Quando um atacante entra numa rede usando um nome de usuário e senha legítimos parece, à primeira vista, que não há nada que possa deter: o tráfego e as ações são misturadas com as de um usuário autorizado. Essa realidade transforma a gestão de credenciais numa questão de resiliência operacional, não só de segurança informática; e na União Europeia, desde a entrada em vigor da DORA, também é uma questão regulamentar vinculativa. As credenciais já não são apenas um vetor de risco técnico: são um controle de risco financeiro sujeito a auditoria.
Os dados do setor mostram por que: o roubo de credenciais continua sendo uma das principais vias de acesso inicial a ambientes corporativos, com consequências que se contam em meses de atividade oculta e milhões de custos por incidente. Relatórios públicos como o da IBM sobre custo das lacunas e o da Verizon sobre investigações sobre lacunas documentam tanto a frequência como o impacto económico destes ataques ( IBM Cost of a Data Breach Report, Verizon DBIR). Essa combinação de probabilidade e dano é precisamente o que a DORA pretende mitigar.
Em termos operacionais, a DORA exige que as instituições financeiras implementem controlos que reduzam a probabilidade de acesso não autorizado e, fundamentalmente, permitam demonstrar essa implementação. Artigo 9.o coloca em primeira linha o princípio mínimo privilégio e a obrigação de mecanismos de autenticação robustos e baseados em padrões. Na prática isso implica migrar de fatores vulneráveis como SMS ou códigos TOTP suscetíveis de ataques AiTM para soluções resistentes ao phishing, como FIDO2/WebAuthn e passkeys.
Não basta dizer que existe uma política: os reguladores esperam provas operacionais. Um controlo técnico sem registo não prova nada perante um supervisor. É por isso que a combinação de tecnologias —autenticadores phishing-resistant, um gestor de credenciais corporativa que gere registros imutávels, e uma solução de gestão de acesso privilegiado (PAM) com provisão just-in-time e auditoria de sessões, é a que fecha o círculo entre prática e cumprimento.
O risco não termina nos perímetros próprios: a DORA estende obrigações à cadeia de abastecimento. As consequências das lacunas decorrentes de fornecedores mostram que as credenciais de terceiros são, na prática, suas credenciais. Isso obriga a contratos que exijam níveis equivalentes de MFA, auditorias programadas e mecanismos contratuais para verificar e corrigir incumprimentos do fornecedor.
Do ponto de vista técnico e de detecção, reduzir o tempo médio que um intruso permanece na rede é a medida mais eficaz para limitar danos e exposição regulatória. Aqui entram em jogo ferramentas e práticas como detecção de anomalias de identidade (ITDR/UEBA), integração de logs em SIEM, segmentação de rede para conter movimentos laterais, e resposta automatizada a padrões de acesso anormais. A combinação de prevenção resistente e detecção precoce encurta a janela de exploração.
No capítulo de ações concretas e priorizadas, as organizações devem começar por auditar sua postura de identidade: inventário completo de contas privilegiadas e de serviço, verificação de MFA resistente em todas as rotas de acesso, eliminação de privilégios permanentes por JIT e revisão automatizada de offboarding. Paralelamente, a implementação de um repositório cifrado de credenciais com controle de acessos baseado em papéis e registros imutávels facilita tanto a operação segura como a resposta a requisitos regulatórios.
A evidência importa tanto quanto a tecnologia. Ter registos exportáveis, selados e correlacionados com outros sistemas — directorios corporativos, PAM, soluções de endpoint e rede — transforma uma inspeção regulatória em uma demonstração de controle em vez de uma lista de carências. Preparar exercícios de notificação e respostas a incidentes que incluam a produção dessa evidência ajuda a cumprir os prazos exigidos pela DORA e a conter sanções e custos reputacionais.
Para os responsáveis que devem priorizar investimentos, a mensagem é clara: a resiliência operacional começa por controlar a identidade. Adotar autenticação phishing-resistant, aplicar mínimo privilégio com provisão temporária de acessos, vaulting criptografia de credenciais e monitoramento contínuo não são apenas boas práticas: são elementos centrais de cumprimento sob DORA. Aqueles que aguardam a auditoria para agir assumem um risco regulatório e operacional desnecessário.
Se você procura recursos adicionais para aprofundar requisitos regulatórios e técnicas concretas, a documentação oficial da regulamentação DORA é um ponto de partida essencial ( Digital Operational Resilience Act (DORA) — EIOPA) e os relatórios sectoriais ajudam a priorizar ameaças e controlos com dados atualizados ( IBM Cost of a Data Breach Report, Verizon DBIR). Atuar agora, documentar com rigor e fechar as lacunas na gestão de credenciais é a estratégia que reduz a exposição, custos e sanções em um ambiente regulatório que já não perdoa a falta de evidência.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...