agosto 7, 2025 - Security LGPD

Publicado em agosto 7, 2025agosto 6, 2025 por securitylgpd

COMO SE PROTEGER DE ATAQUES QUE EXPLORAM NAVEGADORES DE CELULAR

Pesquisas recentes indicam um aumento na utilização de técnicas de ataque voltadas ao lado do cliente, explorando vulnerabilidades em navegadores de dispositivos móveis. O foco está especialmente em sites construídos em plataformas populares que tenham sido comprometidos, servindo como porta de entrada para a instalação de códigos maliciosos capazes de capturar senhas, dados sigilosos e informações de autenticação.

Diferente das ameaças direcionadas a servidores, essa abordagem busca explorar falhas no ambiente do próprio usuário. Ao operar dessa forma, criminosos digitais conseguem contornar defesas tradicionais com maior facilidade, explorando brechas presentes no software do navegador e em recursos integrados.

Um dos vetores identificados é o uso de Progressive Web Apps (PWAs) falsificados, incorporados a temas e plugins comprometidos. Esses aplicativos, que combinam características de sites e apps nativos, oferecem funções legítimas como notificações, acesso offline e carregamento rápido. Contudo, versões adulteradas têm sido utilizadas para induzir o usuário a instalar pacotes maliciosos, muitas vezes disfarçados como aplicativos de entretenimento adulto ou ferramentas de criptografia.

Após instalados, esses PWAs fraudulentos permanecem ativos mesmo fora da sessão de navegação, simulando telas de login para capturar credenciais, interceptando transações de carteiras digitais e sequestrando tokens de sessão. Em alguns casos, ainda realizam a injeção de scripts nocivos diretamente no navegador.

Para evitar detecção, são aplicadas técnicas de camuflagem que impedem a execução do código malicioso em ambientes de teste com maior nível de proteção, aproveitando-se de limitações presentes em muitos navegadores de dispositivos móveis. Soma-se a isso o comportamento do usuário, que frequentemente aceita instalar aplicativos sugeridos sem verificar a procedência.

Boas práticas de proteção
Do ponto de vista do usuário, a principal medida é adotar um comportamento mais criterioso ao receber sugestões para instalação de aplicativos durante a navegação. É recomendável recusar qualquer instalação oferecida por sites de procedência duvidosa e desconfiar de solicitações inesperadas de login, sobretudo quando apresentam formulários que prometem facilitar o acesso por meio de credenciais já utilizadas em outros serviços.

Para administradores de sites e desenvolvedores, é fundamental realizar auditorias frequentes nos scripts de terceiros incorporados às páginas e implementar mecanismos que permitam identificar, em tempo real, quais códigos estão sendo executados no navegador dos visitantes. Essa visibilidade pode reduzir significativamente as oportunidades para a implantação de malwares.

A prevenção, nesse contexto, passa tanto pela postura vigilante do usuário quanto pela responsabilidade técnica de quem desenvolve e mantém páginas e aplicações.

Publicado em agosto 7, 2025agosto 6, 2025 por securitylgpd

COMO TREINAR COLABORADORES PARA IDENTIFICAR E BLOQUEAR MALWARE

Há quem defenda que o ponto mais vulnerável na segurança cibernética de uma organização é o usuário. No entanto, pesquisas recentes demonstram que, quando bem orientadas, as pessoas podem atuar como barreira eficaz contra ameaças digitais.

Um estudo experimental analisou, em ambiente corporativo simulado, como usuários de diferentes níveis de conhecimento reagiam a solicitações para baixar softwares — alguns legítimos, outros maliciosos. No primeiro teste, sem qualquer auxílio adicional, a taxa média de identificação de arquivos maliciosos foi de 75%. Entre os menos experientes, o índice ficou em 68%, enquanto os mais habituados ao tema atingiram 81%.

Observou-se, contudo, que iniciantes, por vezes, classificavam programas legítimos como perigosos devido a erros de digitação ou falhas visuais na interface, ao mesmo tempo em que ignoravam ameaças reais quando o sistema apresentava comportamentos anômalos, como uso elevado do processador.

Na segunda fase, foi disponibilizada uma ferramenta de monitoramento aprimorada, acompanhada de orientações sobre sinais que poderiam indicar a presença de malware. O resultado foi expressivo: usuários iniciantes passaram a identificar corretamente 80% das ameaças, aproximando-se do desempenho dos mais experientes. A lição é clara — informação direcionada e estímulo ao pensamento crítico elevam significativamente a capacidade de detecção.

