade de integração. Com visibilidade contínua e mecanismos automáticos de resposta, é possível fechar muitas das janelas de exposição que permitem aos atacantes agir com impunidade. Como referência a iniciativas do setor, você pode consultar o trabalho da Webz.io, que reúne inteligência de sinais abertos e do underground para diferentes usos empresariais ( Webz.io).
Em suma, a solução não é adicionar mais ferramentas inconexas nem confiar apenas em MFA ou EDR. Trata-se de construir um programa de monitoramento de credenciais e sessões que seja contínuo, contextual e automatizado, que integre fontes especializadas e que empodere as equipes para tomar decisões rápidas e precisas. O custo da complacência é hoje demasiado elevado para continuar a funcionar com aproximações de há alguns anos.
Para aqueles que querem aprofundar a questão e como adaptar os seus processos, recomendo começar por rever os relatórios de custo de lacunas, estudar a natureza técnica dos infostealers e avaliar soluções que ofereçam integração com os seus fluxos de segurança existentes. Os recursos da indústria e os guias de boas práticas são abundantes e podem servir como ponto de partida para projetar um programa que realmente reduza o risco.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...