Para empresas, essa constatação reforça a necessidade de programas estruturados de conscientização. Um treinamento eficaz deve:

Explicar os tipos mais comuns de malware, como vírus, worms, trojans, ransomware e adware.
Ensinar a reconhecer ataques de phishing e engenharia social, com exemplos práticos de mensagens fraudulentas.
Apresentar sinais de alerta, como anexos e links suspeitos.
Reforçar boas práticas: atualização regular de softwares, uso de conexões seguras, hábitos de navegação responsáveis, senhas robustas e autenticação multifator.
Capacitar para identificar e-mails e sites potencialmente perigosos.
Orientar sobre os procedimentos a serem adotados diante da suspeita de infecção ou ataque.

Quanto mais conhecimento os colaboradores adquirirem sobre os métodos utilizados por cibercriminosos, menor será a probabilidade de que se tornem vítimas. Investir na formação contínua não apenas reduz riscos como também transforma o elo mais vulnerável em uma linha de defesa ativa.

Publicado em agosto 7, 2025agosto 5, 2025 por securitylgpd

DIRETRIZES ESSENCIAIS PARA REGULAR A INTELIGÊNCIA ARTIFICIAL NO BRASIL

O ano de 2024 marcou um ponto de virada: a regulação da Inteligência Artificial deixou de ser um debate distante e passou a integrar a agenda concreta de diversos países. A União Europeia aprovou o AI Act, estabelecendo um marco jurídico abrangente; os Estados Unidos editaram diretrizes rigorosas voltadas à segurança, transparência e uso responsável; a China intensificou normas de controle sobre algoritmos considerados sensíveis. Outros países, como Canadá, Reino Unido, Japão e Coreia do Sul, avançam com propostas próprias.

Diante desse movimento, o Brasil tem a possibilidade — e o dever — de formular uma lei que una soberania, inovação e proteção de direitos. Isso exige ir além da discussão política e adotar parâmetros técnicos sólidos, alinhados ao que já se pratica nas jurisdições mais avançadas. A regulação não deve apenas antecipar problemas, mas enfrentar impactos que já se manifestam, muitas vezes sem a percepção do usuário e sem um respaldo jurídico definido.

Uma lei eficaz sobre IA parte do reconhecimento de que a tecnologia reflete decisões humanas, dados de origem e contextos de aplicação. Por isso, alguns elementos merecem atenção especial.

1. Proporcionalidade na regulação
As exigências devem ser proporcionais ao risco da aplicação. Algoritmos para entretenimento não demandam o mesmo nível de controle que sistemas capazes de decidir sobre crédito, atendimento médico ou processos judiciais. A classificação por níveis de risco, já utilizada em legislações internacionais, evita tanto o excesso de burocracia quanto a ausência de regulamentação.

2. Transparência e explicabilidade
Usuários e empresas devem ser informados quando interagem com uma IA e compreender, em termos claros, os critérios que levaram a uma decisão automatizada. Não é necessário expor código-fonte, mas assegurar a chamada “explicabilidade algorítmica”, permitindo entender o raciocínio ou a lógica probabilística aplicada.

3. Qualidade e integridade dos dados
O desempenho de sistemas de IA depende da qualidade dos dados utilizados. Bases que contêm distorções raciais, socioeconômicas ou regionais tendem a reproduzir e ampliar essas desigualdades. Para mitigar esse risco, é essencial prever auditorias, mecanismos de validação e correção, além de políticas robustas de consentimento e privacidade, compatíveis com a LGPD e acordos internacionais.

4. Supervisão humana e responsabilização
Em aplicações que afetam diretamente a vida das pessoas, deve existir possibilidade de revisão ou intervenção humana. Essa prática, conhecida como human-in-the-loop, precisa ser garantida por lei, assim como a definição de responsabilidades em caso de falhas ou danos. A delimitação clara de deveres para desenvolvedores, fornecedores e operadores evita disputas judiciais prolongadas e a diluição da responsabilidade.

5. Integração internacional sem perder autonomia
A IA opera em escala global, o que exige compatibilidade mínima entre regras de diferentes países. É importante que a legislação brasileira permita diálogo técnico com padrões internacionais, preservando a autonomia regulatória, mas facilitando a atuação de empresas em múltiplas jurisdições.

O desafio está em encontrar um equilíbrio que permita inovação e, ao mesmo tempo, proteja direitos fundamentais. Mais do que limitar, a lei deve oferecer uma base segura para o desenvolvimento responsável.

Paralelamente, organizações públicas e privadas precisarão implementar estruturas internas de governança de IA, incluindo comitês de ética, processos de auditoria contínua e monitoramento de riscos. A convergência entre regras externas e práticas internas será determinante para consolidar a confiança no uso dessa tecnologia.

O avanço da Inteligência Artificial é inevitável. O que está em jogo é a forma como o país irá moldar essa transformação: de modo estruturado, seguro e transparente, ou deixando que decisões técnicas e jurídicas fiquem sempre um passo atrás do próprio desenvolvimento tecnológico.